Forum Clubic

Ordinateur portable lent : Log Hijack

Bonjour à tous,

J’ai formaté récement un Toshiba Satellite M40 PSM44E puis j’ai installé les drivers les plus utiles afin de ne pas re-pourrir l’ordinateur de choses inutiles et depuis quelques temps l’ordi devient lent.
J’ai nettoyé le registre, il y a très peu de programmes installés, 40 Go libre sur le DD, juste Avast qui se lance au démarrage et aucun virus selon Avast.

Voila un log Hijack :

[spoiler]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:22, on 03/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip…{CA4DE443-2EAD-406D-BD0B-7C17611BB898}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe


End of file - 5708 bytes[/spoiler]

Merci d’avance, :slight_smile:

FH

Salut FriendlyHere

1)Télécharge SDFix (créé par AndyManchesta) – sauvegarde le sur ton Bureau.

===>SDFix

Double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau.
une fois SDFix installé

Redémarre ton ordinateur en mode sans Echec–> important !!

: redémarres ton ordinateur et tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle

cliques sur le menu Démarrer puis Exécuter et Tapes la commande suivant : C:\SDFix\RunThis.bat tu te le noteras avant
Cliques sur OK.
==>Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
==>Appuies sur Y pour commencer le processus de nettoyage.
==>Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer.
==>Appuie sur une touche pour redémarrer le PC.
==>Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers.
==> Après le chargement du Bureau, l’outil terminera son travail et affichera Finished.
SDFix --> signale que l’ordinateur doit être redémarré

==> Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau.
==> Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
==> Enfin, copie/colle le contenu du fichier Report.txt ici même

2 télécharges --> Malwarebytes (mbam)

==>Malwarebytes

installes + mise a jour
et
Redémarre en “Mode sans échec”

tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle

Lances–> Malwarebytes (MBAM)
==> Puis vas dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”
==> Sélectionnes tes disques durs" puis clique sur “Lancer l’examen”
==> A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
==> Suppression des éléments détectés --> cliques sur Supprimer la sélection==>Important à faire
=> S’il t’ es demandé de redémarrer, clique sur "oui "

aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici

Télécharges ==>GenProc --> sur le bureau

==>GenProc

–> Décompresse le sur le bureau
–>Ouvre le dossier créé et lance GenProc.bat(double-cliquer UNE SEULE FOIS sur le fichier GenProc.bat)
->le rapport s’affiche en très peu de temps, c’est normal.
–>Tu obtiendras alors un rapport ==> fais un copié/collé ici

  1. Désactives actives ton antivirus

Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :

==>SmitfraudFix

Double clique sur l’exécutable. Il va crée un un dossier SmitFraudFix et lancer l’outil.

tu choisis l’ option 1 .
Un rapport sera crée.
tu fais un Copié/collé==> poste le rapport ici

Réactives ton antivirus


oups !! pour SmitFraudix==> j ai marqué [quote=""]

Désactives actives ton antivirus
[/quote]

en fait c est==>Désactives ton antivirus
et aprés tu Télécharges SmitfraudFix

Merci cricri58 pour ta réponse rapide !! :slight_smile:

J’ai déjà nettoyé le registre et pas mal de fichiers inutiles avec Easy Cleaner pour information.

Donc je me suis lancé à SDFix mais une fois redémarrer en mode sans échec je peux choisir entre une session administrateur et une session à mon nom, laquelle choisir ? Les deux ?

Ah, j’ai un problème de pointeur de souris, en gros voila ce qu’il se passe : de temps en temps, le pointeur de la souris se fige même pas une seconde toutes les 2 secondes pendant environ 5 minutes, j’espère que vous voyez ce que je veux dire.
J’ai installé le driver du touchpad mais le problème ne part pas et ça apparait de temps en temps.

Merci d’avance,

FH


Voila le Report SDFix depuis la session administrateur en mode sans échec :

[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 04/08/2009 at 13:30

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [www.gmer.net...](http://www.gmer.net)
Rootkit scan 2009-08-04 13:48:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Hercules\\Classic Silver\\Station2.exe"="C:\\Program Files\\Hercules\\Classic Silver\\Station2.exe:*:Enabled:Hercules Webcam Station Evolution"
"C:\\Program Files\\Hercules\\Deluxe Optical Glass\\Station2.exe"="C:\\Program Files\\Hercules\\Deluxe Optical Glass\\Station2.exe:*:Enabled:Hercules Webcam Station Evolution SE"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Wed  6 May 2009         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 22 Mar 2009         9,238 A..H. --- "C:\Program Files\Microsoft Office\Office\Gestionnaire Office\Off2.tmp"
Tue 19 May 2009    25,839,664 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7520208c6ab77761866d20a0bab7b1c0\BIT1E.tmp"
Fri  2 May 2008     3,493,888 A..H. --- "C:\Documents and Settings\<<Personnel>>.exe"
Thu  8 Jan 2009       188,928 A..H. --- "C:\Documents and Settings\<<Personnel>>.tmp"
Wed 19 Oct 2005        30,208 A..H. --- "C:\Documents and Settings\<<Personnel>>.tmp"
Tue  4 Oct 2005     4,434,944 A..H. --- "C:\Documents and Settings\<<Personnel>>.tmp"
Fri  4 Nov 2005     4,300,800 A..H. --- "C:\Documents and Settings\<<Personnel>>.tmp"
Fri  4 Nov 2005     4,295,168 A..H. --- "C:\Documents and Settings\<<Personnel>>.tmp"
Thu 13 Dec 2007        25,088 A..H. --- "C:\Documents and Settings\<<Personnel>>.tmp"
Mon 21 Jan 2008        23,040 A..H. --- "C:\Documents and Settings\<<Personnel>>.tmp"

[b]Finished![/b]

PS : J’ai juste executé “C:\SDFix\RunThis.bat” et le log s’est lancé, sans que j’aille dans C:\ et je lance RunThis.bat
Edité le 04/08/2009 à 14:09

J’ai fait le test Malwarebytes en mode sans échec, aucun fichier détecté… :etonne2:

Je rajoute une info sur les symptômes du PC :

C’est donc un ordinateur portable sur XP qui est très très long à démarrer. J’ai chronométré un démarrage :

0:30 : La page “Microsoft Windows XP” avec le logo et la barre de chargement apparaissent

5:30 : Cette page laisse place aux chargement de démarrage (genre : fond bleu avec le texte “Démarrage”)

6:10 : Le fond d’écran du bureau apparait

8:20 : Les icônes du bureau apparaissent

~12:00 : Tout est fini de charger

A noter que l’ordi est défragmenté, il y a 40 Go de libre sur le HDD de 70 Go, au démarrage j’ai Avast, le driver du touchpad et le driver ATI du chip graphique qui se lancent soit très peu de choses…

12 minutes pour que l’ordinateur s’allume c’est vraiment anormal, surtout qu’il ne faisait pas ça avant…

Je suis pas certain que ce soit un virus puisque l’ordi est déjà super long avant d’arriver sur le bureau, 5 minutes sur la page Microsoft Windows XP avec la barre de chargement (qui rame d’ailleurs).

Une fois l’ordi complètement chargé il rame aussi, il y a très peu de processus (30 000 Ko max, l’explorer)

Est-ce que ça pourrait être un problème matériel ? Là je sèche et je demande votre aide… :frowning:

Merci d’avance, :slight_smile:

FH

Salut FriendlyHere

Fais encore GenProc et SmitFraudFix comme d écris plus haut

une fois les rapports postés

tu feras

Télécharge Random’s System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

==>Random’s System Information Tool (RSIT)

==> Double-clique sur RSIT.exe afin de lancer RSIT.
==> Clique sur Continue à l’écran Disclaimer.
==> Si l’outil HijackThis (version à jour) n’est pas présent ou non détecté sur l’ordinateur, RSIT le téléchargera et tu devras accepter la licence.
==>Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront.

==> Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

@+ cricri58