Analyse d'un log Hijackthis Fermé

Question

Bonjour,Je serais très reconnaissant si une personne compétente pouvait analyser le log établi par Hijackthis de mon PC.Logiciels installés : Windows XP (sp2) ; Norton comme AV, Zone Alarm, Hijackthis tournent en continue.Plusieurs antivirus différents et antimalwares ont déjà été utilisés : a2, ad-aware, CWSshreder, xoftspy + analyse par RAV en ligne. A priori, rien de détecté.Connecté par un réseau (université), je reçois par Zone Alarm l'information du blocage de plusieurs centaines de tentatives "d'intrusions" venant essentiellement d'ordinateur de la fac. Est-ce normal, ou bien y aurait-il quelque chose dans mon PC qui serait à la source de ces faits ? Merci pour tous les éclaircissements et informations que vous pourrez m'apporter.CordialementPatrickLog :Logfile of HijackThis v1.99.1Scan saved at 11:08:57, on 29/03/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\SYSTEM32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\DELLMMKB.EXEC:\Program Files\Spybot - Search & Destroy\TeaTimer.exeC:\Program Files\Netropa\OSD.exeC:\WINDOWS\Nhksrv.exeC:\Program Files\Dell\OpenManage\Client\ActionAgent.exeC:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exeC:\DMI\WIN32\bin\DellDmi.exeC:\Program Files\Dell\OpenManage\Client\EventAgt.exeC:\Program Files\Dell\OpenManage\Client\DLT.exeC:\Program Files\Dell\OpenManage\Client\Iap.exeC:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeC:\dmi\win32\bin\Win32sl.exeC:\Program Files\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htmR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dllO4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /rO4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeO4 - HKLM\..\Run: [MEMreaload] C:\Program Files\ServicePackFiles\MEMreaload.exe /checkmouse /updateratioO4 - HKLM\..\Run: [Suite] C:\WINDOWS\system32\SuiteOffices.exe /cleandbO4 - HKLM\..\Run: [lservers] C:\Program Files\ServicePackFiles\lservers.exe /checkmouse /updateratioO4 - HKLM\..\Run: [mctask] C:\WINDOWS\system32\mctask.exe /allserviceO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXEO4 - HKLM\..\Run: [LSAS] C:\WINDOWS\system32\LSAS.exe /checkO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\OFFICE 2000 Premium\Office\OSA9.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLLO9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dllO9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093259147625O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{F42100EF-D4E1-4FD2-A612-3CE77627F07E}: NameServer = 134.206.1.15O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: ActionAgent - Dell Computer Corporation - C:\Program Files\Dell\OpenManage\Client\ActionAgent.exeO23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exeO23 - Service: DellDmi - Dell Computer Corporation - C:\DMI\WIN32\bin\DellDmi.exeO23 - Service: DEventAgent - Dell Computer Corporation - C:\Program Files\Dell\OpenManage\Client\EventAgt.exeO23 - Service: DLT - Dell Computer Corporation - C:\Program Files\Dell\OpenManage\Client\DLT.exeO23 - Service: Iap - Dell Computer Corporation - C:\Program Files\Dell\OpenManage\Client\Iap.exeO23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exeO23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe (file missing)O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exeO23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeO23 - Service: Win32Sl - Intel - C:\dmi\win32\bin\Win32sl.exe

GomJabbar · Answer

bonjour,la ligne O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\system32\LSAS.exe /check correspond à http://www.sophos.fr/virusinfo/analyses/w32agobotlm.htmlA+

Utilisateur anonyme · Answer

Saluten mode sans echec(presser F8 au demarrage du pc) cocher et fixer ces lignesO4 - HKLM\..\Run: [mctask] C:\WINDOWS\system32\mctask.exe /allserviceO4 - HKLM\..\Run: [LSAS] C:\WINDOWS\system32\LSAS.exe /check O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI
aviagent.exe (file missing) 	O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)   	O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

moe · Answer

salut patrick

Celles ci sont à fixer aussi:
O4 - HKLM\..\Run: [MEMreaload] C:\Program Files\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio
O4 - HKLM\..\Run: [Suite] C:\WINDOWS\system32\SuiteOffices.exe /cleandb
O4 - HKLM\..\Run: [lservers] C:\Program Files\ServicePackFiles\lservers.exe /checkmouse /updateratio

Pour les details, voir ici:
http://securityresponse.symantec.com/avcenter/venc/data/trojan.lazar.html

a+

Analyse d'un log Hijackthis

3 réponses

Discussions similaires