Phénomènes étranges et suspects sur mon pc
Hors ligneChnain Le 30/03/2007 à 10:58 Profil de Chnain Configuration de Chnain

Bonjour à tous,

Il se passe des choses très suspectes sur mon PC et j'aimerais avoir votre avis, voire votre aide.

En allumant le pc ce matin pour me mettre à travailler, je vois qu'un service plante (mon windows est neuf et a été installé en janvier) et 2 minutes plus tard, je vois une alerte qui annonce l'arrêt imminent du PC. J'ai déjà eu cela il y a 2 ans, c'était le virus Sasser, je m'en souviens bien. Mais là, avoir la même chose en 2007, avec un antivirus (antivir), un firewall (nvidia et windows), un windows xp2 mis à jour dès l'installation via ms update, j'enrage!

Je redémarre en mode sans échec et fais un hijackthis (log posté en fin de post) et ne trouve rien d'anormal à 1ère vue. Je lance l'antivirus, rien. Je redémarre, et je vois une erreur windows concernant le shell "SA Shell" qui annonce une erreur dans lsass.exe. OK, c'est l'exécutable concerné par Sasser, donc ça ce confirme.

Sur secuser.com, je télécharge le fix contre sasser, je le lance. Ce que je trouve bizarre, c'est que je n'ai plus d'annonce menaçant d'arrêter le pc... avant même d'avoir lancé ce fix. Une analyse en ligne par secuser.com ne montre rien non plus.

Pendant ce temps, je me mets à travailler, mais je remarque des petites différénces mineures sur windows. Je vois en bas à droite que j'ai 2 connexions locales dont une qui ne fonctionne pas. Je ne me souviens pas avoir configuré 2 connexions ni avoir vu cette alerte auparavant. J'ouvre la gestion des connexions, et je vois en effet une "connexion au réseau local 2", que je ne peux supprimer et dont les propriétés me montrent que cette connexion n'est pas contrôlée par le firewall, comme par hasard.

Je me demande donc si je n'ai pas été piraté ou attaqué par un ver, mais je ne sais pas par quel moyen en être sûr, après avoir analysé par antivirus.

Voici la log hijackthis et merci beaucoup à ceux qui peuvent m'apporter des lumières.

Chnain


Logfile of HijackThis v1.99.1
Scan saved at 09:00:19, on 30/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Outils\04-bureau\powerdesk\pdexplo.exe
F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avcenter.exe
F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avscan.exe
F:\Outils\01-securite\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/microsoftupdate
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: IE DevToolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - F:\Outils\10-dev\MSdevbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [jv16PT - Privacy Protector] F:\Outils\03-systeme\jv16powertools\jv16PT.exe -ExecTask "F:\Outils\03-systeme\jv16powertools\Tasks\_PrivacyProtector\Task.jvb"
O4 - HKLM\..\Run: [avgnt] "F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] F:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] F:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EasyPHP] "C:\Dev\EasyPHP1-8\EasyPHP.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Neuf.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - F:\Outils\10-dev\MSdevbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nvappfilter.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168332375578
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0966F90F-2C7A-4344-A68B-360A9992ECD8}: NameServer = 84.103.237.142 86.64.145.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{0966F90F-2C7A-4344-A68B-360A9992ECD8}: NameServer = 84.103.237.142 86.64.145.142
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Outils\01-securite\antivir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - F:\Outils\02-DRI~1\nvidia\FORCEW~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - F:\Outils\02-DRI~1\nvidia\FORCEW~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - F:\Outils\02-DRI~1\nvidia\FORCEW~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - F:\Outils\02-DRI~1\nvidia\FORCEW~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - F:\Outils\03-systeme\SiSoftware Sandra Lite XI\RpcSandraSrv.exe
Hors ligneMarculinos Le 30/03/2007 à 20:26 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Hello,

Tu as une ou deux cartes réseau?

As-tu fais une analyse avec ad-aware?

@+
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels