Ligne suspecte dans un log HJT évalué en ligne = Résolu

Bonjour,

J'ai fait un Hjkt perso pour vérifier si tout était "clean" sur l'ordi, l'ai soumis à l'évaluation automatique en ligne sur le site dédié, et il me trouve simplement cette ligne suspecte ci-dessous avec un commentaire quelque peu alarmiste, alors qu'il s'agit en fait d'un petit FW appelé "DSA" (Dynamic Secutity Agent)qui plus est, reconnu par le centre de sécu Windows, et quelquefois même conseillé dans des forums par certains membres ou modos...

O4 - HKLM\..\Run: [DSA] C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe
Effacer à tout prix ! Homepage hijacker - redirecting to downseek.com

Il y a-t-il un crédit à accorder à cette éval° ? Si quelqu'un a un avis, je suis preneur...

Par avance merci

Bonne journée @+

Salut Chaks

Perso j'en doute... Surement un false positive.

Poste donc ton log ici, je vais te l'analyser

@+

Salut med365,

OK merci pour ta réponse. je suis au boulot et le posterai donc ce soir en rentrant...Effectivement, certainement un fp...

En attendant...

Bonne journée et @+

OK Chaks, pas de problème

Bonne journée et @+ !

Re med365,





Donc, comme convenu voili le log...A mon avis sans être un spé, il ne devrait pas y avoir grand chose...



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:59:38, on 08/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\PopTray\PopTray.exe
C:\HiJackThis_v2.exe\scanner.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/ig
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = http://www.google.fr/ig
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [DSA] C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Startup: ashDisp.lnk = C:\Program Files\Alwil Software\Avast4\ashDisp.exe
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Startup: Start Unlocker Assistant.lnk = C:\Program Files\Unlocker\UnlockerAssistant.exe
O4 - Startup: Winroll.lnk = C:\Program Files\WinRoll\winroll.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FE060B-C487-4DC4-995B-4604ED7180A0}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 5897 bytes


D'avance merci....

@+

Salut

Bon, il reste des traces de BitDefender alors que tu utilises Avast (ou alors peut-être qye tu utilises la version free de bitdefender ?), on va les virer avec Hijackthis :

Va dans la misc tools section
Cliques sur Delete an NT service
La copies-colles le texte suivant : BitDefender Scan Server
Cliques sur OK puis redémarres
Recommence avec : BitDefender Communicator

Supprime les dossiers Softwin dans C:\Program Files et C:\Program Files\Fichiers Communs.

Autre chose, as-tu mis en place toi même des restrictions concernant IE ?

Fixes ces lignes :


En effet, elles ne servent a rien

A part ça, tout est normal

@+

Re,

Merci bcp. Effectivement j'utilise BDdef v 8 "free"...Je fais quand même les manips conseillées...?

Quant aux restrictions IE7, ça ne me dit rien : Il y a Spybot et Spywareblaster qui scrutent la page d'accueil que j'ai mise par défaut en empêchant toute modif, comme tout AS résident lambda.Sinon I don't see...

@+

Bon, ca doit être SpywareBlaster...

Pour moi tout est OK

Bonne soirée et @+ !

Re,

OK, probably Spywareblaster, donc je ne touche à rien...

Merci à toi...

Good night...!

@+

Bonjour à tous!

Le fait que Dynamic Security Agent n'est pas encore été recensé comme bonne ou mauvaise par les visiteurs du site d'Hijackthis ne signifie pas que cette entrée soit mauvaise...

Comme vous le saviez, la base de reférence de Hijackthis s'appuit en grande partie sur le "vote des visiteur".

Ainsi sa fiabilité augmente avec le nombre de réponse reçu pour une entrée donné et il peut se glissé dans le lot des des avertissements exagérés...

Cela dit cette cette "lecture" d'Hijackthis m'interroge un peu...

Car DSA.exe est à coup sûr un processus fiable(comme le dit d'ailleurs Med 365)

Je renchéri donc
A+

Salut Loch-ness,

Merci pour ta réponse.
Comme le mentionnait med365 il s'agissait d' un fp (certainement non encore pris en compte par les visiteurs du site comme tu le soulignes) : C'est vrai qu'il ne doit pas être installé en masse (il est cependant reconnu par le CS windows, mais ce n'est pas forcément une référence absolue)

Si mes souvenirs sont bons j'ai installé DSA sur tes conseils par rapport au fait que je disposais d'un routeur avec FW NAT.Avant cela j'avais l'ex Kerio mais son GUI me prenait trop de ressources (interface avec graphique des données "in" et "out"): Chaque fois que je le visualisais avec une appli déjà ouverte elle mettait du temps avant de s'afficher entièrement.Et comme DSA a l'air de faire son boulot simplement, efficacement sans être trop inquisiteur, je m'en contente.

J'ai donc mentionné : "Résolu" et merci à med365

Bon WE
@+

Mais de rien
Bonne semaine @+ !