log hijackthis : mention d'un élément bizarre sur un lecteur de cd sans cd !

Le
Didier
Bonjour,
Je viens de passer Hijackthis sur mon poste et me rend compte de quelque
chose de bizarre : dans la section O16, il est fait référence (plusieurs
fois) à un emplacement "impossible" , par exemple :
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) -
file://I:componentsA9.ocx
La lettre I renvoit à mon graveur de cd qui est vide ! Comment Hijackthis
peut-il trouver l'objet A9.ocx ?
En question subsidiaire, l'entrée :
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:Program FilesMSN
AppsST1.03.0000.1005en-xustmain.dll
est-elle dangereuse, comme le souligne le rapport d'annalyse produit par le
site http://www.hijackthis.de/fr ?

Ci-dessous le log complet.

Logfile of HijackThis v1.99.1
Scan saved at 16:34:17, on 29/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSsystem32spoolsv.exe
D:PROGRAM FILESAVPERSONALAVGUARD.EXE
D:EJayAudio Cleaning Studio 2004asurscsi.exe
D:Program FilesAVPersonalAVWUPSRV.EXE
D:WINDOWSSystem32DRIVERSCDANTSRV.EXE
D:WINDOWSsystem32vsvc32.exe
E:PROGRA~1AgnitumOUTPOS~1outpost.exe
D:WINDOWSExplorer.EXE
D:WINDOWSSOUNDMAN.EXE
D:Program FilesRolandVSC32vsc32cnf.exe
D:Program FilesRolandVSC32vscvol.exe
D:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
D:Program FilesJavajre1.5.0_04binjusched.exe
D:WINDOWSsystem32RUNDLL32.EXE
D:Program FilesMessengerPlus! 3MsgPlus.exe
D:Program FilesAVPersonalAVGNT.EXE
D:WINDOWSsystem32qttask.exe
D:Program FilesFichiers communsRealUpdate_OBealsched.exe
E:Program FilesMicrosoft AntiSpywaregcasServ.exe
D:Program FilesMessengermsmsgs.exe
D:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
F:Données DidierPalm synchroHOTSYNC.EXE
D:Program FilesPinnacleShared FilesProgramsPCLEScheduler.exe
E:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSsystem32wuauclt.exe
E:program filesHijackthis (pas d'install)HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.wanadoo.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:Program FilesMSN
AppsST1.03.0000.1005en-xustmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
D:Program FilesMSN AppsMSN Toolbar1.02.4000.1001frmsntb.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} -
E:program filesNetTransport 2NTIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:Program
FilesMSN AppsMSN Toolbar1.02.4000.1001frmsntb.dll
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
D:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [vsc32cnf.exe] D:Program FilesRolandVSC32vsc32cnf.exe
O4 - HKLM..Run: [vscvol.exe] D:Program FilesRolandVSC32vscvol.exe
O4 - HKLM..Run: [HPDJ Taskbar Utility]
D:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [Outpost Firewall] E:program filesAgnitumOutpost
Firewalloutpost.exe /waitservice
O4 - HKLM..Run: [SunJavaUpdateSched] D:Program
FilesJavajre1.5.0_04binjusched.exe
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE
D:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [MessengerPlus3] "D:Program FilesMessengerPlus!
3MsgPlus.exe"
O4 - HKLM..Run: [AVGCtrl] "D:Program FilesAVPersonalAVGNT.EXE" /min
O4 - HKLM..Run: [NeroFilterCheck] D:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [QuickTime Task]
"D:WINDOWSsystem32qttask.exe" -atboottime
O4 - HKLM..Run: [TkBellExe] "D:Program FilesFichiers
communsRealUpdate_OBealsched.exe" -osboot
O4 - HKLM..Run: [gcasServ] "E:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKCU..Run: [MSMSGS] "D:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [H/PC Connection Agent] "D:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = D:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: HotSync Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = ?
O8 - Extra context menu item: &Télécharger avec NetTransport - E:program
filesNetTransport 2NTAddLink.html
O8 - Extra context menu item: Download all by Free Download Manager -
file://E:program filesFree Download Managerdlall.htm
O8 - Extra context menu item: Download by Free Download Manager -
file://E:program filesFree Download Managerdllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager -
file://E:program filesFree Download Managerdlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager -
file://E:program filesFree Download Managerdlpage.htm
O8 - Extra context menu item: Tout t&élécharger avec NetTransport -
E:program filesNetTransport 2NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
D:Program FilesJavajre1.5.0_04binpjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:Program
FilesJavajre1.5.0_04binpjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile -
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:Program FilesMicrosoft
ActiveSyncINetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
D:Program FilesMicrosoft ActiveSyncINetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:Program FilesMicrosoft
ActiveSyncINetRepl.dll
O9 - Extra button: Outpost Firewall Browser Adjust -
{44627E97-789B-40d4-B5C2-58BD171129A1} - E:program filesAgnitumOutpost
FirewallPluginsBrowserBarie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
D:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:Program
FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX
Control) - file://I:componentshidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) -
file://I:componentsA9.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/17c43546e3410c236416/netzip/RdxIE601_fr.cab
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) -
file://I:componentswmvhdrating.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Adobe LM Service - Unknown owner - D:Program FilesFichiers
communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
D:PROGRAM FILESAVPERSONALAVGUARD.EXE
O23 - Service: asurscsi - Voyetra Turtle Beach, Inc. - D:EJayAudio
Cleaning Studio 2004asurscsi.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - D:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd -
D:WINDOWSSystem32DRIVERSCDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
D:WINDOWSsystem32vsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. -
E:PROGRA~1AgnitumOUTPOS~1outpost.exe
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Tsilefy
Le #1492275
Dans le message news:,
Didier
Bonjour,
Je viens de passer Hijackthis sur mon poste et me rend compte de
quelque chose de bizarre : dans la section O16, il est fait référence
(plusieurs fois) à un emplacement "impossible" , par exemple :
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) -
file://I:componentsA9.ocx
La lettre I renvoit à mon graveur de cd qui est vide ! Comment
Hijackthis peut-il trouver l'objet A9.ocx ?
En question subsidiaire, l'entrée :
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:Program
FilesMSN AppsST1.03.0000.1005en-xustmain.dll
est-elle dangereuse, comme le souligne le rapport d'annalyse produit
par le site http://www.hijackthis.de/fr ?


Salut,
1) Hijackthis ne fais pas un scan physique de ton matériel. Il se contente
de parcourir le registre, lequel contient l'adresse du fichier à un moment
donné, celui où il a été utilisé ou installé.
2) stmain.dll n'est pas du tout dangereux. C'est la barre MSN. Soit le site
d'analyse se trompe dans les noms, soit tu as mal copié le log.

Sinon, j'ai rapidement parcouru ton log, rien de dangereux, peut être
quelques trucs inutilement lancés , c'est tout.
--
Tsilefy

Didier
Le #1492274
"Tsilefy"
1) Hijackthis ne fais pas un scan physique de ton matériel. Il se contente
de parcourir le registre, lequel contient l'adresse du fichier à un moment
donné, celui où il a été utilisé ou installé.


Bonjour Tsilefy (et les autres),
Merci pour ta réponse, mais elle amène une autre question : est-ce que je
peux demander à Hijackthis de supprimer toutes ces entrées en rapport avec
le lecteur I ? (je suppose que oui mais j'aimerai bien confirmation)

Tsilefy
Le #1492267
Dans le message news:,
Didier
"Tsilefy" news:
1) Hijackthis ne fais pas un scan physique de ton matériel. Il se
contente de parcourir le registre, lequel contient l'adresse du
fichier à un moment donné, celui où il a été utilisé ou installé.


Bonjour Tsilefy (et les autres),
Merci pour ta réponse, mais elle amène une autre question : est-ce
que je peux demander à Hijackthis de supprimer toutes ces entrées en
rapport avec le lecteur I ? (je suppose que oui mais j'aimerai bien
confirmation)


Oui. Et de toutes les façons, il y a la fonction backup donc tu peux
toujours annuler la suppression au cas où...
--
Tsilefy


Poster une réponse
Anonyme