Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Un cas surpenant mais interressant...


Messages recommandés

Bonjour à tous,

J'ai un ami qui m'a contacté pour un avis sur des lignes bizarres dans un log hijackthis qu'il analysait. Apres avoir regardé etcherché un peu sur le net je n'ai rien trouvé, et je n'avais jamais vu cela....

Je vous soumet donc ce log pour que vous puissez donnez vos avis ( surtout sur les lignes bizarres, il y a queques bestioles mais ce n'est pas vraiment le problème) :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:34:08, on 12/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netpede.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\RunServices: [system Updates] osrk.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background

 

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B62F454-24E4-419D-A5CD-91AB1C8B0E00}: NameServer = 195.238.2.21 195.238.2.22

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

 

J'ai mis en gras les lignes dont je vous ai parlé. Si quelqu'un sait à quoi cela correspond...

 

S.B

Lien vers le commentaire
Partager sur d’autres sites

Invité Stonangel

Bonjour S.Birkoff, surprenant je n'ai jamais vu ça. Pas ne numéro de ligne, c'est bien réel? En tout cas fixe sans regret.

Modifié par Stonangel
Lien vers le commentaire
Partager sur d’autres sites

bonjour birkoff et stonangel. se pourrait-il qu'un virus puisse modifier les lignes d'un rappord hijackthis?

chepioq

Lien vers le commentaire
Partager sur d’autres sites

Bonjour S.Birkoff, Stonangel, chepioq, bonjour à tous,

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{4B62F454-24E4-419D-A5CD-91AB1C8B0E00}: NameServer = 195.238.2.21 195.238.2.22

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

#{ broken} #§@|#||@#[{##}]

#{ broken} #§è@|#||@#[{##}]

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

A votre avis, s'agit-il d'une ligne O17, O18, O19, O20, O21, O22 ou O23 ?

J'obterais pour une O20, O21 ou O22...

 

Bug d'HijackThis ?

 

S.Birkoff, serait-il possible d'avoir un rapport avec une version un peu plus ancienne d'HijackThis ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Ipl. Je pencherai effectivement pour un bug d'Hijackthis car, toutes les entrées ne sont pas identiques.

Lien vers le commentaire
Partager sur d’autres sites

Rebonjour S.Birkoff, megataupe, Stonangel, chepioq, rebonjour à tous,

 

J'aimerais bien une recherche dans la base de registres, des chaînes de caractères 'broken' et '@#[{##}]'

Lien vers le commentaire
Partager sur d’autres sites

Lesquelles as-tu essayé ? je pense que les lignes O20 et suivantes sont arrivées avec la v1.98.2

Lien vers le commentaire
Partager sur d’autres sites

la version est plus ancienne.

il s'agit de la v 1.95.1 (?)

516444[/snapback]

Oui mais HJT ne parlait pas de O18 ni au delà à l'époque ! as-tu passé la 1.95.1 et obtiens-tu les mêmes lignes ???
Lien vers le commentaire
Partager sur d’autres sites

Re,

 

La version la plus ancienne était la 1.0 bien sûr !

 

C'est la v 1.9 qui a apporté les lignes O18 :

[v1.9]

* Added check for Lop.com 'Domain' hijack (O17).

* Bugfix in URLSearchHook (R3) fix.

* Improved O1 (Hosts file) check.

* Rewrote code to delete BHO's, fixing a really nasty bug with orphaned BHO keys.

* Added AutoConfigURL and proxyserver checks (R1).

* IE Extensions (Button/Tools menuitem) in HKEY_CURRENT_USER are now also detected.

* Added check for extra protocols (O18).

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...