Question,log Hijackthis

[Lycopène]

Bonjour tout le monde ,

voilà ce qui m'intrigue sur mon pc: j'ai dernièrement téléchargé spybot, spyware guard, spyware blaster, regcleaner et hijackthis. J'ai suivi pas à pas les procédures indiquées par le site assiste.com (notamment la désactivation de la restauration du système suivi de scans kaspersky, spybot, la désactivation des activex, etc), mais depuis il se passe des trucs bizarre.

-A CHAQUE démarrage de mon PC, j'ai le choix pendant 2 secondes entre démarrer windows xp ou bien la console de récupération (un truc du genre). Ca a commencé quand j'ai décoché de la liste de msconfig certains processus inutiles. J'ai depuis rétabli le "démarrage normal" au lieu de "démarrage sélectif", ça n'a rien changé. C'est pas très gênant mais j'aime pas ne pas comprendre...

-A CHAQUE démarrage de windows, le résident de spybot m'averti que "conformément à ma liste blanche" (?), il a autorisé des changements (suppressions) de clefs de registre. Je vous les copie ici:

 

27/01/2006 17:19:08 Autorisé(e) value "Spyware Doctor" (new data: "") supprimé(e) in System Startup user entry!

27/01/2006 17:19:08 Autorisé(e) value "SunJavaUpdateSched" (new data: "") supprimé(e) in System Startup global entry!

27/01/2006 17:19:08 Autorisé(e) value "MSConfig" (new data: "") supprimé(e) in System Startup global entry!

27/01/2006 17:19:08 Autorisé(e) value "ITBarLayout" (new data: "") supprimé(e) in User-specific browser toolbar!

27/01/2006 17:19:08 Autorisé(e) value "{2318C2B1-4965-11d4-9B18-009027A5CD4F}" (new data: "") supprimé(e) in Global browser toolbar!

 

-Pour ce qui est de Spyware Doctor, je l'avais mais l'ai désinstallé peu après avoir installé spybot. Il restait des clefs un peu partout dans la base de registre, je les virées et ne pense vraiment pas avoir fait d'erreur.

-Pour SunJavaUpdateSched, j'ai en effet décoché les updates automatiques dans les options de sunjava, ce qui a eu pour effet de virer le processus "jusched.exe" dans msconfig (normal quoi). J'ai aussi fait une update de sunjava.

-Pour msconfig, bah ouais j'ai fait des changements mais rien de nuisible...

-Pour ITBarLayout et Global browser toolbar, y'en a une qui doit correspondre à google toolbar que j'ai viré, et l'autre je sais pas. J'ai des HBO's et des activex non reconnus dans la section outils de spybot, j'ai essayé de les virer ils sont revenus...........

 

Je me demande si c'est pas des options dans spybot qui provoquent ces messages, du genre "se souvenir des clefs supprimées", mais j'ai beau chercher je vois pas.

 

-Enfin, A CHAQUE fois que j'éteins mon PC j'ai un message "ce programme ne réponds pas", "terminer maintenant"...

-j'oublie un truc: j'ai essayé de m'inscrire au forum assiste.com, impossible j'ai eu un message d'erreur. Pareil pour Zébulon, je n'ai réussi à m'inscrire qu'en utilisant la procédure d'échec. Louche non?

 

Voici mon log hijackthis, si quelqu'un pouvait m'aider à démeler tout ça je lui en serais infiniment reconnaissant .

 

Logfile of HijackThis v1.99.1

Scan saved at 19:00:37, on 27/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\GSICON.EXE

C:\WINDOWS\system32\dslagent.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\pchbutton.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propriétaire\Bureau\Alain\Divers\Téléchargements\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr10.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\pchbutton.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B1CFCDB-E395-4297-BCB5-562223C8CD83}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

 

[edit: j'avais aussi viré l'activex d'upload file de Lycos-caramail depuis spybot, eh ben il est revenu ]

Modifié le 27 janvier 2006 par Lycopène

[angelique]

Je me demande si c'est pas des options dans spybot qui provoquent ces messages, du genre "se souvenir des clefs supprimées", mais j'ai beau chercher je vois pas.

 

ouvres sppybot/mode avançé/outils/voir le rapport/enlever les anciens rapport/tu coches dont le resident.log

tu supp

tu desactives temporairement le resident via outils/resident

 

fermes tous tes logs et fixchek:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr10.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr10.hpwis.com/

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

 

 

fais deja ça!!

 

et tu reactives le resident de spybot

[Lycopène]

que veux-tu dire par: "Ferme tous tes logs et fix checked", Angelique? Tu veux dire qu'il faut que je les efface à partir de hijackthis???

 

[edit: heu je viens de me rendre compte que ma question est un peu débile . Je dois "fermer" ça comment? A partir de S&D?]

 

[edit2: je viens de me rendre compte d'un truc dans spybot: dans réglages/ignorer:intérieur du système, j'ai 4 éléments que je ne peux pas enlever de la liste des exclusions (l'option est grisée quand je clic-droit), et je ne me souviens pas de les avoir placé dans la liste d'exclusion. Voici ces éléments, ça pourrait avoir un rapport avec mon problème:

%JavaDir%\QTJava.zip catégorie: missing shared DLL

install.exe catégorie: wrong app path

MsoHtmEd.exe catégorie: wrong app path

Winnt32.exe catégorie: wrong app path

 

Modifié le 27 janvier 2006 par Lycopène

[angelique]

que veux-tu dire par: "Ferme tous tes logs et fix checked", Angelique? Tu veux dire qu'il faut que je les efface à partir de hijackthis???

 

je parles chinois

 

ouvres sppybot/mode avançé/outils/voir le rapport/enlever les anciens rapport/tu coches tout dont le resident.log

tu supp

tu desactives temporairement le resident via outils/resident .

 

tu fermes tes programmes en cours,toutes tes fenetres.

 

puis tu lance hijack"do a system scan only",et tu cocheras les cases des lignes cités ci dessus,puis bouton fixchek.

 

puis tu reactives le resident de spybot.