Comprendre les log hijackthis

mayitbe Messages postés 8 Statut Membre -  
mayitbe Messages postés 8 Statut Membre -
Bonsoir. J'aimerais comprendre les logs hijackthis et j'essayais de mettre un peu la main à la patte pour déceler les choses inutiles ou dangereuses. Ce que je voudrais comprendre, c'est la signification des lignes, genre R0, R1, 04, ect...
D'apres ce que j'ai compris, les lignes R1 et R0 sont liées aux paramètres de IE?
Les lignes O4 et O23 sont liées, elles, aux processus présents aux démarrage?

En vous remerciant. :)

15 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    http://www.pc-tests.com/Forum/index.php?topic=20289
    0
  2. mayitbe Messages postés 8 Statut Membre
     
    Je te remercie.
    J'ai une question à propos des logs: comment voit-on quel est l'anti virus et le pare feu actuellement en route?
    Merci d'avance
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu le vois dans les C: au depart et ligne O 23 en general

    par exemple la c'est avast (alwil) l'antivirus

    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Documents and Settings\Propriétaire\Mes documents\Bluetooth\BTNtService.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Fast.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
    C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\WINDOWS\system32\fast.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
    C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Vista Start Menu\VistaStartMenu.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Documents and Settings\Propriétaire\Mes documents\Bluetooth\BlueSoleil.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
    C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\dpwvuphp.exe
    C:\WINDOWS\system32\rsvp.exe
    C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    la au lancement il a avast, kerio comme parefeu et sewido (avg antispyawre) comme antiespion

    unning processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\system32\svchost.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mayitbe Messages postés 8 Statut Membre
     
    Merci. :)
    Autre question :p
    Dans l'entete du log, il y a parfois Internet explorer v7.0 SP2 et parfois la même chose sans le SP2?
    Je suppose que c'est lié au service pack 2, mais si l'utilisateur du pc l'a déjà installé, ca apparait dans la ligne au dessus: Windows XP SP2?
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il peut avoir windows XP simple ou windows XP SP1 ou windows XP SP2,

    des fois c'est mal signalé suivant la version hijackthis ou si l'internaute à mal collé le rapport
    0
  8. mayitbe Messages postés 8 Statut Membre
     
    Merci pour les réponses que tu apportes à mes questions. En voici d'autres

    -Quelle est la différence entre (no name) et (fill missing). Peut-on fixer une ligne si elle comporte seulement ma mention fill missing ou no name ou les 2?

    -Quel est le processus lié au pare feu?

    ^^
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    no name ca veut dire qu'il ne connait pas le nom du programme correspondant a la ligne

    missing ca veut dire fichier manquant

    donc le premier tu laisse le second en genaral tu peut virer mais pas toujours ( comme les partie missing dans les antivirus dans les ligne superieurs a 20)

    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    le parefeu est indiqué sur la ligne au dessus, c'est kerio (sunbelt), dans ce cas, pour windows le parefeu n'est pas indiqué, pour zone alarm c'est un truc dans le genre Zclien , ZN il me semble
    0
  10. mayitbe Messages postés 8 Statut Membre
     
    Re.

    Tu pourrais me donner les liens vers la liste de Pacman et celle de Tonik? J'en ai trouvé une, mais je sais pas trop si elle est à jour. :(

    Autre question: Quand on repère une "chose" néfaste dans les lignes 01,...,04, on fixe la ligne direct et on en parle plus, ou il faut passer une désinfection avant de cocher. Il me semble que ca dépend des malwares, non?
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui ca depend , vaut mieux desinfecter d'abord

    tu as les lien indiqués vers le haut

    http://www.castlecops.com/HijackThis.html
    0
  12. mayitbe Messages postés 8 Statut Membre
     
    Salut!
    Dans l'entête de certains logs, la mention Internet Explorer v*.** est parfois remplacé par la mention Boot mode: Normal. Pourquoi?

    Merci de tes réponses rapides.
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    je pesne que boot mode normal veut dire que le scan hijackthis a été fait en mode normal et pas sans echec
    0
  14. mayitbe Messages postés 8 Statut Membre
     
    Rebonjour.
    Il y a une grande différence entre les log faits sous XP et ceux faits sous Vista?
    Je veux dire: Y a t-il beaucoup de nouveaux processus sous Vista par rapport à XP?
    Merci.
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui il y a quelques difference

    et surtout il y a encore peu de logiciel compatible avec vista (avg antispyware, navilog, ... ne marchent pas)
    0
  16. mayitbe Messages postés 8 Statut Membre
     
    Re salut. De retours de Vacances. :D
    Je reprends tout ca.
    Donc, parfois, dans les lignes 04, il y a des tirets et des slash et juste apres l'emplacement du processus. Par exemple:

    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

    Que signifie ce genre d'expressions situées apres les tirets et les slash?

    Merci de ta réponse.
    0