Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Gros ralentissements

Ghartuck

Par Ghartuck
dans Analyses et éradication malwares

 Partager

Messages recommandés

Ghartuck Member

Ghartuck

Posté(e)
Posté(e)

Voilà mon pc se trouve ralenti( c'est impressionant)

 

Je voulait savoir si je n'avais pas quelques cochonneries qui sommeillent en lui.

 

mon rapport Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 15:17:06, on 05/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Common\FSM32.EXE

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

c:\Program Files\Numericable\Mon Assistant Internet\bin\mpbtn.exe

C:\PROGRA~1\PACKSE~1\backweb\542802\Program\SERVIC~1.EXE

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Anti-Virus\fsgk32st.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\backweb\542802\program\fsbwsys.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\backweb\542802\Program\fspex.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Anti-Virus\FSGK32.EXE

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Common\FSMA32.EXE

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Anti-Virus\fssm32.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Common\FSMB32.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Common\FCH32.EXE

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Common\FAMEH32.EXE

C:\Program Files\PACK SECURITE AntiVirus-Firewall\FWES\Program\fsdfwd.exe

C:\Program Files\PACK SECURITE AntiVirus-Firewall\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\PACK SECURITE AntiVirus-Firewall\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\PACK SECURITE AntiVirus-Firewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\PACK SECURITE AntiVirus-Firewall\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [News Service] "C:\Program Files\PACK SECURITE AntiVirus-Firewall\FSGUI\ispnews.exe"

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Mon Assistant Internet.lnk = C:\Program Files\Numericable\Mon Assistant Internet\bin\matcli.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109723930015

O23 - Service: PACK SECURITE AntiVirus-Firewall (BackWeb Plug-in - 542802) - Unknown owner - C:\PROGRA~1\PACKSE~1\backweb\542802\Program\SERVIC~1.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\PACK SECURITE AntiVirus-Firewall\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\PACK SECURITE AntiVirus-Firewall\backweb\542802\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\PACK SECURITE AntiVirus-Firewall\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\PACK SECURITE AntiVirus-Firewall\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

 

Merci d'avance :P

Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut Gharthuck

 

commence par réinstaller correctement hijacktis,dans son propre dossier :C:/hijackthis

 

par exemple(pas dans un répertoire temporaire) pour pouvoir bénéficier des

 

sauvegardes.

 

On attendait plutôt un log en mode sans échec ,avec passage d'antivir etc.. comme

 

décrit ici : http://forum.zebulon.fr/index.php?showtopic=69176

 

Va faire analyser ceci :C:\WINDOWS\system32\MsPMSPSv.exe

 

chez jotti : http://virusscan.jotti.org/

 

et poste le rapport. Est ce que tu viens d'installer F-Secure récemment? j'ai l'impression

 

qu'il utilise beaucoup de ressources!

 

va télécharger la console java de Sun pour remplacer celle de Microsoft:

 

http://www.java.com/fr/

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
Est ce que tu viens d'installer F-Secure récemment? j'ai l'impression

 

qu'il utilise beaucoup de ressources!

 

Salut Charles :P . Celui-là, c'est un clone de Morton en plus encombrant :P (la différence, c'est qu'il affiche ses processus au contraire du Morton qui les planque).

Lien vers le commentaire
Partager sur d’autres sites
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Bonjour charles ingals & Ghartuck

 

Fais également analyser ca :

 

C:\WINDOWS\system32\wuauclt.exe <==== est un processus générique de Windows Millenium servant à mettre à jour Windows Millenium via Internet. Or tu es sur XP donc c est plutot louche.

 

Il peut toutefois s'agir du cheval de Troie Troj/Cult-B. Sa présence est trahie par l'entrée suivante dans la base de registre :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft auto update = WUAUCLT.EXE

 

source

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites
Ghartuck Member

Ghartuck

Posté(e)
  • Auteur
Posté(e)
Bonjour charles ingals & Ghartuck

 

Fais également analyser ca :

 

C:\WINDOWS\system32\wuauclt.exe <==== est un processus générique de Windows Millenium servant à mettre à jour Windows Millenium via Internet. Or tu es sur XP donc c est plutot louche.

 

Il peut toutefois s'agir du cheval de Troie Troj/Cult-B. Sa présence est trahie par l'entrée suivante dans la base de registre :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft auto update = WUAUCLT.EXE 

 

source

565956[/snapback]

 

le résultat :

 

File: wuauclt.exe_

Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 6cc08152ed8681bc176be1b0f3c0e908

Packers detected: -

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found nothing

Lien vers le commentaire
Partager sur d’autres sites
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)
salut Méga , Jack

 

on en parlais la dernière fois, je pense qu'il faut créer un pack lenteur pour la rentrée,

 

pour arreter cette course à la performance :P  avec Mortd'hom en 1er ; Fsecure.... :P 

 

:-P

 

Jack, j'ai ce processus dans System32 :-P

565972[/snapback]

 

Salut Charly :P

 

Comment se fait il que tu ais ce fichier alors qu il est spécifique a WinME? :P

 

 

pour le pack lenteur je susi d accord :-(

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)
Ben je crois qu'il est légitime , il sert à l'update, mais je crois qu'il est sous xp aussi?!

 

jette un oeil stp tu me fais peur :P  il est douteux lorsqu'il n'est pas dans System32.

565983[/snapback]

Arf je confirme, je l ai aussi :-(

 

On est tous vérolé et on ne le savait meme pas :-P:P:P

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...