Bonjour à tous,

J'ai formaté mon PC et réinstallé XP suite à des problèmes de plantages. Mais ça me le refait encore, même si ça le fait moins souvent. J'ai fait une analyse hijack, pourtant elle est ultra courte ! - je n'ai encore presque rien réinstallé.

Pour vous, y'a-t-il quelque chose qui cloche dans ce rapport ? Y'aurait-il un truc à supprimer pour corriger les plantage ?

Merci !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:49, on 20/10/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LClock\lclock.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.x-perienceweb.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O4 - HKLM\..\Run: [LClock] C:\WINDOWS\system32\LClock\lclock.exe
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Tools\Drive\vsdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [] (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [LClock] lclock.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

--
End of file - 3807 bytes

Salut

Il faudrait donner plus de détails, quand et comment ça plante?...

Hijackthis ne te sera probablement pas utile dans ce cas ci.

Bonjour,

c'est un Xp modifié, pas Microsoft. C'est peut-être la cause de ton problème.

Tu devrais essayer de tout désactiver du démarrage, il y a des choses bizarres.

En plus,tu roules sans antivirus.

Esclapion, tu entends que je dois fixer l'ensemble de ces éléments avec hijackthis ?

Non, pas pour l'instant. Désactive-les avec Cleaner, Outils, Démarrage. Ne les supprime pas tant qu'on n'aura pas vu s'il manque qqch ensuite.

Cette ligne:

O4 - HKLM\..\Run: [GEST] m’|\ü

est tout à fait anormale. Et celle-ci :

O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Tools\Drive\vsdrv.exe

ne m'inspire pas confiance non plus.

Aucun logiciel ne doit normalement figurer dans la liste de démarrage, sauf ceux explicitement demandés par l'utilisateur. Je suppose que LClock est dans ce dernier cas. Par contre, ça peut être lui le fautif.

Salut à vous deux

Esclapion , la ligne O4 - HKLM\..\Run: [GEST] m’|\ü est normale, c'est en rapport avec " GIGABYTE\EnergySaver\GSvr.exe"

Rapport avec ça carte mère.

Kosh4, tu devrais donner plus de détails sur les plantage...

le queb a écrit :

Salut à vous deux

Esclapion , la ligne O4 - HKLM\..\Run: [GEST] m’|\ü est normale, c'est en rapport avec " GIGABYTE\EnergySaver\GSvr.exe"

Rapport avec ça carte mère.

Kosh4, tu devrais donner plus de détails sur les plantage...

OK, merci, mais il faudrait la virer quand même. Le processus correspondant apparaît dans le HJT. Il y a déjà un système avancé d'alimentation sous XP, ça fait doublon. Et ça ne devrait pas être au démarrage.

Tu as raison, et c'est peut-être ça la cause du plantage.

A noter que le O4 ne doit être là que pour une icône dans la zone de notification. Le lancement se fait par un service :

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

(edit)

....qu'il faudrait désactiver aussi.

Bonjour à vous,

Alors, j'ai compris d'où ça venait : j'ai un DD externe sur lequel j'ai sauvé de très nombreuses données (peut-être bien pas loin d'un To). Il y a clairement un virus (ou spy, ou je ne sais quoi) dedans qui se déclenche très facilement, dès que je le branche. Depuis mon dernier mess., j'ai du tout réinstaller 2 fois, en fait jusqu'à ce que je comprenne le truc ! :-)

Le souci c'est que du coup maintenant tout fonctionne mais je n'ai plus accès à mes anciennes données. Il me faudrait donc un firewall-antivirus (gratuit ou non) suffisamment bon pour détecter directement le souci dès branchement du DD externe, et surtout l'empêcher d'agir ! Car visiblement brancher le DD suffit pour que cette saloperie tente une attaque.

Que me conseilleriez-vous ?

Bonjour,

il faudrait un examen/vaccination par USBFix ou mieux USBSet. Tu serais tranquille ensuite.

(edit)

Il faudrait aussi désactiver l'exécution automatique, au moins dans un premier temps.

OK.

Comment faire pour désactiver l'exécution automatique ?

Utilise USBSet (NoDriveAutoRun). Il y a sinon d'autres solutions.