analyse highjack

[vitesse limitée]

bonjour

depuis quelque temps mon PC est lent, et le temps d'initialisation de Firefox et Thunderbird très long.J'utilisais open office mais j'y ai renoncé car je suis confronté au même problème.

J'utilise antivir , zone alarm, spybot, adaware, le tout à jour.

J'ai effectué la pré-décontamination, je n'ai rien trouvé.

C'est pourquoi je vous envoie le fichier d'analyse highjack pour étude.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:07:20, on 21/04/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1140027458054

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37670.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plxx.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe

 

merci d'avance

[Olghon]

Bonjour

 

Ton rapport HJT est clean, félicitation !

 

Cependant, tu peux fixer les lignes suivantes:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

 

 

A présent quelques conseils de sécurité afin d'éviter au maximum une ré-infection:

 

Conseil n°1:

 

Toujours ton Système à jour via windows update

Conseil n°2:

 

Possèder un Antivirus:

Télécharger Antivir + son tuto

Télécharger Avast! + son tuto

Un enregistrement gratuit est nécessaire pour avoir les mises à jour ! Celui-ci se fait ici

Télécharger AVG Free Edition + manuel d'aide

Ils sont à lancer au minimum une fois par mois en mode sans échec pour effectuer un nettoyage du pc

 

Conseil n°3:

 

Possèder un pare-feu digne de ce nom (pas celui de windows qui est une vraie passoire...)

Télécharger ZoneAlarm +son tuto

Télécharger Kerio Personal + son tuto

 

Conseil n°4:

 

Posséder des Anti-spywares gratuits

Télécharger Ad-aware SE Personal 1.06+ son tuto

Télécharger Spybot - search & destroy 1.4 + son tuto

Télécharger Microsoft AntiSpyware

Télécharger Spyware Blaster + son tuto

Ils sont à lancer au minimum une fois par semaine pour effectuer un nettoyage du pc

 

Conseil n°5:

 

Préférer certains outils à ceux de windows par défaut (pour être plus sécurisé)

Le navigateur Mozilla Firefox + son tuto

Si tu veux toujours utiliser IE ! :

IE-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)

https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD

 

Conseil n°6:

télécharger ZebProtect + son tuto

Zeb Protect est un logiciel freeware qui permet de sécuriser votre PC sous Windows en fermant certains ports sensibles aux attaques venant d'Internet

Conseil n°7:

 

Avoir un comportement prudent sur le net et ne pas faire n'importe quoi...De pas aller sur des sites porno, télécharger des cracks, faire du Peer-to-Peer etc...

 

 

Bon Surf !

Modifié le 23 avril 2006 par Olghon

[pitcat]

bonjour vitesse limitée et bien venue sur zebulon

dans ton rapport je ne voi pas d'antivirus resident

as tu appliquer la procedure de megataupe:

http://forum.zebulon.fr/index.php?showtopic=83986

malheureusement hijackthis ne voi pas tout

si tu veut tu peut faire un scan en ligne chez Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html

si tu n'y arrives pas : tutorial:

http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

colle le rapport ici

Olghon pourquoi faire fixer cette ligne?:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

c'est la protection des options internet de spybot

à+

Modifié le 23 avril 2006 par pitcat

[Olghon]

Dans le boot camp de SWI, on nous apprenait a la fixer

[pitcat]

re

d'accord mais vaut mieux demander si c'est le membres qui a coche l'option de spybot avant non? d'ailleurs il le dit dans son post qu'il a spybot.

la tu lui enleve une protection

si il l'a pas coche alors oui la faire fixer

à+

[ipl_001]

Bonjour pitcat, Olghon, bonjour à tous,

re

d'accord mais vaut mieux demander si c'est le membres qui a coche l'option de spybot avant non? d'ailleurs il le dit dans son post qu'il a spybot.

la tu lui enleve une protection

si il l'a pas coche alors oui la faire fixer

à+

Dans le boot camp de SWI, on nous apprenait a la fixer icon_confused.gif

Olghon, tu n'as pas bien lu ce qu'on t'a dit sur le Boot Camp : on t'y a dit qu'il fallait s'assurer que cette ligne n'avait pas été mise à bon escient par exemple par un logiciel de protection... comme rappelé dans mes pages :

O6 - Accès aux options IE restreint par l'Administrateur

Ce à quoi çà ressemble :

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Que faire :

# Si l'option 'Lock homepage from changes' (Verrouiller le changement de page de démarrage) dans Spybot S&D n'a été activée ni par vous ni par votre administrateur système, faire réparer par HijackThis.

(Source : http://gerard.melone.free.fr/IT/IT-HJT0.html#o6 )

 

S'il te plaît Olghon, fais plus attention !

Les O14 n'avaient pas non plus à être fixée !

[vitesse limitée]

bonjour Olghon,

merci pour la réactivité

[pitcat]

re

ton pb est resolue ?

ou sinon fait la procedure

à+