analyse log

joesat · le 4 novembre 2005

bonjour à tous,

ayant un souci de ralentissement de fonctionnement du PC (cause trop peu de mémoire virtuelle ou autre?), j'ai fait un peu de ménage sur le DD puis je me suis demandé si un méchant malware n'était pas de la partie...

j'ai suivi la procédure prés analyse plus ad aware et spybot qui n'ont trouvé que 1 cookie traceur.

merci pour vos réponses.

Logfile of HijackThis v1.99.1

Scan saved at 12:12:15, on 03/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Famille\TLCHAR~1\spybot\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Steganos Internet Anonyme - {00000000-5736-4205-0008-781cd0e19f00} - c:\famille\téléchargement\sia7\steganos internet anonym pro 7\siapro7iep.dll

O4 - HKLM\..\Run: [AVGCtrl] "C:\Famille\téléchargement\antivir\AVGNT.EXE" /min

O4 - HKLM\..\Run: [AVSCHED32] C:\Famille\téléchargement\antivir\AVSched32.EXE /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Famille\téléchargement\firewall\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [POP Peeper] "C:\Famille\téléchargement\pop peeper\POPPeeper.exe" -min

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL

O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} -

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\FAMILLE\TéLéCHARGEMENT\ANTIVIR\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Famille\téléchargement\antivir\AVWUPSRV.EXE

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

Jack_Burton · le 4 novembre 2005

Bonjour,

J analyse ton rapport, réponse dans un moment!

julkien · le 4 novembre 2005

salut

je suis pas un pros du log mais :

O4 - HKCU\..\Run: [POP Peeper] "C:\Famille\téléchargement\pop peeper\POPPeeper.exe" -min

ca ca doit pas etre clean...

sinon tu peux fixer ca :

O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)

O23 - Service: X10 Device Network Service (x10nets) - Unknown ownerC:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

voili voila enfin peut etre qu'un pros du log y veras d'autre chose...

Modifié le 4 novembre 2005 par julkien

Jack_Burton · le 4 novembre 2005

Re, mise a part quelques lignes superflues je ne vois rien d infectueux sur ton rapport!

Tu prétends avoir des ralentissement de fonctionnement du PC, c est peut etre l utilisation du logiciel Steganos Internet Anonyme qui ralenti le systeme!

Edit : julkien bonjour,

tout ce que tu as mentionné n est pas infectueux :

-pop peeper : notificateur de mails!

-X10 Device Network Service : ligne légitime : http://castlecops.com/o23list-48.html

-O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing) <--- ligne inutile mais pas infectueuse!

Modifié le 4 novembre 2005 par Jack_Burton

joesat · le 4 novembre 2005

Salut

pop peeper est un notificateur de mails trés pratique car il permet de connaitre les en-têtes des mails sans les télécharger physiquement sur ton PC et les supprimer du serveur à distance.

Il est indispensable, léger, freeware.

Pour stéganos internet anonyme ça fait longtemps que je l'ai...

Bref je vais aller voir ailleurs l'origine du problême.

en tout cas merci de la rapidité des réponses.

PS : pop peeper ne devrait-il pas être recommandé absolument par les pros de la sécurité?

Modifié le 4 novembre 2005 par joesat

Jack_Burton · le 4 novembre 2005

Pour stéganos internet anonyme ça fait longtemps que je l'ai...

Donc les ralentissements ne sont pas apparus a l installation de ce logiciel!

Télécharge et installe Ewido, mets le a jour et scanne ton systeme avec, puis colle moi son rapport je te prie!

pop peeper ne devrait-il pas être recommandé absolument par les pros de la sécurité?

Comment ca? Que veux tu dire par la?

Modifié le 4 novembre 2005 par Jack_Burton

joesat · le 4 novembre 2005

Donc les ralentissements ne sont pas apparus a l installation de ce logiciel!

Télécharge et installe Ewido, mets le a jour et scanne ton systeme avec, puis colle moi son rapport je te prie!

c'est parti!

julkien · le 4 novembre 2005

salut jack_burton

j'ai jamais dit que c'etait infectieux, j'ai juste dit qu'il pouvait les fixers (enfin bon me suis tromper au moins pour une ligne)

et pour POPPeeper.exe, j'ai juste dit que cela devrait pas etre trop clean et la je me suis bien planté ca m'apprendras a pas verifier

Jack_Burton · le 4 novembre 2005

Re bonjour julkien,

j'ai jamais dit que c'etait infectieux, j'ai juste dit qu'il pouvait les fixers (enfin bon me suis tromper au moins pour une ligne)

J ai jamais dit le contraire!

Pour ces 2 lignes tu n as fait que confirmer ce que j ai dit en écrivant "mise a part quelques lignes superflues je ne vois rien d infectueux sur ton rapport!"

De toute facon ce n est pas ces 2 lignes qui risquent de ralentir le systeme!

Moi j avais pensé a Steganos mais d apres joesat cela ne semble pas etre le cas!

joesat, une fois que tu auras terminé le scan avec Ewido pourrais tu me poster un rapport hijackthis fait en mode normal s il te plait, j ai oublié de te le demander (désolé pas encore réveillé )

Edit : je dois m absenter un moment, je reprendrais l analyse des mon retour a moins qu un autre membre ait pris le relais, a tout a l heure, bonne journée a tous

Modifié le 4 novembre 2005 par Jack_Burton

joesat · le 4 novembre 2005

et voili

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

+ Créé le: 10:13:01, 04/11/2005

+ Somme de contrôle: 4EC407F1

+ Résultats du scan:

HKU\S-1-5-21-515967899-796845957-725345543-1005\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{669695BC-A811-4A9D-8CDF-BA8C795F261C} -> Spyware.PowerStrip : Nettoyer et sauvegarder

:mozilla.44:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder

:mozilla.71:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.84:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Tribalfusion : Nettoyer et sauvegarder

:mozilla.85:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder

:mozilla.86:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder

:mozilla.87:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder

:mozilla.88:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder

:mozilla.94:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.95:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.153:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.154:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.155:C:\Documents and Settings\u\Application Data\Mozilla\Profiles\default\pak6ta77.slt\cookies.txt -> Spyware.Cookie.Adserver : Nettoyer et sauvegarder

C:\Documents and Settings\u\Cookies\[email protected][1].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\u\Cookies\u@targetnet[1].txt -> Spyware.Cookie.Targetnet : Nettoyer et sauvegarder

::Fin du rapport

et un log hijack en mode normal, un!

Logfile of HijackThis v1.99.1

Scan saved at 10:16:01, on 04/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Famille\téléchargement\antivir\AVWUPSRV.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Famille\téléchargement\antivir\AVGNT.EXE

C:\Famille\téléchargement\antivir\AVSched32.EXE

C:\Famille\téléchargement\firewall\ZoneAlarm\zlclient.exe

C:\Famille\téléchargement\pop peeper\POPPeeper.exe

C:\FAMILLE\TéLéCHARGEMENT\ANTIVIR\AVGUARD.EXE

C:\Program Files\mozilla.org\Mozilla\mozilla.exe

C:\Documents and Settings\u\Bureau\ewido\security suite\ewidoguard.exe

C:\Documents and Settings\u\Bureau\ewido\security suite\ewidoctrl.exe

C:\Documents and Settings\u\Bureau\ewido\security suite\SecuritySuite.exe