rapport HJT

[zaran]

Bonjour et bonne année à tous,

 

Pour faire court voici pourquoi je poste un rapport HJT

Bonjour à tous,

 

Dsl pour le retard mais avec les fêtes et tout....

 

Bon je vois que tu veux réinstaller attend un peu on va peut être essayer de voir à quoi correspond cette infection détectée par AntiVir (très bon soit dit en passant )

 

Si tu n's pas encore tout formater alors je te propose d'exécuter la procédure de désinfection que tu trouveras au bas de ma signature. Ensuite n'oublie pas de poster ton rapport sur le forum Sécurité, des coseillés en sécurité seront là pour t'aider.....moi je suivrais de loin pour apprndre encore

 

@+

 

 

Voici ce qui a motivé Lord Vamp à me faire cette suggestion:

Je visite l'observateur d'événements (même avertissements qu'hier dans la rubrique application, dans sécurité il n'y a rien) et je découvre ceci dans système:

 

Type de l'événement : Avertissement

Source de l'événement : H+BEDV AntiVir

Catégorie de l'événement : Infection

ID de l'événement : 4113

Date : 29/12/2005

Heure : 8:28:13

Utilisateur : AUTORITE NT\SYSTEM

Description : AntiVir has detected 'SPR/Fake.SpyAxe.3' into the file C:\Program Files\SpywareBlaster\sbautoupdate.exe

 

C'est curieux, non

 

 

Voici le rapport HJT:

Logfile of HijackThis v1.99.1

Scan saved at 10:44:16, on 1/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Userinit.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: WordWeb.lnk = C:\Program Files\WordWeb\wweb32.exe

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\system32\wweb32.dll/lookup.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1134312161245

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

La question: Mon PC est-il infecté ou non ?

[Jack_Burton]

Bonjour et bonne année!

 

La question: Mon PC est-il infecté ou non ? icon_Balle.gif

Ton PC j en sais rien par contre ton rapport est propre !!

 

Tu peux fixer ces lignes inutiles :

 

Mais avant de fixer ces lignes désactive le TeaTimer de Spybot car il risque de bloquer les corrections dans la base de registre! Tu vas dans "outils/mode avancé/résident/et tu décoches Résident Teatimer" puis tu valides!

 

Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1134312161245

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

 

 

Pour ton probleme :

Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Modifié le 1 janvier 2006 par Jack_Burton

[zaran]

Voici le résultat du scan Ewido:

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 12:47:39, 1/01/2006

+ Somme de contrôle: 4693973D

 

+ Résultats du scan:

 

Pas de fichiers infectés trouvés!

 

 

::Fin du rapport

 

J'ai également fixed les lignes inutiles.

 

Les problèmes de blocages aléatoires ne semble pas du à une infiction.

 

A+

[Jack_Burton]

Re bonjour,

 

Description : AntiVir has detected 'SPR/Fake.SpyAxe.3' into the file C:\Program Files\SpywareBlaster\sbautoupdate.exe

 

C est une fausse alerte!

sbautoupdate.exe est bien légitime! Voir ici

[zaran]

Merci pour l'info concernant l'alerte d'Antivir.

 

Bien, je vais continuer à chercher pourquoi j'ai ces blocages intempestifs.

 

Merci Jack.

[Jack_Burton]

De rien!

 

Les problèmes de blocages aléatoires ne semble pas du à une infiction.

J avais pas vu cette discussion, désolé!

Mais d apres ton rapport hijackthis et celui d Ewido, ton systeme ne semble pas infecté!

 

Type de l'événement : Avertissement

Source de l'événement : Tcpip

Catégorie de l'événement : Aucun

ID de l'événement : 4226

Description :

TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.

Voici ce que j ai trouvé la dessus :

 

7 - La limitation à 10 connexions/seconde du SP2

 

Dans le but de tenter de réduire la vitesse de propagation des virus, Microsoft a mis en place dans le SP2 un mécanisme (discutable) qui limite la création de connexions TCP à 10 par seconde maximum.

 

Pour être précis:

Il limite à 10 tentatives de connexion TCP sortantes non répondues par seconde.

 

Si vos logiciels dépassent ce seuil (très rare) vous verrez une alerte dans le journal d'évènement système :

"ID évèn.:4226: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées."

 

Cela ne bloque en rien vos logiciels : la requête est juste légèrement retardée, en aucun cas coupée par le SP2.

 

Cela ne limite pas non plus le nombre de connexions simultannées que peuvent faire vos logiciels.

Il s'agit juste du nombre de connexions créées par seconde.

Vous pouvez sans problème avoir 150 connexions simultanées en SP2.

 

Cela n'influe pas non plus sur le débit de votre connexion..

Il s'agit seulement d'une limite de la création des connexions, pas de leur utilisation.

 

Source : commentcamarche.net

 

Pour les autres alertes, j ai également fait une recherche sur google, et il semblerait que cela soit aussi lié a l installation du SP 2 de XP

[Lord Vamp]

Re,

 

Dsl mon ami, mais là, si Jack dit que c'est ok, ben je sais plus quoi faire.... Attends l'avis de quelqun d'autre pour voir.

[zaran]

Merci pour votre dévouement,

 

Je n'ai pas encore fini de préparer tout ce dont j'aurai besoin pour créer mon CD d'install avec nLite, jusque là, pas de problème, si quelqu'un à une suggestion à faire je l'accueillerai avec plaisir. Je préfère toujours trouver l'origine d'un problème plutôt que de faire un formatage. Avec le formatage, on n'apprends rien!

 

A+