Question HijackThis !! :-] [Fermé]

Signaler
Messages postés
1632
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
-
fix200
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
-
Bonjour, a tous

Je suis en trin d'apprendre a lire des Rapport HijackThis et je voudrais savoir si se genre de ligne correspond à une infection :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

Lorsque la valeur [ ] et le fichier, .exe et similaire est ce une infection ?

Ou alors c'est seulement lorsque la a valeur [ ] et le fichier, .exe sont aléatoire que c'est une infection ?

MERCI


$ayc£

10 réponses

Messages postés
7728
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
56
C:\WINDOWS\system32\tmp.txt

quand un fichier semble bizarre,je recherche sur google et je regarde si c'est infectieux
a la longue et a force de lire des log,tu repêres très vite ce qui n'est pas normal

par exemple
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe est néfaste car le vrai est spoolsv et pas avec 2 v

O4 - HKCU\..\Run: [System update] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\7354.exe
les chiffres avant le .exe sont aléatoires...il y a peu de chance que cela soit légitime

O17 - HKLM\System\CCS\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
ici,une 017 qui commence par 85.255...est quasi toujours infectieux;dans ce cas,c'est un trojan dnschanger qui redirige la personne vers un serveur en ukraine
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 86856 internautes nous ont dit merci ce mois-ci

Messages postés
4487
Date d'inscription
samedi 12 janvier 2008
Statut
Contributeur
Dernière intervention
19 février 2020
922
non, un probleme c'est quand il y a une (file missing) apres le message ou (file corrupt) ou (file infected)
Messages postés
1632
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
265
RE

Non, un probleme c'est quand il y a une (file missing) apres le message ou (file corrupt) ou (file infected)

Tu veux dire que c'est t'écrit sur la ligne " file infected" ?
Ou c'est a la personne qui lit le rapport HJT de voir que c'est un file infected/corrupt ? (fichier corrompu/infecté..)

(((merci d'être précis... j'apprends..... :-] :-)


$ayc£
Messages postés
7728
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
56
c'est a la personne qui lis le rapport de savoir si oui ou non c'est infecté

ça par exemple c'est une infection magic.control/navipromo
O4 - HKCU\..\Run: [wycceya] "c:\documents and settings\môa\local settings\application data\wycceya.exe" wycceya

ça c'est une infection par support amovible
C:\WINDOWS\system32\tmp.txt

plus d'info ici
http://www.bleepingcomputer.com/tutorials/tutorial123.html
http://forum.malekal.com/viewtopic.php?f=45&t=4019
fix200
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Exemples:
ca c'est une infection Virut:
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Moi\reader_s.exe (User 'Default user')
Vundo:
O2 - BHO: C:\WINDOWS\system32\jkshfuiehi.dll - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - C:\WINDOWS\system32\jkshfuiehi.dll
Backdoor.Bot:
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system\service2k.exe
Service d'un adware:
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Et plein d'autres...

pour t'aider
Messages postés
3099
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
23 décembre 2012
194
ca t'apportera plein de bonne choses si tu veux

http://www.commentcamarche.net/forum/affich 2346090 hijack comment lire un rapport
http://www.zebulon.fr/dossiers/56-analyse-rapports-hijackthis.html

et aussi Malekal, ...

ctfmon est tout a fait legitime ;)
Messages postés
1632
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
265
RE

chimay8

C'est a la personne qui lis le rapport de savoir si oui ou non c'est infecté
¤comment ( je sais que je suis chiant... :-]...)


ça par exemple c'est une infection magic.control/navipromo
¤Ok merci celle la j'arrive a les reconnaître facilement >
Même nom pour : La valeur [ ] le nom du fichier .exe puis le nom Répéter

ça c'est une infection par support amovible
C:\WINDOWS\system32\tmp.txt
¤Comment le voyiez vous ?
¤Parce que le fichier ( tmp.txt) est aléatoire ?
¤Parce que c'est caractéristique de l'infection ?

Merci pour les liens je suis en trin (presque fini) de lire celui de Bleeping ...
Mais en plus de lire des tutoriels il faut de a pratique je pense...



neophyte***

ctfmon est tout a fait legitime ;)
¤Que voulez vous dire par là ... ? ? ?
Merci pour les liens

$ayc£
Messages postés
3099
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
23 décembre 2012
194
tmp.txt : c'est dans le changelog d'usbfix ( outil destiné a eradiquer puis vacciner contre les infections de sources amovibles :

http://sd-1.archive-host.com/membres/up/127028005715545653/ChangelogUsbFix.txt

legitime = normal , l'os (systeme d'exploitation en a besoin pour fonctionner)

avec la pratique , tu reconnaitra les infections a l'oeil , et il existe des "robots" d'analyses de rapports , mais ils ne sont jamais fiable a 100 % , il peuvent reveler (comme certains antivirus ou outil de desindfection) des faux positifs : une alerte pour un fichier pourtant legitime !

et si tu as un doute sur une ligne HJT, tu peux la verifier :

http://www.systemlookup.com/
ou
http://www.google.fr/...
comme le disait Chimay8
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
ctfmon est tout a fait légitime ;)
Oui, il y a aucune modification au niveau du Nom, ou l'emplacement.
EX: O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe OK
O4 - HKCU\..\Run: [CFTMON.EXE] C:\WINDOWS\system32\cftmon.exe Illégitime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe Illégitime

De plus, des fois,Google n'est pas fiable a 100%, par exemple Vundo donne a chaque fois un nom différant, donc bien réfléchir.
Messages postés
1632
Date d'inscription
jeudi 19 mars 2009
Statut
Contributeur sécurité
Dernière intervention
31 août 2011
265
RE

quand un fichier semble bizarre,je recherche sur google et je regarde si c'est infectieux
¤c'est a dire que moi en temps que débutant si dans une ligne qui n'a apparament pas d'infection je dois toujours vérifié le fichier voir si il est légitime ou pas ? ??

c'est la le plus difficile car repéré les infection comme par exemple Vundo/Virtumonde qui à des caractéristiques ( même ficher 02 022 ou si aucune des 2 ne s'affiche ... fichier aléa en 04 ...) et "simple" a détecté alors que certaine n'en on pas :

C:\WINDOWS\system32\tmp.txt


O17 - HKLM\System\CCS\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E­23985B12D66}: NameServer = 85.255.116.146,85.255.112.196

¤C'est une infection qui est détournement des serveurs DNS > 85.255 ( je savait aussi :-) mais merci quand même


fix 200


O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe Illégitime
¤Illégitime car pas dans system32 ?

$ayc£


fix200
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Re,
Oui
Messages postés
7728
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
56
tu peux toujours te faire aider par des robots comme zhp
http://telechargement.zebulon.fr/zeb-help-process.html

mais comme déja dis,pas 100% fiable