demande d interpretation log hijack!
Dernière réponse : dans Sécurité
Moi j ai chopé des backdoor de partout pourtant j ai un firewall mais bon j ai fait des scan en ligne il m a viré des trucs mais j aimerai bien qu on me dise si sur le scan d hijack il y a quelques chose je vous le met et reponder moi svp merci
En fait j ai telecharger avg il m a virer des backdoors et trojan mais j aimerai savoir avc ce rpport ou si vs pouvez m aider pour etre sur de ne plus rien avoir!
Logfile of HijackThis v1.99.1
Scan saved at 02:06:30, on 10/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\htpatch.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\System32\RunDll32.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\Program Files\Grisoft\AVG Free\avgemc.exe
D:\Program Files\Grisoft\AVG Free\avgcc.exe
D:\Documents and Settings\mimil\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Reboot.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FC4386C-BC8B-4049-AC34-16A03E87D800}: NameServer = 80.118.196.42 80.118.192.112
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
En fait j ai telecharger avg il m a virer des backdoors et trojan mais j aimerai savoir avc ce rpport ou si vs pouvez m aider pour etre sur de ne plus rien avoir!
Logfile of HijackThis v1.99.1
Scan saved at 02:06:30, on 10/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\htpatch.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\System32\RunDll32.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\Program Files\Grisoft\AVG Free\avgemc.exe
D:\Program Files\Grisoft\AVG Free\avgcc.exe
D:\Documents and Settings\mimil\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Reboot.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FC4386C-BC8B-4049-AC34-16A03E87D800}: NameServer = 80.118.196.42 80.118.192.112
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
Autres pages sur : demande interpretation log hijack
Lassé par la pub ? Créez un compte
Citation :
leithoSi tu parle du site hijackthis.de, franchement sa ne vaut pas la peine car se site donne de fausse information sur les lignes à cocher.
Citation :
Alessioen effet le site de hijacthis .de n est pas fiable il confond certaine ligne legitime et nefaste et comme dis chercheur pca la meilleur machine est l humain
Citation :
1-13115C1234M a écrit :
voilà ton analyse
pense a rechercher par toi même avant de poster.
SURTOUT PAS
Par contre sort hijackthis de tes fichier temp et mets le dans un dossier ou tu veut sauf sur ton bureau.
supprime tout tes fichiers temp et tes cookies clic droit sur l'icone explorer propriete et supprime ces fichiers refait un scan et dit ce qu tu trouve.
tes deux programme rundll32 serait legitime d'apres castelcops mais je ne suis pas un pro.
supprime tout tes fichiers temp et tes cookies clic droit sur l'icone explorer propriete et supprime ces fichiers refait un scan et dit ce qu tu trouve.
tes deux programme rundll32 serait legitime d'apres castelcops mais je ne suis pas un pro.
Dite les enfants on parle de RUNDLL32.EXE et RunDll32.exe pas rundll32.exe le simple fait qu'il y ai des majuscules implique que c'est peut être un processus différent de celui utilisé par windows regarder cette page et vous comprendrez pourquoi j'ai demandé à faire un scan en ligne c'est ici ^^
dsl de mon erreur j ai pris le rundlle sans majusculle fait comme naradus as dis et va faire un scan ici
NARDARUS a raison je pense j'ai trouve ca sur le citi symantec
Backdoor.Lastdoor
Discovered on: September 04, 2002
Last Updated on: September 06, 2002 08:48:45 AM
Backdoor.Lastdoor is a backdoor Trojan horse that gives the attacker unauthorized access to the infected computer. It opens port 16322 on the compromised computer.
Also Known As: Backdoor.Lastdoor.10 [AVP]
Type: Trojan Horse
Infection Length: 495 KB (Server), 1111 KB (Client)
Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Systems Not Affected: Macintosh, UNIX, Linux
Virus Definitions (Intelligent Updater) *
September 06, 2002
Virus Definitions (LiveUpdate™) **
September 11, 2002
Intelligent Updater definitions are released daily, but require manual download and installation.
Click here to download manually.
**
LiveUpdate virus definitions are usually released every Wednesday.
Click here for instructions on using LiveUpdate.
Wild:
Number of infections: 0 - 49
Number of sites: 0 - 2
Geographical distribution: Low
Threat containment: Easy
Removal: Moderate
Threat Metrics
Wild:
Low
Damage:
Low
Distribution:
Low
Damage
Payload:
Releases confidential info:
Compromises security settings: Allows unauthorized access to the compromised
Distribution
Ports: 16,322
In an effort to fool you into thinking that it is a legitimate file, this Trojan uses the same icon as the legitimate Windows file named Rundll32.exe.
When Backdoor.Lastdoor runs, it copies itself as %system%\Rundll32.exe. This overwrites the original Rundll32.exe file if it is in the %system% folder.
NOTES:
By default, Rundll32.exe resides in the %windir% folder in Windows 95/98/Me. In Windows NT/2000,/XP it resides in the %system% folder.
%windir% is a variable for the Windows installation folder. By default this is C:\Windows or C:\Winnt.
%system% is a variable for the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
The Trojan then adds the value
Rundll32 %system%\Rundll32.exe
to the registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
so that it runs each time that you start Windows.
Backdoor.Lastdoor opens port 16322 and waits for a connection. When a connection has been made, the attacker can gain control of the system.
j'espere que vou maitrises mieux l'anglais que moi
Backdoor.Lastdoor
Discovered on: September 04, 2002
Last Updated on: September 06, 2002 08:48:45 AM
Backdoor.Lastdoor is a backdoor Trojan horse that gives the attacker unauthorized access to the infected computer. It opens port 16322 on the compromised computer.
Also Known As: Backdoor.Lastdoor.10 [AVP]
Type: Trojan Horse
Infection Length: 495 KB (Server), 1111 KB (Client)
Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Systems Not Affected: Macintosh, UNIX, Linux
Virus Definitions (Intelligent Updater) *
September 06, 2002
Virus Definitions (LiveUpdate™) **
September 11, 2002
Intelligent Updater definitions are released daily, but require manual download and installation.
Click here to download manually.
**
LiveUpdate virus definitions are usually released every Wednesday.
Click here for instructions on using LiveUpdate.
Wild:
Number of infections: 0 - 49
Number of sites: 0 - 2
Geographical distribution: Low
Threat containment: Easy
Removal: Moderate
Threat Metrics
Wild:
Low
Damage:
Low
Distribution:
Low
Damage
Payload:
Releases confidential info:
Compromises security settings: Allows unauthorized access to the compromised
Distribution
Ports: 16,322
In an effort to fool you into thinking that it is a legitimate file, this Trojan uses the same icon as the legitimate Windows file named Rundll32.exe.
When Backdoor.Lastdoor runs, it copies itself as %system%\Rundll32.exe. This overwrites the original Rundll32.exe file if it is in the %system% folder.
NOTES:
By default, Rundll32.exe resides in the %windir% folder in Windows 95/98/Me. In Windows NT/2000,/XP it resides in the %system% folder.
%windir% is a variable for the Windows installation folder. By default this is C:\Windows or C:\Winnt.
%system% is a variable for the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
The Trojan then adds the value
Rundll32 %system%\Rundll32.exe
to the registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
so that it runs each time that you start Windows.
Backdoor.Lastdoor opens port 16322 and waits for a connection. When a connection has been made, the attacker can gain control of the system.
j'espere que vou maitrises mieux l'anglais que moi
Citation :
BX14RE a écrit :
Citation :
leithoSi tu parle du site hijackthis.de, franchement sa ne vaut pas la peine car se site donne de fausse information sur les lignes à cocher.
Citation :
Alessioen effet le site de hijacthis .de n est pas fiable il confond certaine ligne legitime et nefaste et comme dis chercheur pca la meilleur machine est l humain
Il ne me semble pas être intervenue une seul foi sur se topic, alors merci de ne pas citer mon nom pour une citation que je n'est pas faite.
Citation :
ManSlipKorn a écrit :
Citation :
alessio a écrit :
il faut que tu attende l une des personne suivente pour te l analyser
lovelyboy
cyrrus
chercheur pca
hardware
esteban
t'as oublié lethos
Merci de pensé à moi :-D mais s'est pas letho mais leitho
Citation :
ericlap a écrit :
NARDARUS a raison je pense j'ai trouve ca sur le citi symantec
bla bla bla
j'espere que vou maitrises mieux l'anglais que moi
Reposte un log hijackthis,
Lassé par la pub ? Créez un compte
- Contenus similaires :
