Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Entraînement analyse log HJT


Invité tesgaz

Messages recommandés

Système à jour il me semble.

 

Pour ce qui suit, vaut mieux ne pas s'y fier.... sinon plus de pb, Windows ne démarre plus.....

Mais c'est un jeu !!! Je joue !!!

 

C:\Program Files\eMule\emule.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\WinAce\WinAce.exe

 

R3 - URLSearchHook: (no name) - {E0350BF8-394C-AE8C-EE9B-3393D618F172} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qtttask.exe" -atboottime

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Startup: eMule.lnk = C:\Program Files\eMule\emule.exe

O4 - HKLM\..\Run: [notes] notepaad.exe

O4 - HKLM\..\Run: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\RunServices: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\Run: [Open Service Drivers] opiater.exe

O4 - HKLM\..\Run: [llncad] c:\windows\system32\xygzcc.exe r

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Open Service Drivers] opiater.exe

O4 - HKCU\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

 

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://c: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.servicesalacarte.wanad...gamesplayer.cab

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

 

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: locator - C:\WINDOWS\SYSTEM32\locator.exe

O20 - Winlogon Notify: mshta - C:\WINDOWS\SYSTEM32\mshta.exe

O23 - Service: Application COM+ (COMSisApp) - Unknown owner - C:\WINDOWS\System32\comsisapp.exe

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

O23 - Service: Symantec Network Drivers Service (SNDSrsvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrsvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDBA.EXE

O23 - Service: SymWMI Service (SymWSCW) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSCWZ.

exe

 

 

Si tu te fends la poire un peu trop fort Tesgaz tu seras privé de ton fromage préféré ...

Lien vers le commentaire
Partager sur d’autres sites

AH bon !

 

je pensais que HJT ne touchait pas à cette liste de démarrage mais seulement à celles trouvées en 04.

J'ai tout faux ?

Bon sang si je pouvais retrouver ce post où Tesgaz dit : on peut tout flinguer, sauf peut-être la connexion ADSL, sinon faut se la retaper.

tirol

Lien vers le commentaire
Partager sur d’autres sites

AH bon !

 

je pensais que HJT ne touchait pas à cette liste de démarrage mais seulement à celles trouvées en 04.

J'ai tout faux ?

Bon sang si je pouvais retrouver ce post où Tesgaz dit : on peut tout flinguer, sauf peut-être la connexion ADSL, sinon faut se la retaper.

tirol

535804[/snapback]

 

oui, on peut tout flinguer, mais ce n'est pas l'objectif de l'entrainement

 

ici, c'est un log avec des pièges, je veux juste l'ensemble des lignes à fixer non-légitime

 

 

 

() papatte, correction sur ton mp :P

 

 

Tirol, les lignes du haut sans N° devant ne peuvent pas être fixer par le log hijackthis de toute facon

Modifié par tesgaz
Lien vers le commentaire
Partager sur d’autres sites

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\System32\rpcclient.exe

 

 

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

 

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

 

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sdktr.exe] C:\WINDOWS\system32\sdktr.exe

O4 - HKLM\..\Run: [HELPER]

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

C:\WINDOWS\System32\temp532.exe -N

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

 

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

 

O23 - Service: Application COM+ (COMSisApp) - Unknown owner - C:\WINDOWS\System32\comsisapp.exe

snmesse...pdownloader.cab

 

O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe (file missing)

Modifié par papatte
Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Ce que je fixe :

 

C:\WINDOWS\system32\spolsv.exe

 

C:\WINDOWS\System32\qtttask.exe

 

C:\WINDOWS\System32\KYSVCXD.EXE

 

C:\WINDOWS\System32\cftmon.exe

 

C:\WINDOWS\System32\notepaad.exe

 

C:\WINDOWS\System32\rpcclient.exe

 

R3 - URLSearchHook: (no name) - {E0350BF8-394C-AE8C-EE9B-3393D618F172} - (no file)

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

 

01 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

 

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

 

O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll

 

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qtttask.exe" -atboottime

 

O4 - HKLM\..\Run: [notes] notepaad.exe

 

O4 - HKLM\..\Run: [msnToolbaar] msnmsgesc.exe

 

O4 - HKLM\..\Run: [checkrun] c:\windows\system32\elitejwm32.exe

 

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N

 

O4 - HKLM\..\RunServices: [msnToolbaar] msnmsgesc.exe

 

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

 

O4 - HKLM\..\Run: [Open Service Drivers] opiater.exe

 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\cftmon.exe

 

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe

 

O4 - HKLM\..\Run: [boarddata] c:\windows\system32\repcale.exe c:\windows\system32\palsp.exe

 

O4 - HKCU\..\Run: [rqmq] C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

 

O4 - HKCU\..\Run: [Open Service Drivers] opiater.exe

 

O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe

 

O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe

 

O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe

 

O4 - HKCU\..\Run: [NvCplScan] kav32.exe

 

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

 

O4 - HKCU\..\Run: [ETB Tester] etbtest.exe

 

O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe

 

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

 

O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe

 

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe

 

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

 

O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

 

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

 

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

 

O4 - HKLM\..\RunServices: [Open Service Drivers] opiater.exe

 

O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2

 

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://c: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe

 

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

 

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

 

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

 

O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe (file missing)

 

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

 

 

Et je pense en avoir laissé passer!

 

Edité 11h17: J'ai supprimé une ligne qui est utile :

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

Modifié par Champagne
Lien vers le commentaire
Partager sur d’autres sites

Bonjour tesgaz, bonjour à tous,

 

Excellente initiative, tesgaz !

 

Nous avons besoin d'aide pour nettoyer tous les infectés du Web ! :P pour informer/former tous les internautes ! améliorer le niveau des Français !

 

 

 

Quelque remarques néanmoins :

- pourquoi n'as-tu pas donné un rapport effectué en mode sans échec ?

- tu demandes seulement les lignes douteuses mais la manière de les stopper a encore plus d'importance que leur détection et en particulier, les processus ne se "fixent" pas ("Ce que je fixe :" de Champagne).

Processus, sections HJT Rx à O22 et services ne se traitent pas de la même manière !

- la manière d'éliminer les éléments infectieux est, maintenant, bien plus ardue que la détection... tu vas sans doute me répondre que çà fera l'objet d'une deuxième phase d'entraînement.

Pas d'à peu près... beaucoup d'éléments nécessitent des outils spécifiques et il est bien loin le temps où HijackThis pouvait tout corriger !

- je trouve qu'il y a trop de décontraction... certes, c'est un entraînement mais oublier des éléments infectieux fait souvent tout capoter

 

Amusez-vous bien... mais le but n'est pas, j'espère, de voir ces réponses dans les cas réels !

 

Signé : le bougon de service... :P

Lien vers le commentaire
Partager sur d’autres sites

:P ipl

 

ce post était juste en réponse à un autre post d'hier soir

http://forum.zebulon.fr/index.php?showtopic=70672

ou charles ingals souhaitait donner quelques idées de réponses

 

je suis d'accord que ce log est pourri, mais jusqu'à maintenant, personne de compétent ou pas n'a donné l'ensemble complét de toutes les lignes qu'il faut virer

 

les outils, c'est bien, mais si on ne connait pas toutes les lignes à virer, la manière de les stopper ne sert à rien, on ne pourra en aucun cas utiliser tout les bons outils qui vont avec...

 

aller, la balle est dans votre camps

 

meilleure réponse (papatte) pour l'instant

Modifié par tesgaz
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...