[ok] demande analyse de log curiosité, pas préssé.....

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[ok] demande analyse de log curiosité, pas préssé.....

Messagede djouby » 27 Aoû 2007, 14:55

Bonjour à tous.
Cela fait quelques années que je parcours le site Assiste.com et que je le recommande
je viens de me décider à m'inscrire sur le forum.

Ma demande est plus de la curiosité car je ne rencontre pas de problème avec mon PC, cela ne veut pas dire qu'il soit propre non plus.
Personne n'étant à l'abri malgré les usages de base (kit de sécurité free proposé sur le site)

Donc voici le log Hijackthis
Autre curiosité, combien de temps cela vous prend t'il pour faire une analyse ?
Merci beaucoup à vous
Daniel




Logfile of HijackThis v1.99.1
Scan saved at 15:48:16, on 27/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NVIDIA\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\CTHELPER.EXE
D:\Appl\securite\ADaware2007\aawservice.exe
C:\Program Files\Eset\nod32kui.exe
D:\Appl\securite\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe
D:\Appl\securite\AVG Anti-Spyware 7.5\guard.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Program Files\Eset\nod32krn.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Appl\MESSAGERIE\Foxmail 5\Foxmail.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\StartupMonitor.exe
C:\Documents and Settings\djouby\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Appl\securite\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Appl\securite\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nTrayFw] C:\NVIDIA\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Appl\securite\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download all links using BitComet - res://D:\Appl\utilitaires\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Appl\utilitaires\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Appl\utilitaires\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O15 - Trusted Zone: http://download.gigabyte.com
O15 - Trusted Zone: http://www.guitare-live.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwa ... _0_4_7.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Appl\securite\ADaware2007\aawservice.exe
O23 - Service: app_filter - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Appl\securite\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
djouby
 
Messages: 29
Inscription: 27 Aoû 2007, 14:46

Messagede nickW » 27 Aoû 2007, 16:43

Bonjour,

Remarque préliminaire:
La version de HijackThis utilisée est obsolète, et en prime HijackThis est mal installé.

Mode d'emploi de HijackThis (si tu en as besoin ultérieurement):
HijackThis (de TrendMicro)
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.

Fermer absolument toutes les applications, les connexions et les navigateurs.
Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)
Cliquer sur le bouton "Do a system scan and save a logfile"
Attendre qu'une fenêtre du Bloc-notes s'ouvre.
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier sous le nom HJT1.txt.
Fermer le Bloc-notes.



Commentaires sur ton log:

0/ pas d'infection visible.
Mais tu t'en doutais ... :wink:


1/ Attention: la version de Java de Sun est totalement obsolète (et pleine de failles).
Un conseil important:
Installer la nouvelle version de Java de Sun.
Puis en désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html

Version actuelle: Java Runtime Environment (JRE) 6u2
*- http://java.sun.com/javase/downloads/index.jsp (prendre le fichier jre-6u2-windows-i586-p.exe, 13.89 MB)
*- http://www.java.com/fr/download/windows_xpi.jsp


2/ Il y a une nouvelle version de Adobe Reader.
Adobe Reader 8: http://www.adobe.com/fr/products/reader/
Note:
Si tu veux absolument conserver Adobe Reader, je te conseille d'essayer Adobe Reader SpeedUp 1.36
Sinon, il existe un autre programme pour lire des fichiers PDF, bien moins gourmand en ressources, et gratuit:
Foxit Reader: http://www.foxitsoftware.com/pdf/rd_intro.php


3/ Je vois que tu as installé BitComet.
Faire attention à ce que tu télécharges via P2P.
On peut y trouver souvent le pire, et rarement le meilleur.


4/ Sites classés comme "Sites de confiance" dans Internet Explorer
O15 - Trusted Zone: http://download.gigabyte.com
O15 - Trusted Zone: http://www.guitare-live.com
Sites non dangereux, mais doivent-ils rester en "Zone de confiance"?


5/ Un seul "inutile au démarrage".

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Pour le désactiver, lire attentivement la liste de Pacman
Voir ICI.
Note:
En ce moment, la version téléchargeable est la plus à jour.
Clic droit sur le lien:
http://assiste.com.free.fr/ftp/Startups-vf.chm
Enregistrer le fichier, puis double clic dessus pour l'ouvrir.



Voilì, voilò, voilà.

Salut,

PS1: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
PS2: Durée= environ 30 minutes, mais il n'y a aucune infection à nettoyer.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede djouby » 27 Aoû 2007, 17:18

Merci de cette réponse extrêmement rapide
Ah oui 30mn, j'ai un peu honte d'avoir demandé me doutant un peu que je n'avais pas de soucis... :oops:
Un grand merci !
j'ai imprimé ta réponse et je vais mettre à jour
Ok pour Sun je ne m'en étais pas encore occupé
sympa d'avoir mis les liens aussi !
Pour acrobat en fait je ne l'utilise plus j'ai Foxit Reader (un peu de ménage reste à faire donc...)
Pour internet explorer je ne l'utilise plus depuis longtemps y préférant Firefox, Mozilla et Opéra, juste pour les mises à jour Microsoft et justement Gygabyte pour les mises à jour de la carte mère mais oui, pas besoin non plus de le conserver dans "les sites de confiance"

Merci pour "l'inutile au démarrage" je vais regarder cela...
Merci à toi
Daniel
djouby
 
Messages: 29
Inscription: 27 Aoû 2007, 14:46

Messagede djouby » 27 Aoû 2007, 19:07

voilà, j'ai tout fait !
par contre pour la liste de démarage si je lis l'aide j'ai ceci :

Utilisé en liaison avec des vidages mémoire - vous pouvez les désactiver - en faisant un clic droit sur Poste de travail, en choisissant Propriétés puis l'onglet Avancé. Cliquez sur le bouton Paramètres dans 'Démarrage et récupération'. Dans le cadre du bas - sous 'Écriture des informations de débogage' - cliquez sur la flèche vers le bas puis choisissez 'aucun' - OK pour valider

correspondant donc à :

5/ Un seul "inutile au démarrage".

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


par contre j'avais déjà désactivé la fonction dans l'onglet Avancé ?
djouby
 
Messages: 29
Inscription: 27 Aoû 2007, 14:46

Messagede djouby » 27 Aoû 2007, 19:33

bon ? je l'ai simplement enlevé avec ccleaner, refais un log et il n'apparait plus au démarrage
impec !
merci
djouby
 
Messages: 29
Inscription: 27 Aoû 2007, 14:46


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités

cron