demande d'aide Hijackthis

[rv83340]

Bonjour

Voilà ma configuration :

- windows XP SP2 à jour. (réinstallé il y a une dizaine de jours après reformatage)

- Intel pentium 4 cpu 2,40Ghz

- 512 MB Ram

- Mobility radeon 9000

 

Depuis quelques temps, j’ai des désactivations inexpliquées sur mon PC :

- « l’aide et support » de windows : Touche F1 sur le bureau et bouton « aide et support » dans le menu démarrer inactifs (5 secondes de sablier puis plus rien)

- les aides de certains logiciel ont disparues également (norton ghost)

- idem pour informations système

- Dans le même temps la barre d’outils de Vaderetro (outil antispam de Goto) après avoir fonctionnée quelques temps à disparu de outlook express.

 

Au démarrage de certain programme j’ai le message d’erreur suivant :

« l’application ou la DLL c:\windows\system32\hhctrl.ocx n’est pas une image windows valide. Vérifier à l’aide de votre disquette d’installation. »

 

Par moment les temps de réponse du pc sont très long, particulièrement avec l’explorateur windows.

 

J’ai exécuté sans succès un antivirus à jour (Avast) , un antivirus en ligne (Secuser), Ad-Aware SE Personal, Spybot – Search &Destroy (msg d’erreur ci-dessus), a-squared (a²) et CWShredder.

 

En fin j’ai exécuté SFC/scannow qui ma bien corrigé tous ces problèmes …. Mais très provisoirement puisque quelques heures plus tard tous les problèmes étaient revenus (opération effectuées à trois reprises).

 

Enfin en désespoir de cause je joint à ce message un log hijackthis

 

Merci de votre aide éventuelle.

 

Logfile of HijackThis v1.99.1

Scan saved at 16:51:39, on 19/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\avast\aswUpdSv.exe

C:\WINDOWS\System32\Ati2evxx.exe

D:\avast\ashServ.exe

C:\WINDOWS\System32\GEARSec.exe

D:\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

D:\avast\ashMaiSv.exe

D:\avast\ashWebSv.exe

C:\WINDOWS\soundman.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\mHotkey.exe

D:\avast\ashDisp.exe

C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe

D:\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

D:\Symantec\Norton Ghost\Agent\GhostTray.exe

D:\CloneCD\CloneCDTray.exe

D:\paperp~1\pptd40nt.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Skype\Phone\Skype.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

D:\Copernic Desktop Search\CopernicDesktopSearch.exe

D:\a2\a2guard.exe

C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe

D:\HP\Digital Imaging\bin\hpqtra08.exe

D:\adobe reader\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Sony Handheld\HOTSYNC.EXE

C:\WINDOWS\System32\wbem\wmiprvse.exe

D:\hijackthis\HijackThis.exe

C:\WINDOWS\system32\HPZinw12.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\HPZipm12.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.fr/news?ned=fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - D:\COPERN~1\COPERN~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\adobe reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - D:\Copernic Agent\CopernicAgentExt.dll

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe

O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

O4 - HKLM\..\Run: [HP Software Update] "D:\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Symantec\Norton Ghost\Agent\GhostTray.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "D:\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [PaperPort PTD] d:\paperp~1\pptd40nt.exe

O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Copernic Desktop Search] "D:\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray

O4 - HKCU\..\Run: [a-squared] "D:\a2\a2guard.exe"

O4 - Startup: HotSync Manager.lnk = D:\Sony Handheld\HOTSYNC.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: D-Link AirPlus.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\adobe reader\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\COPERN~1\COPERN~1.EXE

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack-3-33\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack-3-33\WinHTTrackIEBar.dll

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - D:\COPERN~1\COPERN~1.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\avast\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\avast\ashWebSv.exe" /service (file missing)

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Norton Ghost - Symantec Corporation - D:\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

[BipBip07]

Salut,

 

Ton message d'erreur a l'air d'etre en rapport avec une mise a jour de XP SP2...

11. Januar 2005

SP2: 890175 - Sicherheitsupdate behebt Lücke in hhctrl.ocx - 11.01.05

Details hierzu siehe http://patch-info.de/WinXP/

Verfasst von Ottmar Freudenberger am 11.01.05 21:32

solution (apparament...): http://www.microsoft.com/downloads/details...&displaylang=en

 

Sinon, pour moi le rapport Hijackthis est propre uniquement bcp trop de logiciel qui se lancent au démarrage. Pour ma pars je supprimerais programmes inutiles ci dessous par "msconfig"...

 

MSCONFIG

Ensuite tu vas enlever du démarrage automatique ces programmes qui ne servent a rien (tu pourra si tu le souhaites les remettre en faisant la manip inverse, tu aura un message a ton prochain démarrage coche la case pour ne plus être informé)

démarrer > exécuter > tape msconfig > onglet démarrage > décoche:

 

[HP Software Update] "D:\HP\HP Software Update\HPWuSchd.exe"

[HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

[Norton Ghost 9.0] D:\Symantec\Norton Ghost\Agent\GhostTray.exe

[CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL

[CloneCDTray] "D:\CloneCD\CloneCDTray.exe"

[WebCam Go Plus Sti Service Application] Wcgopsvc

[skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized

[MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

Adobe Gamma Loader C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

D-Link AirPlus.lnk = ?

HP Digital Imaging Monitor D:\HP\Digital Imaging\bin\hpqtra08.exe

Lancement rapide d'Adobe Reader D:\adobe reader\Reader\reader_sl.exe

Microsoft Office D:\Microsoft Office\Office\OSA9.EXE

[ptitgillou]

Si ça ne te dis rien , éfface....

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

Méchant Cette inscription est probablement méchante.

Il vaut mieux effacer cette inscription !

 

va voir la, ça aide:

 

ici

Modifié le 19 juillet 2005 par ptitgillou

[BipBip07]

Si ça ne te dis rien , éfface....

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab   

Méchant  Cette inscription est probablement méchante.

  Il vaut mieux effacer cette inscription !

 

va voir la, ça aide:

 

ici

537920[/snapback]

 

Ihihih ben si l'activeX du scan en ligne de Trend Micro(Secuser) est dangereux on aura tout vu Cette ligne 016 est nullement infectieuse ! D'ou encore une fois les limites du "robot d'analyse"

A+

[tirol]

Bonsoir à tous,

 

Bipbip comment expliques-tu qu'ily ait 2 instances au démarrage de

C:\WINDOWS\system32\wuauclt.exe

 

sinon, que fait la police, on va être envahi par les robots ?

 

tirol

[BipBip07]

Bonsoir à tous,

Bipbip comment expliques-tu qu'ily ait 2 instances au démarrage de

C:\WINDOWS\system32\wuauclt.exe

sinon, que fait la police, on va être envahi par les robots ?

tirol

538047[/snapback]

Bonne remarque ! mais vos mieux vérifier....

tirol,

verifie dans ta Base de registre si tu as cette entrée:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Microsoft auto update"="C:\WINDOWS\system32\wuauclt.exe"

si oui il faudra la supprimer mais attends que je te dise quoi faire...

 

et fait analyser par

http://www.kaspersky.com/fr/scanforvirus le fichier C:\WINDOWS\system32\wuauclt.exe et dis nous ce qu'il en est.

[tirol]

Bonne remarque !   mais vos mieux vérifier....

tirol,

verifie dans ta Base de registre si tu as cette entrée:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Microsoft auto update"="C:\WINDOWS\system32\wuauclt.exe"

si oui il faudra la supprimer mais attends que je te dise quoi faire...

 

et fait analyser par

http://www.kaspersky.com/fr/scanforvirus le fichier C:\WINDOWS\system32\wuauclt.exe et dis nous ce qu'il en est.

538071[/snapback]

 

Eh oh, je ne parlais pas de moi mais du log de notre ami Hervé de Le LUC dans le VAR (traduction de son pseudo)

 

Pour ma part, j'ai désactivé ce service, car comme dit sur des bons forums, dont celui de Hunter et CalamityJane, il ne faut pas se précipiter pour engranger les patches de crosoft : attendre de voir comment réagissent les millions moins moi d'utilisateurs

Et puis, on n'est pas à 2 semaines prêt, on a géré jusque là, non ?

[BipBip07]

Et puis, on n'est pas à 2 semaines prêt, on a géré jusque là, non ?

538088[/snapback]

ps si sur a voir les milliers de rapports HJT sur le web

NB: perso j'ai windows update en permanence mais je choisi les updates a télécharger , d'aillieur il y en as une que je n'ai jamais faite c'est l'outils qui permet de trouver des programmes malveillants...

[rv83340]

Bonne remarque !   mais vos mieux vérifier....

tirol,

verifie dans ta Base de registre si tu as cette entrée:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Microsoft auto update"="C:\WINDOWS\system32\wuauclt.exe"

si oui il faudra la supprimer mais attends que je te dise quoi faire...

 

et fait analyser par

http://www.kaspersky.com/fr/scanforvirus le fichier C:\WINDOWS\system32\wuauclt.exe et dis nous ce qu'il en est.

538071[/snapback]

 

Merci à tous

 

Comme suggéré par bipbip07 j'ai :

- supprimé les entrées supperflus avec msconfig

- verifier dans la base de registre la présence de "Microsoft auto update"="C:\WINDOWS\system32\wuauclt.exe" dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : pas trouvé

- l'analyse de wuauclt.exe par kaspersky : pas d'infection (pour info il y a aussi wuauclt1.exe : pas de virus non plus )

- par contre, je n'ai pas compris le contenu de http://patch-info.de/WinXP/ ni http://www.microsoft.com/downloads/details...&displaylang=en

 

en fin j'ai réexecuté sfc/scannow , qui a apparemment resolu les problèmes (comme d'habitude) mais pour combien de temps ?

 

Je vous tiens au courrant si le canard est toujours vivant !!

Modifié le 19 juillet 2005 par rv83340

[rv83340]

Bonjour

 

Comme je le craignais, ce matin, après une mise en veille prolongée pendant la nuit , tous mes problèmes sont réapparus : désactivation de "aide et support" , de "informations systeme", de la barre d'outil de "vaderetro", lenteur du PC etc ...