Forums Zebulon.fr: FeedBack Zeb Help Process - Forums Zebulon.fr

Bonjour à tous,

Ce sujet vous permet de proposer des modifications sur le traitement des lignes de rapport. Il peut s'agir de lignes vertes (non traitées) ou de modifications sur des processus existants. Ce feedback des utilisateurs permet de fiabiliser les informations et d'en faire profiter toute la communauté qui lutte contre les infections.

Merci d'avance.

Ce message a été modifié par Nicolas Coolman - 03 septembre 2008 - 08:12 .

Je reproduis ici le message de TheGhostRider


Bonjour à tous !

En utilisant Zeb Help Process j'ai vu qu'il y avait quelques petits choses à améliorer , je voulait donc en faire par aux développeurs du logiciel .

Fichier de détection du 22/01

Super logiciel d'ailleurs

Donc , a l'analyse de mon rapport , j'ai le droit a ceci :



C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
Je signale juste que cette ligne est notée comme " variable " , est-ce normal ?


Je pense que certaines lignes pourraient être mises comme hors de danger , " légitime " .


La ligne C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\taskmgr.exe n'est pas une ligne dangereuse : j'ai ajouté la taskmanager de windows au démarrage .
La ligne C:\Program Files\ZebHelpProcess 2\ZHP2.exe est dite non-traité , sa , c'est bizarre
La ligne O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs n'est pas dangereuse , il s'agit du programme BootSkin édité par Stardock qui permet de changer le bootscreen de windows , sans danger , donc .
La ligne O4 - Startup: taskmgr.lnk = C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\taskmgr.exe n'est pas dangereuse , j'ai ajouté la taskmanager de windows au démarrage
La ligne O4 - Startup: UltraVNC Server.lnk = C:\Program Files\UltraVNC\winvnc.exe n'est pas dangereuse , il s'agit du programme ultra VNC server qui permet de prendre le contrôle a distance d'un ordinateur ( Ultra VNC server doit être lancé sur la machine distante pour en prendre le contrôle , le programme se lance donc au démarrage ).
La ligne O4 - Global Startup: Super Turbo Tango Patcher Reloader.lnk = C:\WINDOWS\Super Turbo Tango Patcher\Reloader.exe n'est pas dangereuse , il s'agit du programme Super Turbo Tango Patcher qui permet de changer l'apparence d'XP , un peu comme les bricopacks .
Les lignes O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2007\\Parser.html et O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2007\\AddUrl.html ne sont pas dangereuses : elles sont ajoutés par le programme LeechGet qui est un gestionnaire-accélérateur de téléchargement ceci ajoute au menu contextuel l'option " Analyser avec LeechGet " et " Télécharger en utilisant LeechGet " , donc rien de bien méchant


Par contre je ne sais pas a quoi correspond cette ligne : O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx

Si quelqu'un peut m'éclairer


Voila , j'espère avoir offert ma modeste contribution au développement de ce projet auquel je croit , je voulait juste vous aider un peu a améliorer le programme

Merci TheGhostRider pour le feedback

Les modifications sont prises en compte et feront partie de la prochaine mise à jour.

Citation

Il s'agit d'un processus légitime
Plus d'informations Ici

A bientôt

Pas de problèmes , heureux d'avoir pu vous aider !
Bon courage pour le développement de votre projet .

salut

je vais essayer d'apporter ma petite contribution , en esperant que ca aide un peu

raport de synthese de ZHP





RSSBandit.exe , est un prog d'abonnement et de lecture de flux RSS
ligne : G :\Program Files\RssBandit\RSSBandit.exe (G est la lettre de la partition systeme)

FAHTray.exe , sert a cacher la fenetre du calcul FOLDING (pour le client SMP ou le client console)
ligne : H:\client SMP\FAHTray\FAHTray2.exe ( H , est la lettre de la partition du dossier d'instal)

SMP Client V1.01\fah.exe , est le client SMP de folding , client qui sers a calculer le repliement de proteines pour le compte de "folding@home"
ligne : G:\Program Files\Folding@Home Windows SMP Client V1.01\fah.exe

MeteoFusion.exe , sert a avoir la meteo sur le bureau (un peu comme les docklets de rocketdock,sauf que c'est un prog a part entiere)
ligne : G:\Program Files\Eggiz\Meteo Fusion\Meteo Fusion.exe

procexpFR.exe , est le programe "process explorer" en francais , programe qui sers a visualiser les processus en activitee sur le PC
ligne : H:\softs sans instal\ProcessExplorer_FR\ProcessExplorer FR\procexpFR.exe

mpiexec.exe , fait partie du client SMP de calcul folding (je crois qu'il sert pour creer les check points) fonction a verifier pour etre sur
ligne : G:\Program Files\Folding@Home Windows SMP Client V1.01\mpiexec.exe

FahCore_a1.exe , fait partie du client SMP de folding (je me rapelle plus la definition exacte , si c'est l'algorythme de calcul ou autre),il y en a toujours 4 qui tournent
ligne : G:\Program Files\Folding@Home Windows SMP Client V1.01\FahCore_a1.exe

j'espere que mes definitions s'onts correctes
a+

hamagil,

Merci pour le feedback, je regarde tout cela demain et je tiens au courant.

Bonne nuit

Bonjour à tous,

hamagil, les modifications sont prises en compte et feront partie de la prochaine mise à jour.

A bientôt.

Bonjour à tous les ZHPiensn

Je rapporte ici le feedback de Wawaseb,

Citation

Bonsoir coolman, salut tout le monde !

Quelques nouvelles entrées :
C:\Program Files\JustWrite Office\ScreenMark.exe <-- Légitime !

O21 - SSODL: syshosts - {3C3A3997-D747-4A32-B9DF-EE14D4D9A128} - syshosts.dll (file missing) <-- SDBot sans doute !
O21 - SSODL: drivers - {E5D76457-3A1A-4EE9-8B45-8F2814B24B3C} - (no file) <-- CLSID inconnue, mais je doute qu'elle soit gentille !


O4 - HKLM\..\Run: [JWOSetup] JWOSetup.exe -en <-- Légitime !
O4 - HKLM\..\Run: [SMKRun] C:\Program Files\JustWrite Office\ScreenMark.exe -i <-- Légitime !

Bonne soirée à vous !

Wawaseb,

J'ai commencé à regarder ta première 'récolte'

Citation

BraveSentry.Adw mis en Infection Combo

Citation

Pest Trap de la société Stratex International - SmitFraud - SpySheriff --> Mis en Infection SmitFraud
http://assiste.com.f.../pest_trap.html

Citation

Infection SD

Citation

Rien trouvé, il s'agit probablement d'un malware, je le place en superflu

Edit : 2eme Récolte

Citation

Oui il s'agit d'une infection SD.

Citation

Oui, aucune trace de ce CLSID, Je place en superflu en attendant plus d'infos.

A+

Ce message a été modifié par coolman - 27 janvier 2008 - 20:28 .

Salut Coolman !

tu me connais ( wawaseb aussi ) sous le pseudo Jorginho ( j'ai pensé que par rapport a mon avatar, le nom du punisher serais mieux pour le pseudo ), donc je te ramene un peu de boulot en plus !

E:\jeux\Amphibizorus\mirc.exe ----> rien trouvé de concluant, mais je l'ai vu traité après passage de combo !


O2 - BHO: {3fd12b41-b946-efe9-8bf4-29c017ea76e1} - {1e67ae71-0c92-4fb8-9efe-649b14b21df3} - C:\WINDOWS\system32\oqkodhuv.dll
oqkodhuv.dll -----> seul lien trouvé, chez des collégues, supprimé par combofix

O2 - BHO: (no name) - {92876E50-3765-4F15-B168-53E6425AD26F} - C:\WINDOWS\system32\mllml.dll -->
mllml.dll adware http://www.fbmsoftware.com/spyware-net/pro...mllml_dll/2972/ ( encore une page utile )

je ne sais pas si les sites de la trusted zone t'interessent, tu me le diras après.

O15 - Trusted Zone: *.amaena.com ------>traitée ici http://forum.zebulon...php/t91285.html

une liste de rogues http://secubox.aldri...topic-1229.html qui doit etre utile ...

O15 - Trusted Zone: *.avsystemcare.com--> rogue vu sur la page ( 2eme liste # 10)
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com ---> crapware http://assiste.com.f...es/crapware.txt
encore une bonne liste quoique d'il y a deux ans .

O15 - Trusted Zone: *.onerateld.com ---> composant de Fake Anti Spyware.AVSystem Care http://spywaredetector.net/spyware_encyclo...stem%20Care.htm

O15 - Trusted Zone: *.trustedantivirus.com ----> http://www.411-spywa...rustedantivirus
O15 - Trusted Zone: *.virusschlacht.com---------># 98 même liste


O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pfybdqui.exe ----> seul lien trouvé, chez des collégues, supprimé par combofix

c'est mon premier post en technique, j'espere que se sera assez lisible !

J'espere que c'est bien ce genre d'infos que te cherches, fais le moi savoir stp !


@ + les gars.....

Frank Castle,

Merci pour le feedback, je regarde cela dès que possible.

Dans le cas d'un 'running process', l'information doit s'acompagner de son entrée, lorsqu'elle existe, il s'agit généralement de lignes en O4 ou O23.

Salut coolman !

Jorginho > Bienvenue sur Zebulon ! Je suis ravi de te retrouver ici...

Bon, d'après ce topic-ci : http://forum.zebulon...howtopic=138480 et quelques recherches :


C:\WINDOWS\System32\clrviddc.dll -->09/01/2008 11:40:25
ClearVideo Decoder DLL --> OK

C:\WINDOWS\bootstat.dat -->01/02/2008 19:37:45
This file appears to be a Microsoft system file --> OK

0x03170000 0xf000 2.50.0041.0000 C:\Program Files\Eset\nodshex.dll
NOD32 Antivirus --> OK

F576D000 - \SystemRoot\system32\DRIVERS\Camdrl.sys
Logitech QuickCam Universal Serial Bus Camera Driver --> OK

Bit Che
Outil de recherche Bittorrent --> No Comment !

DC++ 0.674
Direct Connect --> Hum...

31/10/2005 16:56 700 416 StubInstaller.exe
This is a component of LimeWire --> p2p

C:\Documents and Settings\cepe\.limewire\.NetworkShare\LimeWireWin4.14.10.exe
IDEM

c:\Documents and Settings\cepe\Application Data\U3\temp\cleanup.exe <-- Logiciel de Steven ou voir ci-dessous !
c:\Documents and Settings\cepe\Application Data\U3\temp\Launchpad Removal.exe
--> Sandisk --> Je dirais OK

c:\program files\mozilla firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
--> Mozilla --> OK

O4 - HKLM\..\Run: [Svchost1] c:\Windows\Temp\SecurityHackers1.exe
O4 - HKLM\..\Run: [Svchost2] c:\Windows\Temp\SecurityHackers2.exe
SDBot ? J'envoie les fichiers à Andy...

Bonne nuit !

Salut !
comme çà ? J'apprends facilement, mais il faut me l'expliquer longtemps...

C:\Program Files\CyberLink\PCM4Everio\EverioService.exe
O4 - HKLM\..\Run: [EverioService] "C:\Program Files\CyberLink\PCM4Everio\EverioService.exe"

http://www.castlecop...rioService.html

@ +

Bonjour Frank, Wawaseb,

Les feedbacks sont pris en compte