log hijackthis + LSA

[ipl_001]

Bonjour missjulia, Stonangel, tirol, bonjour à tous,

 

Edit: bonsoir Stonangel : c'est la même chose n'est-ce pas ?

 

La manière indiquée par tirol (ouverture de services.msc) correspond à :

- une désactivation du service

- la recherche se fait par le "nom complet"

- le service n'est pas supprimé et peut être remis en fonction (pas supprimable non plus)

 

La manière "Delete a Windows NT Service" de HijackThis correspond à :

- une vraie suppression du service dans la base de registres

- la recherche se fait par le nom de service (les chose sont ambigues à ce sujet car Merijn parle de service name or the short name between brackets)

- pas de liste pour choisir, on doit taper le nom exact

- le service doit auparavant être stoppé ou désactivé

- pas de filet

- la désactivation se fait en fixant la ligne O23

Enter the exact service name as it appears in the scan result, or the short name between brackets if that is listed.

The service needs to be stopped or disabled.

Services that belong to Microsoft, Symantec or several others are system-critical and cannot be deleted.

 

WARNING! When the service is deleted, it cannot be restored!

Une autre méthode commode est de passer par MSconfig / onglet Services (désactivation seulement).

 

Une autre méthode passe par SC.exe (XP seulement) : possiblités d'arrêt, désactivation et suppression.

 

Dernière méthode : RegEdit pour une modification manuelle de la base de Registres (arrêt, désactivation, suppression).

[missjulia]

Voilà j'ai viré cet AV (désactivé dans démarrer/exécuter, puis fermé et supprimé avec Hijackthis) et ça m'a permis de supprimer le dossier ax12 dans system32.

 

Je pense que c'est ok, est-ce que je supprime la ligne 04 contenant rundll32.exe (nvcpldaemon) et l'éventuel dossier qui irait avec?

 

Voici mon log :

Logfile of HijackThis v1.99.1

Scan saved at 11:21:51, on 04/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Palm\HOTSYNC.EXE

C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC7AF6D4-F99E-472E-9C53-1E14897F642B}: NameServer = 194.117.200.10 194.117.200.15

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

[megataupe]

Bonjour missjulia. Ton rapport n'indique plus de lignes infectées et la ligne 04 rundll32.exe n'apparaît plus sur le log. Maintenant, il est impératif que tu mettes à jour Internet Explorer pour combler les failles récentes de cette meule de gruyère .

[Jack_Burton]

Je pense que c'est ok, est-ce que je supprime la ligne 04 contenant rundll32.exe (nvcpldaemon) et l'éventuel dossier qui irait avec?

 

565200[/snapback]

 

Bonjour missjulia

 

Non il ne faut surtout pas effacer ce dossier, ca concerne ta carte graphique Nvidia

 

Ton rapport est propre.

 

Edit : grillé par megataupe : bonjour megataupe

Modifié le 4 septembre 2005 par Jack_Burton

[missjulia]

Bonjour missjulia. Ton rapport n'indique plus de lignes infectées et la ligne 04 rundll32.exe n'apparaît plus sur le log. Maintenant, il est impératif que tu mettes à jour Internet Explorer pour combler les failles récentes de cette meule de gruyère .

565210[/snapback]

 

 

Merci Mégataupe et Jack Burton,

 

Je n'utilise pas Internet Explorer mais Mozilla en fait...

 

Le seul truc qui reste supect pour moi c'est LSA détecté par Spybot et insupprimable : 2 entrées =

hkey_users\S-1-5-18\system\currentcontrol\control lsa

hkey_users\default\system\currentcontrol\control lsa

[Jack_Burton]

Merci Mégataupe et Jack Burton,

 

Je n'utilise pas Internet Explorer mais Mozilla en fait...

 

Le seul truc qui reste supect pour moi c'est LSA détecté par Spybot et insupprimable : 2 entrées =

hkey_users\S-1-5-18\system\currentcontrol\control lsa

hkey_users\default\system\currentcontrol\control lsa

565219[/snapback]

Re

Meme si tu n utilises pas IE, il faut tout de meme que tu mettes a jour ton systeme en installant au moins le service pack 1 qui comble une partie des failles de sécurité.

Modifié le 4 septembre 2005 par Jack_Burton

[megataupe]

Re. Bonjour Jack . Concernant ce lsa, voici ce que j'ai trouvé sur un autre forum :

 

- Démarrer/Exécuter/Regedit

- HKEY_LOCAL_MACHINE/systeme/currentcontrolset/control/lsa

 

Puis à droite sur la ligne "restrictanonymous" (et non "restrictanonymoussam"), il ya un chiffre entre parenthèse:

 

Si ta machine affiche "accés refusé" c'est parce-que tu dois avoir 1 ou 2, IL FAUT AVOIR 0 POUR QUE CA MARCHE. Double-clique dessus et tu rentre 0.

Eteins ton pc (et pas redemarrer pour être sûr) et rallume le.

 

Source :

 

http://forum.hardware.fr/hardwarefr/Window...et-154018-6.htm

[missjulia]

RE, re...

Merci à toi mégataupe, la valeur était bien (1) et je l'ai changée, le (0) reste bien après plusieurs redémarrages.

Pourtant Spybot détecte toujours ce "LSA" avec les deux entrées hkey\users etc, je ne comprends pas trop pourquoi ni si c'est gênant...

Modifié le 4 septembre 2005 par missjulia