dois-je supprimer ces entrées dans le registre?

dois-je supprimer ces entrées dans le registre? - Sécurité - Windows & Software

Marsh Posté le 15-05-2005 à 13:11:34    

hello,
un scan avec Rootkitrevealer 1.4 me donne des entrées  à 0k dans la base de registre, la question est de savoir si je peux, si je dois enlever ces entrées ? Ou au contraire ne rien faire ?
http://img22.echo.cx/img22/2064/sanstitre1gn.jpg
merci d'avance.
 :hello:  

Reply

Marsh Posté le 15-05-2005 à 13:11:34   

Reply

Marsh Posté le 15-05-2005 à 13:47:25    

difficile a dire, envoie plutot un log hijackthis

Reply

Marsh Posté le 15-05-2005 à 15:00:11    

ok, voici le scan :
Logfile of HijackThis v1.99.1
Scan saved at 14:59:37, on 15/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Executive Software\DiskeeperServer\DKService.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HDD Thermometer\HDD Thermometer.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\Program Files\Google\Web Accelerator\googlewebaccclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Logitech\MouseWare\System\Em_exec.exe
C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Ahead\NeroVision\NeroVision.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webshots.com/r/internal/start/client/RAND
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCPerf] "C:\PROGRA~1\PCACCE~1\pcperf.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Program Files\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Tout Télécharger avec Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Télécharger avec Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F54F001-67F5-47E5-8513-530E0C25AD47}: NameServer = 194.119.228.67 193.74.208.135
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperServer\DKService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
 

Reply

Marsh Posté le 15-05-2005 à 15:45:22    

pour moi y'a rien de malsain je pense que tu peux les laisser
 
(juste au passage pour info tu sais que tu as un serveur telnet qui tourne?)


Message édité par binouche22 le 15-05-2005 à 15:46:17
Reply

Marsh Posté le 15-05-2005 à 18:27:33    

...  :)
 
Si tu as un rootkit, ton log HijackThis n'est pas forcément infecté...
Après avoir sauvé la base des registres, je tenterais quand même d'enlever ces entrées !
 
Deux questions :  
- Pourquoi avoir passé "RootkitRevealer" ?
- Quels sont les processus actifs et visibles dans ton gestionnaire de tâches ? (ça ne correspond pas toujours avec ce qui est visible dans Hijack)
 
--> Un viel adage en informatique dit ceci : Ne touche pas si cela fonctionne, surtout en sécurité sous Windows...

Reply

Marsh Posté le 15-05-2005 à 21:12:32    

Euhh, je ne sais pas trop pour Telnet....il se pourrait que j'ai activé suite à une perte réseau sur le PC2, j'ai activé des trucs au petit bonheur, et par miracle j'ai récupéré mon réseau et Internet sur le pc2.
http://tinyurl.com/94ahx
Bon, j'ai désactivé :
Fournisseur de la prise en charge de sécurité LM NT
Ca doit être ça Telnet ?
A la question "Pourquoi avoir passé "RootkitRevealer" ?
Je répond, que pendant un défrag, j'ai Kaspersky qui a détecté un virus et supprimé  :??:  
Je voulais voir ce qu'on pouvait faire avec Root.
Il a détecté ces entrées de registre, je vais donc essayé de localiser avec regedit, et supprimer, car avec Root, on ne sais pas éliminer, ou alors j'ai rien compris !
Ceci dit c'est quoi toutes ces lignes qui finissent par "KAVICHS" ???
http://img127.echo.cx/img127/7664/root7nm.jpg
Processus actifs:
Ben; j'ai plus "nom d'utilisateur" dans mes procesus actifs..LOL
http://img208.echo.cx/img208/8936/ [...] ifs7hi.jpg
le dernier n'est pas affiché c'est Processus inactif...SYSTEM             95      16Ko


Message édité par philo2 le 15-05-2005 à 21:50:47
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed