[Ok] Log Hijackthis aprés mini-map

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[Ok] Log Hijackthis aprés mini-map

Messagede Adar » 11 Mar 2006, 22:47

Bonsoir,

Suite à ce message http://assiste.forum.free.fr/viewtopic.php?t=11042 je poste un log hijackthis aprés une mini-map. KAV, A²Squared, Pest-Patrol et Spybot n'ont rien détecté. Par contre le logiciel anti-espion de Oupost Pro a détecté 3 objets: handy kelogger, elite keylogger et boss everyware. Il les a mis en quarantaine et je les ai supprimé. Enfin ad-aware a de nouveau détecté l'objet dont je parle dans mon message sur le forum sécurité et décontamination. J'ai voulu le supprimer mais spybot m'en a empêché (note: ce qui avait déjà été le cas. J'avais donc désactivé tea-timer pour supprimer cet objet. Mais il est revenu. Ne semble pas être un virus, Ad-Awre signale une vulnérabilité, puisque je n'ai aucun ralentissement ni aucun problèmes particuliers.)

Ce qui m'inquiète surtout ce sont les keylogger. Je vais redémarrer l'ordinateur et procéder à une nouvelle analyse avec outpost.

Merci pour l'analyse de mon log hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 22:36:21, on 11/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\PivX\PreEmpt\loadsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\G-VGA.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\PivX\PreEmpt\PreEmptST.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\PestPatrol\ppmemcheck.exe
c:\Program Files\PestPatrol\ppcontrol.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.belarc.com/Programs/advisor_update.exe
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [VGAUtil] C:\WINDOWS\system32\G-VGA.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] c:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CORSAIR_PLUtil] C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe
O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [PPMemCheck] c:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: PreEmpt.lnk = C:\Program Files\PivX\PreEmpt\PreEmptST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{6739F0AB-972D-439B-A285-9F5738C76119}: NameServer = 192.168.1.1
O18 - Protocol: aim - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: shell - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PreEmpt (qfcoresvc) - PivX Solutions, Inc. - C:\Program Files\PivX\PreEmpt\loadsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Dernière édition par Adar le 12 Mar 2006, 14:36, édité 1 fois.
Adar
 
Messages: 75
Inscription: 25 Jan 2006, 21:19

Messagede nickW » 11 Mar 2006, 23:38

Bonsoir,

Je ne vois rien de spécial dans ce log.

Voici les caractéristiques (nom des fichiers et clés de Registre) des trois "malveillants" détectés:

Handy Keylogger 3.25
http://www3.ca.com/securityadvisor/pest ... =453096599
hk_setup.exe
systemroot+\system32\xmlext\uninstall.exe
systemroot+\system32\xmlext\trace.exe
svchost.exe
systemroot+\system32\xmlext\setup.exe
splash.exe
shadow32.exe
qutils.dll
psapi.dll
hutils.dll
hlib32.dll
ddemal.bin
hk_setup.exe
hlib32.dll
hutils.dll
msidllsi.dat
psapi.dll
qutils.dll
setup.exe
shadow32.exe
svchost.exe
trace.exe
uninstall.exe
splash.exe
systemroot+\system32\xmlext\setup.exe
systemroot+\system32\xmlext\trace.exe
systemroot+\system32\xmlext\uninstall.exe
systemroot+\system32\xmlext\wrk.log
C:\WINDOWS\system32\xmlext
Clés de registre:
HKEY_CLASSES_ROOT\clsid\{d8f6a9af-4f03-88bb-298b-f16260e36c29}
HKEY_LOCAL_MACHINE\software\microsoft\wabcom


Boss Everyware
http://www.pestpatrol.com/spywarecenter ... =453097516
wsa32.dll
wsa32.dll
2598972
profilepath+\start menu\programs\boss everyware 2
C:\WINDOWS\system32\wsa32
Clés de registre:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\boss everyware 2.8_is1
HKEY_LOCAL_MACHINE\software\jmerik\bosseveryware
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\beconfig.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\bewrep.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\wsa32.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run syswsa32


Elite Keylogger
http://www3.ca.com/securityadvisor/pest ... =453094224
programfilesdir+\widestep software\elite keylogger\uninstall.exe
programfilesdir+\widestep software\elite keylogger\logs viewer.exe
windump.exe
ek_setup.exe
programfilesdir+\widestep software\elite keylogger\mciole.dll
ek_manual.chm
ek_setup.exe
logs viewer.exe
mciole.dll
mscache.sys
msidllcom.dat
tdiip.sys
uninstall.exe
usbkbd.sys
windump.exe
commonprograms+\widestep elite keylogger 2.6\uninstall.lnk
commonprograms+\widestep elite keylogger 2.6\view logs.lnk
programfilesdir+\widestep software\elite keylogger\logs viewer.exe
programfilesdir+\widestep software\elite keylogger\mciole.dll
programfilesdir+\widestep software\elite keylogger\uninstall.exe
systemroot+\help\ek_manual.chm
systemroot+\system32\mscache.sys
C:\Program Files\widestep software\elite keylogger
Clés de registre:
HKEY_CLASSES_ROOT\clsid\{0a252b94-2fcd-bbf8-8add-aa019f83938e}
HKEY_CLASSES_ROOT\clsid\{333bd105-16d3-4169-b3c3-5090a69d691f}
HKEY_LOCAL_MACHINE\software\licenses {083e450369831f6ef}
HKEY_LOCAL_MACHINE\software\licenses {i83e450369831f6ef}
HKEY_LOCAL_MACHINE\software\widestep\elitekeylogger
HKEY_LOCAL_MACHINE\system\controlset001\services\tdiip
HKEY_LOCAL_MACHINE\system\controlset001\services\usbkbd
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tdiip
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\usbkbd

Quels sont les fichiers qui sont mis en quarantaine?

A suivre,
Dernière édition par nickW le 11 Mar 2006, 23:50, édité 1 fois.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Adar » 11 Mar 2006, 23:42

Bonsoir NickW,

Merci pour ta réponse rapide. Aucun fichier n'a été mis en quarantaine. Oupost m'a juste donné les noms de ces trois "logiciels" et les a mis en quarantaine. Je te met le journal.

22:24:09 Mettre en quarantaine System monitoring Elite Keylogger
22:24:09 Mettre en quarantaine System monitoring Boss Everyware
22:24:09 Mettre en quarantaine System monitoring Handy Keylogger
22:06:05 Objet détecté System monitoring Elite Keylogger
22:06:05 Objet détecté System monitoring Boss Everyware
22:06:05 Objet détecté System monitoring Handy Keylogger
22:06:05 Objet détecté System monitoring Handy Keylogger

Edit: par acquis de conscience j'ai vérifié dans le registre, à partir des caratéristiques que tu m'as donné, et je n'ai trouvé aucunes traces.
Adar
 
Messages: 75
Inscription: 25 Jan 2006, 21:19

Messagede nickW » 11 Mar 2006, 23:53

Re-bonsoir,

J'ai mis (dans mon précédent message) en bleu foncé trois noms de dossiers. Sont-ils présents sur ta machine?

Note: à faire au préalable:
Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Adar » 12 Mar 2006, 00:35

Re-re-re bonsoir ;)

Je n'ai rien trouvé. J'ai cherché attentivement mais aucun dossier. J'ai également, par sécurité, démarrer une recherche avec l'outil de windows mais il n'a pas trouvé non plus ces dossiers. Même si tu ne le demandais pas j'ai regardé dans démarrer et il n'y a pas de traces de ces logiciels.

Apparemment ces logiciels espions fonctionnent en tâche de fond je suppose donc que hijackthis devrait les répérer non? Si c'est le cas je pense qu'ils n'ont pas été actif car je démarre régulièrement hijackthis en le comparant à un log "d'origine" que je sais être sain (aprés formatage et réinstallation complète) et je n'ai jamais vu de trucs étranges ou nouveaux.

J'attend tes prochaines instructions. Merci de ton aide.
Adar
 
Messages: 75
Inscription: 25 Jan 2006, 21:19

Messagede nickW » 12 Mar 2006, 01:46

Re-re-bonsoir,

Pourrais-tu utiliser Process Explorer 10.06
http://www.sysinternals.com/Utilities/P ... lorer.html

Une fois l'écran affiché, menu File, puis Save As...
Cela crée un fichier log (en format txt).


Ensuite, utiliser Startdreck:
http://assiste.com.free.fr/p/internet_u ... tdreck.php
Téléchargement: http://www.niksoft.at/download/startdreck.htm
Décompresser l'archive startdreck.zip dans un répertoire qui lui sera réservé (par exemple, c:\Program Files\startdreck).

Lancer le programme par double clic sur StartDreck.exe

Trouver, en bas, un bouton nommé "Config" et cliquer dessus.
Localiser le bouton "unmark all" et cliquer dessus.

Cocher les cases comme ci-dessous:

Image

La case "refresh on exiting config dialog" doit rester cochée.
Cliquer sur le bouton "OK".

Attendre le nouvel affichage (c'est presque instantané).

Cliquer ensuite sur le bouton "Save".
Donner un nom au fichier de sauvegarde.
L'ouvrir dans un éditeur de texte (Bloc-notes, Notepad ou Wordpad par exemple).
S'il contient des lignes commençant par 127.0.0.1, les supprimer.


Joindre ces deux logs en réponse (peut-être dans deux messages car le second log est très long).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Adar » 12 Mar 2006, 02:51

Bonsoir ou plutôt bonne nuit,

Tout semble s'être bien déroulé. Comme tu l'avais annoncé les log sont long, je préfère donc découper mon message en deux post.
Mon premier post sera le log de process explorer, le deuxième celui se startdreck. Je note que pour ce dernier je n'ai pas trouvé de lignes commençant par 127.0.0.1

Process Explorer

Process PID CPU Description Company Name
System Idle Process 0 97.69
Interrupts n/a Hardware Interrupts
DPCs n/a 0.77 Deferred Procedure Calls
System 4
smss.exe 1320 Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 1496 0.77 Client Server Runtime Process Microsoft Corporation
winlogon.exe 1556 Application d'ouverture de session Windows NT Microsoft Corporation
services.exe 1600 Applications Services et Contrôleur Microsoft Corporation
ati2evxx.exe 1812 ATI External Event Utility EXE Module ATI Technologies Inc.
svchost.exe 1828 Generic Host Process for Win32 Services Microsoft Corporation
wmiprvse.exe 1068 WMI Microsoft Corporation
svchost.exe 1908 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1956 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 180 Spooler SubSystem App Microsoft Corporation
ewidoctrl.exe 356 ewido control ewido networks
kavsvc.exe 540 Kaspersky Anti-Virus Service Kaspersky Lab
outpost.exe 948 0.77 Outpost Firewall main module Agnitum Ltd.
IoctlSvc.exe 976 PLFlash DeviceIoControl Service Prolific Technology Inc.
loadsvc.exe 992 PreEmpt Service Loader PivX Solutions, Inc.
SMAgent.exe 1016 SoundMAX service agent component Analog Devices, Inc.
iPodService.exe 1292 iPodService Module Apple Computer, Inc.
svchost.exe 2044 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 1612 LSA Shell (Export Version) Microsoft Corporation
ati2evxx.exe 712 ATI External Event Utility EXE Module ATI Technologies Inc.
explorer.exe 792 Explorateur Windows Microsoft Corporation
SMax4PNP.exe 1236 SMax4PNP MFC Application Analog Devices, Inc.
G-vga.exe 1260 Menu MFC Application
atiptaxx.exe 1280 ATI Desktop Control Panel ATI Technologies, Inc.
PPControl.exe 1288 PestPatrol tray application Computer Associates International
PLBkMon.exe 1340 Corsair Flash Voyager Log On Application Prolific Technology Inc.
SMax4.exe 1348 SoundMAX Control Center Analog Devices, Inc.
iTunesHelper.exe 1388 iTunesHelper Module Apple Computer, Inc.
kav.exe 1428 Kaspersky Anti-Virus GUI Part Kaspersky Lab
PPMemCheck.exe 1656
TeaTimer.exe 1748 System settings protector Safer Networking Limited
SuperCopier.exe 1860 Remplacement de la copie de fichiers de l'explorateur SFX TEAM
PreEmptST.exe 1988 System Tray Icon PivX Solutions, Inc.
sgmain.exe 204 SpywareGuard
sgbhp.exe 1076 SG Browser Hijacking Protection
procexp.exe 1924 Sysinternals Process Explorer Sysinternals
Dernière édition par Adar le 12 Mar 2006, 02:54, édité 2 fois.
Adar
 
Messages: 75
Inscription: 25 Jan 2006, 21:19

Messagede Adar » 12 Mar 2006, 02:52

StartDreck

StartDreck (build 2.1.7 public stable) - 2006-03-12 @ 02:45:48 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as *********************édité par Jim

»Registry
»Run Keys
»Current User
»Run
*SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
*SuperCopier.exe=C:\Program Files\SuperCopier\SuperCopier.exe
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*SoundMAXPnP=C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
*VGAUtil=C:\WINDOWS\system32\G-VGA.exe
*ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
*PestPatrol Control Center=c:\PROGRA~1\PESTPA~1\PPControl.exe
*CORSAIR_PLUtil=C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe
*SoundMax="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
*iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
*KAVPersonal50="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
*Outpost Firewall=C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
*OutpostFeedBack=C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
*PPMemCheck=c:\PROGRA~1\PESTPA~1\PPMemCheck.exe
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="C:\Program Files\Spybot - Search & Destroy\blindman.exe" "%1"
+.exe
*exefile="%1" %*
+.hta
`= [key or value does not exist]
+.htm
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.html
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.js
*JSFile=NOTEPAD.EXE %1
+.jse
*JSEFile=NOTEPAD.EXE %1
+.pif
*piffile="%1" %*
+.reg
*regfile=NOTEPAD.EXE %1
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=NOTEPAD.EXE %1
+.vbe
*VBEFile=NOTEPAD.EXE %1
+.wsh
*WSHFile=NOTEPAD.EXE %1
+.wsf
*WSFFile=NOTEPAD.EXE %1
+.lnk
`lnkfile= [key or value does not exist]
»Active Setup (LM)
+Themes Setup/{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
*StubPath=%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
+Microsoft Windows Media Player/{6BF52A52-394A-11d3-B153-00C04F79FAA6}
*StubPath=rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
+Mise à jour du Bureau Windows/{89820200-ECBD-11cf-8B85-00AA005B4340}
*StubPath=regsvr32.exe /s /n /i:U shell32.dll
»Browser Helper Objects (LM)
*SpywareGuardDLBLOCK.CBrowserHelper/{4A368E80-174F-4872-96B5-0B27DDD11DB2}
`InprocServer32=C:\Program Files\SpywareGuard\dlprotect.dll
*{53707962-6F74-2D53-2644-206D7942484F}
`InprocServer32=C:\PROGRA~1\SPYBOT~1\SDHelper.dll
»ShellServiceObjectDelayLoad (LM)
*PostBootReminder={7849596a-48ea-486e-8937-a2a3009f31a9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*CDBurn={fbeb8a05-beee-4442-804e-409d6c4515e9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED}
`InprocServer32=%SystemRoot%\System32\webcheck.dll
*SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153}
`InprocServer32=C:\WINDOWS\System32\stobject.dll
»Special NT Values
»Current User
*Load=
*Run=
*Programs=com exe bat pif cmd
*SHELL=
»Default User
*Load=
*Run=
*Programs=com exe bat pif cmd
*SHELL=
»Local Machine
*AppInit_DLLs=C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
*SHELL=Explorer.exe
*Userinit=C:\WINDOWS\system32\userinit.exe,
»Files
»Autostart Folders
»Current User
*C:\Documents and Settings\John-David\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
*C:\Documents and Settings\John-David\Menu Démarrer\Programmes\Démarrage\desktop.ini
*C:\Documents and Settings\John-David\Menu Démarrer\Programmes\Démarrage\SpywareGuard.lnk
»Default User
*C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Local Machine
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PreEmpt.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
`[boot loader]
`timeout=30
`default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
`[operating systems]
`multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\system32\config.nt
`dos=high, umb
`device=%SystemRoot%\system32\himem.sys
`files=40
*C:\autoexec.bat
*C:\WINDOWS\system32\autoexec.nt
`@echo off
`lh %SystemRoot%\system32\mscdexnt.exe
`lh %SystemRoot%\system32\redir
`lh %SystemRoot%\system32\dosx
`SET BLASTER=A220 I5 D1 P330 T3
*C:\WINDOWS\wininit.ini
`[rename]
`NUL=InitTermMutex150
»Program Files
*C:\ntldr
*C:\ntdetect.com
*C:\io.sys
*C:\WINDOWS\system32\win.com
*C:\WINDOWS\explorer.exe
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+1320=\SystemRoot\System32\smss.exe
+1496=\??\C:\WINDOWS\system32\csrss.exe
+1556=\??\C:\WINDOWS\system32\winlogon.exe
+1600=C:\WINDOWS\system32\services.exe
+1612=C:\WINDOWS\system32\lsass.exe
+1812=C:\WINDOWS\system32\Ati2evxx.exe
+1828=C:\WINDOWS\system32\svchost.exe
+1908=C:\WINDOWS\system32\svchost.exe
+1956=C:\WINDOWS\System32\svchost.exe
+180=C:\WINDOWS\system32\spoolsv.exe
+356=C:\Program Files\ewido anti-malware\ewidoctrl.exe
+540=<unkown>
+712=C:\WINDOWS\system32\Ati2evxx.exe
+792=C:\WINDOWS\Explorer.EXE
+948=C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
+976=C:\WINDOWS\system32\IoctlSvc.exe
+992=C:\Program Files\PivX\PreEmpt\loadsvc.exe
+1016=C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
+1236=C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
+1260=C:\WINDOWS\system32\G-VGA.exe
+1280=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
+1288=C:\PROGRA~1\PESTPA~1\PPControl.exe
+1340=C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe
+1348=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
+1388=C:\Program Files\iTunes\iTunesHelper.exe
+1428=<unkown>
+1656=C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
+1748=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
+1860=C:\Program Files\SuperCopier\SuperCopier.exe
+1988=C:\Program Files\PivX\PreEmpt\PreEmptST.exe
+204=C:\Program Files\SpywareGuard\sgmain.exe
+1076=C:\Program Files\SpywareGuard\sgbhp.exe
+1292=C:\Program Files\iPod\bin\iPodService.exe
+1068=C:\WINDOWS\System32\wbem\wmiprvse.exe
+2044=C:\WINDOWS\System32\svchost.exe
+420=C:\WINDOWS\system32\NOTEPAD.EXE
+1188=C:\Program Files\startdreck\StartDreck.exe
»NT Services
*Adobe LM Service Adobe LM Service - on demand
*Avertissement Alerter - disabled
*Service de la passerelle de la couche Applicati ALG - on demand
`on
*Gestion d'applications AppMgmt - disabled
*Ati HotKey Poller Ati HotKey Poller running auto
*ATI Smart ATI Smart - auto
*Audio Windows AudioSrv running auto
*Service de transfert intelligent en arrière-pla BITS - on demand
`n
*Explorateur d'ordinateur Browser - disabled
*C-DillaSrv C-DillaSrv - disabled
*Service d'indexation CiSvc - disabled
*Gestionnaire de l'Album ClipSrv - disabled
*Application système COM+ COMSysApp - on demand
*Services de cryptographie CryptSvc running auto
*Lanceur de processus serveur DCOM DcomLaunch running auto
*Client DHCP Dhcp running auto
*Service d'administration du Gestionnaire de dis dmadmin - on demand
`que logique
*Gestionnaire de disque logique dmserver running auto
*Client DNS Dnscache - disabled
*Service de rapport d'erreurs ERSvc - disabled
*Journal des événements Eventlog running auto
*Système d'événements de COM+ EventSystem running on demand
*ewido security suite control ewido security suite running auto
*Compatibilité avec le Changement rapide d'utili FastUserSwitchingCom - disabled
`sateur
*Aide et support helpsvc - disabled
*Accès du périphérique d'interface utilisateur HidServ - disabled
*HTTP SSL HTTPFilter - on demand
*InstallDriver Table Manager IDriverT - on demand
*Service COM de gravure de CD IMAPI ImapiService - disabled
*iPodService iPodService running on demand
*kavsvc kavsvc running auto
*Serveur lanmanserver - disabled
*Station de travail lanmanworkstation running auto
*Assistance TCP/IP NetBIOS LmHosts - disabled
*Machine Debug Manager MDM - disabled
*Affichage des messages Messenger - disabled
*Partage de Bureau à distance NetMeeting mnmsrvc - on demand
*Distributed Transaction Coordinator MSDTC - disabled
*Windows Installer MSIServer - on demand
*DDE réseau NetDDE - disabled
*DSDM DDE réseau NetDDEdsdm - disabled
*Ouverture de session réseau Netlogon - on demand
*Connexions réseau Netman running on demand
*NLA (Network Location Awareness) Nla - disabled
*Fournisseur de la prise en charge de sécurité L NtLmSsp - disabled
`M NT
*Stockage amovible NtmsSvc - on demand
*Office Source Engine ose - on demand
*Outpost Firewall Service OutpostFirewall running auto
*PLFlash DeviceIoControl Service PLFlash DeviceIoCont running auto
*Plug-and-Play PlugPlay running auto
*Services IPSEC PolicyAgent - disabled
*Emplacement protégé ProtectedStorage running auto
*PreEmpt qfcoresvc running auto
*Gestionnaire de connexion automatique d'accès d RasAuto - on demand
`istant
*Gestionnaire de connexions d'accès distant RasMan - on demand
*Gestionnaire de session d'aide sur le Bureau à RDSessMgr - disabled
`distance
*Routage et accès distant RemoteAccess - disabled
*Accès à distance au Registre RemoteRegistry - disabled
*Localisateur d'appels de procédure distante (RP RpcLocator - on demand
`C)
*Appel de procédure distante (RPC) RpcSs running auto
*QoS RSVP RSVP - on demand
*Gestionnaire de comptes de sécurité SamSs running auto
*Carte à puce SCardSvr - on demand
*Planificateur de tâches Schedule - disabled
*Connexion secondaire seclogon - disabled
*Notification d'événement système SENS running auto
*Pare-feu Windows / Partage de connexion Interne SharedAccess - disabled
`t
*Détection matériel noyau ShellHWDetection running auto
*SoundMAX Agent Service SoundMAX Agent Servi running auto
*Spouleur d'impression Spooler running auto
*Service de restauration système srservice running auto
*Service de découvertes SSDP SSDPSRV - disabled
*Acquisition d'image Windows (WIA) stisvc running on demand
*MS Software Shadow Copy Provider SwPrv - disabled
*Journaux et alertes de performance SysmonLog - on demand
*Téléphonie TapiSrv - disabled
*Services Terminal Server TermService - disabled
*Thèmes Themes running auto
*Telnet TlntSvr - disabled
*Client de suivi de lien distribué TrkWks - disabled
*Hôte de périphérique universel Plug-and-Play upnphost - disabled
*Onduleur UPS - on demand
*Cliché instantané de volume VSS - on demand
*Horloge Windows W32Time - disabled
*WebClient WebClient - disabled
*Infrastructure de gestion Windows winmgmt running auto
*Service de numéro de série du lecteur multimédi WmdmPmSN - on demand
`a portable
*Extensions du pilote WMI Wmi - disabled
*Carte de performance WMI WmiApSrv - disabled
*Centre de sécurité wscsvc - disabled
*Mises à jour automatiques wuauserv - disabled
*Configuration automatique sans fil WZCSVC - disabled
*Service d'approvisionnement réseau xmlprov - on demand
»Application specific


Merci pour tout ce boulot.
Adar
 
Messages: 75
Inscription: 25 Jan 2006, 21:19

Messagede Jim Rakoto » 12 Mar 2006, 10:02

Salut

Je me permets d'intervenir dans cet échange.

L'antispyware de Outpost peut détecter des "trucs" qu'il considère comme anormal.
Exemple : il me détecte une modification du fichier Hosts. Certes, mais j'ai Spyblocker qui "détourne" effectivement le fichier Hosts puisqu'il l'utilise.

Dans ton cas, je pense qu'il y a trop de logiciels qui tournent en même temps que OP.

Puisque l'antispyware de OP est actif, pas besoin de laisser tourner PPcontrol.exe et PPmemcheck.exe. (dans quelle mesure OP ne détecte-t-il pas la détection antikeylogger de Pestpatrol ??)

Idem pour Spywareguard puisque OP fait déjà le travail surtout depuis version 3.5

Idem pour Tea-timer (qui fait la même chose que PPMemcheck) puisque OP a un contrôle d'intégrité qui se manifeste lorsque tu as fait une mise à jour et que les composants ont changé (ainsi que KAV d'ailleurs)

Ce serait intéressant de désactiver tout cela > Spybot > Outils > démarrage système > décocher les cases signalées > redémarrer > et voir ce que OP signale

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede nickW » 12 Mar 2006, 13:15

Bonjour,

Mon cher Jim, tu as toutes les autorisations pour intervenir! :D


Pour en revenir à la question initiale, la vulnérabilité détectée par Ad-Aware.
http://assiste.forum.free.fr/viewtopic.php?t=11042

L'explication est visible dans le log de Startdreck:
+.reg
*regfile=NOTEPAD.EXE %1


Bon d'accord, il faut que je décode. :wink:

Tu as manuellement modifié l'association des fichiers de type .reg.
Ces fichiers .reg sont de type "Inscription dans le Registre", c'est-à-dire que lorsque l'on fait un double clic dessus, le contenu du fichier est intégré dans le Registre.
C'est une mesure de sécurité: tu as modifié cette action: lorsque tu fais un double clic sur un fichier .reg, il s'ouvre dans une fenêtre du Bloc-notes (Notepad).
Il t'est toujours possible d'intégrer les fichiers de type .reg dans le Registre, mais via une procédure moins simple (clic droit puis choisir Fusionner) ce qui évite les fausses manips.

Quant aux keyloggers, je n'en vois aucune trace.

Voilì, voilò, voilà.

Bon dimanche,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 15 invités