Forum XP.Net -Sécurité Informatique-

Voilà comme prévu, je vous mets mon log et vous me dites ce qui ne va pas...

Logfile of HijackThis v1.99.1
Scan saved at 08:53:44, on 16/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\F-Secure\fswsclds.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LVComS.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Kodak\Kodak EasyShare Software\bin\EasyShare.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis version française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NI.UWFX5V] "C:\Documents and Settings\Allemand Nathalie\Local Settings\Temporary Internet Files\Content.IE5\GDA7KD6F\WinFixer2005ScannerInstallFRA[1].exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare Software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3444690857
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.servicesalacarte.wa ... player.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game19.zylom.servicesalacarte.wa ... loader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

merci

Je laisse les pros te faires un super nettoyage.

Je vais juste te dire ce que j'en pense.

Tu as quelques lignes de superflues mais sinon il est nickel ton rapport.

Un seul hic cetter ligne qui m'inquiète.

O4 - HKLM\..\Run: [NI.UWFX5V] "C:\Documents and Settings\Allemand Nathalie\Local Settings\Temporary Internet Files\Content.IE5\GDA7KD6F\WinFixer2005ScannerInstallFRA[1].exe"

A voir donc.

Je confirme que ton log est bon !
Par contre essaies de réduire le paquet de logiciels ouverts au démarrage de windows
démarrer/executer et taper msconfig
onglet démarrage
décoches tout, sauf Antivirus, parefeu, anti spy ... et ok, tu redémarres
A+

effectivement j'ai été longtemps embêté avec ce "WinFixer" mais depuis peu j'ai suivis scrupuleusement la procédure de nettoyage d'Agnes et il a disparu...

Faut-il que je le supprime tout de même???

merci

c'est vrai qu'au démarrage c'est long
Je suis tes conseils...

Pourrais-je installer ce logiciel dont Agnès parle je ne sais plus ou, d'ailleurs
"Starter" serait -il utile dans mon cas?

merci

Pour la ligne signalée par tiklyt
nettoye evec ccleaner cela devrait l'enlever c'est un reste de Winfixer vaut mieux s'en débarrasser.
télécharge CCleaner, en français et simple d'utilisation.
Suivez la procédure d'installation qui ne présente aucune difficulté particuliére.
Pour le nettoyage a proprement dit lancez le et gardez les options de base.
Selectionnez "analyse" puis une fois fait "lancez le nettoyage"
ensuite redemarre l'ordi refait un HJThis et vérifie quelle n'y est plus.
si elle est encore la dis le nous.

ATtention a msn plus qui rajoute si l'on n'y prend garde une barre de recherche parfois dure a virer.

Pour le démarrage belver a raison .
applique sa méthode et ton ordi gagnera en rapidité.
Si tu as du mal avec msconfig essaye starter il est trés simple et te permettra de revenir en arriére facilement en cas de regret.
http://belver.free.fr/ail/viewtopic.php ... ht=starter
Pas de pitié desactive au maxi garde (cf blever) AntiVirus firewall et antispy
ewido est une version d'essais de 14 jours; elle expirera, mais te laissera la possibilité de le mettre a jour et de scanner manuellement.

merci pour tous les conseils, si j'ai un problème je vous le dirais...

Agnes a dit:

CCleaner ne me le détecte pas (WinFixer) mais si j'essaye de supprimer avec Hijackthis j'ai un message d'erreur qui s'affiche, le voici:



Que dois-je faire ?

Ta ligne est trop longue, mais nul besoin de HJT pour ça

Tu lances regedit (Démarrer / exécuter - tu tapes regedit - tu cliques ok)

Tu cherches la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM = HKEY_LOCAL_MACHINE
\...\ = \SOFTWARE\Microsoft\Windows\CurrentVersion\
Puis "Run:"

Tu cherches la valeur ci-dessous et tu supprimes

O4 - HKLM\..\Run: [NI.UWFX5V] "C:\Documents and Settings\Allemand Nathalie\Local Settings\Temporary Internet Files\Content.IE5\GDA7KD6F\WinFixer2005ScannerInstallFRA[1].exe"

Attention ! Tu ne supprimes rien d'autre

N'oublie pas de vider tes cookies et Temporary Internet Files régulièrement

ze trouve pas ce que tu me dis...
tiens, regarde...



comprends pas tout...



et quand tu dis:

N'oublie pas de vider tes cookies et Temporary Internet Files régulièrement

régulièrement c'est quoi pour toi??? tout les mois, toutes les semaines???

En cliquant sur la petite croix tu déplies petit a petit les dossiers et tu descend jusqu'a

HKEY_LOCAL_MACHINE-->SOFTWARE-->Microsoft-->Windows-->CurrentVersion-->Run
attention a l'orthographe au pire fait une capture d'écran a nouveau on te dira laquelle.

La tu n'as pas assez déplié tu est a HKEY_LOCAL_MACHINE

Autre chose le fichier a du être supprimé par ccleaner.
mais vérifie par acquis de conscience.
cherche ainsi
C:-->Documents and Settings-->Allemand Nathalie-->Local Settings-->Temporary Internet Files-->Content.IE5-->GDA7KD6F-->WinFixer2005ScannerInstallFRA[1].exe"

A+

Je vide cookies et TIF au moins 1x / jour
Souvent 2-3x et de toute façon dès que je me suis connecté à un site "inhabituel"
Quelque soit le site, s'il ne fait pas partie des quelques sites que je consulte quotidiennement, je vide tout, surtout s'il contient de la pub et évidemment s'il est "bizare".

Inutile de vérifier si ce fichier est toujours là, tu vides tes TIF et il n'y sera plus

Attention : sous W2K et XP (9x je ne sais plus ?), il y a plusieurs emplacements possibles pour les TIF il faut parfois vider certains dossiers manuellement.

Notamment :
C:\Documents and Settings\*user*\Cookies
C:\Documents and Settings\*user*\Local Settings\Temp\Cookies
et aussi
C:\Documents and Settings\*user*\Local Settings\Temp
(remplacer *user* par le nom d'utilisateur)

Mais, il paraît que je suis parano

ps : TIF = Temporary Internet Files

Evidement qu'il ne doit plus y être ce fichier...
mais la paranoïa revet différentes formes...
Guardian est un peu extrémiste.
une fois par jour serait déjà bien.