Demande d'analyse hijackthis (un port serait ouvert)

[Rim]

Ce qui m'a poussé à faire un scan hijackthis c un site de scan pc qui a détecté un port ouvert sur mon ordi.

 

Port: Status Service Description

 

80 open HTTP HTTP web services publish web pages

 

Et voici le log hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:19:29, on 19/11/2010

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16671)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Microsoft Security Essentials\msseces.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Windows\System32\StikyNot.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Little transparency.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\Program Files\HSPA USB MODEM\HSPA USB MODEM.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Windows\system32\mmc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Users\Salem\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Salem\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Salem\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Windows\system32\cmd.exe

C:\Windows\system32\conhost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Windows Live\Mail\wlmail.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15204&l=dis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\soundmax.exe /tray

O4 - HKLM\..\Run: [synTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Google Update] "C:\Users\Salem\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [Welcome Center] C:\Windows\system32\rundll32.exe C:\Windows\system32\OobeFldr.dll,ShowWelcomeCenter LaunchedBy_StartMenuShortcut (User 'Système')

O4 - HKUS\.DEFAULT\..\Run: [Welcome Center] C:\Windows\system32\rundll32.exe C:\Windows\system32\OobeFldr.dll,ShowWelcomeCenter LaunchedBy_StartMenuShortcut (User 'Default user')

O4 - Global Startup: Little transparency.exe

O4 - Global Startup: RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe

O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll

O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O13 - Gopher Prefix:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A31BFFE1-B7B2-41DB-A879-B95A85B9EE0D}: NameServer = 154.15.199.142 8.8.8.8

O17 - HKLM\System\CCS\Services\Tcpip\..\{CF4618ED-9C8F-4F02-AEF5-080D197F5237}: NameServer = 212.217.0.1 212.217.0.12

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE

O23 - Service: DeviceManager - Unknown owner - C:\Program Files\Common Files\DeviceHelper\DeviceManager.exe

O23 - Service: hpqwmiex - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

 

Je voudrais savoir aussi la gravité de mon cas et si éventuellement des programmes indésirables utilisent le port.

 

Merci d'avance.

[Apollo]

Bonjour,

 

Pour les histoires de ports ouverts- fermés- invisibles, c'est sur le forum internet et réseaux que tu dois t'adresser.

 

Un bon firewall devrait masquer les ports afin que le pc soit invisible sur le net.

 

Un autre test ici: http://www.zebulon.fr/outils/scanports/test-securite.php

 

Ceci dit tu as une petite infection par Ask.

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ad-Remover : Telechargement

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous Vista/7: Désactiver provisoirement l'UAC comme expliqué ICI

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique pour XP, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône Ad-R placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista/7. (Si Vista/7 bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

Poste les deux rapports stp.

 

@++

[Rim]

Merci de m'avoir répondu aussi vite.

 

Concernant les ports merci pour votre indication, j'ai utilisé le test de zebulon et il m'a découvert en plus du port 80, un autre port le 443. Après documentation j'ai crée des règles dans le pare-feu avancé de Windows 7 pour bloquer les connexions entrantes vers ces deux ports. Et à ma grande joie le test était effectué avec succès quand je l'ai recommencé après la manœuvre.

 

Pour ce qui est des rapports, j'ai fait comme indiqué et les voici:

 

Rapport de scan Ad-Remover :

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 11/11/10 à 11:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 21:06:30 le 19/11/2010, Mode normal

 

Microsoft Windows 7 Édition Intégrale (X86)

(Hewlett-Packard HP Compaq 6730s)

 

============== RECHERCHE ==============

 

 

 

-- Fichier ouvert: C:\Users\Salem\AppData\Roaming\Mozilla\FireFox\Profiles\mkeheq7u.default\Prefs.js --

Ligne trouvée: user_pref("browser.search.defaultengine", "Ask.com");

Ligne trouvée: user_pref("browser.search.defaultenginename", "Ask.com");

Ligne trouvée: user_pref("browser.search.order.1", "Ask.com");

-- Fichier Fermé --

 

 

Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

 

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.12 (fr)] **

 

-- C:\Users\Salem\AppData\Roaming\Mozilla\FireFox\Profiles\mkeheq7u.default\Prefs.js --

browser.download.lastDir, C:\\Users\\Salem\\Desktop

browser.search.defaultenginename, Ask.com

browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

browser.startup.homepage_override.mstone, rv:1.9.2.12

 

========================================

 

** Internet Explorer Version [8.0.7600.16385] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Show_ToolBar: yes

Start Page: hxxp://www.ask.com?o=15204&l=dis

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\System32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 19/11/2010 (2526 Octet(s))

 

Fin à: 21:08:14, 19/11/2010

 

============== E.O.F ==============

 

 

Rapport de nettoyage Ad-Remover :

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 11/11/10 à 11:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:41:34 le 19/11/2010, Mode normal

 

Microsoft Windows 7 Édition Intégrale (X86)

(Hewlett-Packard HP Compaq 6730s)

 

============== ACTION(S) ==============

 

 

 

(!) -- Fichiers temporaires supprimés.

 

 

-- Fichier ouvert: C:\Users\Salem\AppData\Roaming\Mozilla\FireFox\Profiles\mkeheq7u.default\Prefs.js --

Ligne supprimée:

Ligne supprimée:

Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");

Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");

Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");

-- Fichier Fermé --

 

 

Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

 

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.12 (fr)] **

 

-- C:\Users\Salem\AppData\Roaming\Mozilla\FireFox\Profiles\mkeheq7u.default\Prefs.js --

browser.download.lastDir, C:\\Users\\Salem\\Desktop

browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

browser.startup.homepage_override.mstone, rv:1.9.2.12

 

========================================

 

** Internet Explorer Version [8.0.7600.16385] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\System32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 19/11/2010 (2781 Octet(s))

C:\Ad-Report-SCAN[1].txt - 19/11/2010 (2655 Octet(s))

 

Fin à: 21:42:47, 19/11/2010

 

============== E.O.F ==============

 

Voilà, merci encore.

[Apollo]

Re,

 

Bien travaillé

 

Désinstalle Ad-Remover via son interface.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

Les rapports sont également enregistrés dans le répertoire C:\RSIT.

 

>>>Héberge les rapports RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

@++

[Rim]

Re,

 

Merci, j'ai suivi vos instructions et hébergé sur Cijoint.fr les deux fichiers que RSIT a généré :

 

Lien du fichier info.txt

 

Lien du fichier log.txt

 

à bientôt.

[Apollo]

Rien de mauvais dans ce log.

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie A vérifier de temps en temps, important!

 

Plus de soucis?

 

@++

[Rim]

Ok j'ai fais les vérifications avec Secunia, ça m'a corrigé deux failles, l'une dans Adobe flash player et l'autre dans vlc.

 

Je me suis inscrit sur le site vu que ça comportait aussi des informations intéressantes.

 

Encore un Grand merci pour votre aide et votre attention.