Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Calypsone

Analyse HijackThis Calypsone

Messages recommandés

Bonjour à tous !

Je suis tout nouveau sur ce forum car, consécutivement au nettoyage d'été, j'ai voulu mettre au clair les problemes de sécu de ce PC qui a presque 1 ans.

 

Voici le rapport Hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:47:07, on 03/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [ASRInst_V] C:\WINDOWS\system32\regsvr32.exe "C:\Program Files\Fichiers communs\Panasonic\PSL_DMOG726Dec.dll" /s

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [PhilipsRemote] "C:\Program Files\Musicmatch\Musicmatch Jukebox\PhilipsRemote.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [GoldenFTPserver] C:\Program Files\Golden FTP Server\gftp.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SDPAUMS server service (SDPASVC) -  Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\system32\sdpasvc.exe

O23 - Service: SlimFTPd - Unknown owner - C:\Documents and Settings\Welcome\Mes documents\Download\slimftpd_slimftpd_3.16_anglais_10569\SlimFTPd.exe" -service (file missing)

 

 

Je remarque déja la présence de SlimFTP et Golden FTP, deux logiciels sensés etre désinstallé.

 

Ensuite, pendant la manip de pré-nettoyage décrite dans l'épinglé, j'ai trouvé deux virus : Openstream.W, dans un zip de chez Java et TR/Copiet.B.1 mais google ne pas avancé là dessus.

 

Voila, voila, à mon avis, y a du boulot ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

salut

 

des infos concernant ce service=>

"O23 - Service: SlimFTPd - Unknown owner - C:\Documents and Settings\Welcome\Mes documents\Download\slimftpd_slimftpd_3.16_anglais_10569\SlimFTPd.exe" -service (file missing)"

 

si tu jactes anglais,jette un oeil sur ce lienhttp://www3.ca.com/securityadvisor/pest/pe...px?id=453076526

 

A mon avis dangereux si ce n'est pas toi qui l'a installé=>

  FTP Server :  When installed without user awareness, an FTP server allows an attacker to download any file in the user's machine, to upload new files to that machine, and to replace any existing file with an uploaded file.

 

A désactiver d'urgence!

 

fais aussi vérifier ces fichiers par jotti:http://virusscan.jotti.org/

C:\WINDOWS\system32\sdpasvc.exe, je ne vois pas ce qu'il fait dans systeme32

C:\WINDOWS\system32\regsvr32.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour SlimFTP, je l'avais installé moi même il y a longtemps, mais depuis, je l'ai désinstallé. Comment le désactiver ?

 

Pour sdpasvc.exe j'obtiens :

 

POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

 

Fortinet : Found W32/Startpage.DU-dr

 

Et pour : regsvr32.exe, quasi la meme chose :

 

INFECTED/MALWARE

 

Fortinet : Found W32/Startpage.DU-dr

Partager ce message


Lien à poster
Partager sur d’autres sites

En utilisant ce site : http://assiste.free.fr/ et plus particulièrement ceci :

http://assiste.files.free.fr/h/Startups-vf.chm , j'ai analysé les programmes se lancant au démarrage de mon PC. Apparemment, y a des trucs pas terrible, mais j'aimerais savoir ce qu'il faut faire précisement avant de tout supprimer comme un bourrin ! :-P

 

Voila les plus inquietant :

 

NeroCheck :

Ajouté par le ver DOOMJUICE.B! Note - ce n'est pas le véritable programme de gravure CD Ahead Nero. De même ce n'est pas le véritable éditeur de Registre Windows qui se trouve dans C:\Windows ou C:\Winnt alors que cette version est dans C:\Windows\System (Win9x/Me), C:\Winnt\System32 (WinNT/2K) ou C:\Windows\System32 (WinXP)

 

NvCpl :

Ajouté par le ver YANZ.B!

 

hpcmpmgr :

?? (aucune info)

 

HPHmon05 :

?? (aucune info)

 

PSL_DMOG726Dec :

Meme pas dans la liste :P

 

VVSN :

Logiciel publicitaire SaveNow (lui, il me fait ch*** j'arrive pas à le virer, j'ai déja essayé)

 

gftp :

 

Pas dans la liste non plus, mais il semble associé à Golden FTP, logiciel que j'ai désinstaller depuis longtps mais qui à l'air de se plaire sur mon PC ! Je le trouve au démarrage et Hijack l'avais déja repéré... :P

 

Si quelqu'un peut m'expliquer comment nettoyer tout ça, j'ai bien envie de rendre mon PC tout clean ! :-(

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Calypsone, bonjour à tous,

 

---édition : bonjour adams.familly

 

Je suppose que ce message est en rapport avec une autre discussion ( http://forum.zebulon.fr/index.php?showtopic=71824 )... je fusionne

 

Attention ! Il faut une bonne habitude pour analyser tes fichiers au démarrage et ton rapport HijackThis car il y a tout un tas de pièges mis par les pirates !

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai déja fait une analyse HijackThis dont le topic se trouve ici : http://forum.zebulon.fr/index.php?showtopic=71824

 

En fait, je voudrais surtout savoir si les traces des deux vers prouvent la présence des vers eux même alors que ni antivir, ni AVG ne les as vu.

Et j'aimerais savoir comme virer ce VVSN...

Modifié par Calypsone

Partager ce message


Lien à poster
Partager sur d’autres sites

"En fait, je voudrais surtout savoir si les traces des deux vers prouvent la présence des vers eux même alors que ni antivir, ni AVG ne les as vu."

Réponse : non !

 

Les pirates font en sorte de multiplier les ambiguités de manière à ce que :

- soit, on supprime les vrais fichiers standards de Windows

- soit on laisse les malwares en place !

 

 

Par exemple pour

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

 

CastleCops indique que selon le cas, NeroCheck peut être le programme légitime (U ci-dessous) ou un malware "X ci-dessous) :

NeroCheck U nerocheck.exe Associated with "Nero Burning Rom" CD writing software. Checks for driver issues

NeroFilterCheck U NeroCheck.exe Associated with "Nero Burning Rom" CD writing software. Checks for driver issues

Sheduler X nerocheck.exe Added by the WIN32.TACTSLAY.B TROJAN!

( http://castlecops.com/modules.php?name=Sta...y=NeroCheck.exe )

 

Maintenant, U signifie que tu peux l'enlever du démarrage automatique sans mettre ton système en péril !

Mais si tu soupçonnes un malware (X), il te faut aussi enlever toute trace du malware en supprimant des fichiers du disque !

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok, c'est un peu le bazar dans mon topic ^^ !

 

Bon, en résumé :

 

1° Comment enlever VVSN, un adware.

 

2° Que faire pour ça :

Pour sdpasvc.exe j'obtiens :

 

POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

 

Fortinet : Found W32/Startpage.DU-dr

 

Et pour : regsvr32.exe, quasi la meme chose :

 

INFECTED/MALWARE

 

Fortinet : Found W32/Startpage.DU-dr

 

3° Comment effacer la trace de Golden FTP et Slim FTP, deux logiciels de transferts FTP désinstallés depuis longtemps qui ne sont apparemment pas completement morts.

 

4° Super ce forum, les membres répondent rapidement et clairement, je sens que je vais m'y installer ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×