interpretation d'un rapport
interpretation d'un rapport - Sécurité - Windows & Software
Marsh Posté le 28-11-2004 à 12:32:11
Il y a des malwares.
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Microsoft media] winmplayers.exe
O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe
O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] php.exe
O4 - HKLM\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Microsoft media] winmplayers.exe
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] php.exe
O4 - HKLM\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] php.exe
O4 - HKCU\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] php.exe
O4 - HKCU\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKCU\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] php.exe
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Et supprime les fichiers surlignés.
Pour celui-ci, a propos duquel je n'arrive pas à avoir de réels renseignements:
C:\TBC.exe
renomme-le TBC.BAD
-----------------
Redémarre en mode normal et poste un nouveau rapport.
Marsh Posté le 28-11-2004 à 12:55:26
c'est bizarre C:\TBC.exe on commence à le voir dans bcp de logs hijack
TitleBarClock/tbc.exe<--eniac1, tu as installé ce programme?
TBC.exe
( Users Choice (application need to be run at startup, but is not system critical) )
Comments: Titlebar Clock - Puts a clock, Calendar & CPU info on RHS. http://www.wfcravener.com/TBC.html <- le site de William F.Cravener
http://www.ksurf.net/~bermania/pro [...] ur102.html
O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe <--là ça devient suspect d'un coup ??
Marsh Posté le 28-11-2004 à 13:01:15
Voilà. J'avais demandé plusieurs fois les propriétés, mais jamais eues.
Et puis je pense que TitleBarClock s'installerait ailleurs que dans c:\.
Marsh Posté le 28-11-2004 à 13:07:46
c'est bizarre C:\TBC.exe on commence à le voir dans bcp de logs hijack
TitleBarClock/tbc.exe<--eniac1, tu as installé ce programme?
TBC.exe
Non je ne l'ai pas installé.
Merci a Acrobaze pour ton aide.
Marsh Posté le 28-11-2004 à 13:18:48
Acrobaze, alors ce serait bien un trojan, le sort de C:\TBC.exe s'éclaircit un peu 
Marsh Posté le 28-11-2004 à 13:32:40
Oui, parce que dans les rapports où TitleBarClock apparaît, le path est :
C:\Program Files\TitleBarClock\Tbc.exe
Sûrement lié à RBot ou SdBot...
Marsh Posté le 28-11-2004 à 13:40:54
exact Acrobaze, en effet, je viens de voir un log sur ComputerCops
C:\Program Files\TitleBarClock\Tbc.exe
devient :
O4 - HKCU\..\Run: [TBC.exe] C:\Program Files\TitleBarClock\Tbc.exe
http://computercops.biz/modules.ph [...] c&p=181159
Sujets relatifs:
- je fais quoi de ce rapport hijackthis
- (RESOLU)demande d'analyse rapport hijack this svp!!!
- question par rapport a emule et azureus
- Recuperer le rapport Minidump apres un plantage
- débit ADSL par rapport au nombre d'utilisateur
- recherche d'une carte pcmcia wifi bon rapport Q/P
- Rapport de stage
- rapport hijack nécessite de l'aide merci
- rapport HijackThis probleme ie demarrage
- Aida et rapport
Marsh Posté le 28-11-2004 à 02:24:19
Bonsoir à tous,
Depuis plusieurs jours j'ai des pbs avec ma machine : lente, très lente et même très très lente. L'antivirus SOPHOS ne voit rien, PEST PATROL non plus et le Firewall ne m'indique rien. J'ai fait rapport HIJACK THIS mais j'ai une difficulté certaine pour tout comprendre. Y a t il quelqu'un de sympa pour me l'interpréter et me dire quoi faire ? Par avance merci.
Logfile of HijackThis v1.98.2
Scan saved at 01:18:46, on 28/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\php.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\TBC.exe
C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\GEORGES\Bureau\HijackThis.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sexplorer.it/T.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [OP12 Reminder] "C:\Program Files\ScanSoft\OmniPagePro12.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPagePro12.0\EregFre\Ereg.ini"
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Microsoft media] winmplayers.exe
O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe
O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] php.exe
O4 - HKLM\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Microsoft media] winmplayers.exe
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] php.exe
O4 - HKLM\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] php.exe
O4 - HKCU\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] php.exe
O4 - HKCU\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKCU\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] php.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1365862343
O17 - HKLM\System\CCS\Services\Tcpip\..\{D10FFAE7-8219-47CB-91F1-9A46FA3401A4}: NameServer = 80.10.246.1 80.10.246.132