Comprendre les log hijackthis Fermé

Question

Bonsoir. J'aimerais comprendre les logs hijackthis et j'essayais de mettre un peu la main à la patte pour déceler les choses inutiles ou dangereuses. Ce que je voudrais comprendre, c'est la signification des lignes, genre R0, R1, 04, ect...
D'apres ce que j'ai compris, les lignes R1 et R0 sont liées aux paramètres de IE?
Les lignes O4 et O23 sont liées, elles, aux processus présents aux démarrage? 

En vous remerciant. :)

jlpjlp · Answer

http://www.pc-tests.com/Forum/index.php?topic=20289

mayitbe · Answer

Je te remercie. 
J'ai une question à propos des logs: comment voit-on quel est l'anti virus et le pare feu actuellement en route?
Merci d'avance

jlpjlp · Answer

tu le vois dans les C: au depart  et ligne O 23 en general

par exemple la c'est avast (alwil) l'antivirus  

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe




Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Documents and Settings\Propriétaire\Mes documents\Bluetooth\BTNtService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32	askswitch.exe
C:\WINDOWS\system32\fast.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Vista Start Menu\VistaStartMenu.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Propriétaire\Mes documents\Bluetooth\BlueSoleil.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\dpwvuphp.exe
C:\WINDOWS\system32svp.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

jlpjlp · Answer

la au lancement il a  avast, kerio comme parefeu et sewido (avg antispyawre) comme antiespion

unning processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe

mayitbe · Answer

Merci.  :)
Autre question :p
Dans l'entete du log, il y a parfois Internet explorer v7.0 SP2 et parfois la même chose sans le SP2?
Je suppose que c'est lié au service pack 2, mais si l'utilisateur du pc l'a déjà installé, ca apparait dans la ligne au dessus: Windows XP SP2?

jlpjlp · Answer

il peut avoir windows XP simple ou windows XP SP1  ou windows XP SP2, 

des fois c'est mal signalé suivant la version hijackthis ou si l'internaute à mal collé le rapport

mayitbe · Answer

Merci pour les réponses que tu apportes à mes questions. En voici d'autres

-Quelle est la différence entre (no name) et (fill missing). Peut-on fixer une ligne si elle comporte seulement ma mention fill missing ou no name ou les 2?

-Quel est le processus lié au pare feu?

^^

jlpjlp · Answer

no name ca veut dire qu'il ne connait pas le nom du programme correspondant a la ligne

missing ca veut dire fichier manquant

donc le premier tu laisse le second en genaral tu peut virer mais pas toujours  ( comme les partie missing dans les antivirus dans les ligne superieurs a 20)



C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe 

le parefeu est indiqué sur la ligne au dessus, c'est kerio (sunbelt), dans ce cas,   pour windows le parefeu n'est pas indiqué, pour zone alarm  c'est un truc dans le genre Zclien , ZN il me semble

mayitbe · Answer

Re.

Tu pourrais me donner les liens vers la liste de Pacman et celle de Tonik? J'en ai trouvé une, mais je sais pas trop si elle est à jour. :(

Autre question: Quand on repère une "chose" néfaste dans les lignes 01,...,04, on fixe la ligne direct et on en parle plus, ou il faut passer une désinfection avant de cocher. Il me semble que ca dépend des malwares, non?

jlpjlp · Answer

oui ca depend , vaut mieux desinfecter d'abord

tu as les lien indiqués vers le haut

http://www.castlecops.com/HijackThis.html

mayitbe · Answer

Salut!
Dans l'entête de certains logs, la mention Internet Explorer v*.** est parfois remplacé par la mention Boot mode: Normal. Pourquoi?

Merci de tes réponses rapides.

jlpjlp · Answer

je pesne que boot mode normal veut dire que le scan hijackthis a été fait en mode normal et pas sans echec

mayitbe · Answer

Rebonjour. 
Il y a une grande différence entre les log faits sous XP et ceux faits sous Vista? 
Je veux dire: Y a t-il beaucoup de nouveaux processus sous Vista par rapport à XP? 
Merci.

jlpjlp · Answer

oui il y a quelques difference

et surtout il y a encore peu de logiciel compatible avec vista (avg antispyware, navilog, ... ne marchent pas)

mayitbe · Answer

Re salut. De retours de Vacances. :D
Je reprends tout ca. 
Donc, parfois, dans les lignes 04, il y a des tirets et des slash et juste apres l'emplacement du processus. Par exemple:

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray 

Que signifie ce genre d'expressions situées apres les tirets et les slash?

Merci de ta réponse.

Comprendre les log hijackthis

15 réponses

Discussions similaires

Newsletters