[Résolu] Pirates Winsock dans mon analyse HJT

[Wullfk]

Bonjour,

 

j'ai cette ligne dans mon rapport HJT

 

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

 

Je sais à quoi elle correspond, j'avais un service activé portant le nom de "Bonjour" et appartenant à Adobe, que j'ai réussi à tuer en utilisant un log "au revoir.exe" fournis par un membre sur Zebulon (il faudrai que je fasse la recherche dans les archives de Zeb), donc effectivement le service en question à été supprimer.

 

mais par contre j'ai cette ligne 010 dans mon rapport HJT

 

je n'est pas acces LSPs List de Zup, pour savoir si le nom de fichier est listé sous "Valid LSPs"

 

j'ai par contre téléchargé LSPfix de Cexx.org. mais je ne l'ai pas encore utilisé, j'attend votre avis sur la marche à suivre

 

Tan qu'a faire je fournis tous le rapport HJT:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:51:03, on 09/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

C:\Program Files\COMODO\Firewall\cmdagent.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

C:\WINDOWS\System32\dmadmin.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\ASUS\PC Probe II\Probe2.exe

C:\Program Files\Analog Devices\SoundMAX\smax4.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\COMODO\Firewall\cfp.exe

C:\Program Files\POP Peeper\POPPeeper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Total Uninstall 4\TuAgent.exe

C:\Program Files\ASUS\AASP\1.00.32\aaCenter.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\ZebHelpProcess Test\ZHP2.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wullfk

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1

O4 - HKLM\..\Run: [soundMax] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min /nosplash

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h

O4 - HKCU\..\Run: [Total Uninstall Agent] "C:\Program Files\Total Uninstall 4\TuStarter.exe" "C:\Program Files\Total Uninstall 4\TuAgent.exe"

O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe

O4 - Global Startup: Logitech SetPoint.lnk.disabled

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O15 - Trusted Zone: http://www.adobe.com

O15 - Trusted Zone: http://forum.dotclear.net

O15 - Trusted Zone: http://www.google.fr

O15 - Trusted Zone: http://www.grosbill.com

O15 - Trusted Zone: http://forum.zebulon.fr

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1203863530359

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O17 - HKLM\System\CCS\Services\Tcpip\..\{E80D85A5-B559-4AAF-BE56-8C8D1E85484B}: NameServer = 212.27.32.176,212.27.32.177

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

 

--

End of file - 11099 bytes

 

Salutations

Modifié le 9 mai 2008 par Wullfk

[facks]

Bonjour, c'est juste la: http://www.mediafire.com/?6mxlhalmhv3

[Wullfk]

Bonjour,

 

ben oui, ça je l'ai, puisque je l'ai appliqué

[oGu]

Yo!

 

En tout cas, NE REPARE PAS CETTE LIGNE AVEC HIJACKTHIS !!

 

Tu as toujours ta conection internet malgré tout??

 

Vu que ta 010 n'est pas un malware, perso je n'utiliserai pas LSPFix et je laisserai comme tel.

 

Mais ton "problème" est intéressant, je suis curieux de voir ce que vont proposer les autres membres plus compétents!

Modifié le 9 mai 2008 par oGu

[Wullfk]

Merci pour ta réponse oGu,

 

non pour l'instant je n'effectue aucune action, d'ailleurs bizarrement ZHP me la notifie comme légitime, peut être devrais je signaler le problème à Coolman, mais ou devrais je le poster dans les feebacks, ou dans dans le post ZHP version de test.

 

[angelique]

Moi je ferais ça

 

Télécharge LSPfix

http://www.cexx.org/LSPFix.exe

-- Lance LSPfix

-- Déconnecte-toi d'Internet et ferme toutes les fenêtres d'Internet Explorer.

-- Coche la case "I know what I'm doing"

-- Sélectionne toutes les instances des dll suivantes (s'il y en a, sinon ferme LSPfix) :

 

mdnsnsp.dll

 

--> fais les glisser du panneau de gauche "keep" au panneau de droite "Remove".

Clique sur le bouton "Finish".

(Si elles sont déjà dans le panneau "Remove" alors clique directement sur le bouton "Finish".)

[Wullfk]

OK Merci Angelique je vais faire ce que tu préconise.

 

je vais donc devoir me déconnecter du net, pendant quelques instants.

 

j'ai quand même soumis la chose à Coolman pour ZHP surtout qu'il y aussi la ligne 017 qui est aussi reconnu comme légitime, alors que c'est dans la zone de piratage de domaine Lop.com.

 

je vous tiens au courant du résultat.

 

@+

[angelique]

bah ta 017 dns est legitime vu que tu es chez Free:

 

adsl-ns1.free.fr (212.27.32.176)

 

212.27.32.0 - 212.27.32.255

Proxad

Backbone

 

Administrative Contact for ProXad

Free SAS / ProXad

8, rue de la Ville L'Eveque

75008 Paris

+33 1 73 50 20 00

+33 1 73 92 25 69

 

Technical Contact for ProXad

Free SAS / ProXad

8, rue de la Ville L'Eveque

75008 Paris

+33 1 73 50 20 00

+33 1 73 92 25 69

[Wullfk]

de retour,

 

oui je sais que ma DNS est légitime, mais dans ce cas là cela ne devrais pas apparaitre en rubrique 017.

 

bon résultat de l'utilisation de LSPfix de cexx.org

 

je met l'image pour plus de compréhension :

 

 

j'ai rien fait du tout j'ai simplement cliquer sur "Finish"

 

il faut maintenant que je refasse un scan HJT pour voir ce que cela me donne.

Modifié le 9 mai 2008 par Wullfk

[Nicolas Coolman]

,

 

Il faut faire très attention avec les titres des rubriques HJT 2.

 

Pirates de Winsock (O10)

Piratage de domaine (Lop.com) (O17)

 

Il s'agit de titres généralistes donné par Hijackthis pour ce type de ligne. Toutes les lignes qui suivent ce titre ne sont pas forcément malwares. C'est la catégorie donnée par ZHP qui détermine si l'utilsateur doit intervenir ou non.

 

Ainsi la ligne...

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

... est tout à fait légitime.

 

L'ecriture en BDR devrait être de la forme :

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ WinSock2 \ Parameters \ NameSpace_Catalog5 \ Catalog_Entries \ 000000000001\ mdnsNSP

 

Voir l'analyse de RunScanner.

http://www.runscanner.net/files/dll/mdnsnsp/mdnsnsp.dll.aspx

 

De même la ligne...

O17 - HKLM\System\CCS\Services\Tcpip\..\{E80D85A5-B559-4AAF-BE56-8C8D1E85484B}: NameServer = 212.27.32.176,212.27.32.177

... est tout à fait légitime et correspond à ton FAI.

 

A bientôt...