Question HijackThis !! :-]
Fermé
sayce
Messages postés
1630
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
-
20 mai 2009 à 14:17
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 - 20 mai 2009 à 16:56
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 - 20 mai 2009 à 16:56
A voir également:
- Question HijackThis !! :-]
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
- HIJACKTHIS tutorial ✓ - Forum Logiciels
- Rapport hijackthis - Forum Virus
- Hijackthis analyse ✓ - Forum Virus
10 réponses
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
20 mai 2009 à 16:33
20 mai 2009 à 16:33
C:\WINDOWS\system32\tmp.txt
quand un fichier semble bizarre,je recherche sur google et je regarde si c'est infectieux
a la longue et a force de lire des log,tu repêres très vite ce qui n'est pas normal
par exemple
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe est néfaste car le vrai est spoolsv et pas avec 2 v
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\7354.exe
les chiffres avant le .exe sont aléatoires...il y a peu de chance que cela soit légitime
O17 - HKLM\System\CCS\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
ici,une 017 qui commence par 85.255...est quasi toujours infectieux;dans ce cas,c'est un trojan dnschanger qui redirige la personne vers un serveur en ukraine
quand un fichier semble bizarre,je recherche sur google et je regarde si c'est infectieux
a la longue et a force de lire des log,tu repêres très vite ce qui n'est pas normal
par exemple
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe est néfaste car le vrai est spoolsv et pas avec 2 v
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\7354.exe
les chiffres avant le .exe sont aléatoires...il y a peu de chance que cela soit légitime
O17 - HKLM\System\CCS\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
ici,une 017 qui commence par 85.255...est quasi toujours infectieux;dans ce cas,c'est un trojan dnschanger qui redirige la personne vers un serveur en ukraine
Utilisateur anonyme
20 mai 2009 à 14:35
20 mai 2009 à 14:35
non, un probleme c'est quand il y a une (file missing) apres le message ou (file corrupt) ou (file infected)
sayce
Messages postés
1630
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
270
20 mai 2009 à 15:40
20 mai 2009 à 15:40
RE
Non, un probleme c'est quand il y a une (file missing) apres le message ou (file corrupt) ou (file infected)
Tu veux dire que c'est t'écrit sur la ligne " file infected" ?
Ou c'est a la personne qui lit le rapport HJT de voir que c'est un file infected/corrupt ? (fichier corrompu/infecté..)
(((merci d'être précis... j'apprends..... :-] :-)
$ayc£
Non, un probleme c'est quand il y a une (file missing) apres le message ou (file corrupt) ou (file infected)
Tu veux dire que c'est t'écrit sur la ligne " file infected" ?
Ou c'est a la personne qui lit le rapport HJT de voir que c'est un file infected/corrupt ? (fichier corrompu/infecté..)
(((merci d'être précis... j'apprends..... :-] :-)
$ayc£
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
20 mai 2009 à 15:52
20 mai 2009 à 15:52
c'est a la personne qui lis le rapport de savoir si oui ou non c'est infecté
ça par exemple c'est une infection magic.control/navipromo
O4 - HKCU\..\Run: [wycceya] "c:\documents and settings\môa\local settings\application data\wycceya.exe" wycceya
ça c'est une infection par support amovible
C:\WINDOWS\system32\tmp.txt
plus d'info ici
https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/
https://forum.malekal.com/viewtopic.php?f=45&t=4019
ça par exemple c'est une infection magic.control/navipromo
O4 - HKCU\..\Run: [wycceya] "c:\documents and settings\môa\local settings\application data\wycceya.exe" wycceya
ça c'est une infection par support amovible
C:\WINDOWS\system32\tmp.txt
plus d'info ici
https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/
https://forum.malekal.com/viewtopic.php?f=45&t=4019
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
20 mai 2009 à 16:21
20 mai 2009 à 16:21
Exemples:
ca c'est une infection Virut:
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Moi\reader_s.exe (User 'Default user')
Vundo:
O2 - BHO: C:\WINDOWS\system32\jkshfuiehi.dll - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - C:\WINDOWS\system32\jkshfuiehi.dll
Backdoor.Bot:
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system\service2k.exe
Service d'un adware:
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Et plein d'autres...
pour t'aider
ca c'est une infection Virut:
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Moi\reader_s.exe (User 'Default user')
Vundo:
O2 - BHO: C:\WINDOWS\system32\jkshfuiehi.dll - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - C:\WINDOWS\system32\jkshfuiehi.dll
Backdoor.Bot:
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system\service2k.exe
Service d'un adware:
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Et plein d'autres...
pour t'aider
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
20 mai 2009 à 15:52
20 mai 2009 à 15:52
ca t'apportera plein de bonne choses si tu veux
http://www.commentcamarche.net/forum/affich 2346090 hijack comment lire un rapport
https://www.zebulon.fr/dossiers/securite/56-analyse-rapports-hijackthis.html
et aussi Malekal, ...
ctfmon est tout a fait legitime ;)
http://www.commentcamarche.net/forum/affich 2346090 hijack comment lire un rapport
https://www.zebulon.fr/dossiers/securite/56-analyse-rapports-hijackthis.html
et aussi Malekal, ...
ctfmon est tout a fait legitime ;)
sayce
Messages postés
1630
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
270
20 mai 2009 à 16:16
20 mai 2009 à 16:16
RE
chimay8
C'est a la personne qui lis le rapport de savoir si oui ou non c'est infecté
¤comment ( je sais que je suis chiant... :-]...)
ça par exemple c'est une infection magic.control/navipromo
¤Ok merci celle la j'arrive a les reconnaître facilement >
Même nom pour : La valeur [ ] le nom du fichier .exe puis le nom Répéter
ça c'est une infection par support amovible
C:\WINDOWS\system32\tmp.txt
¤Comment le voyiez vous ?
¤Parce que le fichier ( tmp.txt) est aléatoire ?
¤Parce que c'est caractéristique de l'infection ?
Merci pour les liens je suis en trin (presque fini) de lire celui de Bleeping ...
Mais en plus de lire des tutoriels il faut de a pratique je pense...
neophyte***
ctfmon est tout a fait legitime ;)
¤Que voulez vous dire par là ... ? ? ?
Merci pour les liens
$ayc£
chimay8
C'est a la personne qui lis le rapport de savoir si oui ou non c'est infecté
¤comment ( je sais que je suis chiant... :-]...)
ça par exemple c'est une infection magic.control/navipromo
¤Ok merci celle la j'arrive a les reconnaître facilement >
Même nom pour : La valeur [ ] le nom du fichier .exe puis le nom Répéter
ça c'est une infection par support amovible
C:\WINDOWS\system32\tmp.txt
¤Comment le voyiez vous ?
¤Parce que le fichier ( tmp.txt) est aléatoire ?
¤Parce que c'est caractéristique de l'infection ?
Merci pour les liens je suis en trin (presque fini) de lire celui de Bleeping ...
Mais en plus de lire des tutoriels il faut de a pratique je pense...
neophyte***
ctfmon est tout a fait legitime ;)
¤Que voulez vous dire par là ... ? ? ?
Merci pour les liens
$ayc£
Utilisateur anonyme
20 mai 2009 à 16:35
20 mai 2009 à 16:35
tmp.txt : c'est dans le changelog d'usbfix ( outil destiné a eradiquer puis vacciner contre les infections de sources amovibles :
http://sd-1.archive-host.com/membres/up/127028005715545653/ChangelogUsbFix.txt
legitime = normal , l'os (systeme d'exploitation en a besoin pour fonctionner)
avec la pratique , tu reconnaitra les infections a l'oeil , et il existe des "robots" d'analyses de rapports , mais ils ne sont jamais fiable a 100 % , il peuvent reveler (comme certains antivirus ou outil de desindfection) des faux positifs : une alerte pour un fichier pourtant legitime !
et si tu as un doute sur une ligne HJT, tu peux la verifier :
https://www.systemlookup.com/
ou
https://www.bleepingcomputer.com/
comme le disait Chimay8
http://sd-1.archive-host.com/membres/up/127028005715545653/ChangelogUsbFix.txt
legitime = normal , l'os (systeme d'exploitation en a besoin pour fonctionner)
avec la pratique , tu reconnaitra les infections a l'oeil , et il existe des "robots" d'analyses de rapports , mais ils ne sont jamais fiable a 100 % , il peuvent reveler (comme certains antivirus ou outil de desindfection) des faux positifs : une alerte pour un fichier pourtant legitime !
et si tu as un doute sur une ligne HJT, tu peux la verifier :
https://www.systemlookup.com/
ou
https://www.bleepingcomputer.com/
comme le disait Chimay8
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
20 mai 2009 à 16:46
20 mai 2009 à 16:46
ctfmon est tout a fait légitime ;)
Oui, il y a aucune modification au niveau du Nom, ou l'emplacement.
EX: O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe OK
O4 - HKCU\..\Run: [CFTMON.EXE] C:\WINDOWS\system32\cftmon.exe Illégitime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe Illégitime
De plus, des fois,Google n'est pas fiable a 100%, par exemple Vundo donne a chaque fois un nom différant, donc bien réfléchir.
Oui, il y a aucune modification au niveau du Nom, ou l'emplacement.
EX: O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe OK
O4 - HKCU\..\Run: [CFTMON.EXE] C:\WINDOWS\system32\cftmon.exe Illégitime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe Illégitime
De plus, des fois,Google n'est pas fiable a 100%, par exemple Vundo donne a chaque fois un nom différant, donc bien réfléchir.
sayce
Messages postés
1630
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
270
20 mai 2009 à 16:52
20 mai 2009 à 16:52
RE
quand un fichier semble bizarre,je recherche sur google et je regarde si c'est infectieux
¤c'est a dire que moi en temps que débutant si dans une ligne qui n'a apparament pas d'infection je dois toujours vérifié le fichier voir si il est légitime ou pas ? ??
c'est la le plus difficile car repéré les infection comme par exemple Vundo/Virtumonde qui à des caractéristiques ( même ficher 02 022 ou si aucune des 2 ne s'affiche ... fichier aléa en 04 ...) et "simple" a détecté alors que certaine n'en on pas :
C:\WINDOWS\system32\tmp.txt
O17 - HKLM\System\CCS\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
¤C'est une infection qui est détournement des serveurs DNS > 85.255 ( je savait aussi :-) mais merci quand même
fix 200
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe Illégitime
¤Illégitime car pas dans system32 ?
$ayc£
quand un fichier semble bizarre,je recherche sur google et je regarde si c'est infectieux
¤c'est a dire que moi en temps que débutant si dans une ligne qui n'a apparament pas d'infection je dois toujours vérifié le fichier voir si il est légitime ou pas ? ??
c'est la le plus difficile car repéré les infection comme par exemple Vundo/Virtumonde qui à des caractéristiques ( même ficher 02 022 ou si aucune des 2 ne s'affiche ... fichier aléa en 04 ...) et "simple" a détecté alors que certaine n'en on pas :
C:\WINDOWS\system32\tmp.txt
O17 - HKLM\System\CCS\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
¤C'est une infection qui est détournement des serveurs DNS > 85.255 ( je savait aussi :-) mais merci quand même
fix 200
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe Illégitime
¤Illégitime car pas dans system32 ?
$ayc£
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
20 mai 2009 à 16:56
20 mai 2009 à 16:56
Re,
Oui
Oui
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
20 mai 2009 à 16:56
20 mai 2009 à 16:56
tu peux toujours te faire aider par des robots comme zhp
https://www.zebulon.fr/telechargements/securite/systeme/zeb-help-process.html
mais comme déja dis,pas 100% fiable
https://www.zebulon.fr/telechargements/securite/systeme/zeb-help-process.html
mais comme déja dis,pas 100% fiable