Entraide a l'analyse Hijack this
Résolu/Fermé
A voir également:
- Entraide a l'analyse Hijack this
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Analyse batterie pc - Guide
- Analyse composant pc - Guide
- Analyse composant pc en ligne - Guide
162 réponses
Utilisateur anonyme
11 févr. 2006 à 14:04
11 févr. 2006 à 14:04
Bonjour;
J'aimerais rajouter quelque chose:
Si vous souhaiter progresser dans le domaine de la securité:
- Observer, analyser et comprendre sur des postes ou vous n intervenez pas.
- Ne pas se mettre a 50 sur un meme poste. Restez seul a chercher sur un probleme.
Voila ;-)
J'aimerais rajouter quelque chose:
Si vous souhaiter progresser dans le domaine de la securité:
- Observer, analyser et comprendre sur des postes ou vous n intervenez pas.
- Ne pas se mettre a 50 sur un meme poste. Restez seul a chercher sur un probleme.
Voila ;-)
ukioss
Messages postés
782
Date d'inscription
lundi 30 janvier 2006
Statut
Membre
Dernière intervention
16 avril 2015
156
8 févr. 2006 à 17:50
8 févr. 2006 à 17:50
bonsoir regis59
je me sair d'IE et FIRFOX et j'aimerais conaitre le meilleur reglage de securité pour s'est 2 navigateur
et au sujet de "Hijack this" sur le raport a quoi reconnait tu 1 ligne infecter
-- merçi pour ton poste
ukioss
je me sair d'IE et FIRFOX et j'aimerais conaitre le meilleur reglage de securité pour s'est 2 navigateur
et au sujet de "Hijack this" sur le raport a quoi reconnait tu 1 ligne infecter
-- merçi pour ton poste
ukioss
Yoan
Messages postés
11795
Date d'inscription
mardi 1 février 2005
Statut
Modérateur
Dernière intervention
10 décembre 2023
2 327
8 févr. 2006 à 17:56
8 févr. 2006 à 17:56
Salut Regis,
Comme je disais hier, Qu'apporte SmitfraudFix dans l'analyse de ceci :
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
Et, comment l'exécutable mssearchnet.exe ( et nvctrl.exe) chez pierodu13 :
http://www.commentcamarche.net/forum/affich-2083210
s'est il exécuté sans clé de démarrage et sans service qui lui est attribué ?
il arrive aussi certaines fois que les logs soient incomplets (mais ce coup-ci vraiment incomplet : S'arrête aux processus actifs) Ce n'était pas la version d'HJ, ni le mode sans échec. Ca a fini par focntionner au bout de XX essais (il faudrait que je retrouve le post...) il y a t-il un moyen de contourner ça plus vite ?
Merci.
Comme je disais hier, Qu'apporte SmitfraudFix dans l'analyse de ceci :
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
Et, comment l'exécutable mssearchnet.exe ( et nvctrl.exe) chez pierodu13 :
http://www.commentcamarche.net/forum/affich-2083210
s'est il exécuté sans clé de démarrage et sans service qui lui est attribué ?
il arrive aussi certaines fois que les logs soient incomplets (mais ce coup-ci vraiment incomplet : S'arrête aux processus actifs) Ce n'était pas la version d'HJ, ni le mode sans échec. Ca a fini par focntionner au bout de XX essais (il faudrait que je retrouve le post...) il y a t-il un moyen de contourner ça plus vite ?
Merci.
Séb08
Messages postés
16502
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
17 février 2023
1 429
8 févr. 2006 à 23:39
8 févr. 2006 à 23:39
Slt Régis ou Quentin je ne sais plus...lol
Et merci pour ce post mais tu vas avoir du boulot ! ;-)
http://www.commentcamarche.net/forum/affich-2083426-spy-inconnu
2/Il y a une infection ici:
C:\WINDOWS\System32\mssearchnet.exe
Comment le vois tu là qu'il est infecté ?
De connaissance ou avec Castle ?
Merci
Et merci pour ce post mais tu vas avoir du boulot ! ;-)
http://www.commentcamarche.net/forum/affich-2083426-spy-inconnu
2/Il y a une infection ici:
C:\WINDOWS\System32\mssearchnet.exe
Comment le vois tu là qu'il est infecté ?
De connaissance ou avec Castle ?
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
green day
Messages postés
26371
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 162
9 févr. 2006 à 12:19
9 févr. 2006 à 12:19
Salut Quentin ! ( faille oublié lol !)
Ensuite, sur ce site, tu peux analyser chaque ligne d hijack this, suffit de selectionner la categorie dans la colonne de gauche:
http://castlecops.com
lorsque je séléctionnne un numéro de ligne à analyser, un peu en dessus apparait un tableau : quel est son utilité ???
Il est tres utile de connaitre ceci, savoir au moins ce qu il peut detecter:
http://siri.urz.free.fr/Fix/ChangeLog.php
comment utiliser cette base de connaissance ???
c'est à dire que tous ces fichiers sont infectés ??? et qu'on peu les supprimer ???
voilà, voili, voilou : lentement, mais suremet !
surtout, prends ton temps pour repondre, je suis pas pressée
bien à toi !
@+
Ensuite, sur ce site, tu peux analyser chaque ligne d hijack this, suffit de selectionner la categorie dans la colonne de gauche:
http://castlecops.com
lorsque je séléctionnne un numéro de ligne à analyser, un peu en dessus apparait un tableau : quel est son utilité ???
Il est tres utile de connaitre ceci, savoir au moins ce qu il peut detecter:
http://siri.urz.free.fr/Fix/ChangeLog.php
comment utiliser cette base de connaissance ???
c'est à dire que tous ces fichiers sont infectés ??? et qu'on peu les supprimer ???
voilà, voili, voilou : lentement, mais suremet !
surtout, prends ton temps pour repondre, je suis pas pressée
bien à toi !
@+
Utilisateur anonyme
9 févr. 2006 à 12:29
9 févr. 2006 à 12:29
Bonjour vous 4.
Je passes rapidement mais je me ferais un plaisir de vous repondre des que possible
Je ne vous oublie pas.
a+
Je passes rapidement mais je me ferais un plaisir de vous repondre des que possible
Je ne vous oublie pas.
a+
Utilisateur anonyme
9 févr. 2006 à 19:11
9 févr. 2006 à 19:11
Bonjour a tous.
Bonjour ukioss
je me sair d'IE et FIRFOX et j'aimerais conaitre le meilleur reglage de securité pour s'est 2 navigateur
et au sujet de "Hijack this" sur le raport a quoi reconnait tu 1 ligne infecter
Tout d'abord, je te deconseilles de surfer par IE. Sers toi de firefox qui est beaucoup plus securisé. A ma connaissance il n y a pas de reglages bien speciale.
Tu peux eventuellement vider automatiquement les cookies des la deconnection
Pour IE:
Panneau de configuration < option internet < onglet avancé
Coche la derniere cas "vider le temporary...."
Sinon, le reglage, inutile de trop y toucher. Par contre si tu as une demande particuliere, plus precise, demande moi.
au sujet de "Hijack this" sur le raport a quoi reconnait tu 1 ligne infecter
La, c'est difficile de te repondre en quelque mot. Chaque ligne doit etre analysé. Apres avec l habitude, l experience, les infections sautent a vu d oeil. Mais il n'existe par forcement un code decodage de ligne infecté que l on peut expliquer aussi facilement.Cependant si tu veux plus de details, c'est avec plaisir.
Salut Yoan.
Comme je disais hier, Qu'apporte SmitfraudFix dans l'analyse de ceci:
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
Cette 02 correspond a une infection bien particuliere. Tu peux la consulter sur ce lien:
http://siri.urz.free.fr/Fix/ChangeLog.php
Comme tu peux le voir, cette 02 connait diverses evolutions. Cette infection change le fond d ecran et peux donner ceci:
http://siri.urz.free.fr/Fix/ScreenShot.php
Ce mssearchnet.exe est justement lié a cette infection.
Pour le supprimer, suffit de suivre la manip que j avais donner (option 1 = detection. option 2 =suppression)
Tu comprends ou je ne suis pas clair?
il arrive aussi certaines fois que les logs soient incomplets (mais ce coup-ci vraiment incomplet : S'arrête aux processus actifs)
C'est que la personne a fait un mauvais copier/colle du bloc note.
Salut Seb08.
Moi c'est Quentin et Regis59. lol
Il y a une infection ici:
C:\WINDOWS\System32\mssearchnet.exe
Comment le vois tu là qu'il est infecté ?
De connaissance ou avec Castle ?
De connaissance + experience. Consultes le lien que j ai mis a Yan sur smitfraudfix, tu verras clairement qu il est lié a l infection. Je le connais car j etais tres actif lorsque l infection est arrivé. Mais sinon, avec castle, tu verras qu il est mauvais. c'est bien de savoir plus ou moins ce que detecte le fix smitfraudfix.
Salut Green day.^^
lorsque je séléctionnne un numéro de ligne à analyser, un peu en dessus apparait un tableau : quel est son utilité ???
Il permet de pouvoir analyser toutes les lignes d'Hijack this.
Tu peux analyser toutes les lignes suivant ou tu clik
CLSID List <-- 03/02
· LSPs <-- 010
· O18
· O20
· O21
· O22
· O23
· O9
· StartupList <-- 04
Tu selectionnes sur un log hijack this ce qu il y a entre crochet juste apres le chiffre.Exemple: (en gras tu le copie)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
Tu te rends sur le site de castle, tu choisis Startup list puisque c est une 04 (voir souligné)
Juste a coté de [searsh], tu as une partie blanche. Tu y colles ce que tu avais copier (cf gras)
Puis clik sur searsh
Un tableau s inscrit. Lorsque c est X, c est que c est mauvais. Tu regardes dans la colonne de gauche pour retrouver ce que tu avais coller puis dans la colonne a coté pour voir si l exe est le meme (c est important --> cf italique)
A partir de la, si ce que t as mis dans la colonne de gauche et le processus est le meme et qu il est X, tu es sur qu il est mauvais et donc a fixer et a supprimer. Parfois si le tableau est vide, c est qu il n est pas reférencé donc recherche sur google.
comment utiliser cette base de connaissance ???
c'est à dire que tous ces fichiers sont infectés ??? et qu'on peu les supprimer ???
C'est tout ce que smitfraudfix detecte/supprime.Donc utilises ce programme si tu rencontres ce qu'il y a dans cette base.
Utilisation:
Smitfraudfix :(Merci a S!RI pour ce petit programme).
SmitfraudFix est un utilitaire que S!Ri, moe31, Balltrap34 ont mis au point. Il supprime les infections de type Desktop Hijack (détournement du bureau) comme SpyAxe, PSguard, Spysheriff, Winhound, etc.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip (ne pas oublier d’extraire tous les fichiers sinon il indiquera que le process.exe est absent)
Sélectionner 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.
Sélectionner 2 pour supprimer les fichiers responsables de l'infection. (De préférence en mode sans échec, la suppression sera plus facile, c’est fortement conseillé)
Répondre O (oui) à la question Voulez-vous nettoyer le registre ? Afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté, dans ce cas, répondre O (oui) à la question "Corriger le fichier infecté ?" pour remplacer le fichier corrompu.
Sélectionner 3 pour effacer la liste des sites de confiance et sensibles.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Dans quel cas l’utiliser ?
- secure32.html
- C:\WINDOWS\system32\mscornet.exe
- C:\WINDOWS\system32\mssearchnet.exe
- SpyAxe
- PSguard
- Spysheriff
J'espere vous avoir bien répondu sinon redemandez moi.
A+
Bonjour ukioss
je me sair d'IE et FIRFOX et j'aimerais conaitre le meilleur reglage de securité pour s'est 2 navigateur
et au sujet de "Hijack this" sur le raport a quoi reconnait tu 1 ligne infecter
Tout d'abord, je te deconseilles de surfer par IE. Sers toi de firefox qui est beaucoup plus securisé. A ma connaissance il n y a pas de reglages bien speciale.
Tu peux eventuellement vider automatiquement les cookies des la deconnection
Pour IE:
Panneau de configuration < option internet < onglet avancé
Coche la derniere cas "vider le temporary...."
Sinon, le reglage, inutile de trop y toucher. Par contre si tu as une demande particuliere, plus precise, demande moi.
au sujet de "Hijack this" sur le raport a quoi reconnait tu 1 ligne infecter
La, c'est difficile de te repondre en quelque mot. Chaque ligne doit etre analysé. Apres avec l habitude, l experience, les infections sautent a vu d oeil. Mais il n'existe par forcement un code decodage de ligne infecté que l on peut expliquer aussi facilement.Cependant si tu veux plus de details, c'est avec plaisir.
Salut Yoan.
Comme je disais hier, Qu'apporte SmitfraudFix dans l'analyse de ceci:
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
Cette 02 correspond a une infection bien particuliere. Tu peux la consulter sur ce lien:
http://siri.urz.free.fr/Fix/ChangeLog.php
Comme tu peux le voir, cette 02 connait diverses evolutions. Cette infection change le fond d ecran et peux donner ceci:
http://siri.urz.free.fr/Fix/ScreenShot.php
Ce mssearchnet.exe est justement lié a cette infection.
Pour le supprimer, suffit de suivre la manip que j avais donner (option 1 = detection. option 2 =suppression)
Tu comprends ou je ne suis pas clair?
il arrive aussi certaines fois que les logs soient incomplets (mais ce coup-ci vraiment incomplet : S'arrête aux processus actifs)
C'est que la personne a fait un mauvais copier/colle du bloc note.
Salut Seb08.
Moi c'est Quentin et Regis59. lol
Il y a une infection ici:
C:\WINDOWS\System32\mssearchnet.exe
Comment le vois tu là qu'il est infecté ?
De connaissance ou avec Castle ?
De connaissance + experience. Consultes le lien que j ai mis a Yan sur smitfraudfix, tu verras clairement qu il est lié a l infection. Je le connais car j etais tres actif lorsque l infection est arrivé. Mais sinon, avec castle, tu verras qu il est mauvais. c'est bien de savoir plus ou moins ce que detecte le fix smitfraudfix.
Salut Green day.^^
lorsque je séléctionnne un numéro de ligne à analyser, un peu en dessus apparait un tableau : quel est son utilité ???
Il permet de pouvoir analyser toutes les lignes d'Hijack this.
Tu peux analyser toutes les lignes suivant ou tu clik
CLSID List <-- 03/02
· LSPs <-- 010
· O18
· O20
· O21
· O22
· O23
· O9
· StartupList <-- 04
Tu selectionnes sur un log hijack this ce qu il y a entre crochet juste apres le chiffre.Exemple: (en gras tu le copie)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
Tu te rends sur le site de castle, tu choisis Startup list puisque c est une 04 (voir souligné)
Juste a coté de [searsh], tu as une partie blanche. Tu y colles ce que tu avais copier (cf gras)
Puis clik sur searsh
Un tableau s inscrit. Lorsque c est X, c est que c est mauvais. Tu regardes dans la colonne de gauche pour retrouver ce que tu avais coller puis dans la colonne a coté pour voir si l exe est le meme (c est important --> cf italique)
A partir de la, si ce que t as mis dans la colonne de gauche et le processus est le meme et qu il est X, tu es sur qu il est mauvais et donc a fixer et a supprimer. Parfois si le tableau est vide, c est qu il n est pas reférencé donc recherche sur google.
comment utiliser cette base de connaissance ???
c'est à dire que tous ces fichiers sont infectés ??? et qu'on peu les supprimer ???
C'est tout ce que smitfraudfix detecte/supprime.Donc utilises ce programme si tu rencontres ce qu'il y a dans cette base.
Utilisation:
Smitfraudfix :(Merci a S!RI pour ce petit programme).
SmitfraudFix est un utilitaire que S!Ri, moe31, Balltrap34 ont mis au point. Il supprime les infections de type Desktop Hijack (détournement du bureau) comme SpyAxe, PSguard, Spysheriff, Winhound, etc.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip (ne pas oublier d’extraire tous les fichiers sinon il indiquera que le process.exe est absent)
Sélectionner 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.
Sélectionner 2 pour supprimer les fichiers responsables de l'infection. (De préférence en mode sans échec, la suppression sera plus facile, c’est fortement conseillé)
Répondre O (oui) à la question Voulez-vous nettoyer le registre ? Afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté, dans ce cas, répondre O (oui) à la question "Corriger le fichier infecté ?" pour remplacer le fichier corrompu.
Sélectionner 3 pour effacer la liste des sites de confiance et sensibles.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Dans quel cas l’utiliser ?
- secure32.html
- C:\WINDOWS\system32\mscornet.exe
- C:\WINDOWS\system32\mssearchnet.exe
- SpyAxe
- PSguard
- Spysheriff
J'espere vous avoir bien répondu sinon redemandez moi.
A+
^^Marie^^
Messages postés
113929
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 274
9 févr. 2006 à 19:17
9 févr. 2006 à 19:17
Régis bonsoir,
Peux tu jeter un oeil sur les ""04 ""ici stp ---MERCI
http://www.commentcamarche.net/forum/affich-2086719-voila-mon-log-s-qu-il-est-bon-ou-pas#2006-02-09%2019%3A16%3A14
bye
Peux tu jeter un oeil sur les ""04 ""ici stp ---MERCI
http://www.commentcamarche.net/forum/affich-2086719-voila-mon-log-s-qu-il-est-bon-ou-pas#2006-02-09%2019%3A16%3A14
bye
ukioss
Messages postés
782
Date d'inscription
lundi 30 janvier 2006
Statut
Membre
Dernière intervention
16 avril 2015
156
9 févr. 2006 à 19:21
9 févr. 2006 à 19:21
bonsoir REGIS59
tous dabort 1 grand MERçI pour tons poste .
tu dis que pour le raport Hijack this"Chaque ligne doit etre analysé." tu les analyse par tois mème ou avec 1 outil d'analyse
merçi
tous dabort 1 grand MERçI pour tons poste .
tu dis que pour le raport Hijack this"Chaque ligne doit etre analysé." tu les analyse par tois mème ou avec 1 outil d'analyse
merçi
Yoan
Messages postés
11795
Date d'inscription
mardi 1 février 2005
Statut
Modérateur
Dernière intervention
10 décembre 2023
2 327
9 févr. 2006 à 19:26
9 févr. 2006 à 19:26
Salut,
le simple fait de fixer :
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
aurait résolu le problème ? C'est cette ligne qui a lancé mssearchnet.exe ? (J'ai compris qu'il vallait mieux utiliser Smitfraudfix, mais c'est pour comprendre :))
C'est que la personne a fait un mauvais copier/colle du bloc note.
non, je ne crois pas (ou alors il n'était vraiment pas doué ^^, mais ça n'avait pas l'air). Il a refait le log bien 4 ou 5 fois avant de trouver un complet, le log était bien sale, je crois, et un spyware lui balancait des sons sur les enceintes.
le simple fait de fixer :
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
aurait résolu le problème ? C'est cette ligne qui a lancé mssearchnet.exe ? (J'ai compris qu'il vallait mieux utiliser Smitfraudfix, mais c'est pour comprendre :))
C'est que la personne a fait un mauvais copier/colle du bloc note.
non, je ne crois pas (ou alors il n'était vraiment pas doué ^^, mais ça n'avait pas l'air). Il a refait le log bien 4 ou 5 fois avant de trouver un complet, le log était bien sale, je crois, et un spyware lui balancait des sons sur les enceintes.
Utilisateur anonyme
9 févr. 2006 à 20:07
9 févr. 2006 à 20:07
Bonsoir ukioss;
De rien et pas besoin de me remercier; maintenant que je te connais lol
J'aime beaucoup la peche a la carpe, comme toi !!! En etang?
tu dis que pour le raport Hijack this"Chaque ligne doit etre analysé." tu les analyse par tois mème ou avec 1 outil d'analyse
Deja, il faut connaitre les infections, connaitre des processus lié a des infections. Ensuite, je connais plus ou moins ce qui est bon dans hijack this, le reste je le verifie sur des liens comme castle cop (que j ai mis au dessu) et d autres. Si tu veux en savoir plus encore, pas de soucis j expliquerais mais c est pas evident. Il faut surtout observer et demander des questions. Je n utilises pas le robot, il est bourré d erreurs et peut commettre de graves erreurs, evite ! (toute fois, tu peux verifier des lignes avec le robot mais pas le suivre...)
Tu peux commencer par lire ceci si ca t'interresse:
http://www.zebulon.fr/articles/HijackThis.php
(cela ne constitue que 15% de l apprentisage lol)
Re Yoan;
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
aurait résolu le problème ? C'est cette ligne qui a lancé mssearchnet.exe ? (J'ai compris qu'il vallait mieux utiliser Smitfraudfix, mais c'est pour comprendre :))
Non, absolument pas. En fait, dans hijack this on nous montre qu une partie de l infection. C'est comme un iceberg, partie emmergé et immergé. La on voit celle ci, si tu la supprimes ok mais c est pas suffisant. Smitfraudfix a en memoire tout ce qu on ne voit pas dans hijackthis et permet de supprimer facilement et completement l infection.Mssearshnet.exe est un processus lié a l infection, donc en plus de cette 02, elle lit d autres choses...tu vois?
Oui il vaut mieux utiliser le programme et si tu ne le fais pas, tu vas ramer pour t en sortir ! Qu'avec ce programme, en 10min l affaire est résolu, si tu le fais manuellement, t en as pour des jours...
**
Pour le copier/coller, cela m est deja arrivé.Il se peut que le spy le bloque mais c est tres rare. Je dirais qu il s est planté dans le copier/coller du bloc note et qu il ne prenait que la 1ere partie apparente dans le bloc note. Mais on ne pourra pas verifier lol
Ca me fait plaisir que cela vous interresse ^^
A+
De rien et pas besoin de me remercier; maintenant que je te connais lol
J'aime beaucoup la peche a la carpe, comme toi !!! En etang?
tu dis que pour le raport Hijack this"Chaque ligne doit etre analysé." tu les analyse par tois mème ou avec 1 outil d'analyse
Deja, il faut connaitre les infections, connaitre des processus lié a des infections. Ensuite, je connais plus ou moins ce qui est bon dans hijack this, le reste je le verifie sur des liens comme castle cop (que j ai mis au dessu) et d autres. Si tu veux en savoir plus encore, pas de soucis j expliquerais mais c est pas evident. Il faut surtout observer et demander des questions. Je n utilises pas le robot, il est bourré d erreurs et peut commettre de graves erreurs, evite ! (toute fois, tu peux verifier des lignes avec le robot mais pas le suivre...)
Tu peux commencer par lire ceci si ca t'interresse:
http://www.zebulon.fr/articles/HijackThis.php
(cela ne constitue que 15% de l apprentisage lol)
Re Yoan;
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpAC7C.tmp
aurait résolu le problème ? C'est cette ligne qui a lancé mssearchnet.exe ? (J'ai compris qu'il vallait mieux utiliser Smitfraudfix, mais c'est pour comprendre :))
Non, absolument pas. En fait, dans hijack this on nous montre qu une partie de l infection. C'est comme un iceberg, partie emmergé et immergé. La on voit celle ci, si tu la supprimes ok mais c est pas suffisant. Smitfraudfix a en memoire tout ce qu on ne voit pas dans hijackthis et permet de supprimer facilement et completement l infection.Mssearshnet.exe est un processus lié a l infection, donc en plus de cette 02, elle lit d autres choses...tu vois?
Oui il vaut mieux utiliser le programme et si tu ne le fais pas, tu vas ramer pour t en sortir ! Qu'avec ce programme, en 10min l affaire est résolu, si tu le fais manuellement, t en as pour des jours...
**
Pour le copier/coller, cela m est deja arrivé.Il se peut que le spy le bloque mais c est tres rare. Je dirais qu il s est planté dans le copier/coller du bloc note et qu il ne prenait que la 1ere partie apparente dans le bloc note. Mais on ne pourra pas verifier lol
Ca me fait plaisir que cela vous interresse ^^
A+
Yoan
Messages postés
11795
Date d'inscription
mardi 1 février 2005
Statut
Modérateur
Dernière intervention
10 décembre 2023
2 327
9 févr. 2006 à 20:11
9 févr. 2006 à 20:11
Ca me fait plaisir que cela vous interresse ^^
C'est pour ça qu'on se connecte sur CCM ;)
C'est sympa à toi de nous apprendre :)
OK Sinon. Après, je verrais et ferais appel à toi selon les cas :) Merci.
C'est pour ça qu'on se connecte sur CCM ;)
C'est sympa à toi de nous apprendre :)
OK Sinon. Après, je verrais et ferais appel à toi selon les cas :) Merci.
Utilisateur anonyme
9 févr. 2006 à 20:21
9 févr. 2006 à 20:21
lol. Ravi que vous soyez sur CCM.
Désolé si je ne suis pas très clair parfois...
Toute manère n'hésites pas a demander, sur un poste, si tu veux qu'on t orientes ou autre
bonne soirée, et surrement a demain.
A+
Désolé si je ne suis pas très clair parfois...
Toute manère n'hésites pas a demander, sur un poste, si tu veux qu'on t orientes ou autre
bonne soirée, et surrement a demain.
A+
ukioss
Messages postés
782
Date d'inscription
lundi 30 janvier 2006
Statut
Membre
Dernière intervention
16 avril 2015
156
9 févr. 2006 à 20:46
9 févr. 2006 à 20:46
re bonsoir
1 derniere question et je te laisse tranquil ,au sujet des sitte d'analyse que panse tu de..http://www.hijackthis.de/fr (je ne comprent que le FR) aure sujet pour la carpe (un peut partout lac ,rivier..la loire ,etang) pour sa on pourait en parler sur 1 autre forum
je te souete 1 bonne soirè
1 derniere question et je te laisse tranquil ,au sujet des sitte d'analyse que panse tu de..http://www.hijackthis.de/fr (je ne comprent que le FR) aure sujet pour la carpe (un peut partout lac ,rivier..la loire ,etang) pour sa on pourait en parler sur 1 autre forum
je te souete 1 bonne soirè
Utilisateur anonyme
9 févr. 2006 à 20:51
9 févr. 2006 à 20:51
Re Bonsoir;
Saches que tu ne me deranges pas du tout !
Pour ce site, comme je te disais c est un robot. Il ne faut pas le suivre a 100% il comporte des erreurs, cependant il peut t apporter une approximation mais ne te fis pas a cela !
Si tu veux apprendre Hijack this, on peut le faire ici...Perso j ai appris en 2mois sur 2experts (moe31 et balltrap34). Je les ai observé et poser des questions. Cela fait un peu plus d un an que je fais cela maintenant
Pour la carpe oui on pourrait en discuter ^^
bonne soiree
Saches que tu ne me deranges pas du tout !
Pour ce site, comme je te disais c est un robot. Il ne faut pas le suivre a 100% il comporte des erreurs, cependant il peut t apporter une approximation mais ne te fis pas a cela !
Si tu veux apprendre Hijack this, on peut le faire ici...Perso j ai appris en 2mois sur 2experts (moe31 et balltrap34). Je les ai observé et poser des questions. Cela fait un peu plus d un an que je fais cela maintenant
Pour la carpe oui on pourrait en discuter ^^
bonne soiree
jpdeclermont
Messages postés
1788
Date d'inscription
mercredi 7 décembre 2005
Statut
Membre
Dernière intervention
3 septembre 2006
382
9 févr. 2006 à 21:03
9 févr. 2006 à 21:03
bonsoir tout le monde
j'espère que ce post-ci va durer un peu ....
et merci encore à regis de prendre le temps de nous expliquer
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
j'espère que ce post-ci va durer un peu ....
et merci encore à regis de prendre le temps de nous expliquer
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
sammmm47
Messages postés
14
Date d'inscription
jeudi 9 février 2006
Statut
Membre
Dernière intervention
4 août 2006
9 févr. 2006 à 21:20
9 févr. 2006 à 21:20
rebonjour
merci de ton aide regis59
j ai mis un nouveau message avec mon log et mon rapport ewido
comme tu me l a demande
peut tu si tu as du temps
y jeter un coup d oeil
merci beaucoup
merci de ton aide regis59
j ai mis un nouveau message avec mon log et mon rapport ewido
comme tu me l a demande
peut tu si tu as du temps
y jeter un coup d oeil
merci beaucoup
Utilisateur anonyme
9 févr. 2006 à 21:41
9 févr. 2006 à 21:41
Salut sam
je veux bien y regarder si tu utilise la fonction repondre sur le poste ou je t ai mis la manip lol
a+
je veux bien y regarder si tu utilise la fonction repondre sur le poste ou je t ai mis la manip lol
a+
Séb08
Messages postés
16502
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
17 février 2023
1 429
9 févr. 2006 à 23:12
9 févr. 2006 à 23:12
Slt Quentin,
Pour les 023 on ne prend que les .exe à la fin des lignes pour les analyser dans Castle c'est ca ?
Ex :
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
En ce qui concerne les executables comment les analyser avec Castle ?
Ex :
C:\WINDOWS\System32\mssearchnet.exe
Mais sinon, avec castle, tu verras qu il est mauvais
Comment ?
Pour les 023 on ne prend que les .exe à la fin des lignes pour les analyser dans Castle c'est ca ?
Ex :
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
En ce qui concerne les executables comment les analyser avec Castle ?
Ex :
C:\WINDOWS\System32\mssearchnet.exe
Mais sinon, avec castle, tu verras qu il est mauvais
Comment ?
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
9 févr. 2006 à 23:19
9 févr. 2006 à 23:19
salut
utilise cette partie
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
pour les exe tu peut faire une recherche dans la startup list de castel et aussi google
utilise cette partie
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
pour les exe tu peut faire une recherche dans la startup list de castel et aussi google
