Analyse de log

[Alf42]

Bonjour à tous!!

 

voici le log que m'a donné hijackthis dernier version.

J'ai des doutes sur la clef O17: je ne sais pas si c'est mon provider (le 9), comment le savoir?

Sinon, voyez-vous des choses inutiles ou malfaisantes?

 

Merci beaucoup!!

Alf

 

Logfile of HijackThis v1.99.1

Scan saved at 14:29:42, on 19/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\TYPSOF~1\ftpserv.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\DynSite\DynSite.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

C:\Program Files\3M\PSNotes\psn.exe

C:\PROGRA~1\3M\PSNotes\PSNGive.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\mysql\bin\mysqld-nt.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\WINDOWS\system32\spupdsvc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spnpinst.exe

C:\WINDOWS\system32\Sysocmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\eMule\emule.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: AmsServer

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FTP Server] C:\PROGRA~1\TYPSOF~1\ftpserv.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DynSite] C:\Program Files\DynSite\DynSite.exe

O4 - Global Startup: Explorer.lnk = C:\WINDOWS\explorer.scf

O4 - Global Startup: Internet Explorer.lnk = C:\Program Files\Internet Explorer\iexplore.exe

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes\psn.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{C11BBC6A-D3EC-44E0-8A81-5353DCC2B9FD}: NameServer = 80.118.192.100 80.118.196.36

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Apache2 - Unknown owner - C:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Jack_Burton]

Bonjour Alf42 et bienvenu sur le forum sécurité de zebulon

 

J analyse ton rapport réponse dans un petit moment.

 

 

C:\Program Files\eMule\emule.exe

Attention au P2P c est contraire a la charte de zebulon et peut etre source de nombreux problemes

Modifié le 19 septembre 2005 par Jack_Burton

[Jack_Burton]

Re,

 

Je ne vois rien d infectueux sur ton rapport.

Cependant tu peux fixer cette ligne :

O1 - Hosts: AmsServer

 

Je ne vois pas la trace de firewall, tu devrais en installer un si tu n en as pas ou si tu utilises la passoire livrée avec XP. Tu en trouveras 3 avec des tutos dans "les consignes de sécurité" en bas pres de ma signature.

 

J'ai des doutes sur la clef O17: je ne sais pas si c'est mon provider (le 9), comment le savoir?

Cette ligne n a rien d infectueuses, elle représente ton réseau ou ta connexion configurée manuellement.

 

Sinon, voyez-vous des choses inutiles ou malfaisantes?

 

Oui, Emule !!!

 

On peut optimiser ton systeme . Apres c est a toi de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. Si tu veux optimiser ton systeme, je te ferais fixer d autres lignes.

Modifié le 19 septembre 2005 par Jack_Burton

[megataupe]

Salut Jack . Il vaudrait mieux fixer cette ligne qui touche au fichier hosts :

 

O1 - Hosts: AmsServer

[Jack_Burton]

Bonjour megataupe

 

Oui oui oui merci megataupe, je n avais meme pas vu cette ligne tellement elle était petite. Il faut la fixer évidemment je corrige cet oubli merci mégataupe!! Quelle vision de lynx dis donc

Modifié le 19 septembre 2005 par Jack_Burton

[BipBip07]

voici le log que m'a donné hijackthis dernier version.

J'ai des doutes sur la clef O17: je ne sais pas si c'est mon provider (le 9), comment le savoir?

ici: http://www.dnsstuff.com/

 

coller l'adresse 80.118.192.100 ou 80.118.196.36 dans "whois"

 

Et voila le résultat:

 

role:          LDCOM Legal Contact

address:        neuf telecom

address:        Immeuble Quai Ouest

address:        40-42 Quai du point du jour

address:        92659 Boulogne Billancourt

address:        France

fax-no:        +33 1 58 63 18 18

[...]

A+

[Alf42]

Bonjour à tous!!

Merci pour les infos.

J'ai viré emule, je vais installer un firewall digne de ce nom et j'ai fixé la ligne O1 - Hosts: AmsServer

 

Mais je veux bien une optimisation de mon système Jack

 

Je remets un log ayant eu des modifs depuis la dernière fois.

 

PS: Par contre, je ne reçois pas de notification mail pour les réponses. C'est normal?

Merci.

 

Alf

 

Logfile of HijackThis v1.99.1

Scan saved at 11:49:35, on 21/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\TYPSOF~1\ftpserv.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\DynSite\DynSite.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\mysql\bin\mysqld-nt.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\WINDOWS\system32\spupdsvc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spnpinst.exe

C:\WINDOWS\system32\Sysocmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\3M\PSNotes\psn.exe

C:\PROGRA~1\3M\PSNotes\PSNGive.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FTP Server] C:\PROGRA~1\TYPSOF~1\ftpserv.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DynSite] C:\Program Files\DynSite\DynSite.exe

O4 - Global Startup: Explorer.lnk = C:\WINDOWS\explorer.scf

O4 - Global Startup: Firefox.lnk = C:\Program Files\Mozilla Firefox\firefox.exe

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes\psn.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O17 - HKLM\System\CCS\Services\Tcpip\..\{C11BBC6A-D3EC-44E0-8A81-5353DCC2B9FD}: NameServer = 80.118.196.42 80.118.192.112

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache2 - Unknown owner - C:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Jack_Burton]

Bonjour Alf42

 

je ne vois toujours rien d infectueux sur ton systeme.

 

Mais je veux bien une optimisation de mon système Jack icon_smile.gif

Il faut savoir qu optimiser le systeme va jouer sur le confort de l utilisateur, certains programmes ne se lanceront plus au démarrage, certains menus contextuels ou boutons additionnels de Internet Explorer vont etre supprimés (rien de génant pour toi car je peux voir sur ton rappport que tu utilises Firefox).

Désires tu donc une optimisation sachant tout cela??

 

PS: Par contre, je ne reçois pas de notification mail pour les réponses. C'est normal?

 

Comment ca?? Tu veux dire recevoir un mail a chaque fois que l on répond sur ton post?? Je ne sais pas si c est possible ca. Moi je ne recois des mails que lorsque l on m envoie des MP (Message Personnel).

Modifié le 21 septembre 2005 par Jack_Burton

[Alf42]

Désires tu donc une optimisation sachant tout cela??

Oui je veux bien

Merci.

 

Je croyais que pour les mails, c'était lors des réponses.

J'ai cette option lorsque je fais un message ou une réponse dans "Les options du message": "Actuellement vous recevez les notications email lors de réponses."

Mais c'est pas grave, je viens plus souvent ici comme ça

[Jack_Burton]

Re,

 

Tu peux fixer ces lignes :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FTP Server] C:\PROGRA~1\TYPSOF~1\ftpserv.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

 

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DynSite] C:\Program Files\DynSite\DynSite.exe

O4 - Global Startup: Explorer.lnk = C:\WINDOWS\explorer.scf

O4 - Global Startup: Firefox.lnk = C:\Program Files\Mozilla Firefox\firefox.exe

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes\psn.exe

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

 

Voila déja ce que tu peux commencer a fixer.

Si tu n es pas satisfait du résultat tu pourras faire marche arriere car Hijackthis fait des sauvegardes des lignes fixées

Modifié le 21 septembre 2005 par Jack_Burton