[virus?] analyse log avec des 017 et 018
Résolu/Fermé
blackdrizzt
Messages postés
24
Date d'inscription
dimanche 25 septembre 2005
Statut
Membre
Dernière intervention
20 avril 2007
-
18 avril 2007 à 13:54
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 20 avril 2007 à 10:34
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 20 avril 2007 à 10:34
A voir également:
- [virus?] analyse log avec des 017 et 018
- Analyse et reparation du lecteur c ✓ - Forum Windows 10
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Ti college plus log - Forum calculatrices
5 réponses
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
18 avril 2007 à 14:29
18 avril 2007 à 14:29
Bienvenue sur le forum d’entraide de CommentCaMarche.net
Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiétez.
De plus, au vu du nombre croissant de désinfections sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.
Les 017 correspondent a votre connection internet, donc a ne pas fixer !
Le rapport est ok !
A+
Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiétez.
De plus, au vu du nombre croissant de désinfections sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.
Les 017 correspondent a votre connection internet, donc a ne pas fixer !
Le rapport est ok !
A+
blackdrizzt
Messages postés
24
Date d'inscription
dimanche 25 septembre 2005
Statut
Membre
Dernière intervention
20 avril 2007
1
19 avril 2007 à 10:45
19 avril 2007 à 10:45
Merci Regis, je sui déjà à CCM depuis un petit moment, donc je connais le principe du site. En ce qui concerne les 017 de quoi s'agit t il exactement ? car dans les explications Hijackthis il s'agit dun "domain hijack" et sur https://www.zebulon.fr/dossiers/securite/43-hijackthis.html on me dit qu'il s'agit dun pirate du domaine Lop.com. Pareil pour le 018 il s'agirai d'un O18 - "Pirates de protocole et de protocoles additionnels" donc voilà j'aimerai juste quelques precisions également au sujet de ces datagrammes UDP que Kerio bloque...
Merci a+
Merci a+
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
19 avril 2007 à 22:45
19 avril 2007 à 22:45
Salut
Pour les 017:
Dans cette section 017, HijackThis examine les noms de domaine, les DNS. Le détournement de ces valeurs peut causer les programmes qui se chargent de l'Internet et à la réorienter à d'autres emplacements malveillants. Quelques versions de Lop.com emploient cette méthode, ainsi que la liste énorme de domaines cachés.
Exemple:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ao.lop.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{665F2FE6-9364-453A-AD28-9DDF4773B522}: Domain = ao.lop.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ao.lop.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ao.lop.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADB2672A-97BB-4C94-9EE0-5447635C8D03}: NameServer = 204.127.129.2 12.102.244.2
L'enlèvement d'une entrée 017 peut casser votre connectivité d'Internet parce qu'ils peuvent être employés par votre ISP ou votre réseau de compagnie.
Dans ce cas; le DNS donné peut etre analysé sur un site pour savoir si le nom de domaine est malveillant ou non.
Pour la 018:
Cette section de HijackThis recherche des nouveaux protocoles ou qui changés par Windows pour les transmettre aux programmes, aux serveurs ou à lui-même. Un protocole est un IE interprète comme commencement d'une adresse comme HTTP ://, https ://, ftp ://, gopher:// etc... LOP.com emploie ct un "ayb:// adresse" ; l'infection CommonName emploie le cn ://. Plusieurs programmes légitimes font également ceci.
Exemple:
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F}
O18 - Protocol: pcn - {D540F040-F3D9-11D0-95BE-00C04FD93CA5} - C:\PROGRAM FILES\ENCOMPASS\V1MK.DLL
Les 018 peuvent etre analysés sur un lien également.
A+
Pour les 017:
Dans cette section 017, HijackThis examine les noms de domaine, les DNS. Le détournement de ces valeurs peut causer les programmes qui se chargent de l'Internet et à la réorienter à d'autres emplacements malveillants. Quelques versions de Lop.com emploient cette méthode, ainsi que la liste énorme de domaines cachés.
Exemple:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ao.lop.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{665F2FE6-9364-453A-AD28-9DDF4773B522}: Domain = ao.lop.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ao.lop.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ao.lop.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADB2672A-97BB-4C94-9EE0-5447635C8D03}: NameServer = 204.127.129.2 12.102.244.2
L'enlèvement d'une entrée 017 peut casser votre connectivité d'Internet parce qu'ils peuvent être employés par votre ISP ou votre réseau de compagnie.
Dans ce cas; le DNS donné peut etre analysé sur un site pour savoir si le nom de domaine est malveillant ou non.
Pour la 018:
Cette section de HijackThis recherche des nouveaux protocoles ou qui changés par Windows pour les transmettre aux programmes, aux serveurs ou à lui-même. Un protocole est un IE interprète comme commencement d'une adresse comme HTTP ://, https ://, ftp ://, gopher:// etc... LOP.com emploie ct un "ayb:// adresse" ; l'infection CommonName emploie le cn ://. Plusieurs programmes légitimes font également ceci.
Exemple:
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F}
O18 - Protocol: pcn - {D540F040-F3D9-11D0-95BE-00C04FD93CA5} - C:\PROGRAM FILES\ENCOMPASS\V1MK.DLL
Les 018 peuvent etre analysés sur un lien également.
A+
blackdrizzt
Messages postés
24
Date d'inscription
dimanche 25 septembre 2005
Statut
Membre
Dernière intervention
20 avril 2007
1
20 avril 2007 à 10:06
20 avril 2007 à 10:06
Bien . merci beaucoup pour ces réponses précises ! Au final des inquiétudes non fondées ! tant mieux !a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
20 avril 2007 à 10:34
20 avril 2007 à 10:34
De rien,
Bonne journée :)
Bonne journée :)