|
|
|
zorro51$2003230 zorro51 24/09 :: 11:19
Arrivant
| | Salut
je voulais juste avoir l'avis de quelques personnes plus competentes que moins pour me dire s'il y a quelque chose de bizarroide dans mon log hijackthis! car en scannarnt mon pc avec spybot il a detecté un certain illin remote admin tool! j'ai lancé une recherche google il semble que cela soit un trojan (classé la dedans en tout cas par spybot)! alors que je pensais mon pc propre car scanné avec de nombreux antivirus (kav, avk.....)! comme quoi!
je voulais juste votre avis pour savoir s'il est a nouveau propre
mon pc tounr sous xp pro C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Defragmentation\Diskeeper Lite\DKService.exe D:\Antivirus\Prevx\PXAgent.exe d:\ANTIVI~1\ETRUST~1\VetMsg.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE D:\Firewall\ZoneAlarm\zlclient.exe D:\ANTIVI~1\ETRUST~1\VetTray.exe D:\Antivirus\Prevx\SAGUI.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe D:\Navigateurs\Proxomitron\Proxomitron.exe E:\Musique\foobar2000\foobar2000.exe D:\NAVIGA~1\MOZILLA\MOZILLA.EXE C:\Documents and Settings\Longhorn\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com O4 - HKLM\..\Run: [Zone Labs Client] "D:\Firewall\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [VetTray] d:\ANTIVI~1\ETRUST~1\VetTray.exe O4 - HKLM\..\RunOnce: [MRUBlaster] E:\Internet Cleaner\MRU-Blaster\indexcleaner.exe -CC O4 - Global Startup: Prevx Home.lnk = D:\Antivirus\Prevx\SAGUI.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095889041573 O17 - HKLM\System\CCS\Services\Tcpip\..\{D4FEB093-126C-43E8-832F-F39A54AFCD0A}: NameServer = 205.188.146.146
| |
|
stin07bis$2004001 stin07bis 24/09 :: 11:53
Arrivant
| | salut zorro51, je ne vois que celui-ci... R3 - Default URLSearchHook is missing
je vois que tu as prevex...qu'en pense tu?????@+ | |
|
laserpe$2003349 laserpe 24/09 » 12:09
Arrivant
| | salut, tout d'abord d'après merijn.org toujours "fixer" les R3 (R3 - Default URLSearchHook is missing) à moins qu'ils ne mentionnent un programme que tu reconnais
d'autre part celui-ci me semble bizarre : O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com en effet l'adresse ip est celle de diamondcs.com.au (éditeur de TDS 3 entre autres) mais le lien te renvoie ailleurs...
C:\WINDOWS\System32\wuauclt.exe ça c'est l'autoupdate pour Windows Me !... (http://www.liutilities.com/products/wintaskspro/processlibrary/wuauclt/)
j'ai aussi un doute sur celui-ci : C:\WINDOWS\System32\wbem\wmiapsrv.exe wmiapsrv - wmiapsrv.exe - Windows XP and 2000 Service
Windows Management Instrumentation Performance Adapter Service – Windows XP and 2003. This service provides Windows performance information from the WMI API (the current standard for Windows performance information) to software programs who request performance information through the older PDH API standard (Performance Data Helper). Such programs might be the System Monitor that comes with most versions of Windows, or many other programs that display performance information about your PC.
Recommendation : Leave this service alone as this service is a manual service and does not run by default. It runs on demand when an application requests performance data through the PDH API (e.g., System Monitor). Once that application disconnects, the service stops.
à moins qu'il soit lancé par un autre de tes programmes le défrag ou ton antivirus ? @+ | |
|
laserpe$2003349 laserpe 24/09 :: 12:08
Arrivant
| | désolé Stin je t'avais pas vu | |
|
stin07bis$2004001 stin07bis 24/09 :: 12:12
Arrivant
| | @+ | |
|
westernshadow$2004081 westernshadow 24/09 » 13:04
Arrivante
| | bonjour tt le monde sur le log de Zorro on voit *xp pro et *C:\WINDOWS\System32\wuauclt.exe <--cette exe serait normale sur Windows ME (auto-update de windows) mais semble suspecte sur XP Pro
WinTasks Process Library wuauclt - wuauclt.exe - Process Information<--- Process File: wuauclt or wuauclt.exe Process Name: AutoUpdate for WindowsME<---
Source Sophos Troj/Cult-B<-- Windows NT/2000/XP In Windows NT/2000/XP you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry. At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens. Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup. Locate the HKEY_LOCAL_MACHINE entry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft auto update = WUAUCLT.EXE and delete it if it exists http://www.sophos.com/virusinfo/analyses/trojcultb.html c'est pas très méchant mais.....
D:\Antivirus\Prevx\SAGUI.exe<--c'est la dernière mode en vigueur ce truc? ça vaut quoi?
@+ ^_^ | |
|
zorro51$2003230 zorro51 24/09 :: 13:21
Arrivant
| | salut.
ce qui est bizarroide c'est que je suis allé sur le site de sophos et j'ai cherché dans la BRD cette clé HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft auto update = WUAUCLT.EXE
il y a pas ca chez moi!!!!!!!!! donc apparemment j'ai pas ce trojan? je ne sais plus quoi penser! vraiment trop strange! qd j'ai buté le processus reapparait l'icone de mise a jours auto pour me proposer de telecharger le sp2! je pense que wuauclt.exe est bien un service de windows xp! cela viendrait du fait que j'ai le sp1 et que pour les mises a jours de win j'ai coché me prevenir en cas de nouvelle mise a jour mais sans les telecharger! du coup au demarrage j'ai l'icone de mise a jour auto dans mon systray qui me propose de telecharger le sp2! mùais non j'ai pas envie!
pour ce qui est de prevx etant tres septique la dessus par son effet de mode, je l'ai qd meme remis et retesté!c'est pas un produit miracle car il faut apprendre a interpreter ses alertes! faut voir dans le long terme! mais en faite il bouffe pas enormenent de ressources en lui meme! ce qui bouffe de la ressource c'est son module de mises a jour! denommé SAGUI> bouffe presque 6000Ko en CPU | |
|
zorro51$2003230 zorro51 24/09 :: 13:27
Arrivant
| | j'ai butté le processus wuauclt.exe apres avoir desactivé completement les mises a jours automatiques! resultat le processus ne se reactive pas comme au paravant lorsque mon option de mise a jour etait sur : me prevenir en cas de nouvelle mise a jour mais sans les telecharger. donc a priori c un processus normal de xp generé par la mise en place du patch de crosoft pour windows update v5 | |
|
stin07bis$2004001 stin07bis 24/09 :: 13:54
Arrivant
| | Wuauclt.exe
(Microsoft)
Microsoft AutoUpdate for Windows ME/2000/XP. Whenever you connect to the Internet, WUAUCLT checks the Microsoft website for updates to Windows Millennium Edition.
Recommendation : We recommend against having any sort of AutoUpdate feature turned ON for operating systems. If your system works, do not fix it unless there is a major security update released by Microsoft as a result of a virus outbreak, in which case do a manual Windows Update (if you do not have a Windows Update icon, simply go to http://www.windowsupdate.com to do a Windows Update). Updates should be manually controlled as the downside, if something goes wrong, is potentially an unusable PC – we recommend doing a manual Windows Update once every two months or when there is a major new virus; this statistically lessens the chance of you picking up a Windows Update that causes problem as, in most cases, you will be picking up the update a few days after it has been released when Microsoft will have had the chance to correct what may have been a disastrous first release of the update. Always backup your critical data (documents, emails, etc..) before doing a Windows Update. To turn OFF Automatic Windows Updating, do as follows : Windows ME : “Start \ Settings \ Control Panel \ Automatic Updates \ Turn OFF automatic updating”. Then reboot your PC. Windows 2000 : “Start \ Settings \ Control Panel \ Automatic Updates”. Uncheck “Keep my computer up to date”. Windows XP : “Start \ Settings \ Control Panel” or “Start \ Control Panel” depending on how you have XP configured. Then, double-click the SYSTEM icon. Next, choose the Automatic Updates tab and uncheck “Keep my computer up to date”. | |
|
westernshadow$2004081 westernshadow 24/09 » 16:21
Arrivante
| | tant mieux si c'est ok - Zorro51 tu as changé ta politique M$? je me rappelle de ce post
zorro51 11/05 :: 22:12>>pas besoin de micrrosoft update!!!!!!! cliquage<--
| |
|
stin07bis$2004001 stin07bis 24/09 :: 18:31
Arrivant
| | ce qui est bizarroide c'est que je suis allé sur le site de sophos et j'ai cherché dans la BRD cette clé HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft auto update = WUAUCLT.EXE
il y a pas ca chez moi!!!!!!!!! donc apparemment j'ai pas ce trojan?
wuauclt.exe n'est pas un trojan..........@+ | |
|
zorro51$2003230 zorro51 25/09 :: 13:41
Arrivant
| | mais non pas du tout! j'ai mis l'option : me prevenir des mises a jours sans les telecharger! ce qui me permet d'etre prevenu si nouveau patch! et apres je vasi le chercher a la main ! car de tout facon je n'ai plus internet explorer! je ne peux pas faire winupdate! et telecharger automatiquement ca ne m'interesse pas!!! voila pk | |