analyse rapport Hijackthis en ligne !

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

analyse rapport Hijackthis en ligne !

Messagede bay » 02 Sep 2004, 08:27

Pour résoudre l'analyse des rapports Hijackthis en ligne , un site en quatre langues : hijackthis.de , à tester ?
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Revan » 02 Sep 2004, 12:30

Bonjour,

J'ai évalué mon log avec le site, et je vais l'analyser moi-même pour comparer.
Une seule chose à dire à première vue, c'est que les descriptions sont très sommaires et le genre (bon, méchant, probablement bon/méchant, éventuellement bon/méchant ??? :shock: ) est plutôt approximatif.

Je te tiens au courant dès que j'ai fini.

Tchao :wink:
Image Image
XP Home SP2, Mozilla 1.7.3, NAV 2003, Kerio PF, Spybot S&D, SpywareGuard, SpywareBlaster, HijackThis 1.98.2, Ad-aware 6, ZEB-Protect ...
Avatar de l’utilisateur
Revan
 
Messages: 187
Inscription: 17 Juil 2004, 10:54
Localisation: Dijon

Messagede Vazkor » 02 Sep 2004, 14:09

Bonjour,

Lepagand m'a aussi signalé cette page.

On ne peut pas demander à un programme automatique d'être aussi nuancé qu'un humain. C'est comme pour les traductions assistées par ordinateur.

Même si l'analyse n'est pas aussi détaillée qu'on le voudrait, tout moyen de "débroussailler" le log est bon est prendre, quitte à compléter l'analyse manuellement.

Pour tester, il nous suffit de prendre quelques anciens logs particulièrement chargés et de les soumettre.
Nous verrons tout de suite les différences.

Appel aux volontaires, en leur demandant de signaler les logs qu'ils soumettent. Que l'on ne prenne pas tous les mêmes.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Tesgaz » 02 Sep 2004, 15:21

Salut,

il suffit de faire un test avec ceux indiqués dans ce post :
http://assiste.forum.free.fr/viewtopic.php?t=2915
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede Revan » 02 Sep 2004, 15:25

Re-bonjour,

Voici donc un comparatif entre une analyse par hijackthis.de et la mienne.

J’ai enlevé les commentaires en Allemand et ajouté quelques annotations.

Bonne lecture !!!

Logfile of HijackThis v1.98.2
Bon Indique votre version de HijackThis. Version actuelle : v1.98.2! Votre version semble être actuelle. (v1.98.2 )
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Bon Indique la version de l’Internet Explorer. Version actuelle : 6.00.2800.1106! Votre version semble être actuelle. (6.00.2800.1106)
C:\WINDOWS\System32\smss.exe
Bon Tâche en cours. (smss.exe)
C:\WINDOWS\system32\winlogon.exe
Bon Tâche en cours. (winlogon.exe)
C:\WINDOWS\system32\services.exe
Bon Tâche en cours. (services.exe)
C:\WINDOWS\system32\lsass.exe
Bon Tâche en cours. (lsass.exe)
C:\WINDOWS\system32\svchost.exe
Bon Tâche en cours. (svchost.exe)
C:\WINDOWS\System32\svchost.exe
Bon Tâche en cours. (svchost.exe)
C:\WINDOWS\system32\spoolsv.exe
Bon Tâche en cours. (spoolsv.exe)
C:\security\Kerio\Personal Firewall 4\kpf4ss.exe
Bon Tâche en cours. (kpf4ss.exe)
C:\Security\Norton AntiVirus\navapsvc.exe
Bon Tâche en cours. (navapsvc.exe)
C:\WINDOWS\System32\nvsvc32.exe
Bon Tâche en cours. (nvsvc32.exe)
Non dangereux, mais tout de même superflu.
Le processus nvsvc32.exe (nvsvc32 signifiant NVidia Service 32-bit) est un processus correspondant au pilote de carte graphique Nvidia. (source : http://www.commentcamarche.net/processu ... 2-exe.php3)
C:\security\Kerio\Personal Firewall 4\kpf4gui.exe
Bon Tâche en cours. (kpf4gui.exe)
C:\WINDOWS\Explorer.EXE
Bon Tâche en cours. (Explorer.EXE)
C:\security\Kerio\Personal Firewall 4\kpf4gui.exe
Bon Tâche en cours. (kpf4gui.exe)
C:\Security\NORTON~1\navapw32.exe
Bon Tâche en cours. (navapw32.exe)
C:\PROGRA~1\PESTPA~1\PPControl.exe
Bon Tâche en cours. (PPControl.exe)
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
Bon Tâche en cours. (PPMemCheck.exe)
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
Bon Tâche en cours. (CookiePatrol.exe)
C:\security\Spybot - Search & Destroy\TeaTimer.exe
Bon Tâche en cours. (TeaTimer.exe)
Non dangereux, mais tout de même superflu.
!?! Superflu ??? et depuis quand ??? :shock:
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
Bon Tâche en cours. (dslmon.exe)
C:\Security\SpywareGuard\sgmain.exe
Bon Tâche en cours. (sgmain.exe)
C:\Security\SpywareGuard\sgbhp.exe
Bon Tâche en cours. (sgbhp.exe)
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
Bon Tâche en cours. (WINWORD.EXE)
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
Bon Tâche en cours. (MOZILLA.EXE)
C:\Security\HijackThis\HijackThis.exe
Bon Tâche en cours. (HijackThis.exe)


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
Eventuellement méchant Il y a de fortes chances que ce site soit méchant ! Si vous ne connaissez pas le site, 'http://www.club-internet.fr/ ' , il vaut mieux effacer cette inscription. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Inter
Probablement bon Si vous voulez avoir l’affichage du titre correct, effacez cette inscription. Si vous voulez avoir l’affichage du titre correct, effacez cette inscription.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement être effacée par Hijackthis.
Quelqu’un peut m’expliquer ???

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acro
Bon Risque d'inscription dangereuse. Ce programme ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) a été identifié comme étant non dangereux. Taux de précision: 100,00 %
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Security\Sp
Bon Risque d'inscription dangereuse. Ce programme ([4A368E80-174F-4872-96B5-0B27DDD11DB2] - Treffer: 4A368E80-174F-4872-96B5-0B27DDD11DB2) a été identifié comme étant non dangereux. Taux de précision: 100,00 %
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Security\SPYBOT~1\SDHelper.dll
Bon Risque d'inscription dangereuse. Ce programme ([53707962-6F74-2D53-2644-206D7942484F] - Treffer: 53707962-6F74-2D53-2644-206D7942484F) a été identifié comme étant non dangereux. Taux de précision: 100,00 %
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Security\Norton AntiVirus\NavShEx
Bon Risque d'inscription dangereuse. Ce programme ([BDF3E430-B101-42AD-A544-FADC6B084872] - Treffer: BDF3E430-B101-42AD-A544-FADC6B084872) a été identifié comme étant non dangereux. Taux de précision: 100,00 %

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Security\Norton AntiVir
Bon Risque d'inscription dangereuse. Ce programme ([42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6] - Treffer: 42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6) a été identifié comme étant non dangereux. Effacer l'inscription si le nom est composé de signes n’ayants aucune signification quelconque, si elle se trouve dans le répertoire 'Application Data' et si elle est du genre 'Inconnu'. Taux de précision: 100,00 %
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
Bon Risque d'inscription dangereuse. Ce programme ([8E718888-423F-11D2-876E-00A0C9082467] - Treffer: 8E718888-423F-11D2-876E-00A0C9082467) a été identifié comme étant non dangereux. Effacer l'inscription si le nom est composé de signes n’ayants aucune signification quelconque, si elle se trouve dans le répertoire 'Application Data' et si elle est du genre 'Inconnu'. Taux de précision: 100,00 %

O4 - HKLM\..\Run: [NAV Agent] C:\Security\NORTON~1\navapw32.exe
Bon Ce programme NAV Agent a été identifié : NAV Agentornavapw32. Taux de précision: 78,30 %
O4 - HKLM\..\Run: [adiras] adiras.exe
Bon Ce programme adiras a été identifié : Adiras. Taux de précision: 82,58 %
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Bon Ce programme NvCplDaemon a été identifié : NvCplorNvCplDaemon. Taux de précision: 73,12 %
Intialise les réglages d'horloge et de mémoire sur les cartes graphiques basées sur nVidia. Activez-le si vous surcadencez votre carte. Il n’est donc pas très utile pour moi, voire même superflu !!! Ce n’est pourtant pas précisé.
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
Bon Ce programme PestPatrol Control Center a été identifié : PestPatrol Control Center. Taux de précision: 96,43 %
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
Bon Ce programme PPMemCheck a été identifié : PPMemCheck. Taux de précision: 100,00 %
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
Bon Ce programme CookiePatrol a été identifié : CookiePatrol. Taux de précision: 100,00 %
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\security\Spybot - Search & Destroy\TeaTimer.exe
Bon Ce programme SpybotSD TeaTimer a été identifié : SpyBotSnD. Taux de précision: 56,92 %
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
Bon Ce programme Symantec NetDriver Monitor a été identifié : Symantec NetDriver Monitor. Taux de précision: 80,00 %
O4 - Startup: SpywareGuard.lnk = C:\Security\SpywareGuard\sgmain.exe
Bon Ce programme 'SpywareGuard.lnk (sgmain.exe)' a été identifié: 'SpywareGuard (sgmain.exe )'. Taux de précision: 88,31 %
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
Bon Ce programme 'DSLMON.lnk (dslmon.exe)' a été identifié: 'DSLMON (DSLMON.exe)'. Taux de précision: 57,50 %

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Probablement bon Effacer si l’option 'Lock homepage from changes' n’a pas été activée dans un programme anti-spyware. Effacer si cette inscription est involontaire !

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.mic
Bon Cette inscription à été identifié comme étant non dangereuse.

O17 - HKLM\System\CCS\Services\Tcpip\..\{1377BBF6-B29F-4CDA-B25A-6A3049BC8444}: NameServer = 194.117
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'. Effacer si l’IP ou le domaine '194.117.200.10 194.117.200.15 ' ne vous est pas connu.
O17 - HKLM\System\CS1\Services\Tcpip\..\{1377BBF6-B29F-4CDA-B25A-6A3049BC8444}: NameServer = 194.117
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'. Effacer si l’IP ou le domaine '194.117.200.10 194.117.200.15 ' ne vous est pas connu.




Bon, les explications laissent à désirer et sont parfois confuses :
Bon Risque d'inscription dangereuse … Ce programme (…) a été identifié comme étant non dangereux

quand elles ne se répètent pas …
Si vous voulez avoir l’affichage du titre correct, effacez cette inscription. Si vous voulez avoir l’affichage du titre correct, effacez cette inscription


Y a pas à dire, c’est bien une machine !!!

Cependant, çà peut vraiment aider à "débroussailler" comme dit Vazkor et nous faire gagner du temps. Mais pour les détails et les informations complémentaires, rien ne remplacera un oeil averti, et Messieurs Paul Collins (Pacman’s StartupList. http://www.sysinfo.org/startuplist.php), Tony Klein (TonyK's BHO & Toolbar List http://www.sysinfo.org/bholist.php) et autres ont encore de beaux jours devant eux.

Tchao :wink:
Image Image
XP Home SP2, Mozilla 1.7.3, NAV 2003, Kerio PF, Spybot S&D, SpywareGuard, SpywareBlaster, HijackThis 1.98.2, Ad-aware 6, ZEB-Protect ...
Avatar de l’utilisateur
Revan
 
Messages: 187
Inscription: 17 Juil 2004, 10:54
Localisation: Dijon

Messagede bay » 02 Sep 2004, 15:41

Bonjour,
Cependant, çà peut vraiment aider à "débroussailler" comme dit Vazkor et nous faire gagner du temps.
c'est bien dans ce sens que je conseille de passer également par ce site et de mettre également son rapport ! :wink:
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Vazkor » 02 Sep 2004, 16:11

Bonjour,
Sur le site, l'auteur a écrit:Conseil : Après avoir fait évaluer votre log, copiez le lien qui apparaît en bas de la page (sauvegarder l'évaluation) et l'indiquer dans votre question.

Il serait donc inutile de recopier ici le rapport d'analyse, pour ne pas encombrer le post. Le lien suffirait.

C'est bien une analyse par une machine, mais si elle met le doigt sur les 90 % des malveillances, c'est déjà beaucoup de temps gagné pour nous.

Je vais faire quelques essais.

Je commence avec le log de Jérome:
http://assiste.forum.free.fr/viewtopic.php?t=2965

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Vazkor » 02 Sep 2004, 16:57

Bonjour,

Le moins qu'on puisse dire c'est que c'est instantané.
Sauvegarder l’évaluation
(ATTENTION: Le fichier n’est sauvegardé que pendant une période de 5 jours !)
Il est conseillé de sauvegarder cette évaluation sur votre disque dur ! (Click droit -> Sauvegarder sous)

http://hijackthis.de/logfiles/c7622e481 ... 49d9f.html

Il ne trouve qu'un méchant. Je m'en vais de Spa examiner cela de plus près.

C'est quand même une bonne analyse qui peut guider un débutant. Je suis pratiquement d'accord avec tout. Mais il faut nuancer certaines remarques.

Nous allons devoir donner des cours d'allemand. Même si c'est pas trop difficile pour moi, je doute que les purs francophones comprennent certaines remarques.
Il est temps de (re)faire l'Europe et l'Allemagne n'est-elle pas la meilleure alliée de la France maintenant?

A suivre...

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede césar » 02 Sep 2004, 19:02

salut,

pour ma part, j'aimais bien http://prcwin.free.fr/ qui permettait à chaque internaute de faire des commentaires sur les processus en cours. par exemple, si la site ne savait pas à quoi correspondait tel processus (mstask.exe, par exemple) l'utilisateur averti pouvait éclairer ce mystère et en quelques jours, le webmaster avait corrigé ce défaut.
bien sûr, il restait quelques détails à améliorer (certains processus étaient déclarés "dangereux" alors qu'ils pouvaient être soit dangereux, soit légitimes...), mais je pense que ce site aurait pu être d'une grande aide aux utilisateurs néophytes d'hijack this.
malheureusement, ça fait trois mois qu'il est en maintenance... :cry:
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Vazkor » 02 Sep 2004, 19:47

Bonsoir,

Pour le problème des commentaires en allemand, j'ai proposé mon aide à l'auteur pour les traductions en français.
J'ai quand même vécu en Allemagne pendant huit ans. Forcément j'ai des notions d'allemand après avoir suivi les programmes TV en allemand pendant des années (j'avais pas le choix, sinon c'était TV5 Europe uniquement) et le néerlandais m'aide à comprendre le reste.
Je me suis même inscrit sur leur forums.
http://www.hijackthis.de/forum/index.php?act=idx

Cela me fera du bien pour entretenir mes connaissances de la langue de Goethe. Pour l'instant j'essaie d'écrire en anglais seulement.

J'ai signalé l'adresse d'Assiste.com à l'intention des francophones de passage. Mais les forums ont à peine un mois d'existence. Il y a même pas 500 messages et je suis le 76e membre inscrit.

J'ai fait l'expérience de soumettre un log HJT trouvé sur ce forum allemand mais en choisissant l'anglais cette fois. C'est quand même mieux traduit que le français. Il n'y a pas de commentaire en allemand! Je m'en doutais un peu.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 37 invités