Entraînement analyse log HJT

[ngchrist]

Bonjour tout le monde,

tesgaz, ne devrais tu pas mettre la réponse (&explication) a la suite de ton rapport d'entrainement afin que les zébulonniens puissent voir leurs erreurs...?

 

..les premeires analyses doivent vous prendre environ 2h afin d'etre sur de ce que vous allez fixer et supprimer.

 

 

536389[/snapback]

 

Non BipBip, pas encore la réponse, je cherche encore!!!!!! Attends ce soir

Deux heures ???????????? plutôt quatre ou cinq.

Bonne journée à tous

[BipBip07]

Champagne

 

qtttask.exe <-- 3 T alors que le bon precessus lui n'en a que 2 ( http://www.liutilities.com/products/wintas...library/qttask/ )

 

Pour C:\WINDOWS\Explorer.EXE Rien a signaler il se trouve bien dans le bon repertoire C:\windows\

 

A+

[BipBip07]

et ici quelques rapports déja corrigés pour apprendre:

 

http://www.zebulon.fr/articles/analyse-rap...jack-this-5.php

[papatte]

bonjour,

je jette l'éponge....

Trop minutieux pour moi ce genre de chose !

[BipBip07]

Champagne,

 

juste une remarque encore qui s'adresse assi au autres. On ne dit pas fixer cer lignes:

Ce que je fixe :

C:\WINDOWS\system32\spolsv.exe

C:\WINDOWS\System32\qtttask.exe

C:\WINDOWS\System32\KYSVCXD.EXE

..

 

On dit :

Terminer les processus suivant (pour terminer un processus il faut appuyer en même temps sur les 3 touches suivante : Ctrl+Alt+Suppr puis allez dans l’onglet processus, sélectionner les processus ci-dessous un par un et appuyer sur la touche terminer le processus) :

C:\WINDOWS\system32\spolsv.exe

C:\WINDOWS\System32\qtttask.exe

C:\WINDOWS\System32\KYSVCXD.EXE

 

Et ensuite,

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

R3 - ...

F2 - ...

...

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

et voilou

NB: j'espere que cela pourra vous aider

[O.Fournier]

Eh oui, mes petits, les tordus sont tout sauf idiots.

 

Comme beaucoup d'internautes sont des speedés qui ne prennent plus le temps de bien lire (ou ne savent même plus), c'est facile de glisser une petite lettre dans le nom d'un .exe "légitime".

 

Et hop, le tas d'infectés ! Rassurez vous, quand ce truc ne marchera plus, ils en trouveront un autre tout aussi simple ...

[ngchrist]

rebonjour à tous,

merci BipBip .pour tes conseils

 

Après jugement par tesgaz et lignes qui manquaient à fixer j'ajoute celles ci-dessous :

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

 

 

 

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navpsvcc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NYSUM.EXE

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECQ.EXE

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

 

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServe.exe

 

O23 - Service: Symantec Network Drivers Service (SNDSrsvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrsvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDBA.EXE

O23 - Service: SymWMI Service (SymWSCW) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSCWZ.exe

 

 

Les deux lignes 16 car rien touvé dessus !!

 

Les lignes 23 car en cherchant, les services associés à Norton que j'ai trouvés, ne s'écrivent pas de la même façon.

 

Bon voilà, j'arrête là. Trop difficile pour mon minable niveau en informatique.

Modifié le 17 juillet 2005 par ngchrist

[tirol]

Sluit à tous,

 

Hé, Tesgaz, il s'agit bien de marquer les lignes néfastes et non pas celles qui sont liées à des applis présentes peut-être inutiles mais légitimes.

Ce n'est pas la phase optimisation, d'acc ???

Car avec tes MP, tout le monde s'affole

tirol

[ipl_001]

Bonjour Champagne, bonjour à tous,

...

Comme le C:\WINDOWS\Explorer.EXE, ce EXE majuscule me gène, mais rien trouvé!

Ne t'acharne pas sur les majuscules ! Cà n'a rien à voir !

Sous Windows, la casse importe peu (sous Unix et le Web qui en découle, oui !)

Regarde seulement -comme le dit BipBip- l'emplacement du programme ! Il ne peut pas y avoir 2 programmes de même nom dans le même répertoire...

 

Pour ce qui est de la réponse modèle, il est bien évident que tesgaz ne pouvait pas la fournir avant d'avoir obtenu un certain nombre de réponses... avant que certains ne se soient penchés sur le problème (sinon, avec les réponses, ils n'auraient rien acquis) !

 

Comme le rapporte BipBip, il y a également de tels exercices sur PC Astuces, sur Assiste.com, sur HardWare.fr, etc.

 

---édition : Ce n'était pas HardWare.fr mais MicroHebdo... mais de toute façons, la discussion/formation -super bien faite- lancée par Acrobaze semble avoir disparu !

Je viens de passer longtemps à rechercher mais je n'ai plus rien trouvé ! J'y faisais référence dans un de mes posts sur PC Astuces :

ipl_001  5135 Messages

 

Posté le 02/04/2005 à 18:06:00

Bonjour à tous,

 

J'attire votre attention sur les 5 logs d'entraînement (4 à cette heure) proposés par acrobaze sur "Forum Micro Hebdo" -> http://forum.telecharger.01net.com/forum2....ash=0&subcat=16

[Gataway]

Encore une heure ou deux avant la divulgation de la solution, s'il vous plaît ....

c'est un excellent exercice d'apprentissage pour les néophytes, bravo !!!