Entraînement analyse log HJT

[angelique]

le fix de cftmon.exe:

Le processus de cftmon.exe est un composant employé dans MsOffice pour exécuter des fonctions reliées par langue. Il est étroitement attaché à la 'barre de langue 'actuelle dans MsOffice, ainsi si vous employez la barre de langue vous devrait laisser ce fonctionnement de processus. Si, d'autre part, vous n'employez pas la barre de langue, vous devriez terminer ce processus pour libérer vers le haut des ressources de système.

[Invité tesgaz]

angelique,

 

tu as bien regardé la ligne :

O4 - HKCU\..\Run: [CTFMON.EXE]

[angelique]

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\cftmon.exe

 

expliques,stp tesgaz,c'est à cause que c'est un exe en run??

[O.Fournier]

ctf vs cft ...

[angelique]

ah!!!oui,exact!un peu comme le svchost(le bon) et scvhost(le mauvais)

pffffff!!le délire

[ngchrist]

Bonsoir à tous,

Ben voilà moi aussi j'ai voulu jouer !!!!! Finalement pas drôle du tout le jeu quand on n'y comprend pas grand chose, qu'il faut tout chercher avec l'aide de google et qu'en plus on ne lit pas l'anglais.

Enfin, voilà le résultat !!!

Ne rigolez pas trop

Bonne soirée

 

 

 

 

 

R3 - URLSearchHook: (no name) - {E0350BF8-394C-AE8C-EE9B-3393D618F172} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

 

 

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

 

 

 

O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

 

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qtttask.exe" -atboottime

 

O4 - HKLM\..\Run: [sdktr.exe] C:\WINDOWS\system32\sdktr.exe

O4 - HKLM\..\Run: [notes] notepaad.exe

O4 - HKLM\..\Run: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\Run: [checkrun] c:\windows\system32\elitejwm32.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N

O4 - HKLM\..\RunServices: [msnToolbaar] msnmsgesc.exe

 

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\Run: [Open Service Drivers] opiater.exe

O4 - HKLM\..\Run: [llncad] c:\windows\system32\xygzcc.exe r

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\cftmon.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - HKLM\..\Run: [boarddata] c:\windows\system32\repcale.exe c:\windows\system32\palsp.exe

O4 - HKCU\..\Run: [rqmq] C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

 

O4 - HKCU\..\Run: [Open Service Drivers] opiater.exe

O4 - HKCU\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe

O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [NvCplScan] kav32.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [ETB Tester] etbtest.exe

O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2

 

 

 

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://c: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe

 

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.servicesalacarte.wanad...gamesplayer.cab

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

 

 

 

O23 - Service: Application COM+ (COMSisApp) - Unknown owner - C:\WINDOWS\System32\comsisapp.exe

 

O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe (file missing)

[tirol]

Bonsoir,

 

allez je m'y colle

Ah sacré Tesgaz, il nous a mis le HJT de Lebalourd !!!

http://forum.zebulon.fr/index.php?showtopic=68752

 

C:\Program Files\Norton Personal Firewall\NYSUM.EXE

Rien trouvé là-dessus !!!

Ressemble à Nisum.exe Exécutable de stats pour la suite NIS

 

C:\WINDOWS\system32\spolsv.exe

Ajouté par le ver AGOBOT-CS!

 

C:\Program Files\eMule\emule.exe

Voir le post , et ce que cela a engendré !

 

C:\WINDOWS\System32\qtttask.exe

ressemble à qttask Quick-time

rien trouvé Pacman list ni Google sauf en japonais !!

 

C:\WINDOWS\System32\KYSVCXD.EXE

ajouté par le ver WIN32.RBOT

 

C:\WINDOWS\System32\cftmon.exe

ajouté par le Troj/Delbot-B TROJAN/IRC backdoor!

 

c:\windows\system32\xygzcc.exe

non trouvé mais suite à ce post de Panturle, il semble qu'il est éradiqué

par ABIRemover cf http://forum.zebulon.fr/lofiversion/index.php/t68484.html

 

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

 

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

Spyware !

 

C:\WINDOWS\System32\notepaad.exe

ajouté par le ver RBOT.BME WORM!

C:\WINDOWS\system32\sdktr.exe

non trouvé mais dèjà vu sur des logs et non fixé

http://forums.tomcoyote.org/index.php?show...t=entry183298

 

C:\WINDOWS\System32\rpcclient.exe

rpcclient.exe is a process associated with the Codbot-L Worm.

 

C:\Program Files\Internet Explorer\iexplore.exe

Ne devrait pas être dans la liste des programmes démarrés à moins d'y avoir

été mis manuellement

 

R3 - URLSearchHook: (no name) - {E0350BF8-394C-AE8C-EE9B-3393D618F172} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) IE2CLTR.DLL AdWare.ToolBar.SBSoft.h

O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) mauvais IE2CLTR.DLL AdWare.ToolBar.SBSoft.h

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qtttask.exe" -atboottime

O4 - HKLM\..\Run: [sdktr.exe] C:\WINDOWS\system32\sdktr.exe Enlevé par AboutBuster donc néfaste

O4 - HKLM\..\Run: [notes] notepaad.exe Added by the RBOT.BME WORM

O4 - HKLM\..\Run: [msnToolbaar] msnmsgesc.exe Added by the RBOT.BMF WORM!

O4 - HKLM\..\Run: [checkrun] c:\windows\system32\elitejwm32.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N

O4 - HKLM\..\RunServices: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE Added by a variant of the WIN32.RBOT WORM!

O4 - HKLM\..\Run: [Open Service Drivers] opiater.exe Added by a variant of the WIN32.RBOT WORM!

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\cftmon.exe Added by the Troj/Delbot-B TROJAN/IRC backdoor!

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe Added by the W32/RBOT-ACQ WORM!

O4 - HKLM\..\Run: [boarddata] c:\windows\system32\repcale.exe c:\windows\system32\palsp.exe Added by a variant of the RANDON.AN WORM!

O4 - HKCU\..\Run: [rqmq] C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

O4 - HKCU\..\Run: [Zilla Popup Killer] C:\Program Files\Zilla Popup Killer\ZillaPop.exe

O4 - HKCU\..\Run: [Open Service Drivers] opiater.exe

O4 - HKCU\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe Added by the W32/Rbot-YU WORM/IRC backdoor!

O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe Added by a variant of the W32/SDBOT WORM!

O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe Added by a variant of the WIN32.RBOT WORM!

O4 - HKCU\..\Run: [NvCplScan] kav32.exe Added by the W32/Forbot-EW network worm, also adding NvCplScan as the display & service names of a new service it creates

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe Added by the W32/Rbot-AAI WORM/backdoor trojan!

O4 - HKCU\..\Run: [ETB Tester] etbtest.exe Added by the W32/Rbot-ABR.

O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe Added by the W32/Rbot-ACA worm

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe Added by the SDBOT.BWH WORM

O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe Added by the W32/RBOT-ADO WORM!

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe Added by the W32/Rbot-AGR worm.

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe Added by a variant of the WIN32.RBOT WORM!

O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe Added by a variant of the W32/SDBOT WORM!

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://c: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O20 - Winlogon Notify: locator - C:\WINDOWS\SYSTEM32\locator.exe

O20 - Winlogon Notify: mshta - C:\WINDOWS\SYSTEM32\mshta.exe

O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe (file missing)

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

 

Voilà

tirol

[bernie50]

Bonjour,

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

R3 - URLSearchHook: (no name) - {E0350BF8-394C-AE8C-EE9B-3393D618F172} - (no file)

 

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

 

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

 

O4 - HKLM\..\Run: [boarddata] c:\windows\system32\repcale.exe c:\windows\system32\palsp.exe

O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\Run: [NvCplScan] kav32.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://c: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

 

 

[BipBip07]

Bonjour a tous,

tesgaz, ne devrais tu pas mettre la réponse (&explication) a la suite de ton rapport d'entrainement afin que les zébulonniens puissent voir leurs erreurs...?

 

Je profite aussi pour rappeler que pour l'infection:

- F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

il faut utiliser cet utilitaire trés efficace proposé par queruak dans ce message

http://forum.zebulon.fr/index.php?showtopi...64entry532564

 

- pour réinitialiser les lignes O1 - Hosts: cet utilitaire:

http://members.aol.com/toadbee/hoster.zip

ensuite tu le dézippes,puis tu ouvres le programme et tu clique sur "Restore Original Hosts" puis sur "OK",tu quittes le programme.

 

etc...

Je trouve que ces utilitaires permettent de facilité la désinfection voir meme de désinfecter plus en profondeur la BdR...

 

NB: afin de mieux analyser les rapports pensez a utiliser la fonction recherche du forum pour des lignes particuliere voir google afin de trouver plus amples détails...les premeires analyses doivent vous prendre environ 2h afin d'etre sur de ce que vous allez fixer et supprimer.

 

Bon dimanche

[Champagne]

tesgaz, ne devrais tu pas mettre la réponse (&explication) a la suite de ton rapport d'entrainement afin que les zébulonniens puissent voir leurs erreurs...?

 

Effectivement, cela serait super...Savoir ce que l'on a ignoré, pourquoi on ne la pas vu,

et où trouver la réponse, style qtttask.exe.

 

tirol 04h08

C:\WINDOWS\System32\qtttask.exe

ressemble à qttask Quick-time

rien trouvé Pacman list ni Google sauf en japonais !!

 

Comme le C:\WINDOWS\Explorer.EXE, ce EXE majuscule me gène, mais rien trouvé!