[résolu]Logfile - lenteur - processus - services

ipl_001 · le 27 avril 2005

http://www.what-process.com me semble très exhaustif au niveau quantitatif (beaucoup d'éléments dans la liste de process).

http://zmaster007.free.fr/listeprocessus.htm propose une classification assez simple (system/utilisateur/dangereux) : c'est pratique.

Ca va me prendre du temps pour vérifier tous mes process.

493995[/snapback]

Tes processus sont en nombre limités !

Lorsque nous analysons un rapport HijackThis, nous examinons les processus, les lignes HJT proprement dites (lignes Rx à O23) mais, bien sûr, dans l'optique d'y trouver les lignes infectieuses. A la longue, il y en a beaucoup que nous connaissons par coeur mais, au départ, on vérifie une par une !

teiseken · le 27 avril 2005

C'est ce que je fais : je vérifie une par une pour savoir si ça se range dans système, application ou dangereux, ensuite je regarderai avec comment ça marche la description en français. (faudra que je vois s'il y a les noms d'images (processus ou service) commençant par HP)

teiseken · le 27 avril 2005

jusched.exe pour les mises à jour d'applications Java, on peut l'enlever ou alors ça ne se fera plus automatiquement et ça va gêner la navigation sur le net ?

"hpsysdrv.exe" :

Description: hpsysdrv.exe is a utility from HP which monitors how many recoveries have been made in Microsoft Office suite. This is a non-essential process. Disabling or enabling this is down to user preference

Ca veut dire que je peux le déselectionner dans le démarrage sélectif d'MSConfig ?

MediaAcck.exe, this process appears to be causing problems for a lot of people and is said to be adware.

=> il faut certainement l'enlever ?

J'ai trouvé qu'Optimize présentait des risques : j'ai supprimé.

Modifié le 27 avril 2005 par teiseken

ipl_001 · le 27 avril 2005

Rebonjour teiseken, rebonjour à tous,

jusched.exe pour les mises à jour d'applications Java, on peut l'enlever ou alors ça ne se fera plus automatiquement et ça va gêner la navigation sur le net ?

"hpsysdrv.exe" :

Description: hpsysdrv.exe is a utility from HP which monitors how many recoveries have been made in Microsoft Office suite. This is a non-essential process. Disabling or enabling this is down to user preference

Ca veut dire que je peux le déselectionner dans le démarrage sélectif d'MSConfig ?

MediaAcck.exe, this process appears to be causing problems for a lot of people and is said to be adware.

=> il faut certainement l'enlever ?

J'ai trouvé qu'Optimize présentait des risques : j'ai supprimé.

494015[/snapback]

Oh que oui ! "MediaAcck.exe" est un adware qu'il faut virer !

Je n'ai pas beaucoup de temps en ce moment mais je comptais bien analyser ton rapport HijackThis !

Pourquoi, parles-tu de "MSconfig Démarrage sélectif" ? moi, c'est dans MSconfig-Démarrage que j'agirais ! easy-peasy! tu décoches et tu vois si tu as des ennuis : si tu as des ennuis, tu recoches, si non, tu laisses décoché !

Attention de ne pas enlever des éléments de sécurité

...

Je suis tout de même surpris que tu aies besoin d'optimiser immédiatement et à ce point ! est-ce une machine de jeux ? as-tu un Intel 386 avec XP ?

Désolé de ne pas avoir de temps...

teiseken · le 27 avril 2005

En fait depuis que j'ai désinstallé Norton Antivirus ça va beaucoup plus vite et j'en suis content. Mais l'étude des processus reste importante pour enlever les malware que je ne connais pas.

Oui c'est Démarrage et pas Démarrage Sélectif comme onglet. Sorry.

C'est énervant d'acheter un AMD 3000+ en janvier avec 512 Mo DDR ram avec win XP et qu'il mette plus longtemps à démarrer que le vieux CPU avec 1400 256 Mo ram et Win ME.

Modifié le 27 avril 2005 par teiseken

ipl_001 · le 27 avril 2005

Rebonjour teiseken, rebonjour à tous,

Voici une première analyse concernant les éléments mal constitués/néfastes.

Excuse moi, je n'avais pas regardé ton rapport HijackThis, croyant que tu parlais d'optimisation... ton système est bel et bien infecté ! Tu ne vas pas regretter d'être venu

Stoppe les processus suivants dans le Gestionnaire des tâches :

- C:\WINDOWS\ALCXMNTR.EXE

- C:\Program Files\Media Access\MediaAccK.exe

- C:\temp\salm.exe

- C:\Program Files\Internet Optimizer\optimize.exe

- C:\Program Files\Media Access\MediaAccess.exe

- C:\Program Files\Internet Optimizer\actalert.exe

Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

- Media Access

- Internet Optimizer

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Mes_Documents/liens33.htm <- qu'est ce que c'est que cette page de démarrage ? est-ce toi qui l'as choisie ? sinon, coche

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

-> "nem219.dll, nem220.dll DyFuCa/Internet Optimizer" - http://www.doxdesk.com/parasite/InternetOptimizer.html

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll

-> "Wsem***.dll , (* = digit) MoneyTree/DyFuCa" - http://www.doxdesk.com/parasite/MoneyTree.html

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

-> Alcxmntr.exe Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

-> MediaAccK.exe Windupdates adware variant

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

-> "salm.exe 180Solutions/N-Case adware variant" - http://www.doxdesk.com/parasite/nCase.html

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

-> "optimize.exe Internet_Optimizer parasite" - http://www.doxdesk.com/parasite/InternetOptimizer.html

O4 - HKLM\..\Run: [dctgb] C:\WINDOWS\dctgb.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c18.cab

O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cab

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-24.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://stat.trafficadvance.net/dialer/304786.exe

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

Redémarre l'ordinateur en mode sans échec.

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

- C:\WINDOWS\nem220.dll

- C:\WINDOWS\wsem303.dll

- c:\temp\salm.exe

- C:\WINDOWS\dctgb.exe

- C:\Program Files\Media Access (supprime le dossier)

- C:\Program Files\Internet Optimizer (supprime le dossier)

- ALCXMNTR.EXE (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

Fais un peu de ménage dans ton système :

- fermeture de tous les programmes

- suppression des fichiers inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Je reproduis ma question :

C:/Mes_Documents/liens33.htm <- qu'est ce que c'est que cette page de démarrage ? est-ce toi qui l'as choisie ?

teiseken · le 28 avril 2005

alcxmntr.exe is installed alongside hardware drivers for the Realtek AC97 audio device. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

=> Alcxmntr.exe pourrait causer des soucis pour l'audio s'il est désinstallé apparament.

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
-> Alcxmntr.exe Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers

=> je l'ai enlevé quand même.

file:///C:/Mes_Documents/liens33.htm <- qu'est ce que c'est que cette page de démarrage ? est-ce toi qui l'as choisie ? sinon, coche

Oui, je me suis fait une page de démarrage : une sorte d'index des liens que j'utilise tout le temps pour gagner du temps.

Redémarre l'ordinateur en mode sans échec

=> comment fait on pour redémarrer en sans échec par notre volonté ? Ca risque rien ?

teiseken · le 28 avril 2005

Voici mon premier rapport hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 09:15:16, on 28/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RUNDLL32.exe

C:\WINDOWS\dctgb.exe

C:\Program Files\Byqfwk\Lmve.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\05_03\HijackThis.exe