Analyse d'un log hijackthis siouplait!

Analyse d'un log hijackthis siouplait! - Sécurité - Windows & Software

Marsh Posté le 12-03-2005 à 11:25:16    

Bonjour!
 
Alors voila, je vous explique...  
Depuis quelques jours, j'ai mon pc qui monte tout le temps a 100% CPU meme sans faire grand chose...  
Les processus qui font "monter" sont explorer.exe, rundll32.exe (celui là j'le connaissais pas, j'me demande si y'aurais pas un problème là, surtout que j'ai vu sur google qu'il faisait ss doute partie d'un trojan dont j'arrive pas a me débarrasser), vsmon.exe (celui là c'est zone alarme, donc j'me demande si mon trojan que j'ai pas autorisé à se connecter pourtant serais pas détecté par d'autres trucs) et parfois msn (mais comme c'est la béta, j'pense qu'on peu lui pardonner)...
 
J'ai trouvé comme je le disais tout à l'heure le trojan wildtangent (je crois que ça s'écrit comme ça) avec spybot, alors que the cleaner et a² n'ont rien détecté (cherchez l'erreur)... l'antivirus en ligne sur panda n'a donné que 2 spyware, qu'il n'est pas en mesure de supprimer et que je n'ai pas trouvé sur ma machine en manuel...
 
J'ai aussi remarqué que j'avais 2 fois Apoint.exe dans mes processus (le problème étant que ça gere mon touchpad, donc...) ce qui ne me semble pas non plus tout à fait normal...
 
Bref je poste un log pasque c'est un peu beaucoup le dawa... Merci d'avance à vous si vous pouvez m'aider! (et soyez indulgent avec mon toshiba, y lance ENORMEMENT de processus... J'tourne a 63 là...)
 
Logfile of HijackThis v1.99.1
Scan saved at 11:02:26, on 12/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SETI@home\SETI@home.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\LVComS.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\PyGrenouille\pygrenouille.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\PROGRA~1\EUROBA~1\erobar.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\CriCri\Bureau\fuck trojan, virus\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pagesperso.laposte.net/cabp [...] marage.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect /keeploaded
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Grenouille] C:\Program Files\Grenouille.com\Grenouille\Grenouille.exe /NOSPLASH
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [seticlient] C:\Program Files\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: SHORTLINKER - M a g i c  R e d o u t e - {8DD92C96-849A-4a34-9D88-4B5CAF262D2F} - C:\Program Files\SHORTLINKER - M a g i c  R e d o u t e\Data\iestart.htm (file missing)
O9 - Extra 'Tools' menuitem: SHORTLINKER - M a g i c  R e d o u t e - {8DD92C96-849A-4a34-9D88-4B5CAF262D2F} - C:\Program Files\SHORTLINKER - M a g i c  R e d o u t e\Data\iestart.htm (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Wanadoo - http://chat4.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b28177.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {4B62C0F0-DCFF-11D2-91E2-004005195FF7} (EcritMath.EcritMathCtl) - http://www2.cnam.fr/creem/NOVEMBRE [...] itMath.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.co [...] nPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {DA6462AC-9024-11D2-8454-004005195FED} (GP0.GP0Ctl) - http://www2.cnam.fr/creem/NOVEMBRE [...] er/GP0.CAB
O16 - DPF: {E29016D7-8E99-11D2-8454-004005195FED} (GE0.GE0Ctl) - http://www2.cnam.fr/creem/NOVEMBRE [...] er/GE0.CAB
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D21AD60A-6222-43AA-B488-8F9B868BE3A1}: NameServer = 80.10.246.2 80.10.246.129
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
 
 
 

Reply

Marsh Posté le 12-03-2005 à 11:25:16   

Reply

Marsh Posté le 13-03-2005 à 19:06:01    

help help!!

Reply

Marsh Posté le 13-03-2005 à 19:58:48    

slt,
pour ce qui est de l'analyse du log ben je vois rien mais c est pas ma spécialité alors je le laisse a de plus doués que moi.
Par contre si je peux me permettre un conseil : met ton xp a jour, ca t'évitera de nombreux pb.
ensuite si tu prouve que t'as trop de process ben fait demarrer executer msconfig et vire ce qui te semble inutile (et je crois qu'il y en a pas mal là).
question :  eurobar c est volontaire?
pour virer d'eventuels spy mets ms antispy il est efficace et c est plus facile a utiliser qu'hijack

Reply

Marsh Posté le 14-03-2005 à 14:32:03    

eurobar, c'est volontair, antispy j'verrais pour tester, mais j'utilise régulierement spybot et ad aware... et depuis quelques jours, et bien ils ne trouvent plus rien, meme pas de cookies, alors je trouve que c'est louche quand meme!
 
les process, c'est normal, ça a toujours été comme ça... meme formaté et sans rien installé, y'en a déjà énormément qui tournent, j'en déduit que je n'y changerais rien...
 
j'ai aussi remarqué que j'avais fait une erreur dans mon post initial, je n'ai pas deux Apoint.exe mais un autre, au nom presque identique, et que j'ai du mélanger (vu mon état de fatigue, ça serais pas étonnant)
 
Merci en tout cas pour ta réponse :)

Reply

Marsh Posté le 14-03-2005 à 18:25:59    

ok, pour les process tu peux changer via la manip vu plus haut.Je suis pas certains que tu ais besoin de quicktime, norton ghost ou messenger (pour ne citer qu'eux) dès le demarrage du pc...a voir.
Et mets le SP2 de windows, ca ralenti pas et t'auras moins de risque de pb..

Reply

Marsh Posté le 14-03-2005 à 19:39:39    

meuh j'veux pas le SP2, j'l'ai vu chez mon mec et j'l'aime pas ce truc!
 
pour msconfig j'vais réessayer, mais toute façon, dès que t'ouvres un truc que t'avais viré au démarrage, faut recommencer... donc c'est pas que ça me gave, mais j'dois en etre a 25 quicktime décoché + un coché ds mon msconfig...

Reply

Marsh Posté le 14-03-2005 à 20:02:28    

okk, ben la je vois pas, essaie de defragmenter ton disque dur, ca pourra qu'aider de toute facon.
pour quicktime ca doit etre configurable via l'icon tray(sinon essaie le player alternatif).
sinon va dans le menu demarrer->programme->demarrage et vire au moins office.
sinon ben norton est lourd comme antivirus alors essaie en un autre mais bon c est embetant en l'ayant acheter...

Reply

Marsh Posté le 14-03-2005 à 20:31:50    

bof norton j'l'ai acheté une fois ya 5 ans, et plus depuis, donc ça me dérangerais pas d'en changer (j'me suis tjr arrangée pour formater au bon moment, s'pas ma faute...)  
 
j'avais pas vu office dans démarrage, je viens de l'enlever, merci :)
 
sinon que penses-tu de rundll32.exe qui tourne tout le temps sur mon pc? j'trouve pas ça bien normal moi... :/

Reply

Marsh Posté le 14-03-2005 à 20:45:31    

non, laisse le, c est normal (http://www.commentcamarche.net/processus/rundll32-exe.php3)
pour les antivirus ben profite en pour en changer, en gratuit y a avast qu'est bien mais lourd, testes et sinon ben doit y avoir plein de post qui debattent du plus valable.
sinon vire des services inutiles (avertissement, telnet, partage de bureau....)


Message édité par lerouxbouh le 14-03-2005 à 20:47:11
Reply

Marsh Posté le 15-03-2005 à 10:51:31    

http://www.sophos.fr/virusinfo/ana [...] odera.html j'avais aussi trouvé ça, ça m'avais un peu inquiété...
 
dans le lien que tu m'a donné, il est dit que ce processus ne peut etre arreté, le mien s'arrete très bien, et (oh miracle) quand il est arrèté, en plus, les processus qui montent a 100% CPU ne le font plus... :/
 
je viens de trouver ce lien à l'instant : http://www.sosordi.net/Faq/Faq.3.html
 
cela confirme (vu que j'ai ce message au démarage) qu'il y a bien un problème quelque part... je vais essayer ce qu'ils conseillent!


Message édité par tite_kikoo le 15-03-2005 à 10:53:40
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed