Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

mon log hijackthis

tornado

Par tornado
dans Analyses et éradication malwares

 Partager

Messages recommandés

tornado Full Patch Member

tornado

Posté(e)
Posté(e)

bonjour a toute l'équipe de zébulon

voila je viens de faire un log hjt et g des doutes sur certains fichiers. je suis pas sur mais je crois que "C:\WINDOWS\system32\spoolsv.exe" est un virus ou trojan.

pouvez vous m'analysez mon log .

merci d'avance

 

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:18:09, on 01/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\OD\Mes documents\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm

O8 - Extra context menu item: E&xporter vers Microsoft E

 

xcel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B64320EF-712A-4B0C-A359-D68934666AB3}: NameServer = 217.19.192.132 217.19.192.131

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Lien vers le commentaire
Partager sur d’autres sites

angelique Devil Member !

angelique

Posté(e)
Posté(e)

c'est la bonne place pour le spoolsv.exe

 

Name: Spoolsv

 

Description: Added by the CIADOOR.121 VIRUS! Note - "Spoolsv.exe" is located in the Windows or Winnt directory, and not in System32, like the legitimate Spoolsv.exe system file

 

sinon,je vois rien d'infectieux ds ton log!

 

et O17 - HKLM\System\CCS\Services\Tcpip\..\{B64320EF-712A-4B0C-A359-D68934666AB3}: NameServer = 217.19.192.132 217.19.192.131

correspond à ton fournisseur d'acces:

217-19-192-132.dti.cegetel.net (217.19.192.132)

 

217.19.192.0 - 217.19.193.255

CEGETEL ACCES INTERNET SECURISE AIS-V2, serveurs communs

 

 

Network Support Team - DTI

Cegetel - DTI

1 place Carpeaux

92915 Paris La Defense Cedex

+33 1 71070707

Lien vers le commentaire
Partager sur d’autres sites
tornado Full Patch Member

tornado

Posté(e)
  • Auteur
Posté(e) (modifié)
c'est la bonne place pour le spoolsv.exe

 

Name: Spoolsv

 

Description: Added by the CIADOOR.121 VIRUS! Note - "Spoolsv.exe" is located in the Windows or Winnt directory, and not in System32, like the legitimate Spoolsv.exe system file

 

sinon,je vois rien d'infectieux ds ton log!

 

et O17 - HKLM\System\CCS\Services\Tcpip\..\{B64320EF-712A-4B0C-A359-D68934666AB3}: NameServer = 217.19.192.132 217.19.192.131

correspond à ton fournisseur d'acces:

217-19-192-132.dti.cegetel.net (217.19.192.132)

 

217.19.192.0 - 217.19.193.255

CEGETEL ACCES INTERNET SECURISE AIS-V2, serveurs communs

 

 

 

 

Network Support Team - DTI

Cegetel - DTI

1 place Carpeaux

92915 Paris La Defense Cedex

+33 1 71070707

581415[/snapback]

 

oui g bien cegetel comme fai.

donc spoolsv.exe est bien un fichier malveillant????

comment je fais pour le supprimer ?? je coche la ligne qui correspond ds hjt ... ou je fé ça en mode sans échec...

merci d'avance.

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonjour à tous :P . Ce spoolsv.exe est un fichier légitime d'XP et il est bien placé dans le répertoire system32 donc, ne pas y toucher :

 

SpoolSV.exe

 

(Microsoft)

 

 

Windows 2000/XP/2003 only. This is the Spooler service which manages spooled fax and print jobs.

 

Recommendation :

An integral part of the operating system, leave alone.

 

Ne pas confondre avec :

Spoolvse.exe

 

You have a Trojan virus which you picked up probably through the use of file sharing software like KaZaA, or through downloading and installing something from a malicious web page.

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour tornado, angelique, megataupe, bonjour à tous,

 

Je confirme ce que dit megataupe !

Dans ma société, nous avons de nombreux serveurs Citrix et ce spoolsv est parfois déchargé de la mémoire, ce qui cause des impossibilités d'impression pour les utilisateurs à l'autre bout du monde ! Je le connais bien !

merci pour l'info megataupe j'avais des doutes parce que j'ai déja eu affaire à un virus qui lui ressemble(celui que tu as cité). donc  encore merci :P

581490[/snapback]

Pourquoi cette question dans le message initial, alors ?
voila je viens de faire un log hjt et g des doutes sur certains fichiers. je suis pas sur mais je crois que "C:\WINDOWS\system32\spoolsv.exe" est un virus ou trojan.
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...