Se connecter avec
S'enregistrer | Connectez-vous

Questions aux Helpers sur un log ....

Dernière réponse : dans Sécurité

Bonjour a tous ...aprés un check up de mon pc de fond en comble je suis tombé sur ca http://www.kirikoo.net/images/7lorena-1-20050820-215623...


donc pour faire vite

Logfile of HijackThis v1.99.1
Scan saved at 21:55:21, on 20/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\AntiVirenKit 2005 trial\AVKService.exe
C:\Program Files\AntiVirenKit 2005 trial\AVKWCtl.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Gestion Hardware-Software\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\emule.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\UTILIT~1\FIREFOX\FIREFOX.EXE
C:\Program Files\PestPatrol\PestPatrol.exe
C:\WINDOWS\explorer.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Ubisoft\Chessmaster 10ème Edition\game.exe
C:\Program Files\Ubisoft\Chessmaster 10ème Edition\TheKing.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\Single\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit 2005 trial\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit 2005 trial\AVKWCtl.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Gestion Hardware-Software\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Gestion Hardware-Software\Tune Up utlities 2004\WinStylerThemeSvc.exe




scan réalisé en pleine utilisation de mon pc ( non au démarrage)

2 dialers invisible dans mon Hijack sysinfo

cela dit , ca me parait bizarre tout de même quaucun soft anti malware me lais détécté ....fausse alerte so ? ...
aucune discution malicieuse aprés vérif dans mon FW ......

ca dit qqchose a qqun ?

sinon petite question , comment discerner un processus RundLL32 sain d'un contaminé ?

il arrive en effet que dans les logs il apparait un rundll32 actif mais savoir sil est malicieux ...

merci davance :) 

Autres pages sur : questions helpers log

Lassé par la pub ? Créez un compte

euh szdavid , je comprends pas trop ta réponse ....

si je suis passé a coté dun truc totalement évident sur ce RunDLL32 ma foi pourquoi pas , je préfére être bête une journée et demander, que rester ignare toute ma vie ... ^^

pour alessio oui dans mon log il ny a rien de vérolé , mais justement la est ma question ...pest patrol mindique un pseudo dialer au démarrage qui ne figure pas dans hijack ...


Salut,

pour info :

d'après pestpatrol le "truc" se situe dans la clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafile\Shell\Open\Command (mshta.exe "%1" %*)

mshta.exe peut correspondre :
1) soit à un processus légitime de windows
2) soit à un malware qui porte le même nom pour rendre la détection plus difficile --> il serait détecté avec HijackThis puisqu'il apparaîtrait dans la liste de démarrage
3) soit à un malware utilisant le processus légitime mshta.exe de la forme : mshta.exe saleté.hta --> cette commande permet d'exécuter le fichier saleté.hta à l'aide du processus mshta.exe --> il serait détecté avec HijackThis puisqu'il apparaîtrait dans la liste de démarrage

Donc là tu as affaire au processus légitime et non pas à un malware

mshta.exe n'apparait pas dans le log de HijackThis car il ne se lance pas avec Windows mais est exécuté à l'ouverture d'un fichier .hta (Html Application)
http://www.malwhere.com/processes/mshta.exe.html
Et ceci, HijackThis ne le diagnostique pas.

ok merci de lanalyse !

bien quinoffensif je ne comprends pas vraiment pkoi Pest patrol me détecte ces deux clés , alors quacun autre soft ne voient ces valeurs au démarrage ..

cela dit ton intervention était trés pertinente je te remercie.
Lassé par la pub ? Créez un compte

Créer un nouveau sujet

Tom's guide dans le monde