Analyse HijackThis Calypsone

[Calypsone]

Bonjour à tous !

Je suis tout nouveau sur ce forum car, consécutivement au nettoyage d'été, j'ai voulu mettre au clair les problemes de sécu de ce PC qui a presque 1 ans.

 

Voici le rapport Hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:47:07, on 03/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [ASRInst_V] C:\WINDOWS\system32\regsvr32.exe "C:\Program Files\Fichiers communs\Panasonic\PSL_DMOG726Dec.dll" /s

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [PhilipsRemote] "C:\Program Files\Musicmatch\Musicmatch Jukebox\PhilipsRemote.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [GoldenFTPserver] C:\Program Files\Golden FTP Server\gftp.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SDPAUMS server service (SDPASVC) -  Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\system32\sdpasvc.exe

O23 - Service: SlimFTPd - Unknown owner - C:\Documents and Settings\Welcome\Mes documents\Download\slimftpd_slimftpd_3.16_anglais_10569\SlimFTPd.exe" -service (file missing)

 

 

Je remarque déja la présence de SlimFTP et Golden FTP, deux logiciels sensés etre désinstallé.

 

Ensuite, pendant la manip de pré-nettoyage décrite dans l'épinglé, j'ai trouvé deux virus : Openstream.W, dans un zip de chez Java et TR/Copiet.B.1 mais google ne pas avancé là dessus.

 

Voila, voila, à mon avis, y a du boulot !

[Thanos]

salut

 

des infos concernant ce service=>

"O23 - Service: SlimFTPd - Unknown owner - C:\Documents and Settings\Welcome\Mes documents\Download\slimftpd_slimftpd_3.16_anglais_10569\SlimFTPd.exe" -service (file missing)"

 

si tu jactes anglais,jette un oeil sur ce lienhttp://www3.ca.com/securityadvisor/pest/pe...px?id=453076526

 

A mon avis dangereux si ce n'est pas toi qui l'a installé=>

  FTP Server :  When installed without user awareness, an FTP server allows an attacker to download any file in the user's machine, to upload new files to that machine, and to replace any existing file with an uploaded file.

 

A désactiver d'urgence!

 

fais aussi vérifier ces fichiers par jotti:http://virusscan.jotti.org/

C:\WINDOWS\system32\sdpasvc.exe, je ne vois pas ce qu'il fait dans systeme32

C:\WINDOWS\system32\regsvr32.exe

[Calypsone]

Pour SlimFTP, je l'avais installé moi même il y a longtemps, mais depuis, je l'ai désinstallé. Comment le désactiver ?

 

Pour sdpasvc.exe j'obtiens :

 

POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

 

Fortinet : Found W32/Startpage.DU-dr

 

Et pour : regsvr32.exe, quasi la meme chose :

 

INFECTED/MALWARE

 

Fortinet : Found W32/Startpage.DU-dr

[Calypsone]

En utilisant ce site : http://assiste.free.fr/ et plus particulièrement ceci :

http://assiste.files.free.fr/h/Startups-vf.chm , j'ai analysé les programmes se lancant au démarrage de mon PC. Apparemment, y a des trucs pas terrible, mais j'aimerais savoir ce qu'il faut faire précisement avant de tout supprimer comme un bourrin !

 

Voila les plus inquietant :

 

NeroCheck :

Ajouté par le ver DOOMJUICE.B! Note - ce n'est pas le véritable programme de gravure CD Ahead Nero. De même ce n'est pas le véritable éditeur de Registre Windows qui se trouve dans C:\Windows ou C:\Winnt alors que cette version est dans C:\Windows\System (Win9x/Me), C:\Winnt\System32 (WinNT/2K) ou C:\Windows\System32 (WinXP)

 

NvCpl :

Ajouté par le ver YANZ.B!

 

hpcmpmgr :

?? (aucune info)

 

HPHmon05 :

?? (aucune info)

 

PSL_DMOG726Dec :

Meme pas dans la liste

 

VVSN :

Logiciel publicitaire SaveNow (lui, il me fait ch*** j'arrive pas à le virer, j'ai déja essayé)

 

gftp :

 

Pas dans la liste non plus, mais il semble associé à Golden FTP, logiciel que j'ai désinstaller depuis longtps mais qui à l'air de se plaire sur mon PC ! Je le trouve au démarrage et Hijack l'avais déja repéré...

 

Si quelqu'un peut m'expliquer comment nettoyer tout ça, j'ai bien envie de rendre mon PC tout clean !

[adams.familly]

Bonjour,

appliques la procédure préliminaire de megataupe en attendant les spécialistes:

http://forum.zebulon.fr/index.php?showtopic=69176

[ipl_001]

Bonjour Calypsone, bonjour à tous,

 

---édition : bonjour adams.familly

 

Je suppose que ce message est en rapport avec une autre discussion ( http://forum.zebulon.fr/index.php?showtopic=71824 )... je fusionne

 

Attention ! Il faut une bonne habitude pour analyser tes fichiers au démarrage et ton rapport HijackThis car il y a tout un tas de pièges mis par les pirates !

[adams.familly]

Bonjour Ipl,

Modifié le 3 août 2005 par adams.familly

[Calypsone]

J'ai déja fait une analyse HijackThis dont le topic se trouve ici : http://forum.zebulon.fr/index.php?showtopic=71824

 

En fait, je voudrais surtout savoir si les traces des deux vers prouvent la présence des vers eux même alors que ni antivir, ni AVG ne les as vu.

Et j'aimerais savoir comme virer ce VVSN...

Modifié le 3 août 2005 par Calypsone

[ipl_001]

"En fait, je voudrais surtout savoir si les traces des deux vers prouvent la présence des vers eux même alors que ni antivir, ni AVG ne les as vu."

Réponse : non !

 

Les pirates font en sorte de multiplier les ambiguités de manière à ce que :

- soit, on supprime les vrais fichiers standards de Windows

- soit on laisse les malwares en place !

 

 

Par exemple pour

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

 

CastleCops indique que selon le cas, NeroCheck peut être le programme légitime (U ci-dessous) ou un malware "X ci-dessous) :

NeroCheck U nerocheck.exe Associated with "Nero Burning Rom" CD writing software. Checks for driver issues

NeroFilterCheck U NeroCheck.exe Associated with "Nero Burning Rom" CD writing software. Checks for driver issues

Sheduler X nerocheck.exe Added by the WIN32.TACTSLAY.B TROJAN!

( http://castlecops.com/modules.php?name=Sta...y=NeroCheck.exe )

 

Maintenant, U signifie que tu peux l'enlever du démarrage automatique sans mettre ton système en péril !

Mais si tu soupçonnes un malware (X), il te faut aussi enlever toute trace du malware en supprimant des fichiers du disque !

[Calypsone]

Ok, c'est un peu le bazar dans mon topic ^^ !

 

Bon, en résumé :

 

1° Comment enlever VVSN, un adware.

 

2° Que faire pour ça :

Pour sdpasvc.exe j'obtiens :

 

POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

 

Fortinet : Found W32/Startpage.DU-dr

 

Et pour : regsvr32.exe, quasi la meme chose :

 

INFECTED/MALWARE

 

Fortinet : Found W32/Startpage.DU-dr

 

3° Comment effacer la trace de Golden FTP et Slim FTP, deux logiciels de transferts FTP désinstallés depuis longtemps qui ne sont apparemment pas completement morts.

 

4° Super ce forum, les membres répondent rapidement et clairement, je sens que je vais m'y installer !