analyse log hijackthis

[alliandra]

Mon nouveau pc HP pavilion slimline 3553s n'a pas 1 mois, et n'étant pas une flèche en informatique, je parcours sans relâche sites et forums (ici-même, Malekal, Assiste, CCM, ...) pour me débrouiller dans la mesure du possible pour le sécuriser mais bon voilà, il faut bien admettre ses limites à un moment donné.

J'ai remis une partie des programmes que j'utilisais avant comme Antivir, Spybot, MBMA, XP antispy, Spywareblaster, Spywareguard, CCleaner, Firefox et des tas de modules complémentaires(comme Noscript, WOT, DrWeb pour scan des liens et téléchargements, ...etc)

 

1er point faible j'utilise encore le pare feu windows, donc vista maintenant et que ça soit en mode normal ou avancé,il ne s'est JAMAIS manifesté, c'est à dire que jamais il ne m'a demandé quoi que ce soit, s'il devait ou non autoriser un programme à se connecter par exemple.

D'ailleurs, j'ai envoyé mon log hijackthis à l'analyse automatique qui m'a précisée que je n'utilisais aucun pare feu!! alors est-ce qu'il a été désactivé sans que ça apparaisse dans le centre de sécurité, est-ce qu'il est mal configuré ou totalement inefficace???

 

je recherche toujours LE pare feu léger, en français mais surtout accessible mais il va falloir que je me décide rapidement apparemment. Je penche pour Outpost bien que le tuto m'impressionne quelque peu.

 

Sinon, une ligne de démarrage correspondant à un truc pré installé HP m'est signalée comme malveillante (ligne rouge de spybot, l'analyse automatique HJT...) qui s'appelle launcher.exe.

Lors de mes scans en ligne, j’ai parfois eu quelques résultats positifs isolés comme CA antispyware qui me parle (en anglais! oui je suis aussi une bille en anglais ce qui n’arrange rien) de KoolyNoody, risque médium?

et enfin, j'ai remarqué quelques trucs assez bizarres aussi, sur firefox. Un jour No script avait disparu d'un des 2 comptes utilisateurs j'ai du le réinstaller et Mcafee site advisor était désactivé. Plus tard, c'est Software update checker (module qui signale les versions récentes des programmes importants à mettre à jour) qui avait disparu par contre je n'arrive plus à le réinstaller, ça fait erreur depuis.

Donc j'en arrive à me demander si ça bug quelque part ou si je deviens dingue ou même si un petit malin ne rentre pas dans mon pc?

Je n'ose donc toujours pas surfer normalement, encore moins entrer mon numéro de CB par exemple.

 

J'ai installé Hijackthis que j'ai trouvé sur pc entraide (juste un fichier .exe à enregistrer, que j'ai scanné virustotal et autre avant , qui s'est bien mis dans C/:programmes/trend micro) Avant le log HJT, j'ai passé antivir et MBMA et je me suis bien déconnectée d'internet. Par contre, je n'ai par exemple pas désactiver le tea timer ou autre comme j'ai pu le lire depuis, j'espère que ça ne pose pas problème.

 

 

Si vous voulez bien jeter un œil à mon log, et me dire s'il y a vraiment quelque chose qui cloche, ou tout autre conseil d'ailleurs, merci d'avance

 

Encore une question : Est-ce que tout se voit nécessairement dans un log HJT?

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:23:24, on 17/02/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\hp\support\hpsysdrv.exe

C:\hp\KBD\KbdStub.exe

C:\Windows\System32\rundll32.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\scanH.exe

C:\hp\kbd\kbd.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cndt

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cndt

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cndt

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cndt

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-2875637725-338007423-527858249-1001\..\Run: [HPADVISOR] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN (User 'surefr')

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O15 - Trusted Zone: http://www.secuser.com

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP_vista.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/p...obat/nos/gp.cab

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

 

--

End of file - 7174 bytes

[alliandra]

bonjour tout le monde, je me suis apparemment endormie hier soir, je viens seulement de lire toutes les réponses et la discussion animée que mon post a apparemment suscité

et je reste donc avec toutes mes questions, voire même quelques unes supplémentaires.

 

du coup je fais quoi moi maintenant?

 

quelqu'un aurait-il des idées rapport à mes questions sur le pare feu vista qui m'est signalé comme inexistant, ma ligne de démarrage suspecte d'un programme pré installé, mes modules firefox qui disparaissent du jour au lendemain ou encore sur une éventuelle infection latente? je ne vais pas tout redétaillé, je ne suis même pas sure que quelqu'un ait eu le courage de lire mon 1er post en entier!

 

pour les scans antivir, malwarebate anti .. enfin MBMA je les ai fait avant l'analyse HJT mais pas en mode sans echec il est vrai, dois-je m'y recoller?

j'ai aussi passé spybot puisque je les fais tous en moyenne 1/semaine . mais donc si je vire spybot je mets quoi à la place? d'autant qu'antivir free ne fait pas les spyware & co

sinon, quel pare feu "spécial novice en pare feu" me conseillez-vous? J'ai bien lu des trucs sur zone alarm ou kerio mais je n'ai retenu que l'un qui est indésinstallable et l'autre qui fait souvent planter le pc en gros . Du coup, je m'interroge sur outpost ou comodo et même i safer même s'il est apparemment plutôt vieux et ne semble plus maj?

bref quelqu'un se sent-il inspiré pour me répondre, ne serait-ce que partiellement?

[Falkra]

du coup je fais quoi moi maintenant?

J'ai fait un peu de ménage et déplacé les posts traitant de fonctionnement de section.

 

On t'envoie quelqu'un.

[alliandra]

ok c'est cool, je ne suis pas sure qu'il y ait urgence mais justement je préfère en être sure plutôt que de devoir appeler au secours d'ici peu

[Apollo]

Bonjour,

 

Il n'est pas nécessaire ni recommandé d'installer Un pare-feu tiers sur Vista.

 

Pour vérifier si celui-ci fonctionne, aller voir dans les services en tapant services.msc dans démarrer /exécuter.

 

Repérer la ligne parefeu windows, double cliquer dessus et vérifier s'il est bien réglé en automatique et démarré.

 

Si c'est le cas, il n'y a pas besoin d'un autre firewall, celui de Vista est suffisant.

Il n'y a que lorsqu'on installe une suite complète de sécurité qui contient un firewall qu'il faut désactiver celui de Windows et l'arrêter.

 

Parfois, l'installation de certaines suites de ce genre arrête elle-même le FW Windows.

 

Si tu veux vérifier avant qu'on envoie l'artillerie:

 

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

 

Fais un scan en ligne avec Kaspersky.

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@++

[alliandra]

merci de me répondre,

 

je viens de vérifier dans les services et le statut du pare feu est bien démarré et le type de démarrage automatique

 

est-il bien configuré du coup car il ne s'est jamais manifesté pour me demander d'autoriser ou non une application à se connecter?

peut on activer quelque part le pare feu avancé pour que les connexions sortantes soient également prises en compte ou est-ce que ça se fait automatiquement sans démarche particulière?

 

Sinon, malgré un scan secunia me disant que seul firefox n'est pas à jour (version 3.0.5 et non pas la 3.0.6) il se trouve que java n'était effectivement pas à jour

je viens donc de passer à la version 6 update 12, qui a visiblement désinstallée la version précédente d'après les avertissements de spybot quant aux modifications du registre, d'ailleurs je ne la retrouve plus dans les programmes installés.

 

je vais donc passer à IE pour le scan Kaspersky

je reviens avec le log final

[Apollo]

re,

 

Je suis désolé pour le désordre que l'autre vient mettre ici; de plus il ne sait pas ce qu'il dit. N'y prête donc AUCUNE attention stp.

 

Le firewall Vista au contraire de celui d'XP filtre les entrées. Mais également les sorties.

 

Tu peux tester ton firewall:

https://www.grc.com/x/ne.dll?bh0bkyd2

 

 

ou ici: http://www.zebulon.fr/outils/scanports/test-securite.php

@ ++

[alliandra]

à la fin du scan kapersky, soit j'ai fait une fausse manip comme une nouille soit le rapport était vierge donc j'ai dû relancer un scan de près d'1h30 pour en être sur!

au lieu de cliquer sur view scan report en bas, j'ai cliqué sur scan report à gauche et il n'y avait rien d'inscrit. donc ça m'a en plus perdu ma page d'après scan et je n'ai donc rien sauvegardé.

donc voilà dans le doute j'ai relancé le truc même s'il n'avait apparemment rien trouvé.

 

pour les scans de port, avec le scan zébulon, ils sont tous masqués (merci XP Antispy)

 

j'ai fait il y a quelques jours celui de symantec security check et tout était masqué sauf ICMP ping qui est ouvert.

 

et sur ton 1er lien GRC:

 

j'ai d'abord fait "File sharing" et voilà la réponse (rien compris et la traduction des termes informatiques avec un traducteur est à se tirer les cheveux)

 

"Your Internet port 139 does not appear to exist!

One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.

 

Unable to connect with NetBIOS to your computer.

All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet."

 

ensuite j'ai fait "common ports"

 

"Solicited TCP Packets: PASSED — No TCP packets were received from your system as a direct result of our attempts to elicit some response from any of the ports listed below — they are all either fully stealthed or blocked by your ISP. However . . .

 

 

 

Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)

 

 

 

Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation."

 

donc c'est apparemment la même chose pour le ping d'après le peu que je comprends.

 

alors ces histoires de port 139, de netbios "unable to connect" et de ping sont-elles vraiment problématiques et est-ce que je dois y faire quelque chose?

 

voilà, je reviens avec le rapport kapersky dès que j'aurai réussi à le sauvegarder!!

[alliandra]

alors voilà enfin le log kapersky sauvegardé

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Saturday, February 21, 2009

Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, February 21, 2009 17:49:48

Records in database: 1827566

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

 

Scan statistics:

Files scanned: 129423

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 01:26:58

 

No malware has been detected. The scan area is clean.

 

The selected area was scanned.

[Apollo]

Bonjour,

 

Voilà qui est clair et net: le pc est clean et le firewall ne répond pas; ses ports étant masqués, le pc est invisible sur le net.

 

Pour ce qui est du ping, il faudrait que tu voies cela avec les gens du forum software ou internet et réseaux.

 

@ bientôt.