Analyse HijackThis

[Apollo]

Bonjour Cpaty,

 

L'opération précédente a été demandée afin de faire apparaître ce qui aurait été caché dans le log HJT d'avant, car Instant Access y apparaissait.

 

Ce log-ci doit encore être examiné par un conseiller en sécurité pour être tout-à-fait sûr que cela soit propre.

 

Je prends contact avec lui, donc je te demande de continuer à surveiller les réponses apportées.

 

@ bientôt.

 

EDIT: Il n'apparait pas de Firewall sur ton log; il est fortement conseillé d'en installer un.

N'installe pas Zone Alarm car il ne s'entend pas bien avec Avast!

 

http://telechargement.zebulon.fr/category-24.html

Modifié le 17 mai 2006 par liegeois

[Thanos]

salut Cpaty

 

l'ami liégeois étant absent je prends la suite

 

Edgaccess semble être parti,il faut s'en assurer!:peux tu à présent faire ceci stp:

 

 

1) Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

2) -Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

en cas de problème, faice celui ci:

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Il y a pas mal d'applications qui se lancent au démarrage! elles consomment des ressources inutilement! si tu veux, on peux fixer ca pour optimiser un peu.

 

 

@+ tard

Modifié le 17 mai 2006 par charles ingals

[Cpaty]

Salut Charles et merci de ta réponse,

 

Voici le rapport de Blacklight :

05/17/06 15:59:36 [info]: BlackLight Engine 1.0.36 initialized

05/17/06 15:59:36 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/17/06 15:59:37 [Note]: 7019 4

05/17/06 15:59:37 [Note]: 7005 0

05/17/06 15:59:53 [Note]: 7006 0

05/17/06 15:59:53 [Note]: 7011 576

05/17/06 15:59:53 [Note]: 7026 0

05/17/06 15:59:54 [Note]: 7026 0

05/17/06 16:00:07 [Note]: FSRAW library version 1.7.1015

 

Pour ce qui est de Panda, "aucun virus ou autre logiciel malveillant n'a été détecté"

 

Par contre, durant l'analyse de Panda, Avast (dont j'avais bien désactivé le bouclier wab) m'a indiqué qu'il avait trouvé des traces de Win32:CTX ....

 

Pour ce qui est des programmes de démarrage, peux tu m'indiquer quoi faire ?

 

Merci de ton aide!

 

Christelle

[horus agressor]

Pour ce qui est des programmes de démarrage, peux tu m'indiquer quoi faire ?

Bonjour,

 

Je pense que Charles Ingalls ne sera pas offusqué par mon intervention qui ne concerne que les programmes au démarrage...

 

Pour faire le tri des lignes 04, lire :

 

- Rapport Hijackthis -> Optimisation système ! : http://forum.zebulon.fr/index.php?showtopi...04entry527404

 

- MSCONFIG : l'éditeur de configuration système : http://www.zebulon.fr/articles/msconfig.php

 

Il faudrait ne garder que le parfeu, l'antivirus, éventuellement un antispy style PestPatrol en résident et TeaTimer de SpyBot pour la protection de la base de registre. Tu trouveras, dans ma signature, mes programmes au démarrage, tu verras que j'ai un truc qui s'appelle Process Guard, c'est un contrôleur d'intégrité, enfin, tout est dans ma signature, pas mal de tutos en plus inclus dans les liens.

 

Amicalement.

Modifié le 17 mai 2006 par horus agressor

[Thanos]

salut

 

Je pense que Charles Ingalls ne sera pas offusqué par mon intervention qui ne concerne que les programmes au démarrage...

pas de souci, tes commentaires sont les bienvenus

 

Cpaty, je jette un oeil et te dis quoi enlever du démarrage,à tout de suite!

[Thanos]

Pour ce qui est de Panda, "aucun virus ou autre logiciel malveillant n'a été détecté"

C'est très bon signe!

Par contre, durant l'analyse de Panda, Avast (dont j'avais bien désactivé le bouclier wab) m'a indiqué qu'il avait trouvé des traces de Win32:CTX ....

C'est normal, ce Win32:CTX est un faux positifs détecté par Avast lors d'un scan avec Panda=> http://www.avast.com/eng/faq_panda.html

donc ne t'inquiête pas, c'est une fausse alerte!

 

On va fixer quelques lignes sur ce rapport hijackthis, la conséquence c'est que certaines applications ne se lanceront plus au démarrage de Windows:ce sont évidemment des applications inutiles au bon fonctionnement du pc et que tu pourras lancer manuellement si tu en a besoin(ca liberera des ressources!).Si les changement ne te conviennent pas ,tu peux revenir en arrière!

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DVDTray] "C:\Program Files\HP CD-DVD\Umbrella\DVDTray.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon => si tu n'as pas besoin de l'icone sur l'état de ta connexion(dans la barre des tâches),tu peux cocher.

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup=>si tu fais de l'overclocking avec ta carte graphique,ne coche pas!

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit=>peut être utilisé par certains jeux pour reconnaitre ta carte graphique correctement,si tu ne joues pas coche!

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background=>si tu aimes avoir Messenger au démarrage de windows, ne coche pas!

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

 

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant: France Telecom Routing Table Service (FTRTSVC)

Double clic dessus :dans le champs"Status du service" sélectionne "arrêté"

dans le champs"Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok"

 

Voilà, redémarre le pc après ca et constate les changements

je reposterai des consignes de sécu + tard(je pars bosser!).

Lis les articles quand tu pourras, ca te d'en savoir plus

[Cpaty]

Salut Charles et encore merci pour toutes tes réponses, merci également à horus agressor pour ses liens.

 

Charles, j'ai suivi tes instructions et Hijack m'a présenté 2 messages d'erreur :

 

1) "an unexpected error has occured at procedure : modMD5_GetFileFromAutostart("C:\Program Files\HP

CD-DVD\Umbrella\DVDtray.exe)

Error #5 - Argument ou appel de procédure incorrect

 

Please email me at [email protected]........................."

 

2) "Unexpected error occured!

Error #52 (Nom ou numéro de fichier incorrect) in Sub GetLongPath(?.exe)

 

Please send a report to merijn..................................."

 

 

 

Depuis que j'ai redémarré, Agnitum Outpost Firewall semble tout me bloquer (outlook démarre mais ne se connecte pas, impossible d'accéder à internet explorer ou de mettre à jour avast... mais par contre Msn Messenger marche) j'ai donc du l'arrêter mais je ne comprends pas pourquoi il ne marche pas: il n'y a plus d'élément dans "blocked" et même en "Allow most mode" ou en "disable mode", plus rien ne marche... que puis je faire ?

 

 

A +

Christelle

[Thanos]

salut Cpaty

 

Depuis que j'ai redémarré, Agnitum Outpost Firewall semble tout me bloquer (outlook démarre mais ne se connecte pas, impossible d'accéder à internet explorer ou de mettre à jour avast... mais par contre Msn Messenger marche) j'ai donc du l'arrêter mais je ne comprends pas pourquoi il ne marche pas: il n'y a plus d'élément dans "blocked" et même en "Allow most mode" ou en "disable mode", plus rien ne marche... que puis je faire ?

tousles éléments que je t'ai fait fixer dans hijackthis n'ont rien à voir avec ton parefeu!! ce sont des éléments que je fais fixer habituellement et ca ne pose aucun problème!(c'est la premièrefois que je vois une erreur en fixant une ligne 04!!)ton souci ne vient certainement pas de là!

 

Mais en parlant de parefeu,horus agressor dans son message(message n°4 de cette discussion) te faisait la remarque suivante=>

Je ne vois pas de parefeu dans le premier log icon_eek.gif

Mais peut-être me trompe-je icon_confused.gif

A moins que le demi parefeu de Windows soit "opérationnel"

et aucun parefeu n'apparait dans ton rapport jusque là! quand l'as tu installé?(Agnitum Outpost Firewall n'est pas présent dans le dernier rapport hijackthis que tu as posté!!)

voici les lignes qui auraient dû apparaitre dans hijackthis si tu avais installé Outpost=>

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL\outpost.exe /waitservice

 

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

le parefeu s'est mal installé semble t'il ! la solution serait de le désinstaller en passant par Installer /Désinstaller(Panneau de Configuration) , ou en utilisant le fichier de désinstallation qui se trouve dans le dossier ou le programme a été installé.

 

Après ca, tu nettoies un coup le pc car ca n'a pas été fait!=>

 

1) Télécharge ATF Cleaner by Atribune sur ton bureau.

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

2) Télécharge jv16 et met le dans un dossier:

http://telechargement.zebulon.fr/201-jv16-powertools.html

 

-son tutorial pour l'utiliser correctement ,ici:

http://www.zebulon.fr/articles/base-de-registre-3.php

 

*Lance JV16

 

- Mets le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Clique sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux virer toutes les entrées en vert.

-Si ca ne fonctionne pas du premier coup,recommence!

 

A présent, ton pc est propre! tu peux télécharger un parefeu à nouveau et l'installer!

 

-pour télécharger kério par exemple:

http://www.sunbelt-software.com/Kerio-Download.cfm

-son tutorial:

http://www.vulgarisation-informatique.com/kerio.php

-Patch francais:

http://macmicro.chez-alice.fr/Download/download.htm

 

mais tu peux en choisir un autre à la rubrique téléchargements=> http://telechargement.zebulon.fr/category-24.html

 

Tiens moi au courant,et reposte un dernier rapport hijackthis stp

[Cpaty]

Salut Charles,

 

effectivement, lors du précédent rapport HijackThis, je n'avais pas encore installé de firewall...

Cette fois, j'ai désinstallé Agnitum et fait tout ce que tu as noté (j'ai installé Kerio et jusqu'ici tout va bien).

 

Voici mon nouveau rapport HijackThis:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:00:54, on 19/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\MESSAG~1\Demon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\USB1.1 PenDrive Series\shwicon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Gemplus\GemSafe Libraries User\BIN\RegTool.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [DVDBitSet] "C:\Program Files\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [showIcon_Phison electronics Corp_USB1.1 PenDrive Series v1.19r022] "C:\Program Files\USB1.1 PenDrive Series\shwicon.exe" -t"Phison electronics Corp\USB1.1 PenDrive Series v1.19r022"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [RegTool] C:\Program Files\Gemplus\GemSafe Libraries User\BIN\RegTool.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [WanadooVisio] C:\Program Files\Wanadoo visio\Bin\PlayerPVGP.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?399b01ab3d814eee9cb762f1a083a6d

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?399b01ab3d814eee9cb762f1a083a6d

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O15 - Trusted Zone: http://www.hotmail.com

O15 - Trusted Zone: http://www.voyages-sncf.com

O15 - Trusted Zone: http://www.yves-rocher.com

O16 - DPF: {00A7BD45-3D5C-11D4-BDA7-00C0F02C56AB} (DMSrvPushX Control) - http://olivo-metz.dyndns.org/webpages/DMWebX.ocx

O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - http://www.smilecam.com/home/ezwebcam/eng5...WebMonProj1.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - https://www.virginmega.fr/DownloadManager/R...rod/DownMan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp08.photoprintit.de/microsite/572...geUploader3.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E43CE890-17D6-4720-B73F-74E85497F06A}: NameServer = 193.252.19.3,80.10.246.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

 

Qu'en penses tu ???

 

Merci de ta patience et de ton aide!!

 

Christelle

[horus agressor]

O4 - HKLM\..\Run: [DVDBitSet] "C:\Program Files\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [showIcon_Phison electronics Corp_USB1.1 PenDrive Series v1.19r022] "C:\Program Files\USB1.1 PenDrive Series\shwicon.exe" -t"Phison electronics Corp\USB1.1 PenDrive Series v1.19r022"

 

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

 

O4 - HKLM\..\Run: [RegTool] C:\Program Files\Gemplus\GemSafe Libraries User\BIN\RegTool.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [WanadooVisio] C:\Program Files\Wanadoo visio\Bin\PlayerPVGP.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

 

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bonjour,

 

Je ne suis pas un spécialiste en sécurité, et je sais que Charles Ingalls ne m'intentera pas un procès ( ) pour mon intervention, mais je saisis l'opportunité au vol...

 

Je me permets d'intervenir au sujet des lignes 04 (log au démarrage) et des lignes 023 (services en automatique).

 

Plus tu en as d'inutiles au démarrage, plus ta bécane se lente à démarrer et à se fermer...

 

* Pour les lignes 04, les désactiver au démarrage ne t'empèchera pas de les lancer en manuel, selon les besoins

 

L'objectif n'étant de n'avoir, au démarrage, que :

- antivirus

- parefeu

- éventuellement un antispy en résident comme PestPatrol

- éventuellement une protection de ta base de registre comme le TeaTimer de Spybot

- éventuellement un contrôleur d'intégrité, comme Process Guard (voir sur le lien de ma config dans ma signature)

 

=> Rapport Hijackthis -> Optimisation système ! : http://forum.zebulon.fr/index.php?showtopi...04entry527404

 

=> Maîtrisez le démarrage de votre PC : http://www.zebulon.fr/articles/msconfig.php

 

Tu pourrais décocher ce qui est en rouge via msconfig...

 

Pour la ligne 04 en vert, ctfmon, cela dépend si tu change la langue du clavier dans ton utilisation de tout les jours ou si :

ctfmon, ctfmon.exe :

 

Ctfmon est impliqué dans les services de language/d'entrée alternative dans Office XP. Ctfmon.exe va continuer à se remettre lui-même dans MSConfig lorsque vous lancez des applications Office XP tant que les applets Services Texte et Voix dans le Panneau de configuration sont activées. Non nécessaire si vous n'avez pas besoin de ces fonctions. Pour plus d'informations sur ctfmon voir ici. Ctfmon peut être désactivé depuis Panneau de configuration, Services Texte et Voix. Note - le fichier se trouve toujours dans le dossier System32, s'il se trouve ailleurs il s'agit probablement d'un ver ou d'un trojan! Peut créer des problèmes avec quelques autres programmes s'il est laissé activé - voir ici pour un exemple

(tiré de PacMan - Version française officielle : http://assiste.files.free.fr/)

 

Pour BluetoothAuthenticationAgent , j'ignore à quoi ça sert => en as-tu besoin au démarrage

 

* Pour les lignes 023, les Services en automatique, les ligne en rouge me semble inutiles en mode auto, tu pourrais les placer en manuel, seulement si cela n'entrave pas l'utilisation normal que tu fais de ta bécane.

 

=> Désactiver les services inutilesles sur Windows XP : http://www.zebulon.fr/articles/services_1.php

 

=> Les services Windows : http://speedweb1.free.fr/frames2.php?page=service

 

=> Améliorer les Performances du Système : http://www.baudelet.net/win11.htm

 

Pour NVIDIA Display Driver Service, tu pourras l'atteindre les propriétés Affichage via Panneau de configuration, Affichage ou via un clique droit sur le Bureau, Propriétés

 

Amicalement.

Modifié le 19 mai 2006 par horus agressor