|
 Posté le 20/10/2010 @ 22:35 |
Petit astucien
| Bonjour à tous,
J'ai formaté mon PC et réinstallé XP suite à des problèmes de plantages. Mais ça me le refait encore, même si ça le fait moins souvent. J'ai fait une analyse hijack, pourtant elle est ultra courte ! - je n'ai encore presque rien réinstallé.
Pour vous, y'a-t-il quelque chose qui cloche dans ce rapport ? Y'aurait-il un truc à supprimer pour corriger les plantage ?
Merci !
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:28:49, on 20/10/2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20544) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LClock\lclock.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.x-perienceweb.info R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll O4 - HKLM\..\Run: [LClock] C:\WINDOWS\system32\LClock\lclock.exe O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Tools\Drive\vsdrv.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [GEST] m’|\ü O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [LClock] lclock.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [] (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\Run: [LClock] lclock.exe (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
-- End of file - 3807 bytes
|
|
|
|
|
|
Posté le 20/10/2010 à 23:05 |
| Salut 
Il faudrait donner plus de détails, quand et comment ça plante?...
Hijackthis ne te sera probablement pas utile dans ce cas ci.
|
|
Posté le 20/10/2010 à 23:08 |
Grand Maître astucien | Bonjour,
c'est un Xp modifié, pas Microsoft. C'est peut-être la cause de ton problème.
Tu devrais essayer de tout désactiver du démarrage, il y a des choses bizarres.
En plus,tu roules sans antivirus. |
|
Posté le 20/10/2010 à 23:19 |
Petit astucien
| Esclapion, tu entends que je dois fixer l'ensemble de ces éléments avec hijackthis ? |
|
Posté le 20/10/2010 à 23:30 |
Grand Maître astucien | Non, pas pour l'instant. Désactive-les avec Cleaner, Outils, Démarrage. Ne les supprime pas tant qu'on n'aura pas vu s'il manque qqch ensuite.
Cette ligne:
O4 - HKLM\..\Run: [GEST] m’|\ü
est tout à fait anormale. Et celle-ci :
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Tools\Drive\vsdrv.exe
ne m'inspire pas confiance non plus.
Aucun logiciel ne doit normalement figurer dans la liste de démarrage, sauf ceux explicitement demandés par l'utilisateur. Je suppose que LClock est dans ce dernier cas. Par contre, ça peut être lui le fautif. Modifié par Esclapion le 20/10/2010 23:31 |
|
Posté le 20/10/2010 à 23:51 |
| Salut à vous deux 
Esclapion , la ligne O4 - HKLM\..\Run: [GEST] m’|\ü est normale, c'est en rapport avec " GIGABYTE\EnergySaver\GSvr.exe"
Rapport avec ça carte mère.
Kosh4, tu devrais donner plus de détails sur les plantage...
|
|
Posté le 20/10/2010 à 23:55 |
Grand Maître astucien | le queb a écrit :
Salut à vous deux 
Esclapion , la ligne O4 - HKLM\..\Run: [GEST] m’|\ü est normale, c'est en rapport avec " GIGABYTE\EnergySaver\GSvr.exe"
Rapport avec ça carte mère.
Kosh4, tu devrais donner plus de détails sur les plantage...
OK, merci, mais il faudrait la virer quand même. Le processus correspondant apparaît dans le HJT. Il y a déjà un système avancé d'alimentation sous XP, ça fait doublon. Et ça ne devrait pas être au démarrage. |
|
Posté le 21/10/2010 à 00:38 |
| Tu as raison, et c'est peut-être ça la cause du plantage.
|
|
Posté le 21/10/2010 à 00:43 |
Grand Maître astucien | A noter que le O4 ne doit être là que pour une icône dans la zone de notification. Le lancement se fait par un service :
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
(edit)
....qu'il faudrait désactiver aussi. 
Modifié par Esclapion le 21/10/2010 00:45 |
|
|
|
|
|
Posté le 22/10/2010 à 09:43 |
Petit astucien
| Bonjour à vous,
Alors, j'ai compris d'où ça venait : j'ai un DD externe sur lequel j'ai sauvé de très nombreuses données (peut-être bien pas loin d'un To). Il y a clairement un virus (ou spy, ou je ne sais quoi) dedans qui se déclenche très facilement, dès que je le branche. Depuis mon dernier mess., j'ai du tout réinstaller 2 fois, en fait jusqu'à ce que je comprenne le truc ! :-)
Le souci c'est que du coup maintenant tout fonctionne mais je n'ai plus accès à mes anciennes données. Il me faudrait donc un firewall-antivirus (gratuit ou non) suffisamment bon pour détecter directement le souci dès branchement du DD externe, et surtout l'empêcher d'agir ! Car visiblement brancher le DD suffit pour que cette saloperie tente une attaque.
Que me conseilleriez-vous ? |
|
Posté le 22/10/2010 à 10:59 |
Grand Maître astucien | Bonjour,
il faudrait un examen/vaccination par USBFix ou mieux USBSet. Tu serais tranquille ensuite.
(edit)
Il faudrait aussi désactiver l'exécution automatique, au moins dans un premier temps. Modifié par Esclapion le 22/10/2010 11:08 |
|
Posté le 22/10/2010 à 11:24 |
Petit astucien
| OK.
Comment faire pour désactiver l'exécution automatique ? |
|
Posté le 22/10/2010 à 12:15 |
Grand Maître astucien | Utilise USBSet (NoDriveAutoRun). Il y a sinon d'autres solutions. |
|