Aller au contenu
angelique

blacklight-processexplorer-autorun

Messages recommandés

bonsoir,

 

je suis juste en quete de l'info sur la signification en fin de scan de blacklight de PID 800,892,3400

 

ok blacklight donne les hidden process du style,ce n'est qu'un exemple,les vilains en rouge,mais c'est pas le but de ma question:05/14/06 19:31:18 [info]: BlackLight Engine 1.0.36 initialized

05/14/06 19:31:18 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/14/06 19:31:18 [Note]: 7019 4

05/14/06 19:31:18 [Note]: 7005 0

05/14/06 19:31:21 [Note]: 7006 0

05/14/06 19:31:21 [Note]: 7011 896

05/14/06 19:31:21 [Note]: 7026 0

05/14/06 19:31:22 [Note]: 7026 0

05/14/06 19:31:22 [Note]: 7024 3

05/14/06 19:31:22 [info]: Hidden process: C:\windows\system32\lenqdzcwa.exe

05/14/06 19:31:22 [Note]: FSRAW library version 1.7.1015

05/14/06 19:31:46 [info]: Hidden file: c:\WINDOWS\system32\lenqdzcwa.dat05/14/06 19:31:46 [Note]: 10002 1

05/14/06 19:31:46 [info]: Hidden file: C:\windows\system32\lenqdzcwa.exe

.

.

.

etc...

 

mais on a aussi un onglet "process" qui donne les process mais aussi le PID??

 

pour etre concise,je souhaiterais juste savoir ce que signifie[ci dessous] sur un rapport.txt blacklight ne montrant pas d'hidden process,le <Unavailable> de l'onglet process

<Unavailable>--------PID 800

<Unavailable>--------PID 892

<Unavailable>--------PID 3400

Partager ce message


Lien à poster
Partager sur d’autres sites

ça voudrait dire que blacklight ne peut identifier le process qui correspond à ce PID??

C'est surtout ça que je veux savoir,il ne trouve pas les infos d'identification telles que qu'il les trouve d'habitude ?

Pourquoi donc?

 

Merci pour vos elements de reponses :P

Partager ce message


Lien à poster
Partager sur d’autres sites

salut

je ne suis pas specialiste de blacklight mais il me semble que cela ne soit pas bon

05/14/06 19:31:46 [info]: Hidden file: c:\WINDOWS\system32\lenqdzcwa.dat05/14/06 19:31:46 [Note]: 10002 1

05/14/06 19:31:46 [info]: Hidden file: C:\windows\system32\lenqdzcwa.exe

à faire confirmer par des specialistes

à+

Partager ce message


Lien à poster
Partager sur d’autres sites
ok blacklight donne les hidden file/process du style,ce n'est qu'un exemple:

 

c'est qu'un exemple pitcat^^,ce n'est pas le bon rapport...

 

l'autre .txt balacklight donne rien[desolé j'ai rien sous la main pour montrer],et ce n'est pas le but de la question; mais 3 <unavailable> PId 800,892,3400 avec l'onglet "process" que j'aimerai comprendre dans la liste des processus donnés

Partager ce message


Lien à poster
Partager sur d’autres sites

re :P

 

j'apporte des éléments visuels supplémentaires:

 

tcpview:

 

alg.exe:1236 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING

avgnt.exe:3596 TCP 0.0.0.0:3027 0.0.0.0:0 LISTENING

avgnt.exe:3596 TCP 127.0.0.1:3027 127.0.0.1:18350 ESTABLISHED

avguard.exe:3504 TCP 0.0.0.0:18350 0.0.0.0:0 LISTENING

avguard.exe:3504 TCP 127.0.0.1:18350 127.0.0.1:3027 ESTABLISHED

lsass.exe:576 UDP 0.0.0.0:500 *:*

svchost.exe:1208 TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING

svchost.exe:1208 UDP 127.0.0.1:1900 *:*

svchost.exe:1208 UDP 86.210.xx.xxx:1900 *:*

svchost.exe:748 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

svchost.exe:772 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

svchost.exe:772 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING

svchost.exe:772 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING

svchost.exe:772 UDP 127.0.0.1:123 *:*

svchost.exe:772 UDP 86.210.xx.xxx:123 *:*

svchost.exe:892 UDP 0.0.0.0:3011 *:*

svchost.exe:892 UDP 0.0.0.0:3012 *:*

System:4 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

System:4 TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

System:4 UDP 0.0.0.0:445 *:*

vsmon.exe:1452 TCP 0.0.0.0:3004 0.0.0.0:0 LISTENING

 

hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 17:22:49, on 20/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\rmctrl.exe

C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Documents and Settings\....\Bureau\FreeRAM XP Pro 1.40.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Winbond\HWDoctor\hwdoctor.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\hijack 1.99\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [beClean Start-Up Clean] C:\Program Files\BeClean\BeClean.exe /s

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKCU\..\Run: [FreeRAM XP] "C:\Documents and Settings\....\Bureau\FreeRAM XP Pro 1.40.exe" -win

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: HWDOCTOR.lnk = C:\Program Files\Winbond\HWDoctor\hwdoctor.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

blacklight:

05/20/06 17:18:07 [info]: BlackLight Engine 1.0.36 initialized

05/20/06 17:18:07 [info]: OS: 5.1 build 2600 (Service Pack 1)

05/20/06 17:18:07 [Note]: 7019 4

05/20/06 17:18:07 [Note]: 7005 0

05/20/06 17:18:10 [Error]: 6024 1

05/20/06 17:18:10 [Error]: 6024 1

05/20/06 17:18:10 [Note]: 7006 0

05/20/06 17:18:12 [Note]: 7011 1092

05/20/06 17:18:12 [Note]: 7026 0

05/20/06 17:18:12 [Note]: 7026 0

05/20/06 17:18:12 [Error]: 6024 1

05/20/06 17:18:17 [Note]: FSRAW library version 1.7.1015

05/20/06 17:21:59 [Note]: 7007 0

 

hum!! c'est quoi [error] au lieu de [note]???

 

et le Unavailable:

 

unavailable7cg.jpg

 

le PID de l'Unavailable a changé....mais toujours!! que signifie Unavailable :P

 

Merci pour tout éléments de reponses

Partager ce message


Lien à poster
Partager sur d’autres sites

alors j'ai procedé par élimination en comparant "show all process" de balcklight et un cmd/tasklist

 

Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation

========================= ====== ================ ======== ============

System Idle Process 0 Console 0 16 Ko

System 4 Console 0 96 Ko

smss.exe 444 Console 0 208 Ko

csrss.exe 496 Console 0 2ÿ424 Ko

winlogon.exe 520 Console 0 4ÿ208 Ko

services.exe 564 Console 0 1ÿ324 Ko

lsass.exe 576 Console 0 1ÿ316 Ko

svchost.exe 748 Console 0 1ÿ512 Ko

svchost.exe 772 Console 0 9ÿ060 Ko

svchost.exe 880 Console 0 1ÿ248 Ko

spoolsv.exe 1028 Console 0 676 Ko

explorer.exe 1176 Console 0 6ÿ940 Ko

svchost.exe 1196 Console 0 1ÿ088 Ko

alg.exe 1300 Console 0 784 Ko

DkService.exe 1352 Console 0 1ÿ220 Ko

nvsvc32.exe 1388 Console 0 632 Ko

svchost.exe 1432 Console 0 1ÿ592 Ko

vsmon.exe 1492 Console 0 7ÿ444 Ko

rmctrl.exe 1640 Console 0 436 Ko

gnetmous.exe 1648 Console 0 1ÿ244 Ko

AnyDVD.exe 1664 Console 0 904 Ko

daemon.exe 1672 Console 0 868 Ko

zlclient.exe 1708 Console 0 3ÿ172 Ko

CnxMon.exe 1736 Console 0 1ÿ440 Ko

StartMessager.exe 1744 Console 0 1ÿ096 Ko

dragdiag.exe 1756 Console 0 996 Ko

TaskBarIcon.exe 1776 Console 0 1ÿ092 Ko

FreeRAM XP Pro 1.40.exe 1788 Console 0 2ÿ788 Ko

TeaTimer.exe 1796 Console 0 5ÿ256 Ko

hwdoctor.exe 1816 Console 0 1ÿ372 Ko

ntvdm.exe 476 Console 0 48 Ko

wmiapsrv.exe 2260 Console 0 1ÿ068 Ko

Tcpview.exe 2716 Console 0 2ÿ248 Ko

EspaceWanadoo.exe 2732 Console 0 1ÿ156 Ko

ComComp.exe 2744 Console 0 2ÿ128 Ko

Watch.exe 2836 Console 0 416 Ko

avguard.exe 3140 Console 0 4ÿ740 Ko

avgnt.exe 3232 Console 0 2ÿ872 Ko

sched.exe 3240 Console 0 548 Ko

iexplore.exe 3340 Console 0 21ÿ168 Ko

cmd.exe 1840 Console 0 1ÿ476 Ko

tasklist.exe 1808 Console 0 3ÿ124 Ko

wmiprvse.exe 2980 Console 0 4ÿ292 Ko

 

il en ressort:

 

ntvdm.exe 476 Console 0 48 Ko

n'est pas pris en compte ds blacklight ds "show all process"

 

et tasklist ne donne pas ce process du PID 476 <Unavailable> ds le rapport de balcklight d'aujourd'hui

 

bl7fi.jpg

 

05/21/06 16:39:16 [info]: BlackLight Engine 1.0.36 initialized

05/21/06 16:39:16 [info]: OS: 5.1 build 2600 (Service Pack 1)

05/21/06 16:39:16 [Note]: 7019 4

05/21/06 16:39:16 [Note]: 7005 0

05/21/06 16:39:20 [Error]: 6024 1

05/21/06 16:39:20 [Error]: 6024 1

05/21/06 16:39:20 [Note]: 7006 0

05/21/06 16:39:20 [Note]: 7011 1176

05/21/06 16:39:20 [Note]: 7026 0

05/21/06 16:39:20 [Note]: 7026 0

05/21/06 16:39:20 [Error]: 6024 1

05/21/06 16:39:28 [Note]: FSRAW library version 1.7.1015

05/21/06 16:53:40 [Note]: 7007 0

 

donc tjrs meme question:

 

05/21/06 16:39:20 [Error]: 6024 1 ?????????

 

<Unavailable>----PID 476

 

:P

 

ntvdm.exe pour les appli 16bits qui donne ça??? pourquoi??

 

ntvdm - ntvdm.exe - Process Information

Process File: ntvdm or ntvdm.exe

Process Name: Windows 16-bit Virtual Machine

 

Run a Free System Scan for ntvdm.exe Related Errors

 

Description:

ntvdm.exe is process that belongs to the Windows 16-bit Virtual Machine. It provides an environment for a 16-bit process to execute on a 32-bit platform. This program is important for the stable and secure running of your computer and should not be terminated.

 

 

quel est donc ,ou quel serait le comportement et l'efficacité de blacklight sur un rootkit employant un 16-bit process to execute on a 32-bit platform???aucune detection du rootkit?

 

est ce pertinant comme question ou fais-je fausse piste??

Merci

 

process1jh.jpg

Partager ce message


Lien à poster
Partager sur d’autres sites

et oui je le remonte :P

 

Y'a pas une appli. qui me dirait precisement quel logs/prog/driver eventuellement lance ntvdm.exe au boot???

 

NTVDM.EXE de microsoft se lance au boot,donc y'a bien une appli 16 bits qui le reclame!!!

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×