Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour à tous,

J'ai un ami qui m'a contacté pour un avis sur des lignes bizarres dans un log hijackthis qu'il analysait. Apres avoir regardé etcherché un peu sur le net je n'ai rien trouvé, et je n'avais jamais vu cela....

Je vous soumet donc ce log pour que vous puissez donnez vos avis ( surtout sur les lignes bizarres, il y a queques bestioles mais ce n'est pas vraiment le problème) :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:34:08, on 12/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netpede.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\RunServices: [system Updates] osrk.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background

 

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B62F454-24E4-419D-A5CD-91AB1C8B0E00}: NameServer = 195.238.2.21 195.238.2.22

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

 

J'ai mis en gras les lignes dont je vous ai parlé. Si quelqu'un sait à quoi cela correspond...

 

S.B

Invité Stonangel
Posté(e) (modifié)

Bonjour S.Birkoff, surprenant je n'ai jamais vu ça. Pas ne numéro de ligne, c'est bien réel? En tout cas fixe sans regret.

Modifié par Stonangel
Posté(e)

Bonjour S.Birkoff, Stonangel, chepioq, bonjour à tous,

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B62F454-24E4-419D-A5CD-91AB1C8B0E00}: NameServer = 195.238.2.21 195.238.2.22

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

A votre avis, s'agit-il d'une ligne O17, O18, O19, O20, O21, O22 ou O23 ?

J'obterais pour une O20, O21 ou O22...

 

Bug d'HijackThis ?

 

S.Birkoff, serait-il possible d'avoir un rapport avec une version un peu plus ancienne d'HijackThis ?

Posté(e)

Rebonjour S.Birkoff, megataupe, Stonangel, chepioq, rebonjour à tous,

 

J'aimerais bien une recherche dans la base de registres, des chaînes de caractères 'broken' et '@#[{##}]'

Posté(e)

Bonjour sloshy, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité !

 

Je reviens pour un lien vers une version ancienne d'HJT... ---édition : voici pour la 1.99.0 -> http://www.wilderssecurity.com/supportfile...ackThis1990.exe

Posté(e)

Lesquelles as-tu essayé ? je pense que les lignes O20 et suivantes sont arrivées avec la v1.98.2

Posté(e)
la version est plus ancienne.

il s'agit de la v 1.95.1 (?)

516444[/snapback]

Oui mais HJT ne parlait pas de O18 ni au delà à l'époque ! as-tu passé la 1.95.1 et obtiens-tu les mêmes lignes ???
Posté(e)

Re,

 

La version la plus ancienne était la 1.0 bien sûr !

 

C'est la v 1.9 qui a apporté les lignes O18 :

[v1.9]

* Added check for Lop.com 'Domain' hijack (O17).

* Bugfix in URLSearchHook (R3) fix.

* Improved O1 (Hosts file) check.

* Rewrote code to delete BHO's, fixing a really nasty bug with orphaned BHO keys.

* Added AutoConfigURL and proxyserver checks (R1).

* IE Extensions (Button/Tools menuitem) in HKEY_CURRENT_USER are now also detected.

* Added check for extra protocols (O18).

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...