rapport HijackThis

[thegognol]

Bonjour,

mon ordi est très lent (je rame pour envoyer un message sur ce forum)et voici le rapport HijackThis.

J'ai essayé la procédure complète mais Avira-Antivir ne réussit pas a demarrer.

Merci pour vos conseils.

 

(j'ai aussi un message d'alerte au demarrage concernant Pinnacle PCTV (dont je ne me sers jamais))

 

 

Logfile of HijackThis v1.99.1

Scan saved at 08:52:50, on 16/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\ZipToA.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Roger\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.crans.org:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: YBIOCtrl Class - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: WebServer.lnk = C:\Program Files\Pinnacle\Studio PCTV\TeleText\WebServer.exe

O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\System32\ZipToA.exe

[Malekal_morte]

Bonjour thegognol,

 

ton rapport n'a pas l'air de montrer de signe d'infection.

Tu as l'air de te connecter via un proxy, ça peut être lui qui rame.

 

Tu peux faire un scan en ligne :

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

Modifié le 16 mai 2006 par Malekal_morte

[thegognol]

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

- Copie/colle le rapport panda ici

Voilà!

 

Incident Status Location

 

Adware:adware/aureate-radiate Not disinfected c:\windows\system32\advert.dll

Potentially unwanted tool:application/altnet Not disinfected HKEY_CLASSES_ROOT\TypeLib\{82FC7881-AACC-11D2-B9C6-0000E842E40A}

Potentially unwanted tool:Application/BrilliantDigital Not disinfected C:\WINDOWS\SYSTEM32\bdedata2.dll

Potentially unwanted tool:Application/BrilliantDigital Not disinfected C:\WINDOWS\SYSTEM32\bdedownloader.dll

Potentially unwanted tool:Application/BrilliantDigital Not disinfected C:\WINDOWS\SYSTEM32\bdefdi.dll

Potentially unwanted tool:Application/BrilliantDigital Not disinfected C:\WINDOWS\SYSTEM32\bdeinsta2.dll

Potentially unwanted tool:Application/BrilliantDigital Not disinfected C:\WINDOWS\SYSTEM32\bdeinstall.exe

Dialer:Dialer.Gen Not disinfected C:\WINDOWS\aconti.exe

Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Roger\Cookies\roger@doubleclick[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Roger\Cookies\roger@xiti[1].txt

Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Roger\Cookies\roger@belnk[1].txt

Spyware:Cookie/Casalemedia Not disinfected C:\Documents and Settings\Roger\Cookies\roger@casalemedia[2].txt

Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Roger\Cookies\roger@dist.belnk[2].txt

Spyware:Cookie/QuestionMarket Not disinfected C:\Documents and Settings\Roger\Cookies\roger@questionmarket[1].txt

Spyware:Cookie/PointRoll Not disinfected C:\Documents and Settings\Roger\Cookies\roger@ads.pointroll[1].txt

Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Roger\Cookies\roger@atdmt[2].txt

Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\Roger\Cookies\roger@bluestreak[1].txt

Spyware:Cookie/2o7 Not disinfected C:\Documents and Settings\Roger\Cookies\roger@2o7[1].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Roger\Cookies\roger@xiti[2].txt

Spyware:Cookie/Itrack Not disinfected C:\Documents and Settings\Roger\Cookies\roger@ilead.itrack[1].txt

Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\Roger\Cookies\roger@tradedoubler[2].txt

Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Roger\Cookies\roger@doubleclick[1].txt

Spyware:Cookie/Serving-sys Not disinfected C:\Documents and Settings\Roger\Cookies\roger@serving-sys[2].txt

Spyware:Cookie/Casalemedia Not disinfected C:\Documents and Settings\Roger\Cookies\roger@casalemedia[3].txt

Spyware:Cookie/2o7 Not disinfected C:\Documents and Settings\Roger\Cookies\roger@2o7[2].txt

Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Roger\Cookies\roger@atdmt[3].txt

Spyware:Cookie/Adtech Not disinfected C:\Documents and Settings\Roger\Cookies\roger@adtech[2].txt

Spyware:Cookie/WebtrendsLive Not disinfected C:\Documents and Settings\Roger\Cookies\roger@statse.webtrendslive[2].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Roger\Cookies\roger@weborama[2].txt

Spyware:Cookie/Coremetrics Not disinfected C:\Documents and Settings\Roger\Cookies\roger@data.coremetrics[1].txt

Spyware:Cookie/Mediaplex Not disinfected C:\Documents and Settings\Roger\Cookies\roger@mediaplex[1].txt

Spyware:Cookie/Falkag Not disinfected C:\Documents and Settings\Roger\Cookies\roger@sel.as-eu.falkag[1].txt

Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\Roger\Cookies\roger@bluestreak[3].txt

Spyware:Cookie/FortuneCity Not disinfected C:\Documents and Settings\Roger\Cookies\roger@fortunecity[2].txt

Spyware:Cookie/Falkag Not disinfected C:\Documents and Settings\Roger\Cookies\roger@as-eu.falkag[1].txt

Spyware:Cookie/Hitbox Not disinfected C:\Documents and Settings\Roger\Cookies\roger@hitbox[1].txt

Spyware:Cookie/Advertising Not disinfected C:\Documents and Settings\Roger\Cookies\roger@advertising[1].txt

Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Roger\Cookies\roger@atdmt[4].txt

Spyware:Cookie/Advertising Not disinfected C:\Documents and Settings\Roger\Cookies\roger@advertising[3].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Roger\Cookies\roger@xiti[3].txt

Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\Roger\Cookies\roger@bluestreak[4].txt

Spyware:Cookie/Adtech Not disinfected C:\Documents and Settings\Roger\Cookies\roger@adtech[3].txt

[thegognol]

devant l'étendue des dégats, je vais faire touner spybots et ad aware!

[Malekal_morte]

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

Tu peux supprimer ces fichiers :

c:\windows\system32\advert.dll

C:\WINDOWS\SYSTEM32\bdedata2.dll

C:\WINDOWS\SYSTEM32\bdedownloader.dll

C:\WINDOWS\SYSTEM32\bdefdi.dll

C:\WINDOWS\SYSTEM32\bdeinsta2.dll

C:\WINDOWS\SYSTEM32\bdeinstall.exe

C:\WINDOWS\aconti.exe

 

Pour ton message au démarrage de Pinacle TV , si tu n'as pas d'option à cocher du style "Ne plus afficher ce message" et s'il t'embete, tu peux faire ceci.

 

Sur hijackThis, coche cette ligne :

O2 - BHO: YBIOCtrl Class - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - Startup: WebServer.lnk = C:\Program Files\Pinnacle\Studio PCTV\TeleText\WebServer.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

--> Clic sur Fix checked

 

ça devrait te l'enlever.

 

Enfin pour tes lenteurs, as-tu d'autres ordinateur qui utilise ce proxy proxy.crans.org?

il y a des lenteurs aussi au niveau des pages WEB ?

[thegognol]

Enfin pour tes lenteurs, as-tu d'autres ordinateur qui utilise ce proxy proxy.crans.org?

il y a des lenteurs aussi au niveau des pages WEB ?

 

quelques questions:

1/ je n'utilise pas ce proxy, comment le virer?

 

2/ je n'ai plus de page d'acceuil depuis que j'ai fait une erreur dans HiJackThis. comment la changer à nouveau?

 

3/ mon ordi est encore lent mais pour toute operation: ouvrir un repertoire, une page web...

Par exemple, Spybot n'a inspecté que 9500 fichiers parmi les 39000 de l'ordi!

[Malekal_morte]

quelques questions:

1/ je n'utilise pas ce proxy, comment le virer?

Sur Internet Explorer --> Menu Outils / Onglet Connexions / Paramètres Réseau en bas à droite

 

2/ je n'ai plus de page d'acceuil depuis que j'ai fait une erreur dans HiJackThis. comment la changer à nouveau?

Sur Internet Explorer --> Menu Outils et tu tapes l'adresse du site dans "Page de démarrage"

 

 

3/ mon ordi est encore lent mais pour toute operation: ouvrir un repertoire, une page web...

Par exemple, Spybot n'a inspecté que 9500 fichiers parmi les 39000 de l'ordi!

J'ai pas l'impression que ce soit un problème viral.

Pas contre ta machine n'est pas à jour tu peux déjà faire ceci :

- installe le service pack 2 pour Windows XP

- Une fois le service pack installé, ouvre internet explorer --> Outils / Windows Update puis lance les mises à jour. Maintiens ta machine à jour avec Windows Update voir tutorial mises à jour Windows

- redémarre l'ordinateur puis Démarrer / Exécuter / tape : regsvr32 -u shmedia.dll et clic sur OK

 

Ensuite regarde cette page vérifie que dans les propriétés du canal IDE, le mode de transfert actif est bien en Ultra DMA sinon positionne le dessus.

 

as-tu tjs des lenteurs?

[thegognol]

Je viens de réaliser un gros problème dont je n'avais pas pris conscience a cause des problèmes de lenteur.

Mon DD est partitionné en 2:

C qui contient Windows

D qui contient mes données et les logiciels

 

Et bien D n'est plus accessible, quand je clique sur son icone, j'ai un message le disuqe n'est pas formaté, voulez vous le formater?

 

 

Je crois que je peux dire adieu aux données et repartir de zéro, non?

[thegognol]

erreur doublon

Modifié le 16 mai 2006 par thegognol

[Malekal_morte]

touche à rien sur ton disque et installe le SP2 et la suite stp.