etat des lieux

[olap]

bonjour à tous

 

je viens de m'inscrire sur le site. J'ai des interrogations concernant la bonne santé de mon pc (virus, vers ... ). Certains signes m'intriguent. J'utilise windows XP et un firewall sygate personal firewall 5.5 .

concernant le firewall :

je remarque que des applications sont régulièrement (toutes les 10 minutes environ) bloquées par le firewall. ce sont:

ntoskrnl.exe et svchost.exe .

d'autre part si je ne fais rien sur mon pc et que j'ai fermé mes fenetres internet explorer, j'ai un pic d'environ 1k toutes les 30secondes sur le incoming traffic history. L'historique du outgoing est tjrs à 0.

 

concernant le pc , j'ai des processeurs qui utilient tout le temps de l'UC :

explorer.exe (environ 2%)

svchost.exe (environ 2%)

taskmgr.exe (environ 2%)

l'exécution ne se fait pas de manière continue , j'ai toujours environ 94% d'UC inactif , mais jamais 100% même quand je ne fais rien . est ce normal ?

 

pour finir , j'ai des pops up issus du service messagerie qui s'affichent spontannément de manière régulière, et m'indiquent que des spyware sont présents sur mon PC et m'encouragent à aller sur des sites commerciaux (fix.com , etc.)

 

je me suis balladé sur le forum et j'ai vu que hijackThis est couramment utilisé pour communiquer, je l'ai téléchargé et je l'ai lancé. voici le log ci dessous :

(depuis j'ai fixé les deux lignes 09 sur related). il yen a t il d'autres ?

 

que pensez vous de tout cela ?

merci pour votre attention et participation éventuelle

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:27:34, on 25/03/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\system32\mmc.exe

C:\WINDOWS\system32\mmc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\h\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

[val973]

Salut ben déja c'est normale pour les processus c'est tout simplement windows...

 

ensuite pour regler tout ca tu n'a qu'un lire ca:http://www.zebulon.fr/articles/services_1.php

 

et pou hijackthis lis ca: http://www.zebulon.fr/articles/HijackThis.php

 

ensuite tu peux telecharger des logiciels pour faire le ménage comme ad-aware et spybot qui sont le minimum nécessaire ils sont gratos et dispo sur ce site

 

@ ++

[Leon2]

Salut

 

Colle ton log ici !

 

Tiens nous au courant !

 

@+

[val973]

euh... tu n'as pas d'antivirus??

[olap]

merci pour vos commentaires.

 

j'ai lu l'article sur hijack je vois pas ce que je peux supprimer d'autres comme ligne que celles deja supprimées. Val, le lien sur les services ne marche pas et j'ai pas trouvé d'article laissant sous entendre dans le titre qu'il traitait des services.

 

j'ai installé ad aware , et voici ci dessous un extrait de log. j'ai rien supprimé encore, je les ai mis en quarantaine. je suppose que je peux les supprimer?

 

en ce qui concerne un anti virus , non je n'en ai pas d'installé. est ce indispensable , lequel chosir ... ?????

pareil pour les failles windows, je viens d'installer seulement un patch: WindowsXP-KB823980-x86-FRA

 

à noter que je venais de reformater mon disque dur, et les pops ups du service messagerie et le traffic via mon firewall sont apparus dès ma première connection internet. les logs postés sont après formatage. ce qui veut dire que mon formatage est de mauvaise qualité? que dès la première connection je récupère des trucs, que j'ai un virus dans le bios??

 

merci

 

 

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Alexa Object Recognized!

Type : RegValue

Data :

Category : Data Miner

Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"

Rootkey : HKEY_USERS

Object : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping

Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}

 

Alexa Object Recognized!

Type : RegValue

Data :

Category : Data Miner

Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"

Rootkey : HKEY_USERS

Object : S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping

Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}

 

Alexa Object Recognized!

Type : RegValue

Data :

Category : Data Miner

Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"

Rootkey : HKEY_USERS

Object : S-1-5-21-1202660629-764733703-1801674531-1003\software\microsoft\internet explorer\extensions\cmdmapping

Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 3

Objects found so far: 3

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 3

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : h@bluestreak[2].txt

Category : Data Miner

Comment : Hits:11

Value : Cookie:h@bluestreak.com/

Expires : 23-03-2015 17:00:58

LastSync : Hits:11

UseCount : 0

Hits : 11

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : h@advertising[1].txt

Category : Data Miner

Comment : Hits:41

Value : Cookie:h@advertising.com/

Expires : 24-03-2010 20:54:34

LastSync : Hits:41

UseCount : 0

Hits : 41

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : h@estat[1].txt

Category : Data Miner

Comment : Hits:2

Value : Cookie:h@estat.com/

Expires : 23-03-2015 20:40:32

LastSync : Hits:2

UseCount : 0

Hits : 2

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : h@247realmedia[2].txt

Category : Data Miner

Comment : Hits:2

Value : Cookie:h@247realmedia.com/

Expires : 01-01-2011 01:00:00

LastSync : Hits:2

UseCount : 0

Hits : 2

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : h@doubleclick[1].txt

Category : Data Miner

Comment : Hits:6

Value : Cookie:h@doubleclick.net/

Expires : 24-03-2008 20:41:48

LastSync : Hits:6

UseCount : 0

Hits : 6

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : h@servedby.advertising[2].txt

Category : Data Miner

Comment : Hits:64

Value : Cookie:h@servedby.advertising.com/

Expires : 24-04-2005 20:54:34

LastSync : Hits:64

UseCount : 0

Hits : 64

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : h@www.smartadserver[2].txt

Category : Data Miner

Comment : Hits:20

Value : Cookie:h@www.smartadserver.com/

Expires : 20-03-2025 23:18:04

LastSync : Hits:20

UseCount : 0

Hits : 20

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 7

Objects found so far: 10

 

 

 

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 10

 

 

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 10

[Clafouti]

Pour éliminer le problème des popups qui s'affichent quand tu surfe, il suffit de désactiver le service de messagerie de Windows.

A part ça, ton pc à l'air sain. N'oublie pas de régulièrement aller sur Windows Update et éventuellment, utilise un autre browser que Internet Explorer.