Quelqu'un peu interpréter mon hijackthis

[Ibiscus]

Salut à tous,

 

Dans l'interprétation du site Hijackthis j'ai des "éventuellement méchant", mais il y a parfois des erreurs, quelqu'un peu m'aider ?

 

En vert les "éventuellement méchant"

En sur gras les "inconnu"

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:17:26, on 02/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

F:\Mes Documents\Logiciel\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://olweb.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.alcatel.com/consumer/dsl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MICRO APPLICATION - Rappel Anniversaires] C:\Program Files\Micro Application\Cartes d'Anniversaire\Rappel Anniversaires\BDR.EXE Check

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1103217954900

O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCB9829-2881-4773-BB8D-303417C204A4}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

 

Merci.

Modifié le 2 mai 2005 par Ibiscus

[PyReX]

Salut,

tu peux fixer les lignes suivantes:

 

C:\WINDOWS\vsnpstd.exe et

 

04 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe (qui apparement est un programme inconnu, et sur certains sites considéré comme un virus..)

 

016 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) -

http://downloads.winwise.fr/Common/npwwg.cab (sauf si tu connais ce site)

 

O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab

 

Cordialement

[Ibiscus]

OK merci,

 

Et les extras boutons servent à quoi ?

Modifié le 2 mai 2005 par Ibiscus

[chercheur]

Bonjour,

 

En plus des lignes conseillées par PyRex,

 

Tu peux aussi fixer avec HijackThis la ligne ci-dessous :

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE --> Consommateur inutile de ressources

 

Concernant les lignes 016, il faut savoir que l'on peut les fixer sans problèmes, car cela correspond aux ActiveX. Donc retéléchargeable à volonté.

 

 

Ne pas oublier de supprimer le fichier incriminé, s'il existe encore :

 

C:\WINDOWS\vsnpstd.exe

 

Et vide la corbeille.

 

 

Les Extras Boutons des lignes 09 correspondent aux boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE.

[ipl_001]

Bonsoir Ibizscus, PyReX, chercheur, bonsoir à tous,

 

En tant que modérateur (chargé du respect de la charte, de la bonne tenue de ce forum mais aussi de son efficacité), je me réjouis de votre participation à cette discussion !

 

- PyReX, qui est un excellent membre de Zebulon, qui ne se laisse pas impressionné par l'arrivée de tout un tas de nouveau membres qui répondent partout, souvent avec des méthodes impressionnantes !

Okay PyReX, merci pour tes participations ! Nous avons besoin de toi et de tout le monde sur Zeb'-Sécurité !

 

- chercheur, que je remercie tout particulièrement d'être sur tout forum qui a besoin d'aide !

 

Quelques remarques pour Ibiscus :

- tu as raison de te méfier du robot utilisé (j'imagine qu'il s'agit de hijackthis.de) !

- tu mets C:\WINDOWS\vsnpstd.exe en gras dans les processus mais pas dans la ligne O4 ???

- C:\WINDOWS\vsnpstd.exe est néfaste et dois être enlevé !

D'une manière générale, il n'y a pas grande incidence à enlever une bonne ligne O4 dans HijackThis (ou dans MSconfig ou dans les clés RUN de la base de registres) cra il est facile de l'y remettre

Par contre, il est très important d'enlever une ligne néfaste !

C'est pourquoi, on voit souvent comme instruction : si tu ne connais pas, coche la ligne !

Cocher la ligne dans HijackThis revient à modifier la base de registres, c'est à dire à désactiver l'activation de ce module (le lancement automatique).

Si le module est néfaste, il faut aussi supprimer le module du disque dur (pour nettoyer et ne pas laisser un élément sur lequel quelqu'un est susceptible de cliquer)

Si on n'est pas sûr de la nocivité d'un fichier : comme déjà dit, il n'y a pas grand inconvénient à fixer la ligne dans HJT... il serait une erreur de supprimer un fichier utile du disque, évidemment ! En cas de doute, in est conseillé de renommer ce fichier de manière à le rendre inopérant, par exemple de vsnpstd.exe en vsnpstd-exe.anc

- de même, comme le dit chercheur, il n'y a pas danger -au contraire- à cocher les lignes O16 qui seraient simplement téléchargées à nouveau en cas de besoin ! Ce ne sont que des modules "intermédiaires" lors d'une installation ou utilisées temporairement par exemple lors d'un scan en ligne !