Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Un cas surpenant mais interressant...

S.Birkoff

Par S.Birkoff
dans Analyses et éradication malwares

 Partager

Messages recommandés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
Rebonjour S.Birkoff, megataupe, Stonangel, chepioq, rebonjour à tous,

 

J'aimerais bien une recherche dans la base de registres, des chaînes de caractères 'broken' et '@#[{##}]'

516423[/snapback]

 

Recherche avec TuneUp. Pour 'broken', 34 entrées concernant principalement le terminal server dans HKLM.

 

rien sur les Champollion de ce log.

Lien vers le commentaire
Partager sur d’autres sites

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour sloshy,

...

easycleaner a trouver des entrées de au nom de c'est entré nefaste que j'ai suprimmer.

ensutie, un fix et plus de petite bestiolle...

Tu as effectué une recherche de quelle chaîne ? As-tu repéré les clés ?

 

En tous cas, félicitations !

J'espère que tu vas rester sur Zeb'...

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour sloshy,

 

Pas dans HKEY_CURRENT_USER\Console ?

N'as-tu pas repéré les valeurs ? n'était-ce pas 'Broken' ?

Lien vers le commentaire
Partager sur d’autres sites
S.Birkoff Full Patch Member

S.Birkoff

Posté(e)
  • Auteur
Posté(e)

Bonjour ipl_001, stonagel, tout lemonde,

Deja merci de nous avoir aidé pour ce problème qui, autre réjouissance, est résolu.

 

Mais cela a quand même bien eveiller ma curiosité, car meme si le problème est résolu il serait peut être bon d'identifier ce que c'est ( si c'est possible bien sur).

 

Alors bug d'hijackthis? nouvelle menace? J'ai du mal a croire que hijackthis soit buggué car avec les milliers de rapport présent sur le net je n'ai vu que celui ci avec de telles entrées ? Si cela correspond bien à un cryptage lequel est ce?

 

Bref plein de question qui me turlupine et qui je trouve mérite d'être posé?

Affaire à suivre donc... :P

S.B

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour sloshy, rebonjour à tous,

...

je resterais certainement sur zeb' (un forum de plus un  :-()

Inscrit le :  31 Oct 2004

Messages :  5250 [1.59% du total / 23.44 messages par jour]

Pas mal ! LOL bonne cadence !

Mais on essaiera de ne pas te marcher sur les pieds ->

t'es pas un boulet, ni un troll t'es un con.

si à 34 ans t'as toujours pas compris le principe de la politesse, abb ...

:P
Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir S.Birkoff, sloshy, rebonsoir à tous,

Bonjour ipl_001, stonagel, tout lemonde,

Deja merci de nous avoir aidé pour ce problème qui, autre réjouissance, est résolu.

 

Mais cela a quand même bien eveiller ma curiosité, car meme si le problème est résolu il serait peut être bon d'identifier ce que c'est ( si c'est possible bien sur).

 

Alors bug d'hijackthis? nouvelle menace? J'ai du mal a croire que hijackthis soit buggué car avec les milliers de rapport présent sur le net je n'ai vu que celui ci avec de telles entrées ? Si cela correspond bien à un cryptage lequel est ce?

 

Bref plein de question qui me turlupine et qui je trouve mérite d'être posé?

Affaire à suivre donc...  :P

S.B

516502[/snapback]

Tu as bien raison de nous avoir alertés à ce sujet !

J'ai bien sûr effectué une recherche sur Google sans rien trouver mais Google a éliminé ces caractères de la recherche pour ne conserver que 'Broken' !

 

En temps normal, je devrais être sur SpywareInfo et là, j'aurais pu lire quelques infos à ce sujet... mais j'ai un peu décroché !

 

Je ne pense pas que ce soit un bug de HJT puisque sloshy a trouvé des choses dans la BdR.

Vu l'emplacement dans le rapport, HJT était en train de s'intéresser aux sections O18 à O23... je ne savais pas que HJT allait fouiller dans HKEY_CURRENT_USER\Console

Lien vers le commentaire
Partager sur d’autres sites
S.Birkoff Full Patch Member

S.Birkoff

Posté(e)
  • Auteur
Posté(e) (modifié)
. je ne savais pas que HJT allait fouiller dans HKEY_CURRENT_USER\Console

Oui, on est deux.... :-(

Comme quoi hijackthis est plein de mystere :P

Par contre est ce que cela peut venir de l'ordinateur d'ou provient le log ? Comme tu le dis :

Vu l'emplacement dans le rapport, HJT était en train de s'intéresser aux sections O18 à O23...

Par conséquent cela peut il venir d'un bug sur l'ordinateur entrainant ces lignes?

S.B

Modifié par S.Birkoff
Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour à tous,

... Par contre est ce que cela peut venir de l'ordinateur d'ou provient le log ? Comme tu le dis :

 

Par conséquent cela peut il venir d'un bug sur l'ordinateur entrainant ces lignes?

S.B

516517[/snapback]

Les données ont été trouvées dans la base de registres...

Ces données ont également perturbé HijackThis qui n'a pas su afficher le numéro de section !... donc un bug HJT tout de même !

Lien vers le commentaire
Partager sur d’autres sites
S.Birkoff Full Patch Member

S.Birkoff

Posté(e)
  • Auteur
Posté(e) (modifié)
donc un bug HJT tout de même !

Oui en effet, mais alors.....qu'est ce que cela signifie? l'hypothèse de sloshy est interresante :

je pense qu'un script malicieux (VB, assembleur ou python) n'ai été casser un algorythme dans la racine c:>hijackthis\hijackthis.exe ce qui nous laisserait sous entendre que ces entrées sont un code de programmation d'un language de bas niveau (proche du language machine).

Je penche aussi pour le bas niveau, mais je n'arrive toujours pas à trouver de cause?

S.B

Modifié par S.Birkoff
Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Re,

 

J'avais décidé d'aller à la pèche aux infos sur SpyWareInfo et aussi causer du problème mais voilà le résultat !

 

-> "Attaque contre SpyWareInfo !, C'est reparti !" - http://forum.zebulon.fr/index.php?showtopic=68434

 

Ce n'est que partie remise, j'y rejoindrai mes copains US dès que possible et leur soumettrai le cas !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...