comprendre mon rapport

[ipl_001]

Bonjour abidou,

j'ai essayé de lire l'article sur HJT mais c'est vraiment difficile à comprendre. Je ne suis pas vraiement fort en informatique et mes connaissances se limitent à une utilisation purement bureautique, voire un peu graphique, mais je me rends bien compte que ce petit logiciel est le seul vraiment efficace pour lutter contre les attaques. Seulement, n'y a-t-il pas moyen de créer un tutoriel capable d'orienter des profanes comme moi pour son utilisation, du moins au début, ce qui vous éviterait à vous (car j'imagine que vous êtes très sollicités) trop de travail et qui nous permettrai à nous de déblayer le terrain avant de demander votre aide.

 

je me demande aussi pourquoi le processus svchost apparaît toujours deux fois dans la liste ?

Il n'est pas utile d'être un pro de l'informatique pour analyser les rapports HJT !

 

En fait, les choses évoluent très vite en matière de malwares, HijackThis n'a plus été mis à jour depuis presque un an du fait des études (et de la saturation de son créateur)... le programme HijackThis n'est plus tout à fait bien adapté !

Nous en sommes à une situation un peu désordonnée avec plusieurs utilitaires concurrents, meilleurs que HJT, mais nécessitant de bien suivre l'évolution des utilitaires en question...

 

Pour les problèmes courants,HijackThis est toujours utilisé mais il n'est pas aussi efficace qu'il l'a été (il permettait de détecter et d'éradiquer tout malware) !

 

Je vais peut-être écrire une introduction à HJT...

 

Pour nettoyer (mais pas pour apprendre), on peut utiliser -avec circonspection toutefois, le robot d'analyse de hijackthis.de

 

Concernant les multiples lignes svchost, c'est uniquement parce que il s'agit d'un programme aux multiples fonctions qui permet l'utilisation de nombreux modules associés !

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Rebonjour bruce lee,

ok je me ferai appuyer par un conseiller mais sinon j'ai quelques questions si pouviez m'eclairer je vous en serrai reconnaissant.

1°il faut que je m'adresse a qui,ou a quel endroit pour apprendre a analyser un rapport de silent runners.

 

2° je me suis inscris il y a quelques jours, puis je mettre(quand j'analyserais des rapports hijackthis) des liens(qui expliquent comment desactiver restauration de systeme et autres) qui vont sur sosordi(c'est sur ce forum ou j'etais inscris et ou j'ai pas mal appris hijackthis).

 

3°comment devient t'on conseiller en securiter(je ne veux pas le devenir) mais juste pour savoir.

 

merci de m'eclairer en repondant a ces questions

Je vais répondre rapidement car je ne suis pas tout à fait libre en ce moment (je le serai en fin de journée).

 

1° Silent Runners, je ne connais pas de tutorial car çà fait appel à nos connaissances générales sur le système et la base de registres mais je vais rechercher.

 

2° Oui tu peux mettre les liens dont tu parles ; il se peut que tu aies des posts t'indiquant un équivalent sur Zebulon et peut-être des posts de reproche s'il y a mieux sur Zeb'

 

3° Pour devenir "Conseiller en Sécurité", pour le moment, c'est principalement moi qui décide et je me base sur le niveau, l'expérience du "candidat" en matière de Sécurité en général : pas seulement l'analyse de rapport... la sécurisation, la connaissance du système (avec orientation Sécurité) conviennent !

Désolé, ma réponse est un peu floue mais je dirais que la motivation du candidat est très importante ainsi qu'un bon niveau lui permettant de discuter valablement !

[Invité tesgaz]

je me demande aussi pourquoi le processus svchost apparaît toujours deux fois dans la liste ?

 

Salut,

 

le processus svchost.exe est un processus generique principalement accès sur la connexion qui regroupe une cinquantaine de services, il est possible d'avoir jusqu'à 8 lignes svchost.exe

pour en savoir plus :

http://speedweb1.free.fr/frames2.php?page=service10

Modifié le 27 décembre 2005 par tesgaz

[bruce lee]

re,

merci de m'avoir repondu

[abidou]

merci pour votre réponse

[abidou]

 

Nous en sommes à une situation un peu désordonnée avec plusieurs utilitaires concurrents, meilleurs que HJT, mais nécessitant de bien suivre l'évolution des utilitaires en question...

 

 

 

merci ipl_001

 

peux-tu me dire quels sont ces utilitaires et pourquoi ils ne sont pas directement recommandés sur zebulon ?

[zeus61]

je vous remerçi de vos réponses je viens juste de rentrer je fais et je met mon rapport

pour ta premiere machine:

deconnecte toi d'internet ferme les applications en cours lance hijackthis en cliquant sur scanner seulement

coche et clique sur fixer objet:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

 

si tu ne connais pas Zylom fixe cette ligne en mode sans echec:

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

 

j'analyse le rapport de ta deuxieme machine et a la fin je t'expliquerai hijackthis

re,

pour ta deuxieme machine

demarre en mode sans echec:

lance hijackthis en cliquant sur scanner seulement coche et clique sur fixer objet:

 

O20 - Winlogon Notify: iexplore - fdg1l.dll (file missing)

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

 

si tu ne connais pas meme procede

 

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

redemarre en mode normal et repost un log hijackthis

 

pour comprendre hijackthis regarde ici http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

 

c'est super bien expliquer et detaillé

[zeus61]

 

petite question pourquoi tu ma fait fixer ces deux lignes

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

 

bon apres avoir fixer je remet mon rapport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:15:05, on 27/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [bDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135671308750

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

merçi de ta reponse.

[Invité tesgaz]

Salut,

 

tu veux que je fasse le ménage ?

 

il en reste encore plein de trucs qui ne servent à rien

 

à moins que tu m'explique pourquoi Photoshop veut se connecter ?

D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

Modifié le 27 décembre 2005 par tesgaz

[ipl_001]

Bonsoir adibou, bonsoir à tous,

merci ipl_001

 

peux-tu me dire quels sont ces utilitaires et pourquoi ils ne sont pas directement recommandés sur zebulon ?

Excuse moi d'avoir tardé à te répondre mais je n'étais pas devant mon ordinateur !

 

Des concurrents de longue date de HijackThis :

 

- Silent Runners -> http://www.silentrunners.org/index.html

- StartDreck -> http://www.niksoft.at/download/startdreck.htm ou http://www.greyknight17.com/spy/StartDreck.zip

- WinMaid -> http://www.allwackedout.com/

- X-RayPc -> http://www.x-raypc.com/

- a-squared HiJackFree -> hijackfree.net/fr/

- et quelques autres

 

Lorsqu'on est attaqué, il convient de se défendre au plus tôt et la première réaction est de mettre en place des utilitaires de détection/désinfection sans trop penser aux fioritures.

Plusieurs développeurs créent des outils de manière un peu désordonnée...

Merijn avait -grâce à toute l'équipe de SWI- créé un programme qui avait fait l'unanimité et a un peu écrasé la concurrence (pas vraiment ouisque les développeur avaient participé à la conception).

Maintenant que HJT est dépassé (les pirates connaissent HJT mieux que quiconque), ce sont les méthodes désordonnées qui réapparaissent en attendant une stabilisation lorsque les pirates maisseront un peu de répis ! Les outils du moment s'appellent SmitfraudFix, Generic Smitfraud Remover, L2Mfix, L2Mremover, etc. (c'est volontairement que je mets plusieurs noms pour les mêmes menaces, ce qui montre le manque de coordination et la perte d'énergie !)

 

Ces outils sont créés rapidement et modifiés en permanence suite aux incessantes modifications ; c'est ce qui explique que les développeurs ne les mettent qu'entre les mains des conseillers qui doivent se tenir très au courant des changements dans l'utilisation !... ils sont employés sur Zebulon mais au coup par coup car mal utilisés, ils peuvent créer des dysfonctionnements... c'est du moins ce que précoisent leurs développeurs qui voudraient bien prendre le temps de les peaufiner !

[abidou]

bonsoir et merci ipl_001

 

je trouve quand-même dommage qu'on ne puisse généraliser un outil suffisamment performant (et régulièrement mis à niveau pour combattre les tentative de piratage) et accessible aux experts aussi bien qu'aux profanes pour se protéger.

 

en tous cas, sans le dévouement de quelques-uns, comme vous sur ce site, il y aurai longtemps, je crois, que beaucoup aurait abandonné l'idée de posséder un ordinateur, ou du moins un ordinateur doté d'une connexion, tellement ces attaques en puissances et notre impuissance (nous les profanes) à se prémunir devient importante et handicapante.

 

bon, ça fait beaucoup de philo mais c'est ce que je crois !!