Interprétation log Hijackthis

[Jackysent]

J' ai suivi scrupuleusement vos indications et vous fais part de 3 anomalies constatées lors deur mise en application

1- dans LSPFix, je n'ai pas eu à placer le fichier newdot~1.dll dans la colonne de droite, car elle s'y est retrouvée automatiquement.

2- dans Hijackthis la ligne 010 avait disparue, je n'ai donc cochée que la ligne 04 -startup:powerreg scheduler V3.exe

3- pas de trace du répertoire c:\progra~1\ ni du fichier newdot~1.

 

Voici le log obtenu :

 

Logfile of HijackThis v1.99.1

Scan saved at 09:54:01, on 27/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\EMT3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\fswsclds.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Agent NAI ePolicy Orchestrator (NAIMAGENT32) - Network Associates, Inc. - C:\Program Files\EPOAgent\naimas32.exe

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)

O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

 

J'attend votre expertise avant de rallumer mon Toshiba.

Merci

[megataupe]

Bonjour Jackysent. A part ces deux lignes 023 , je ne vois plus rien d'infectieux dans le log de ton Yamonshibakivamal .

 

 

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing = fichier disparu du dossier)

 

O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

 

Tu pourrais aussi te passer de l'espace Wanadoo qui ne sert pas à grand chose, ça te fera gagner des ressources pour d'autres applis

[Jackysent]

Moi, je ne suis pas têtu, on me dit de supprimer les 2 lignes 023, je le fais.

Si je dois supprimer le service Wanadoo, on m'indique la ligne et je le fais.

Je trop nul pour improviser.

Je n'ai même pas osé rallumer mon Toshiba depuis la désinfection, tant je suis craintif avec ces p'tites bêtes.

Je ne risque pas de perdre ma connexion avec la suppression précédente ?

On m'avais demandé de supprimer un anti-virus , mon patron me paye une licence MacAffe, es-t-il gourmand en resources pour lui préférer Antivir ?

 

Dois-je immediatement créer un point de restauration, ou dois-je défragmenter mon disque avant ? un coup de CClear avant ? ....

Que de questions, toujours des questions.

 

Je suis quand-même impressionné par votre devouement à tous. Soyez en ici vivement remerciés.

Jacques

[megataupe]

Moi, je ne suis pas têtu, on me dit de supprimer les 2 lignes 023, je le fais.

Si je dois supprimer le service Wanadoo, on m'indique la ligne et je le fais.

Je trop nul pour improviser.

Je n'ai même pas osé rallumer mon Toshiba depuis la désinfection, tant je suis craintif avec ces p'tites bêtes.

Je ne risque pas de perdre ma connexion avec la suppression précédente ?

On m'avais demandé  de supprimer un anti-virus , mon patron me paye une licence MacAffe, es-t-il gourmand en resources pour lui préférer Antivir ?

 

Dois-je immediatement créer un point de restauration, ou dois-je défragmenter mon disque avant ? un coup de CClear avant ? ....

Que de questions, toujours des questions.

 

Je suis quand-même impressionné par votre devouement à tous. Soyez en ici vivement remerciés.

Jacques

525055[/snapback]

 

Tu peux rallumer ton portable sans problème, il n'y a pas urgence à supprimer ces lignes 023 (attend l'avis d'IPL ou Stonangel pour le faire).

 

Concernant Wanadoo, une petite visite sur ce site t'indiquera la procédure pour le supprimer et créer une connexion manuelle.

 

http://www.faqoe.com/index.php?bas=/connexionmanel.htm

 

Pour l'antivirus, je te conseille de garder celui avec lequel tu te sens le plus à l'aise, MacAffe ou un autre, ce n'est pas l'élément le plus important pour la sécurité d'un PC, même si beaucoup d'utilisateurs pensent le contraire.

 

Tu nettoies d'abord avec CCleaner, puis tu nettoies le registre avec RegSeeker (à charger ici) :

 

http://telechargement.zebulon.fr/184-regseeker-145.html

 

ensuite, tu défragmentes ton disque avec l'excellent utilitaire Diskeeperlite (beaucoup plus rapide que celui de Windows) que tu peux télécharger ici :

 

http://www.helloduck.com/php/article.php3?id_article=374

 

Enfin, tu crées un point de restauration après ce grand nettoyage.

 

A+++++++++ sans doute

Modifié le 27 juin 2005 par megataupe

[Jackysent]

Tu peux rallumer ton portable sans problème, il n'y a pas urgence à supprimer ces lignes 023 (attend l'avis d'IPL ou Stonangel pour le faire).

 

Concernant Wanadoo, une petite visite sur ce site t'indiquera la procédure pour le supprimer et créer une connexion manuelle.

 

http://www.faqoe.com/index.php?bas=/connexionmanel.htm

 

Pour l'antivirus, je te conseille de garder celui avec lequel tu te sens le plus à l'aise, MacAffe ou un autre, ce n'est pas l'élément le plus important pour la sécurité d'un PC, même si beaucoup d'utilisateurs pensent le contraire.

 

Tu nettoies d'abord avec CCleaner, puis tu nettoies le registre avec RegSeeker (à charger ici) :

 

http://telechargement.zebulon.fr/184-regseeker-145.html

 

ensuite, tu défragmentes ton disque avec l'excellent utilitaire Diskeeperlite (beaucoup plus rapide que celui de Windows) que tu peux télécharger ici :

 

http://www.helloduck.com/php/article.php3?id_article=374

 

Enfin, tu crées un point de restauration après ce grand nettoyage.

 

A+++++++++ sans doute

525063[/snapback]

 

Bien, je crois que ça se précise, tout semble rentrer dans l'ordre, même si une certaine lenteur semble subsister suite à un défaut de défragmentation que je vais effectuer cette nuit. Ma connexion est intacte et l'optimisation de ma machine semble inévitable et fera donc l'objet d'une demande d'aide auprès de vous. L'urgence a été gérée de mains de maître de votre part à tous, et je ne manquerais pas de vous solliciter à nouveau. (Désolé, on ne quitte pas une équipe qui gagne !!!). Merci encore !

Jacques qui a encore des lignes 023 à virer et sans doute bien d'autres...

Modifié le 27 juin 2005 par Jackysent

[ipl_001]

Bonsoir Jackysent, megataupe, bonsoir à tous,

 

Jackysent  aujourd'hui à 10h06

 

J' ai suivi scrupuleusement vos indications et vous fais part de 3 anomalies constatées lors deur mise en application

1- dans LSPFix, je n'ai pas eu à placer le fichier newdot~1.dll dans la colonne de droite, car elle s'y est retrouvée automatiquement.

2- dans Hijackthis la ligne 010 avait disparue, je n'ai donc cochée que la ligne 04 -startup:powerreg scheduler V3.exe

3- pas de trace du répertoire c:\progra~1\ ni du fichier newdot~1.

Il n'y a aucune anomalie !

 

-1- O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll' missing

LSPfix place automatiquement dans la colonne de droite, le(s) module(s) manquant(s) !

 

-2-3- La désinstallation de NewDotNet Par Ajout-Suppression de programme a enlevé la ligne 10 et le dossier C:\Program Files\NewDotNet

 

 

 

Pour ce qui est des lignes O23 "file missing", il ne faut pas croire ce message car il y a un bug dans HijackThis ! De même dans le cas d'une ligne O9 les "file missing" sont parfois erronés !

[Jackysent]

Bonsoir Jackysent, megataupe, bonsoir à tous,

 

Il n'y a aucune anomalie !

 

-1- O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll' missing

LSPfix place .......................

...................

...........Pour ce qui est des lignes O23 "file missing", il ne faut pas croire ce message car il y a un bug dans HijackThis ! De même dans le cas d'une ligne O9 les "file missing" sont parfois erronés !

525366[/snapback]

 

OK ! Merci beaucoup !

A bientôt .

Jacques

[Jackysent]

Suite à tous nos traitements, ma machine n'est toujours pas au top de sa forme, même si des progrès certains ont été réalisés. Les ouvertures de fenêtres prennent un temps considérable et mon UC est toujours utilisée à 100% même en l'absence de tache. (notament le processus Mcshield.exe est entre 97 et 99). Il n'y a que sur internet que ma machine a retrouvée sa vigueur (uniquement quand elle est connectée parceque pour se connecter, il faut attendre pas mal de temps)

En mode sans échec tout marche à merveille, donc il y a un service qui fait des siennes, mais lequel ?

Ci-joint mon dernier log pour info.

 

Logfile of HijackThis v1.99.1

Scan saved at 17:59:28, on 28/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\EMT3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKCU\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\fswsclds.exe (file missing)

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Agent NAI ePolicy Orchestrator (NAIMAGENT32) - Network Associates, Inc. - C:\Program Files\EPOAgent\naimas32.exe

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)

O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

 

 

En ligne 023 des fichiers F-Secure renommés par moi (avant de les supprimer) car retrouvés dans C\programme Files alors que j'ai viré F-Secure depuis le début ???

De plus j'avais déjà fixé cette ligne hier, que comprendre ?

Merci pour vos ultimes directives.

Jacques

[Invité Stonangel]

Bonjour, clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne

 

F-Secure Windows Security Center Legacy Detection Service (Fswsclds)

 

Double clique sur la ligne

Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\Program Files\fswsclds.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.

 

Lance Hijackthis scan et coche la ligne suivante:

 

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\fswsclds.exe (file missing)

 

Ferme tous les programmes toutes les fenêtres puis Fix checked.

[Jackysent]

Bonjour, clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne

 

F-Secure Windows Security Center Legacy Detection Service (Fswsclds)

 

Double clique sur la ligne

Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\Program Files\fswsclds.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.

 

Lance Hijackthis scan et coche la ligne suivante:

 

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\fswsclds.exe (file missing)

 

Ferme tous les programmes toutes les fenêtres puis Fix checked.

525900[/snapback]

 

Voilà qui est fait.

Je suis en train de me débattre avec mon kit de connexion Wanadoo que je vais supprimer car en faît il n'y a plus que lui qui rame sur ma machine.

Merci de votre aide efficace.

Je vous tiendrai au courant de la guérison définitive de ma machine.

Jacques