Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Demande D'information

FLORIAN

Par FLORIAN
dans Analyses et éradication malwares

 Partager

Messages recommandés

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)

Rebonjour à tous,

 

Voici des informations supplémentaires qui montrent bien que ces lignes sont légitimes.

 

-Sur BleepingComputer,voila ce q'on dit au sujet de ce lignes 021:

 

A hijacker that uses the method can be recognized by the following entries:
Example Listing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

 

Registry Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

 

Example Listing

O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\WINDOWS\system32\system32.dll

http://www.bleepingcomputer.com/forums/index.php?showtutorial=42

Il y'a donc une condition,celle de la présence de certaines lignes R0,R1 malsaines.

 

-Sur users.telenet.be

Behoren momenteel tot de 'white list':

"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" ( %SystemDir%\Shell32.dll)

"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" (%SystemDir%\SHELL32.dll)

"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" (%SystemDir%\webcheck.dll)

"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" (%SystemDir%\stobject.dll)

"AUHook" ="{11566B38-955B-4549-930F-7B7482668782}" (%SystemDir%\auhook.dll)

"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}" (%SystemDir%\netshell.dll)

"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" (%SystemDir%\upnpui.dll)

http://users.telenet.be/marcvn/spyware/1666868.htm

 

Behoren momenteel tot de 'white list',veut dire "Pour le moment celles qui appartiennent à la 'white list' ( si j'ai bien traduis )

Modifié par queruak

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Sans doute queruak. a noter toutefois que je n'ai pas de lignes 021 dans le log HJT :

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C299053-8998-4203-90E6-5D5F827354DB}: NameServer = 80.10.246.2 80.10.246.129

O17 - HKLM\System\CS3\Services\Tcpip\..\{0C299053-8998-4203-90E6-5D5F827354DB}: NameServer = 80.10.246.2 80.10.246.129

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)
Sans doute queruak. a noter toutefois que je n'ai pas de lignes 021 dans le log HJT

516062[/snapback]

 

Relis tous mes posts,surtout celui là Écrit le aujourd'hui à 16h01

Ce lignes sont légitimes qu'elles apparaissent ou non sur un rapport hijackthis.

Comment expliquer que nous ayons tous les memes données ?

Maintenant pourquoi,elles apparaisent sur le rapport de Florian,j'ai posé la question à savoir quelle est la version qu'il a utilisé (originale,ou francisée),sinon meme si on les voit sur le rapport,ces lignes sont saines.

Modifié par queruak
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

salut à tous,

 

lol,

 

sauf que dans les exemples, il n'y a pas les pipes !!

c'est ca le problème, et qu'en principe, comme déja dit plus haut, même si on a les valeurs dans le registre, hijackthis ne les sort pas sur le rapport (enfin pas toujours à en croire les autres sites)

 

c'est bien ça qui nous turlupine depuis le début !

Modifié par tesgaz
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour FLORIAN, queruak, tesgaz, megataupe, bonjour à tous,

 

Oui queruak !

 

J'ajoute moi aussi, mon grain de sel.

 

>Ce lignes sont légitimes qu'elles apparaissent ou non sur un rapport hijackthis.

Si elles apparaissent, il faut voir pourquoi !

>Comment expliquer que nous ayons tous les memes données ?

Le système du copain/de la copine de FLORIAN n'a pas encore été complètement examiné !

Nous ne pouvons pas dire qu'il y a les mêmes données, juste que nous n'avons pas encore trouvé ! LOL

>Maintenant pourquoi,elles apparaisent sur le rapport de Florian,j'ai posé la question

>à savoir quelle est la version qu'il a utilisé (originale,ou francisée),

Tu as indiqué une piste possible...

>sinon meme si on les voit sur le rapport,ces lignes sont saines.

Pas encore d'accord ! analysons le problème et nous pourrons conclure lorsque nous aurons compris !

 

La présence de ces modules et lignes est légitime, nous sommes bien d'accord mais telle que listées dans le rapport HijackThis, il y a une bizarrerie que j'aimerais bien expliquer... il se pourrait que la conclusion soit "on ne touche à rien" !

 

Tant qu'il y a réaction d'HijackThis (le listage dans le rapport), le mystère demeurera et j'aimerais comprendre ce qui cause cette spécificité (sans doute la présence des pipes) !

 

Encore une fois, il serait possible de créer un fichier .REG pour remettre les clés comme dans un système standard sain !

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

a créer avec le bloc-notes et fusionner

objectdelay.reg

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour Tesgaz,

 

Lorsque j'ai écrit

>Encore une fois, il serait possible de créer un fichier .REG pour remettre les clés

>comme dans un système standard sain !

Je ne voulais pas écrire que je ne savais pas le faire...

 

LOL

 

Je voulais simplement signifier que j'aimerais continuer à examiner la BdR jusqu'à mettre le doigt sur les pipes ou du moins ce qui cause l'affichage par HJT.

Si on exécute le fichier .REG, on efface tout (j'espère) !

FLORIAN Mega Power Member

FLORIAN

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonjour à tous,

J'ai éxactement la meme chose,meme le dossier avec des valeurs zarbi.LOL

 

Florian,une question toute bete...

Pour le rapport,tu as utilisé la version originale,ou la version francisée ?

515979[/snapback]

 

 

Salut a toi queruak

Salut a tous

 

Pour te répondre j"utilise tjrs la version ORIGINALE je n'ai nullement besoin de mon coté du patch

 

j'ai vérifié aussi de mon coté jai aussi ces trucs la quand meme ZARBI

 

le premier log viens d'une amie donc je n'ai pas pu tout voir chez elle

 

a tres bientot de vous suivre dans le fil de cette convers

 

Cordialement

Modifié par FLORIAN

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...