Un cas surpenant mais interressant...

[S.Birkoff]

Bonjour à tous,

J'ai un ami qui m'a contacté pour un avis sur des lignes bizarres dans un log hijackthis qu'il analysait. Apres avoir regardé etcherché un peu sur le net je n'ai rien trouvé, et je n'avais jamais vu cela....

Je vous soumet donc ce log pour que vous puissez donnez vos avis ( surtout sur les lignes bizarres, il y a queques bestioles mais ce n'est pas vraiment le problème) :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:34:08, on 12/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netpede.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\RunServices: [system Updates] osrk.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background

 

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B62F454-24E4-419D-A5CD-91AB1C8B0E00}: NameServer = 195.238.2.21 195.238.2.22

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

 

J'ai mis en gras les lignes dont je vous ai parlé. Si quelqu'un sait à quoi cela correspond...

 

S.B

[Invité Stonangel]

Bonjour S.Birkoff, surprenant je n'ai jamais vu ça. Pas ne numéro de ligne, c'est bien réel? En tout cas fixe sans regret.

Modifié le 12 juin 2005 par Stonangel

[chepioq]

bonjour birkoff et stonangel. se pourrait-il qu'un virus puisse modifier les lignes d'un rappord hijackthis?

chepioq

[ipl_001]

Bonjour S.Birkoff, Stonangel, chepioq, bonjour à tous,

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B62F454-24E4-419D-A5CD-91AB1C8B0E00}: NameServer = 195.238.2.21 195.238.2.22

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

A votre avis, s'agit-il d'une ligne O17, O18, O19, O20, O21, O22 ou O23 ?

J'obterais pour une O20, O21 ou O22...

 

Bug d'HijackThis ?

 

S.Birkoff, serait-il possible d'avoir un rapport avec une version un peu plus ancienne d'HijackThis ?

[megataupe]

Bonjour Ipl. Je pencherai effectivement pour un bug d'Hijackthis car, toutes les entrées ne sont pas identiques.

[ipl_001]

Rebonjour S.Birkoff, megataupe, Stonangel, chepioq, rebonjour à tous,

 

J'aimerais bien une recherche dans la base de registres, des chaînes de caractères 'broken' et '@#[{##}]'

[ipl_001]

Bonjour sloshy, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité !

 

Je reviens pour un lien vers une version ancienne d'HJT... ---édition : voici pour la 1.99.0 -> http://www.wilderssecurity.com/supportfile...ackThis1990.exe

[ipl_001]

Lesquelles as-tu essayé ? je pense que les lignes O20 et suivantes sont arrivées avec la v1.98.2

[ipl_001]

la version est plus ancienne.

il s'agit de la v 1.95.1 (?)

516444[/snapback]

Oui mais HJT ne parlait pas de O18 ni au delà à l'époque ! as-tu passé la 1.95.1 et obtiens-tu les mêmes lignes ???

[ipl_001]

Re,

 

La version la plus ancienne était la 1.0 bien sûr !

 

C'est la v 1.9 qui a apporté les lignes O18 :

[v1.9]

* Added check for Lop.com 'Domain' hijack (O17).

* Bugfix in URLSearchHook (R3) fix.

* Improved O1 (Hosts file) check.

* Rewrote code to delete BHO's, fixing a really nasty bug with orphaned BHO keys.

* Added AutoConfigURL and proxyserver checks (R1).

* IE Extensions (Button/Tools menuitem) in HKEY_CURRENT_USER are now also detected.

* Added check for extra protocols (O18).