Analyse de rapport

jurassic herve · le 7 juin 2006

Bonsoir à tous

Je poste un rapport pour avoir votre avis de propreté

En fait j'ai toujours un problème de plantage au 1er démarrage (à froid ) sur une erreur win32k (voir http://forum.zebulon.fr/index.php?showtopic=96420)

Donc par acquis de conscience, merci de me donner votre avis.

@+

Logfile of HijackThis v1.99.1

Scan saved at 23:06:28, on 07/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\htpatch.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

c@rpe-diem · le 8 juin 2006

je ne suis pas un pro mais à premiere vue je ne vois rien de méchant. attends quand meme l'avis de pro. je m'excuse par avance si j'ai laissé quelque chose d'eventuellement néfaste

tornado · le 8 juin 2006

Bonjour jurassic herve, c@rpe-diem,

Je crois bien que cette ligne est infectieuse :

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

=> voir ici : http://fileinfo.prevx.com/spyware/qqf6c710...tpatch.exe.html

Tu vas vérifier si le fichier correspondant est infectieux ou non : C:\WINDOWS\htpatch.exe

1/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

- Va dans le poste de travail
- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

Et clique sur Ok

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

2/ Scanne le fichier C:\WINDOWS\htpatch.exe par l'intermédiaire de ces 2 sites :

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Send )

Dans les 2 cas, tu obtiendras normalement un rapport.

Copie ces 2 rapports et colle-les dans ton prochain post.

A+

jurassic herve · le 8 juin 2006

Bonsoir

J'ai fait les scan, en 1 Online malware scan, pas de rapport donc un copier coller de la page !

----------------------------------------------------------------------------------------------

File: htpatch.exe

Status:

OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 80a2e031e64e1d00ad6693ca45425c2f

Packers detected:

-

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

UNA

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

----------------------------------------------------------------------------------------------

Et pour Virustotal :

Complete scanning result of "htpatch.exe", received in VirusTotal at 06.08.2006, 20:49:09 (CET).

Antivirus Version Update Result

AntiVir 6.35.0.10 06.08.2006 no virus found

Authentium 4.93.8 06.08.2006 no virus found

Avast 4.7.844.0 06.08.2006 no virus found

AVG 386 06.08.2006 no virus found

BitDefender 7.2 06.08.2006 no virus found

CAT-QuickHeal 8.00 06.08.2006 Tool.HTPatch.a

ClamAV devel-20060426 06.08.2006 no virus found

DrWeb 4.33 06.08.2006 no virus found

eTrust-InoculateIT 23.72.31 06.07.2006 no virus found

eTrust-Vet 12.6.2248 06.08.2006 no virus found

Ewido 3.5 06.08.2006 no virus found

Fortinet 2.77.0.0 06.08.2006 no virus found

F-Prot 3.16f 06.08.2006 no virus found

Ikarus 0.2.65.0 06.08.2006 no virus found

Kaspersky 4.0.2.24 06.08.2006 no virus found

McAfee 4780 06.08.2006 no virus found

Microsoft 1.1441 06.08.2006 no virus found

NOD32v2 1.1586 06.08.2006 no virus found

Norman 5.90.21 06.08.2006 no virus found

Panda 9.0.0.4 06.08.2006 no virus found

Sophos 4.06.0 06.08.2006 no virus found

Symantec 8.0 06.08.2006 no virus found

TheHacker 5.9.8.156 06.08.2006 Aplicacion/Riskware.Tool.Htpatch

UNA 1.83 06.08.2006 no virus found

VBA32 3.11.0 06.08.2006 no virus found

Aditional Information

File size: 28672 bytes

MD5: 80a2e031e64e1d00ad6693ca45425c2f

SHA1: 82c7deac38f7905ffe75e66742aa56ff56e0b8f1

----------------------------------------------------------------------------------------------------------

Je ne trouve pas pjdkgply.exe dont tu parles ??? De quoi s'agit il ?

2/ Scanne le fichier C:\WINDOWS\htpatch.exe par l'intermédiaire de ces 2 sites :

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Send )

@+

tornado · le 8 juin 2006

Salut jurassic herve,

D'après les 2 scans, le fichier n'est pas infectieux... c@rpe-diem avait donc raison, ton rapport hijackthis est propre.

mhh.gif Je ne trouve pas pjdkgply.exe dont tu parles ??? De quoi s'agit il ?

Une mauvaise gestion du copier coller :-P ... je voulais bien sûr parler de Htpatch.exe

Concernant ton problème, je pencherais, au même titre que Gof et Angélique, à un problème matériel ...

J'aurais opté pour un problème de barrette mémoire mais bon

Si tu veux t'encombrer avec un scan (pour être sûr que ton pc est propre), fais celui de panda --> --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

PS: Une chose qui n'a strictement rien à voir avec ton problème (mais important pour la sécurité de ton système)... tu n'as aucun pare-feu d'installé.

Celui d'xp n'est pas suffisant... en effet, il ne filtre pas en sortie, cela signifie qu'un malware ayant infecté ton système peut se connecter au net sans problème.

Je te recommande donc d'en installer un vrai, tel que Zonealarm free qui est simple, efficace, et en adéquation avec Antivir ;

- Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/58-zonealarm-61-fr.html

- Tu peux t'aider de ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto1

Et le paramétrer selon cet autre tuto --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

jurassic herve · le 8 juin 2006

Bonsoir Tornado

Merci pour ton aide, j'avais interprété le copier coller trop rapide !

Je vai mettre en place un pare feu efficace et limiter mes connexions P2P (trophic http://forum.zebulon.fr/index.php?showtopic=85544) qui m'a bien alarmé. Je pense que certains déboires pourraient venir de là !

Et je continue à scanner régulièrement mon pc avec de bons outils

@+

Connexion

Pas encore inscrit ?

Analyse de rapport

Messages recommandés

jurassic herve

Lien vers le commentaire

Partager sur d’autres sites

c@rpe-diem

Lien vers le commentaire

Partager sur d’autres sites

tornado

Lien vers le commentaire

Partager sur d’autres sites

jurassic herve

Lien vers le commentaire

Partager sur d’autres sites

tornado

Lien vers le commentaire

Partager sur d’autres sites

jurassic herve

Lien vers le commentaire

Partager sur d’autres sites

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer