Entraînement analyse log HJT

[Gataway]

Voici les lignes que je retirerais, en tout amateurisme.

(Je n'ai pas touché aux lignes 16, car je n'ai pas de base de données relatives à ces lignes.)

 

 

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\spolsv.exe

C:\WINDOWS\System32\qtttask.exe

C:\WINDOWS\System32\KYSVCXD.EXE

C:\WINDOWS\System32\cftmon.exe

c:\windows\system32\xygzcc.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\notepaad.exe

C:\WINDOWS\System32\rpcclient.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrompt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qtttask.exe" -atboottime

O4 - HKLM\..\Run: [notes] notepaad.exe

O4 - HKLM\..\Run: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\Run: [checkrun] c:\windows\system32\elitejwm32.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N

O4 - HKLM\..\RunServices: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\Run: [Open Service Drivers] opiater.exe

O4 - HKLM\..\Run: [llncad] c:\windows\system32\xygzcc.exe r

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - HKLM\..\Run: [boarddata] c:\windows\system32\repcale.exe c:\windows\system32\palsp.exe

O4 - HKCU\..\Run: [rqmq] C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

O4 - HKCU\..\Run: [Open Service Drivers] opiater.exe

O4 - HKCU\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe

O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe

O4 - HKCU\..\Run: [NvCplScan] kav32.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [ETB Tester] etbtest.exe

O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.servicesalacarte.wanad...gamesplayer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O20 - Winlogon Notify: locator - C:\WINDOWS\SYSTEM32\locator.exe

O20 - Winlogon Notify: mshta - C:\WINDOWS\SYSTEM32\mshta.exe

O23 - Service: Application COM+ (COMSisApp) - Unknown owner - C:\WINDOWS\System32\comsisapp.exe

O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe (file missing)

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDBA.EXE

O23 - Service: SymWMI Service (SymWSCW) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSCWZ.exe

[ipl_001]

...

(Je n'ai pas touché aux lignes 16, car je n'ai pas de base de données relatives à ces lignes.)

Les lignes O16 correspondent à des éléments déjà téléchargés et installées (C:\Windows\Downloaded Program Files) ; elles peuvent être supprimées sans problème aucun ! La seule "punition" serait de les télécharger à nouveau en cas de besoin !

[Gataway]

J'oubliais (entre bcp d'autres) :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\cftmon.exe

O4 - HKLM\..\Run: [sdktr.exe] C:\WINDOWS\system32\sdktr.exe

[Gataway]

J'en profite pour poser une question : se peut-il que des malwares ne soient pas actifs dès le démarrage du système, mais ne deviennent opérants que lors du lancement d'un programme qui leur est lié (et, de ce fait, n'apparaissent pas dans le rapport HijackThis ?)

[ipl_001]

J'en profite pour poser une question : se peut-il que des malwares ne soient pas actifs dès le démarrage du système, mais ne deviennent opérants que lors du lancement d'un programme qui leur est lié (et, de ce fait, n'apparaissent pas dans le rapport HijackThis ?)

536631[/snapback]

Un malware est un malware !

Ce n'est pas un fichier infecté !

A un malware sont liés tout un ensemble de fichiers, qui sont souvent aléatoires ou du moins pas tous utilisés !

Ce sont les éditeurs antivirus qui indiquent ces fichiers utilisés par un malware donné !

 

Donc, si tu confonds fichier et malware : oui, un fichier peut apparaître après démarrage, chargé en mémoire par un autre fichier qui lui est lancé depuis le démarrage et donc qui est présent dans le rapport HijackThis !

[tirol]

Salut Gataway, bonsoir à tous,

 

pour ce que j'ai compris, les 016 représentent des composants ActiveX.

donc les supprimer ici, ne gênent en rien, sauf qu'ils seront à recharger lors de la prochaine visite sur le site considéré.

Pour analyser, on peut uitliser la fonction find de SpywareBlaster en copier-coller du CLSID.

Ici, dans le log, il y a par exemple l'activeX des impôts. Pas néfaste, mais est-ce utile de la conserver ?

Je ne l'ai pas indiquée car elle est légitime, et si j'ai bien compris le but de l'exo, il faut indiquer les lignes néfastes.

J'espère qu'IPL est d'accord avec moi, car il se dit bougon ces temps-ci

tirol

[Invité tesgaz]

Salut,

 

pas trop le temps de vous répondre et de donner le résultat, mes invités passent en premier à la maison

 

 

correction du log demain ou après demain

 

juste pour info, ce log que j'ai chopé ici sur Zebulon m'a paru intéressant parce qu'il est totalement farfelu et montre à quel point il faut être un utilisateur avancé pour découvrir toutes les lignes illégitimes du premier coup, ce qui en faisait un bon exercice pour tout ceux qui veulent nous donner un coup de main et aider à la lutte anti-malware.

 

connaître son système est toujours et encore le plus important contre cette lutte, je suis content que ngchrist ai touché du doigt les services O23 de symantec car la majorité de ces lignes sont fausses et n'existe pas avec ces noms (pour ceux à qui j'ai répondu en mp, vous comprennez maintenant pourquoi je vous ai dit qu'il restait des lignes nefastes)

 

ce qui prouve qu'en terme de log hijackthis il faut rester vigilant et humble et surtout faire attention au chose qui parraissent banales (norton est banal avec 11 services)

 

je crois que l'auteur de ce log (lebalourd) connaissait bien son systeme contrairement à ce qu'il a essayé de nous faire croire, et s'est permis de faire un faux qui met en difficulté nombre de personnes compétentes

 

bon, a plus, je vais manger le dessert,

 

bye-bye pour ceux qui ont joué le jeux

[tirol]

Ha ben voilà !

je pense comme toi : qttask et nysum sont des exemples.

il voulait tester les pros comme il le disait dans son 1er post.

Et en fin de compte, on comprend mieux aussi son pseudo.

Bizarre, ce genre d'attitude.

Bon dessert, et doucement sur le fromage et ce qui l'accompagne !

tirol

[Champagne]

Bonsoir tout le monde,

 

Ici, dans le log, il y a par exemple l'activeX des impôts. Pas néfaste, mais est-ce utile de la conserver ?

 

Je l'avais supprimé l'année dernière, il a juste fallu que je le retélécharge cette année.

 

Tesgaz 22h23

je crois que l'auteur de ce log (lebalourd) connaissait bien son systeme contrairement à ce qu'il a essayé de nous faire croire, et s'est permis de faire un faux qui met en difficulté nombre de personnes compétentes

 

J'ai un log comme cela sur mon pc, je lui met une balle !

[megataupe]

Salut tesgaz . Ah oui! lecalourd , celui-là nous a fait transpirer à l'époque de la diffusion de ce log hyper truffé de pièges. Moi, j'essaye d'apprendre avec la démonstration du maître IPL (sa modestie va en prendre un coup) :

 

http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663

 

mais j'avoue que mes vieilles neurones ont bien du mal à suivre alors, je continue de faire joujou avec Firefox, Look'n'Stop et mes tests de softs de sécurisation qui peuvent aussi éviter d'avoir un log long comme la muraille de Chine .

 

Bonne soirée à toi et tes invités