log hjt résultats inconnus

[matth]

Bonjour,

 

Novice avec Hijackthis, je vous soumet le log que j'ai obtenu. J'ai lu attentivement les explications données sur le site, en respectant la procédure (antivirus AVG, puis antitrojan A², puis anti spy, etc...).

 

Ce qui me fait suspecter des malwares :

- au démarrage, une fenètre s'ouvre dont le titre est "_sqlexec.exe bad image" le texte est : C:\WINNT\TEMP\aoa1.tmp is not a valid windows image. Please check this against your installation disc. Lorsque je regarde, C\WINNT\TEMP est vide. Et à chaque démarrage j'ai le même message, le nom du fichier .tmp change, c'est tout.

 

- mon firewall (ZoneAlarm) m'indique à chaque démarrage que : msnsngr.exe et MSAOL32.exe veulent se connecter. Je refuse.

 

Après analyse avec hijackthis, je pense avoir identifié plusieurs problèmes, n'étant pas expert je souhaite avoir confirmation avant de commettre l'irréparable ! Je trouve très suspects les fichiers C:\WINNT\system32\msnsngr.exe, et C:\WINNT\system32\MSAOL32.exe.

 

De même, en ligne O4,

msnsngr.exe ; mipijoro.exe ; osutityde.exe ; MSAOL32.exe ; WUpxdate.exe ; SCVHOST.exe

 

En ligne O9, "related" correspond à un adware que Spybot SD a effacé (j'ai rebooté depuis), donc suspect.

 

En O16, Windupdates a été désinstallé avant (pareil, rebooté depuis)

 

En O23 Flashget.exe correspond a un virus désinfecté par AVG, et _sqlexec.exe est celui qui a déclenché toutes mes recherches...

 

Après visite des différents sites et répertoires, SCVHOST est bien un méchant programme, msnsngr n'est pas répertorié, mais msnsngrr, lui est répertorié comme un trojan, concernant les autres programmes, je n'ai rien trouvé, ni sur les sites, ni sur Google ??? M'y serais-je mal pris ?

 

Voilà le log :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:45:39, on 14/04/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\Ati2evxx.exe

C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\ZONELABS\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgcc.exe

C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgemc.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINNT\system32\msnsngr.exe

C:\WINNT\system32\MSAOL32.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINNT\system32\RunDll32.exe

C:\WINNT\system32\MSAOL32.exe

C:\Program Files\Poste de Travail Sans Fil Labtec\MagicKey.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [systemboot] msnsngr.exe

O4 - HKLM\..\Run: [Comcast Network] C:\WINNT\SYSTEM32\mipijoro.exe

O4 - HKLM\..\Run: [Esutityde] osutityde.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\Run: [sygate Personal Firewall] WUpxdate.exe

O4 - HKLM\..\Run: [sCVHOST] SCVHOST.EXE

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\RunServices: [systemboot] msnsngr.exe

O4 - HKLM\..\RunServices: [Esutityde] osutityde.exe

O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\RunServices: [sygate Personal Firewall] WUpxdate.exe

O4 - HKLM\..\RunServices: [sCVHOST] SCVHOST.EXE

O4 - HKCU\..\Run: [systemboot] msnsngr.exe

O4 - HKCU\..\Run: [Esutityde] osutityde.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [sygate Personal Firewall] WUpxdate.exe

O4 - Global Startup: Activer le Poste de Travail Sans Fil Labtec.lnk = C:\Program Files\Poste de Travail Sans Fil Labtec\MagicKey.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: Download all by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Download by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...Bridge-c139.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\ANTIVI~1\AVGFRE~1\avgupsvc.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINNT\system32\Flashget.exe (file missing)

O23 - Service: sqlsrvd (sqlsrvdaemon) - Apple - C:\WINNT\_sqlexec.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

 

Merci d'avance pour ceux qui sauront m'aider !

 

MM

[Invité tesgaz]

Salut matth et bienvenu sur Zebulon,

 

excellente approche de ton log, tu as bien travaillé,

il te suffit de cocher toutes les lignes que tu as indiqué dans Hijackthis,

et redémarrer, refaire un log pur voir s'il n'existe pas d'autre entrées infectieuses

 

si tout les membres qui postent les logs faisaient la même analyse, ce serait beaucoup plus simple

[matth]

Salut matth et bienvenu sur Zebulon,

 

excellente approche de ton log, tu as bien travaillé,

il te suffit de cocher toutes les lignes que tu as indiqué dans Hijackthis,

et redémarrer, refaire un log pur voir s'il n'existe pas d'autre entrées infectieuses

 

si tout les membres qui postent les logs faisaient la même analyse, ce serait beaucoup plus simple

487576[/snapback]

 

Merci pour la réponse ! Pour "la qualité de mon analyse", je dois tout à l'excellente page Tutoriel d'interprétation des listes d'HijackThis, de zebulon.fr !

 

MM

 

PS : si effectivement les programmes que j'ai repéré sont des malwares, et qu'ils ne sont pas répertoriés, faut-il que je les fasse connaître ?

[Invité tesgaz]

Merci pour la réponse ! Pour "la qualité de mon analyse", je dois tout à l'excellente page Tutoriel d'interprétation des listes d'HijackThis, de zebulon.fr !

 

MM

 

PS : si effectivement les programmes que j'ai repéré sont des malwares, et qu'ils ne sont pas répertoriés, faut-il que je les fasse connaître ?

487584[/snapback]

 

on les connait pour la plupart,

mais, ton analyse personnelle est la meilleure des réponses

 

tu fixes toutes ces lignes, ensuite, tu vérifies les qualités de ta sécurité de ton pc en regardant les autres articles sur Zebulon qui concernent la sécurité, afin de ne plus avoir ces malwares sur ton système

[ipl_001]

Bonsoir matth, tesgaz, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zebulon !

 

Je me joins à tesgaz pour te dire que le "Novice avec Hijackthis" que tu dis être, est impressionnant !

 

Effectue les opérations indiquées par tesgaz et poste un nouveau rapport HijackThis que je regarderai attentivement !

 

En cochant les lignes et en cliquant sur "Fix Checked", tu désactives les éléments de la base de registres !

Il te faut aussi poursuivre le nettoyage en supprimant les fichiers du disque dur !

Si tu as des craintes, regarde la date des fichiers à supprimer : les fichiers infectieux portent la date de leur enregistrement sur ton disque et donc, si tu trouves des choses enregistrées il y a quelques jours et même avec la même date et la même heure... supprime !

Si tu as des craintes, tu peux renommer ou déplacer dans un répertoire tel que "C:\_ASuppr" pour les garder 5 jours sous le coude au cas où !

 

Il y a aussi la ligne O15 dont tu dois t'occuper :

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

 

Poste un nouveau rapport HJT que je le regarde : il y a parfois des malwares cachés par d'autres et qui se révèlent après un premier nettoyage !

[BipBip07]

Juste pour saluer ipl_001 et tesgaz

 

Aller bonne nuit...

[ipl_001]

Bonsoir BipBip07,

 

Tu es le bienvenu sur Zebulon ! Je me réjouis de te voir parmi nous !

 

BipBip, un grand merci pour tes "Consignes de sécurité" ! l'URL exacte est http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry487252 (rectifie peut-être ta signature)