Mon résultat Hijack this (enfin log)

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Jim Rakoto » 13 Jan 2005, 16:00

Salut,

Tkbellexe = realone player donc pas indispensable au démarrage
http://www.liutilities.com/products/win ... TkBellExe/

ATIPTA c:\ATI Technologies\ATI Control Panel\atiptaxx.exe = carte graphique , pas indispensable au démarrage
http://www.liutilities.com/products/win ... /atiptaxx/

MSMSGS = MSN messenger . Pas indispensable. Il suffit de cliquer sur MSN quand tu veux chatter
http://www.liutilities.com/products/win ... ry/msmsgs/

Quand sait-on qu'on n'a pas de spyware ?
quand les anti-spywares ou HJT n'en trouvent pas :D
quand il n'y a pas de connexions non désirées (de l'intérêt de TCPview par ex.)
quand le processeur tourne normalement (je tourne entre 3 et 7% > voir avec ctrl-alt-del > performances. Certaines saloperies font monter à 100% en permanence
quand il n'y a pas de messages, d'écrans indésirables, etc

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede césar » 13 Jan 2005, 16:59

Didier a écrit:
Je voudrai savoir une chose aussi, un Key logger, comment est on sûr qu'il n'y en a pas? (bizarre ma formulation)


bonjour,

en plus des opérations que tu viens de faire, tu devrais peut-être passer un coup de pestpatrol ( http://assiste.com.free.fr/p/internet_u ... patrol.php ) la version d'évaluation est gratuite.
mais si tu trouves un keylogger, ne le détruis pas tout de suite. ça pourra peut-être nous aider à identifier le pirate (bien que j'en doute, mais on sait jamais...)
c'est bien du souci, tout ça... :wink:
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Didier » 14 Jan 2005, 00:24

Bonsoir (bonne nuit?) à tous,

alors j'ai refait hijack this et il y a ce machin là dont je ne comprend pas l'utilité:

O17 - HKLM\System\CCS\Services\Tcpip\..\{B0D19111-8185-4EF4-B081-6C2A3899E8FE}: NameServer = 212.151.136.250 130.244.127.161
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'. Effacer si l’IP ou le domaine '212.151.136.250 130.244.127.161' ne vous est pas connu.

Voilà, c'est moi? Mon fournisseur d'accès? Euh de mon côté j'ai pas de documentation sur les serveurs.

Mais sinon rien de nouveau sous le soleil (ah non ça c'est Venus). J'ai lancé Pest Patrol (ouah, très jolie) et il n'a rien detecté. Ad.aware avait detecté 2 cookies au nom très inconnu, ce matin, et là plus rien. Enfin j'ai règlé Spy Bot et j'ai remarqué ceci:

HK_LM:Run: NovaNet-Web et tray control PBell, mais c'est quoi le Tray Control? c'est pas mauvais?

Pour mon UC: ça oscille entre 0 (gloups il est éteint) et 13 % maximum (bon il m'a fait un 99% en téléchargeant Pest Patrol et en ouvrant une page, et en jouant au freecell, c'est normal peut être)

c'est bien du souci, tout ça...


Ah ben tu m'étonnes! :D

Didier, 'vais m'coucher, moi...
Didier
 

Messagede nickW » 14 Jan 2005, 00:39

Bonsoir,

Sur la page:
http://assiste.com.free.fr/p/internet_l ... te_dns.php
on voit que cela correspond à Télé2.

Édité: NovaNet-Web serait un logiciel de sauvegarde vers un serveur NovaNet-Web.
Voir http://www.delta-logic.fr/novastor/ et http://www.online-backup.com/datasheets/nnweb.html


Bonne nuit,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Didier » 14 Jan 2005, 11:20

Bonjour tout le monde!

Alors ce matin voilà ce que j'ai trouvé (enfin le logiciel, pô moa) avec Microsoft AntiSpyware (qui avait sans doute participer au plantage de Jeudi):

Infected registry keys/values detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com * 4

Ils sont enlevés (euh remove, c'est bien ça?).

Alors oui j'ai fait les liens que tu propose nickW sur les sites Nova Net, mais je n'ai jamais mis les pieds (ou le curseur ;))) dans de pareils sites.

J'ai fait une recherche avec l'IP 255.255.255.255 que mon NIS me balance tout le temps et je suis tombé sur un petit site qui explique que c'est un masque pour une IP. Bref je découvre ce que tout le monde ici devait savoir, mais bon, en trébuchant on apprend à ne plus tomber!

Didier, j'ai la patate moi!
Didier
 

Messagede nickW » 14 Jan 2005, 11:26

Bonjour Didier,

Si tu ne connais pas du tout NovaNet, tu pourrais essayer de le décocher dans la liste de démarrage (via Spybot-S&D) et observer le résultat (comportement de ta machine).
La détection de searchsquire par MS Antivirus est un faux-positif ("Rechercher" dans le forum tous les messages qui le mentionnent).

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Jim Rakoto » 14 Jan 2005, 11:26

Salut,

Didier a écrit :
Ils sont enlevés (euh remove, c'est bien ça?


C'est bien mais c'est vraisemblablement un faux positif .

Tu peux en tout cas vérifier qu'il devrait te manquer une vaccination dans Spybot.
Si tu revaccines, l'antispyware va à nouveau le détecter.

A+

Grillé par NickW (mes hommages gente dame) pour 10 sec, 1 centième :D :D
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Youpi?

Messagede Didier » 14 Jan 2005, 12:25

Eh bien je viens de lancer tous mes anti spywares les uns après les autres, j'ai allumé et éteint mon pc plusieurs fois, j'ai même réussi à télécharger MSN (joie!!) et tout parait bien fonctionner, je suis passé de 43 processus à 34, le firewall Zone Alarm ne semble plus en conflit avec Norton, j'ai fait 2 logs, identiques, et rien ne parait méchant, ou ce qui est inconnu je les ai depuis le début( ce sont les pages par défaut d'IE), Pest Patrol effectivement trouve encore des cookies, les mêmes, bref je ne sais pas is j'ai raison mais je crois que la tempète est passée.

Ai je raison d'y croire?

Didier, fin de l'enduro, ligne d'arrivée en vue. :D
Didier
 

Messagede nickW » 14 Jan 2005, 16:35

Pourvu que ça dure :D :D :D :wink: :D
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Didier » 14 Jan 2005, 18:23

Bonsoir!

Je voulais vous dire merci à tous, puisqu'il me semble que tout fonctionne normalement.

Pourrai je avoir une dernière fois votre avis?

Ceci sont les differents processus en cours sur ma machine:

ccEvtMgr.exe
ctfmon.exe
sgbhp.exe
gcasDtServ.exe
csrss.exe (c'te nom quand même)

Voilà ceux là ils me disent pas grand choses et vous?

Merci à vous,

Didier, le bout du tunnel, le bout DU TUNNEL, LEBOUT DU... okay je me calme.
Didier
 

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 20 invités

cron