Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Analyse de rapport Hijackthis


schmeu
 Partager

Messages recommandés

Bonjour,

 

Voila, suite à probleme de Hardware je suis aller faire un tour dans l'observa teur d'évènement de poste de travail et la j'ai remarqué pas mal d'erreur dans l'onglet systeme dont les sources sont DCOM et j'ai lu quelque part sur le forum que cela faisait parti des faille utilisé par pas mal de virus type WORM.Win32_xxxx

(attention je ne dit pas que mon probleme de matos viendrais de là,je sais que non, c'est juste la cerise sur la McDo).

Alors voila mon log fait après la procédure de prénettoyage zébulonnienne. J'ajoute que des processus dont je ne connais pas l'origine sont apparu depuis quelque temps comme "wuauclt.exe" qui semble etre un service d'update de WindowsME alors que j'ai Windows XP SP2 ou "CTsvcCDA.EXE"

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:34:38, on 21/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\SAGEM\SAGEM [email protected] 800-840\dslmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM [email protected] 800-840\dslmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

et le netsart.txt (je sais pas si ça peu servir c'est au cas où

Les services Windows suivants ont ‚t‚ lanc‚sÿ:

 

Acquisition d'image Windows (WIA)

AntiVir PersonalEdition Classic Service

AntiVir Scheduler

Appel de proc‚dure distante (RPC)

Audio Windows

Client DHCP

Client DNS

Compatibilit‚ avec le Changement rapide d'utilisateur

Connexions r‚seau

Creative Service for CDROM Access

D‚tection mat‚riel noyau

Gestionnaire de connexions d'accŠs distant

Gestionnaire de disque logique

Infrastructure de gestion Windows

Journal des ‚v‚nements

Lanceur de processus serveur DCOM

LexBce Server

Mises … jour automatiques

Moniteur infrarouge

NVIDIA Display Driver Service

Plug-and-Play

SecuROM User Access Service (V7)

Serveur

Service de restauration systŠme

Services Terminal Server

Spouleur d'impression

Station de travail

ThŠmes

TrueVector Internet Monitor

T‚l‚phonie

Windows User Mode Driver Framework

 

La commande s'est termin‚e correctement.

 

Un grand merci à ceux qui jeteront un oeil sur tout ça , bonne nuit.

Lien vers le commentaire
Partager sur d’autres sites

Salut,

Pas d'inquiétude, ton rapport est clean.

 

wuauclt.exe est aussi sur XP ! Tu peux désactiver les updates automatiques via démarrer, exécuter, services.msc, Mises à jour Auto, Propriétés, Arrêter et désactiver.

http://www.faqxp.com/f/600.asp

 

CTsvcCDA.EXE semble venir de ta carte son (créative) ou plutôt du CDROM (mais je pense pas que ça soit utile)

Tu peux l'arrêter via démarrer, exécuter, msconfig, onglet démarrage.

Normalement, tu peux seulement laissé démarrage, Zone Alarm et Antivir.

 

Si tu veux optimiser,

Ces lignes 023 :

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Tu arrêtes et désactives les services correspondants via services.msc. Si tu vois que tu perds des fonctions qui te sont utiles, réactive.

 

Et ces deux-là via l'onglet démarrage de Msconfig.

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM [email protected] 800-840\dslmon.exe

Idem, si tu vois que tu perds des fonctions qui te sont utiles, réactive.

 

Pour commencer, surtout ne coche pas ces lignes (04 et 023) avec hijackthis (plus prudent)

 

Ensuite avec hijackthis, tu peux cocher tout ça :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (ajoute une option pour Acrobat Reader ...)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (ajoute un bouton ou un autre machin pour la machine virtuelle JAVA)

Des menus supplémentaires pour IE ; si ça t'est inutile, coche.

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (bouton machine virtuelle)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (idem, tu t'en sers ?)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL (En rapport avec Office)

 

Pour finir, un lien vers un topic qui traite de ce type d'optimisation :

http://forum.zebulon.fr/index.php?showtopic=69732

 

Je crois que j'ai fini.

Bonne nuit.

Modifié par [email protected]
Lien vers le commentaire
Partager sur d’autres sites

OK merci beaucoup, je fvais faire tout ça sauf pour:

 

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM [email protected] 800-840\dslmon.exe

:P c'est mon modem je veux continuer à aller sur le net moi.

Et pour ce qui est creative c'est mon lecteur MP3 donc ça pas de probleme je le jarte.

 

Encore merci beaucoup.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour schmeu,

dslmon.exe, c'est la petit triangle vert dans le systray, qui t'indique si le modem est synchro ou pas ; pas plus !

Avant j'avais aussi un modem SAGEM [email protected] 800-840, j'ai désactivé dslmon.exe avec msconfig et la connexion marchais impeccablement :il fallait juste regarder la diode ADSL du modem pour voir s'il était synchro ou pas :P

Bonne optimisation.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour schmeu,

dslmon.exe, c'est la petit triangle vert dans le systray, qui t'indique si le modem est synchro ou pas ; pas plus !

Avant j'avais aussi un modem SAGEM [email protected] 800-840, j'ai désactivé dslmon.exe avec msconfig et la connexion marchais impeccablement :il fallait juste regarder la diode ADSL du modem pour voir s'il était synchro ou pas :P

Bonne optimisation.

 

Ouais ok, mais moi j'en ai besoin (pour mon confort perso) de cette petite flèche parceque ça arrive que mon modem soit en apparence synchronisé (les diodes sont allumé est fixe) alors qu'en fait non, et ça je le voit avec la petite flèche (si elle est là c'est que c'est bon, si non c'est que le modem n'est pas détecté par ma bécanne, bizarre mais ça le fait souvent) donc voila mais merci pour l'info je savais pas que je pouvais l'enlever.

 

Merci à tous

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...