matth

Merci pour la réponse ! Pour "la qualité de mon analyse", je dois tout à l'excellente page Tutoriel d'interprétation des listes d'HijackThis, de zebulon.fr ! MM PS : si effectivement les programmes que j'ai repéré sont des malwares, et qu'ils ne sont pas répertoriés, faut-il que je les fasse connaître ?

Bonjour, Novice avec Hijackthis, je vous soumet le log que j'ai obtenu. J'ai lu attentivement les explications données sur le site, en respectant la procédure (antivirus AVG, puis antitrojan A², puis anti spy, etc...). Ce qui me fait suspecter des malwares : - au démarrage, une fenètre s'ouvre dont le titre est "_sqlexec.exe bad image" le texte est : C:\WINNT\TEMP\aoa1.tmp is not a valid windows image. Please check this against your installation disc. Lorsque je regarde, C\WINNT\TEMP est vide. Et à chaque démarrage j'ai le même message, le nom du fichier .tmp change, c'est tout. - mon firewall (ZoneAlarm) m'indique à chaque démarrage que : msnsngr.exe et MSAOL32.exe veulent se connecter. Je refuse. Après analyse avec hijackthis, je pense avoir identifié plusieurs problèmes, n'étant pas expert je souhaite avoir confirmation avant de commettre l'irréparable ! Je trouve très suspects les fichiers C:\WINNT\system32\msnsngr.exe, et C:\WINNT\system32\MSAOL32.exe. De même, en ligne O4, msnsngr.exe ; mipijoro.exe ; osutityde.exe ; MSAOL32.exe ; WUpxdate.exe ; SCVHOST.exe En ligne O9, "related" correspond à un adware que Spybot SD a effacé (j'ai rebooté depuis), donc suspect. En O16, Windupdates a été désinstallé avant (pareil, rebooté depuis) En O23 Flashget.exe correspond a un virus désinfecté par AVG, et _sqlexec.exe est celui qui a déclenché toutes mes recherches... Après visite des différents sites et répertoires, SCVHOST est bien un méchant programme, msnsngr n'est pas répertorié, mais msnsngrr, lui est répertorié comme un trojan, concernant les autres programmes, je n'ai rien trouvé, ni sur les sites, ni sur Google ??? M'y serais-je mal pris ? Voilà le log : Logfile of HijackThis v1.99.1 Scan saved at 19:45:39, on 14/04/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgupsvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgcc.exe C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgemc.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\system32\msnsngr.exe C:\WINNT\system32\MSAOL32.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\system32\MSAOL32.exe C:\Program Files\Poste de Travail Sans Fil Labtec\MagicKey.exe C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Program Files\Hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [systemboot] msnsngr.exe O4 - HKLM\..\Run: [Comcast Network] C:\WINNT\SYSTEM32\mipijoro.exe O4 - HKLM\..\Run: [Esutityde] osutityde.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [sygate Personal Firewall] WUpxdate.exe O4 - HKLM\..\Run: [sCVHOST] SCVHOST.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [systemboot] msnsngr.exe O4 - HKLM\..\RunServices: [Esutityde] osutityde.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [sygate Personal Firewall] WUpxdate.exe O4 - HKLM\..\RunServices: [sCVHOST] SCVHOST.EXE O4 - HKCU\..\Run: [systemboot] msnsngr.exe O4 - HKCU\..\Run: [Esutityde] osutityde.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [sygate Personal Firewall] WUpxdate.exe O4 - Global Startup: Activer le Poste de Travail Sans Fil Labtec.lnk = C:\Program Files\Poste de Travail Sans Fil Labtec\MagicKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: Download all by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Download by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...Bridge-c139.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgupsvc.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINNT\system32\Flashget.exe (file missing) O23 - Service: sqlsrvd (sqlsrvdaemon) - Apple - C:\WINNT\_sqlexec.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZONELABS\vsmon.exe Merci d'avance pour ceux qui sauront m'aider ! MM