Forum Clubic

Gros souçi avé Poste de Travail (page 2)

Quelques Spy que je vire.
Winactive, Gendel, Mywebsearch, …

Je vais relancer en mode normal et faire un log.
On verra bien…

Voici le log (mon ordi déconne toujours) :

Logfile of HijackThis v1.99.1
Scan saved at 18:05:08, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Apoint\Apvfb.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JRME~1\LOCALS~1\Temp\Rar$EX13.348\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freebox.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\…\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\…\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\…\Run: [ISP] C:\Program Files\Sony\ISPselector\ISPselector.exe /SCHEDULER
O4 - HKLM\…\Run: [MessengerPlus2] “C:\Program Files\Messenger Plus! 2\MsgPlus.exe”
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\…\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Startup: EzPop.lnk = C:\Program Files\EzPop\EzPop.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1…g/GoogleNav.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1121979489654
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

Voici l’analyse sur Hijack :
http://hijackthis.de/logfiles/c01b71e5efa2…1a9fa8a96a.html

Des commentaires ? :pt1cable:

Suivant l’analyse de Hijack et après quelques verifs il semble que :

C:\Program Files\Apoint\Apvfb.exe n’est pas nuisible

C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe est légitime

Bon, ça m’aide pas trop tout cela, mon XP rame toujours pour ouvrir le poste de travail (qu’il n’ouvre pas) et genre mets 5 min. pour s’éteindre.

Autre truc du jour : quand je l’ai demarré en mode normal, le son d’allumage est apparu 5 min. après le démarrage (???).

Mais qu’est-ce qu’il a ce con ???

Bonsoir,

Arrivé à ce stade où rien n’est très évident, tu pourrais utiliser Msconfig de manière à faire des essais de configuration . L’utilitaire est fait pour ce genre d’ennuis: essayer de localiser une cause de problemes en procédant par des déductions.
>démarrer - executer, taper : msconfig

Travailler sur les onglets Général, services, Démarrage. Noter les différents essais et leurs résultats pour se souvenir de ce qu’on a tenté. Par contre, je ne saurais te dire par quel onglet commencer. Celui des Démarrages ,peut etre, en premier ( laisser au moins l’anti-virus - mais attention, des fois c’est lui le responsable ! , donc essayer au moins une fois sans l’A.V.)

Voilà ; tout ceci va prendre un peu de temps, mais bon … faut bien essayer

un petit coup de main ?
contacte moi car ton pb est tout simple juste la sous ton nez…

Logfile of HijackThis v1.99.1
Scan saved at 18:05:08, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
:bounce: Et voici le coupable :fou:
:na: C:\WINDOWS\Explorer.EXE :na:
aucune commande .exe de process MicrobSoft est en majuscule !
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe

:super: Voilà, Merci :super:

Bartmaniak =>

Explorer.EXE s’est toujours ecrit comme cela dans un rapport HighJack.

Fais des vérifications sur ce Forum spécialisé en rapports HJ et tu verras.
http://forum.aumha.org/viewforum.php?f=30&…eee01ecc0cc9b8a

edit

oui mais là c’est
Explorer.EXE et non pas explorer.EXE c’est deux chose bien différente !

OK , j’avais mis un e minuscule dans explorer.EXE
j’ai corrigé
on récapitule : dans les rapports HJT, c’est toujours ecrit Explorer.EXE
alors que dans le Gestionaire des tâches, c’est écrit: explorer.exe

On peut trouver des noms exe en EXE : par exemple, le gestionnaire de souris dans le Gestionnaire des tâches: EM_EXEC.EXE

Okay recentrons le problème.
Merci Mike 27, donc le soucis serai d’une autre source,
j’ai eu une fois un soucis presque identique sauf que c’était le panneau de config
et il s’agissait d’une .dll defectueuse.
La carte graphique de ton pc est de quelle marque, si c’est une ndvia, le pb est souvent dut à cette fameuse .dll qui s’execute mal quand on demande une fenetre.
Voilà, sinon demande à une âme charitable de faire une utilisation à distance via MicrobSoft ou un autre remote masyering pour voir le fichier even.log, et le config de boot, pour voirsi tu as pas un soucis autre…
:bounce:

> Mike27 : j’ai débuté mes essais avec msconfig mais pour l’instant je n’ai toujours pas trouvé le coupable…

Pour récapituler les symptômes sont :

1/ au démarrage, le jingle windows apparait 3 minutes suite à l’apparition du bureau
2/ 5 minutes necessaires à l’apparition du Poste de Travail
3/ Pas de menu contextuel (clic droit impossible) dans le Menu Démarrer
4/ Lorsque je clic sur Eteindre dans ce même menu, il faut de longues minutes avant de pouvoir choisir l’option Eteindre ou Redemarrer etc.

salut,

j’ais eu sensiblement le même problème : un PC infecté (malgré Norton 2003 !) que j’ais nettoyé “à la barbare” en scannant le disque dur depuis un autre poste et avec plusieurs antivirus et anti-spyware

résultat : des DLL et autres fichiers system endommagés ou manquants

solution : formattage !..

ps: même la réparation avec le CD XP n’a rien donné…

Salut,

quelques autres pistes:

Pour le point 3.
–> clic droit impossible sur Menu Démarrer:
Solution :

  • faire un clic droit sur Barre des taches > Propriété
    agir ensuite en 1. ou 2. selon que tu as un menu Démarrer de type XP ou de type Classique

1/ Menu Démarrer XP :

  • onglet Menu Démarrer > bouton Personnaliser
  • onglet Avancé
  • dans le liste Eléments du menu Démarrer :
    cocher Activer le glisser-déplacer

2/ menu Démarrer classique:

  • onglet Menu Démarrer > bouton Personnaliser
  • dans la liste ‘Option avancées du menu Démarrer’ :
    cocher Activer le glisser-déplacer

Pour le point 4.
–> arret long du systeme:
vérifier que la stratégie de vidage du fichier ‘swap’ (pagefil.sys) n’est pas activée
voir ici : http://www.d2i.ch/pn/az/p.html#p027

Pour les points 1. et 2. , en fait, pour les lenteurs:

Vérifier ces programmes:

Apoint.exe
Ico.exe

qu’est-ce que c’est exactement ?
sont-ils essentiels ?
–> Peux-tu empêcher leur lancement et voir ce que ça donne ?

tiens nous au courant -

Mouais… Je crains ce genre de choses.
Déjà la réparation XP me fait toujours un peu peur, mais si elle ne fonctionne pas.
Oui, ça sent le formatage cette histoire… :-/

Le pb est bien là. L’option est choisie mais cela déconne…

R.A.S de ce côté-là

Ben cela ne change pas grand-chose…
Mais je ne sais pas ce que c’est !!!

Apoint.exe : c’est lié au TouchPad , donc ok
Ico.exe : mystère

J’ai vu que tu as installé iTunes. Désisnstalle-le pour voir, à titre d’ essai.

Quand tu parles du Poste de travail, est-ce que tu veux dire que c’est la même galère pour ouvrir l’ Explorateur de fichiers ?

Je peux explorer les fichiers. Pas ceux placés dans Poste de Travail !!! Car ce dernier ne s’ouvre pas…

Il semble que l’objet Poste de travail ( l’icone sur le Burea) soit cassé.
Ce que tu peux tenter: y accéder via un autre moyen en créant un objet qui pointera sur la Poste de travail.

manip:

  • activer la zone de lancement rapide de la barre des tâches

  • clic droit sur l’icone Explorateur de la zone de lancement rapide ; couper

  • revenir sur le Bureau ; coller

  • le raccourci s’appelle par exmple: Explorateur(2)

  • clic droit sur l’icone ; propriété

  • cible > effacer le champ, puis taper ( ou copier/coller) cette commande:
    %SystemRoot%\explorer.exe /e,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}
    (nota: la classe {20D04etc est le Poste de travail )

  • toujours dans Propriété: changer l’icone au besoin ( bouton “Changer d’icone”)

  • renommer éventuellement ta nouvelle icone