Analyse HijackThis Calypsone

[ipl_001]

D'habitude, je ne manque pas de souhaiter la bienvenue à un nouveau membre... j'ai failli !

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Pour éviter, les posts partiels déroutants qui peuvent arriver de tous côtés, nous laissons répondre le premier intervenant... charles ingals a l'air de ne plus être en ligne...

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[ipl_001]

Rebonjour Calypsone, charles ingals, adams.familly, rebonjour à tous,

 

O4 - HKLM\..\Run: [ASRInst_V] C:\WINDOWS\system32\regsvr32.exe "C:\Program Files\Fichiers communs\Panasonic\PSL_DMOG726Dec.dll" /s

Je ne sais pas encore ce qu'est cette ligne... à mon avis, pas néfaste, connais-tu ? as-tu des périphériques de panasonic ? appareil photo ?

 

GoldenFTPserver et SlimFTPd ne sont pas néfastes mais si tu veux les désinstaller, nous allons le faire ! Grand amateur de serveurs FTP, je vois !

 

 

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Occupons nous du service

O23 - Service: SlimFTPd - Unknown owner - C:\Documents and Settings\Welcome\Mes documents\Download\slimftpd_slimftpd_3.16_anglais_10569\SlimFTPd.exe" -service (file missing)

Démarrer / Exécuter / tape services.msc et clique sur OK

Recherche la ligne SlimFTPd

Double clique sur la ligne et mets Désactivé dans la zone "Type de démarrage"

Ok

Quitte la Console Services

 

Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

- Golden FTP Server

- SlimFTPd

- VVSN

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe (SaveNow adware http://doxdesk.com/parasite/SaveNow.html )

 

O4 - HKCU\..\Run: [GoldenFTPserver] C:\Program Files\Golden FTP Server\gftp.exe

 

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

 

O23 - Service: SlimFTPd - Unknown owner - C:\Documents and Settings\Welcome\Mes documents\Download\slimftpd_slimftpd_3.16_anglais_10569\SlimFTPd.exe" -service (file missing)

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'explorateur Windows :

--- C:\Program Files\VVSN (supprime le dossier)

--- C:\Program Files\Golden FTP Server (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

[Calypsone]

En ce qui concerne les FTP, ça semble bon (oui, j'ai mis du temps avant de me fixer sur le bon, Filezilla )

 

En revanche, quand je fais le scan HijackThis, est ce que je ne devrais pas cocher l'entrée :

O4 - HKLM\..\Run: [NeroFilterCheck]C:\WINDOWS\system32\NeroCheck.exe

qui vient apparement d'un ver.

 

Ensuite, oui, ma soeur à un MP3 Panasonic.

 

Par contre, j'ai pas encore tout fini, je me suis arrété à :

 

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Vidage des zones de quarantaines, c'est quoi ? Cookies, fichiers tempos, etc ?

 

Et nettoyage de la base de registres, ça veut dire que je supprime toute les clées que EasyCleaner me renvoie ? Je peux le faire en mode normal ?

 

Une fois ces manip' faites, j'envois le rapport HijackThis (Pour info, je pose des plinthes en meme temps alors je suis pas à tps complet derrière l'écran ).

Modifié le 3 août 2005 par Calypsone

[ipl_001]

Rebonjour Calypsone, rebonjour à tous,

En revanche, quand je fais le scan HijackThis, est ce que je ne devrais pas cocher l'entrée :

O4 - HKLM\..\Run: [NeroFilterCheck]C:\WINDOWS\system32\NeroCheck.exe

qui vient apparement d'un ver.

Non, il ne vient pas du ver mais fait partie du package Nero !

Comme il n'est pas obligatoire (en lancement automatique), tu peux fixer !

 

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Vidage des zones de quarantaines, c'est quoi ? Cookies, fichiers tempos, etc ?

Dans un antivirus, il y a une zone de quarantaine dans laquelle sont mis les fichiers infectés ! par exemple dans AVG, il y a un répertoire... dont je ne me souviens pas le nom !

 

Et nettoyage de la base de registres, ça veut dire que je supprime toute les clées que EasyCleaner me renvoie ? Je peux le faire en mode normal ?

Oui !

[Calypsone]

Bon, voilà, tout est fait :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:51:53, on 03/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\sdpasvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\hphmon05.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [ASRInst_V] C:\WINDOWS\system32\regsvr32.exe "C:\Program Files\Fichiers communs\Panasonic\PSL_DMOG726Dec.dll" /s

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [PhilipsRemote] "C:\Program Files\Musicmatch\Musicmatch Jukebox\PhilipsRemote.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SDPAUMS server service (SDPASVC) -  Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\system32\sdpasvc.exe

 

 

C'est quoi la suite du programme ?

 

PS : Je t'en voudrais pas si tu me dis pas bonjour à chaque post !

Modifié le 3 août 2005 par Calypsone

[ipl_001]

Rebonjour à tous sauf à Calypsone,

 

Ton rapport HijackThis ne révèle rien d'infectieux à mes yeux !

 

Je vois que tu as désinstallé AntiVir... très bien !

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

[Calypsone]

Voila, c'est fait...

 

Pour l'optimisation, on continue sur ce forum ?

Et est ce que je doit dl Zeb-utility ?

 

EDIT : au fait, si on continue dans ce style de manip', tu peux m'expliquer en gros ce que je fais ? Je préfère apprendre et comprendre que suivre des instruction à la lettre, si ça te dérange pas de taper un peu plus !

Modifié le 3 août 2005 par Calypsone

[Thanos]

salut ipl , Calypsone

 

Désolé de vous avoir laché en cours de route! Je suis partagé entre mécanique, peinture

 

et dépannage mais je suis pas plus riche pour autant

 

dis moi Calypsone, ca correspond à quoi ce service =>

 

O23 - Service: SDPAUMS server service (SDPASVC) - Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\system32\sdpasvc.exe

 

est il nécéssaire au bon fonctionnement du matériel Panasonic?

[Calypsone]

J'en sais rien du tout, j'me sers pas du MP3 et quand on sait que ma soeur s'imagine que C: est un smiley, je la vois mal m'expliquer à quoi sa sert...

Modifié le 3 août 2005 par Calypsone

[Invité tesgaz]

Pour l'optimisation, on continue sur ce forum ?

 

on continue ici,

 

tu demandes ce que tu veux, je t'explique comment s'en passer