|
Bonjour à tous,
Il se passe des choses très suspectes sur mon PC et j'aimerais avoir votre avis, voire votre aide.
En allumant le pc ce matin pour me mettre à travailler, je vois qu'un service plante (mon windows est neuf et a été installé en janvier) et 2 minutes plus tard, je vois une alerte qui annonce l'arrêt imminent du PC. J'ai déjà eu cela il y a 2 ans, c'était le virus Sasser, je m'en souviens bien. Mais là, avoir la même chose en 2007, avec un antivirus (antivir), un firewall (nvidia et windows), un windows xp2 mis à jour dès l'installation via ms update, j'enrage!
Je redémarre en mode sans échec et fais un hijackthis (log posté en fin de post) et ne trouve rien d'anormal à 1ère vue. Je lance l'antivirus, rien. Je redémarre, et je vois une erreur windows concernant le shell "SA Shell" qui annonce une erreur dans lsass.exe. OK, c'est l'exécutable concerné par Sasser, donc ça ce confirme.
Sur secuser.com, je télécharge le fix contre sasser, je le lance. Ce que je trouve bizarre, c'est que je n'ai plus d'annonce menaçant d'arrêter le pc... avant même d'avoir lancé ce fix. Une analyse en ligne par secuser.com ne montre rien non plus.
Pendant ce temps, je me mets à travailler, mais je remarque des petites différénces mineures sur windows. Je vois en bas à droite que j'ai 2 connexions locales dont une qui ne fonctionne pas. Je ne me souviens pas avoir configuré 2 connexions ni avoir vu cette alerte auparavant. J'ouvre la gestion des connexions, et je vois en effet une "connexion au réseau local 2", que je ne peux supprimer et dont les propriétés me montrent que cette connexion n'est pas contrôlée par le firewall, comme par hasard.
Je me demande donc si je n'ai pas été piraté ou attaqué par un ver, mais je ne sais pas par quel moyen en être sûr, après avoir analysé par antivirus.
Voici la log hijackthis et merci beaucoup à ceux qui peuvent m'apporter des lumières.
Chnain
Logfile of HijackThis v1.99.1 Scan saved at 09:00:19, on 30/03/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\ctfmon.exe F:\Outils\04-bureau\powerdesk\pdexplo.exe F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avcenter.exe F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avscan.exe F:\Outils\01-securite\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/microsoftupdate R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: IE DevToolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - F:\Outils\10-dev\MSdevbar\IEDevToolbar.dll O4 - HKLM\..\Run: [jv16PT - Privacy Protector] F:\Outils\03-systeme\jv16powertools\jv16PT.exe -ExecTask "F:\Outils\03-systeme\jv16powertools\Tasks\_PrivacyProtector\Task.jvb" O4 - HKLM\..\Run: [avgnt] "F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] F:\WINDOWS\system32\sw20.exe O4 - HKLM\..\Run: [SW24] F:\WINDOWS\system32\sw24.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EasyPHP] "C:\Dev\EasyPHP1-8\EasyPHP.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Neuf.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - F:\Outils\10-dev\MSdevbar\IEDevToolbar.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168332375578 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0966F90F-2C7A-4344-A68B-360A9992ECD8}: NameServer = 84.103.237.142 86.64.145.142 O17 - HKLM\System\CS1\Services\Tcpip\..\{0966F90F-2C7A-4344-A68B-360A9992ECD8}: NameServer = 84.103.237.142 86.64.145.142 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - F:\Outils\02-DRI~1\nvidia\FORCEW~1\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - F:\Outils\02-DRI~1\nvidia\FORCEW~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - F:\Outils\02-DRI~1\nvidia\FORCEW~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - F:\Outils\02-DRI~1\nvidia\FORCEW~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - F:\Outils\03-systeme\SiSoftware Sandra Lite XI\RpcSandraSrv.exe |