Aller au contenu


Photo
- - - - -

FeedBack Zeb Help Process


1152 réponses à ce sujet

#1 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9162 messages

Posté 23 janvier 2008 - 04:54

Bonjour à tous,

Ce sujet vous permet de proposer des modifications sur le traitement des lignes de rapport. Il peut s'agir de lignes vertes (non traitées) ou de modifications sur des processus existants. Ce feedback des utilisateurs permet de fiabiliser les informations et d'en faire profiter toute la communauté qui lutte contre les infections.

Merci d'avance. :P

Modifié par Nicolas Coolman, 03 septembre 2008 - 08:12 .

  • 0

PUBLICITÉ

    Annonces Google

#2 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9162 messages

Posté 23 janvier 2008 - 04:57

Je reproduis ici le message de TheGhostRider


Bonjour à tous !

En utilisant Zeb Help Process j'ai vu qu'il y avait quelques petits choses à améliorer , je voulait donc en faire par aux développeurs du logiciel .

Fichier de détection du 22/01

Super logiciel d'ailleurs :P :P

Donc , a l'analyse de mon rapport , j'ai le droit a ceci :

Image IPB

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
Je signale juste que cette ligne est notée comme " variable " , est-ce normal ?


Je pense que certaines lignes pourraient être mises comme hors de danger , " légitime " .


La ligne C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\taskmgr.exe n'est pas une ligne dangereuse : j'ai ajouté la taskmanager de windows au démarrage .
La ligne C:\Program Files\ZebHelpProcess 2\ZHP2.exe est dite non-traité , sa , c'est bizarre :P
La ligne O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs n'est pas dangereuse , il s'agit du programme BootSkin édité par Stardock qui permet de changer le bootscreen de windows , sans danger , donc .
La ligne O4 - Startup: taskmgr.lnk = C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\taskmgr.exe n'est pas dangereuse , j'ai ajouté la taskmanager de windows au démarrage
La ligne O4 - Startup: UltraVNC Server.lnk = C:\Program Files\UltraVNC\winvnc.exe n'est pas dangereuse , il s'agit du programme ultra VNC server qui permet de prendre le contrôle a distance d'un ordinateur ( Ultra VNC server doit être lancé sur la machine distante pour en prendre le contrôle , le programme se lance donc au démarrage ).
La ligne O4 - Global Startup: Super Turbo Tango Patcher Reloader.lnk = C:\WINDOWS\Super Turbo Tango Patcher\Reloader.exe n'est pas dangereuse , il s'agit du programme Super Turbo Tango Patcher qui permet de changer l'apparence d'XP , un peu comme les bricopacks .
Les lignes O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2007\\Parser.html et O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2007\\AddUrl.html ne sont pas dangereuses : elles sont ajoutés par le programme LeechGet qui est un gestionnaire-accélérateur de téléchargement ceci ajoute au menu contextuel l'option " Analyser avec LeechGet " et " Télécharger en utilisant LeechGet " , donc rien de bien méchant :P


Par contre je ne sais pas a quoi correspond cette ligne : O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1....loadManager.ocx

Si quelqu'un peut m'éclairer :P


Voila , j'espère avoir offert ma modeste contribution au développement de ce projet auquel je croit , je voulait juste vous aider un peu a améliorer le programme :P
  • 0

#3 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9162 messages

Posté 23 janvier 2008 - 05:02

:P

Merci TheGhostRider pour le feedback

Les modifications sont prises en compte et feront partie de la prochaine mise à jour.

Par contre je ne sais pas a quoi correspond cette ligne : O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1....loadManager.ocx

Si quelqu'un peut m'éclairer

Il s'agit d'un processus légitime
Plus d'informations Ici

A bientôt
  • 0

#4 TheGhostRider

TheGhostRider

    Full Patch Member

  • Membres
  • 1475 messages

Posté 23 janvier 2008 - 05:50

Pas de problèmes , heureux d'avoir pu vous aider !
Bon courage pour le développement de votre projet .
  • 0

#5 hamagil

hamagil

    Mega Power Member

  • Membres
  • 350 messages

Posté 23 janvier 2008 - 11:24

salut

je vais essayer d'apporter ma petite contribution , en esperant que ca aide un peu

raport de synthese de ZHP

Image IPB



RSSBandit.exe , est un prog d'abonnement et de lecture de flux RSS
ligne : G :\Program Files\RssBandit\RSSBandit.exe (G est la lettre de la partition systeme)

FAHTray.exe , sert a cacher la fenetre du calcul FOLDING (pour le client SMP ou le client console)
ligne : H:\client SMP\FAHTray\FAHTray2.exe ( H , est la lettre de la partition du dossier d'instal)

SMP Client V1.01\fah.exe , est le client SMP de folding , client qui sers a calculer le repliement de proteines pour le compte de "folding@home"
ligne : G:\Program Files\Folding@Home Windows SMP Client V1.01\fah.exe

MeteoFusion.exe , sert a avoir la meteo sur le bureau (un peu comme les docklets de rocketdock,sauf que c'est un prog a part entiere)
ligne : G:\Program Files\Eggiz\Meteo Fusion\Meteo Fusion.exe

procexpFR.exe , est le programe "process explorer" en francais , programe qui sers a visualiser les processus en activitee sur le PC
ligne : H:\softs sans instal\ProcessExplorer_FR\ProcessExplorer FR\procexpFR.exe

mpiexec.exe , fait partie du client SMP de calcul folding (je crois qu'il sert pour creer les check points) fonction a verifier pour etre sur
ligne : G:\Program Files\Folding@Home Windows SMP Client V1.01\mpiexec.exe

FahCore_a1.exe , fait partie du client SMP de folding (je me rapelle plus la definition exacte , si c'est l'algorythme de calcul ou autre),il y en a toujours 4 qui tournent
ligne : G:\Program Files\Folding@Home Windows SMP Client V1.01\FahCore_a1.exe

j'espere que mes definitions s'onts correctes
a+
  • 0

#6 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9162 messages

Posté 23 janvier 2008 - 11:44

:P hamagil,

Merci pour le feedback, je regarde tout cela demain et je tiens au courant. :P

Bonne nuit
  • 0

#7 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9162 messages

Posté 24 janvier 2008 - 10:52

Bonjour à tous,

hamagil, les modifications sont prises en compte et feront partie de la prochaine mise à jour.

A bientôt.
  • 0

#8 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9162 messages

Posté 27 janvier 2008 - 01:40

Bonjour à tous les ZHPiensn :P

Je rapporte ici le feedback de Wawaseb,

De bonnes choses à prendre ici pour la mise à jour de Zeb Help Process :

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\svchost.exe <-- Sans doute SDBot
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\rxjddnvj.exe, <--- Malware non identifié
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O1 - Hosts: 124.217.252.77 www.bravesentry.com
O1 - Hosts: 124.217.252.77 bravesentry.com <-- Adware BraveSentry
O1 - Hosts: 124.217.252.78 secure.isoftpay.com
O2 - BHO: (no name) - {08d28ebe-1dd2-11b2-8718-99ecb2bfada7} - C:\WINDOWS\xwnelsrw.dll
O2 - BHO: e404 helper <-- Lié à SDBot
O4 - HKLM\..\Run: [4D50565653515A55] A6A9AFAFACAAB3.exe
O4 - HKLM\..\Policies\Explorer\Run: [69na011Ng4] rundll32.exe "C:\WINDOWS\jsrqfyxc.dll",DllCleanServer
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.aka...vex-2.0.3.1.cab <-- NaviPromo
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplane...DC_2.1.1.74.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/...2/OCI/setup.exe
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradu...bTelecomInt.cab
O16 - DPF: {A48D0309-8DA3-41AA-98E4-89194D471890} (Pulse V5 ActiveX Control) - http://a320.g.akamai...layer5AxWin.cab
O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe


  • 0

#9 WawaSeb

WawaSeb

    Godlike Member

  • Equipe Sécurité
  • 2124 messages

Posté 27 janvier 2008 - 06:20

Bonsoir coolman, salut tout le monde !

Quelques nouvelles entrées :
C:\Program Files\JustWrite Office\ScreenMark.exe <-- Légitime !

O21 - SSODL: syshosts - {3C3A3997-D747-4A32-B9DF-EE14D4D9A128} - syshosts.dll (file missing) <-- SDBot sans doute !
O21 - SSODL: drivers - {E5D76457-3A1A-4EE9-8B45-8F2814B24B3C} - (no file) <-- CLSID inconnue, mais je doute qu'elle soit gentille !


O4 - HKLM\..\Run: [JWOSetup] JWOSetup.exe -en <-- Légitime !
O4 - HKLM\..\Run: [SMKRun] C:\Program Files\JustWrite Office\ScreenMark.exe -i <-- Légitime !

Bonne soirée à vous !
:P
  • 0

#10 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9162 messages

Posté 27 janvier 2008 - 08:13

:P Wawaseb,

J'ai commencé à regarder ta première 'récolte'

O1 - Hosts: 124.217.252.77 bravesentry.com

BraveSentry.Adw mis en Infection Combo

O1 - Hosts: 124.217.252.78 secure.isoftpay.com

Pest Trap de la société Stratex International - SmitFraud - SpySheriff --> Mis en Infection SmitFraud
http://assiste.com.f.../pest_trap.html

O2 - BHO: e404 helper <-- Lié à SDBot

Infection SD

O4 - HKLM\..\Run: [4D50565653515A55] A6A9AFAFACAAB3.exe

Rien trouvé, il s'agit probablement d'un malware, je le place en superflu

Edit : 2eme Récolte

O21 - SSODL: syshosts - {3C3A3997-D747-4A32-B9DF-EE14D4D9A128} - syshosts.dll (file missing) <-- SDBot sans doute !

Oui il s'agit d'une infection SD.

O21 - SSODL: drivers - {E5D76457-3A1A-4EE9-8B45-8F2814B24B3C} - (no file) <-- CLSID inconnue, mais je doute qu'elle soit gentille !

Oui, aucune trace de ce CLSID, Je place en superflu en attendant plus d'infos.

A+

Modifié par coolman, 27 janvier 2008 - 08:28 .

  • 0



Répondre à ce sujet



  







Sujets similaires :     x