Raport hijaks a l'aide
Fermé
safi01
-
24 avril 2008 à 22:49
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 28 avril 2008 à 16:15
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 28 avril 2008 à 16:15
A voir également:
- Raport hijaks a l'aide
- Comment faire un raport de stage - Guide
4 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
25 avril 2008 à 00:20
25 avril 2008 à 00:20
slt rien dans hijakchtis
_________
tu peux fixer ces lignes:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\olinda\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O16 - DPF: {D1D98C0F-A339-42AB-BD5F-EA0FF5D0E65F} (RockYou Image Uploader Control) - http://www.rockyou.com/RockYouImageUploader.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/778/webolr/OCX/FlashAX.cab
________________
tu peux mettre a jour java
bonne continuation
_________
tu peux fixer ces lignes:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\olinda\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O16 - DPF: {D1D98C0F-A339-42AB-BD5F-EA0FF5D0E65F} (RockYou Image Uploader Control) - http://www.rockyou.com/RockYouImageUploader.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/778/webolr/OCX/FlashAX.cab
________________
tu peux mettre a jour java
bonne continuation
Utilisateur anonyme
25 avril 2008 à 00:55
25 avril 2008 à 00:55
slt jlpjlp
je me demandait si celle la n'était pas mauvaise non plus
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
je débute totalement dans les rapports hijackthis, mais on m'avait dit que les fichiers .dll quand ils étaient dans le system32 était des virus...
ce n'est pas le cas ici ?
je me demandait si celle la n'était pas mauvaise non plus
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
je débute totalement dans les rapports hijackthis, mais on m'avait dit que les fichiers .dll quand ils étaient dans le system32 était des virus...
ce n'est pas le cas ici ?
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
25 avril 2008 à 09:32
25 avril 2008 à 09:32
pour apprendre les ligne:
analyse les lignes sur castlecops:
les .EXE: ici http://www.castlecops.com/StartupList.html
les dll. : ici en collant les chiffre entre parenthèse: http://www.castlecops.com/CLSID.html
sinon ici: https://www.bleepingcomputer.com/
________________
par exemple cette ligne qui est un dll donc:
O2 - BHO: GNX Bingo - {F22838E4-0640-4D91-893B-12EC8D4C8834} - C:\WINDOWS\svpekgondsm.dll
tu copie ce qui est entre parenthèse: F22838E4-0640-4D91-893B-12EC8D4C8834
dans ce lien
http://www.castlecops.com/CLSID.html
et tu le colle dans la recherche de castlecops ici et tu vois apres avoir cliqué sur search que c'est un "X" donc nefaste:
X BHO
Adware downloader causing false spyware warnings and connecting to rogue "security sites", a member of the Trojan-Downloader.Zlob.Media-Codec aka NewMediaCodec malware family
________________________
pour ceci c'est un EXE:
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe
tu copie et colle :
iTunesHelper.exe
ici
http://www.castlecops.com/StartupList.html
et tu le colle dans la recherche de castlecops ici et tu vois apres avoir cliqué sur search que c'est un " Y" donc :
pas forecement necessaire au demaarage mais pas nefaste
analyse les lignes sur castlecops:
les .EXE: ici http://www.castlecops.com/StartupList.html
les dll. : ici en collant les chiffre entre parenthèse: http://www.castlecops.com/CLSID.html
sinon ici: https://www.bleepingcomputer.com/
________________
par exemple cette ligne qui est un dll donc:
O2 - BHO: GNX Bingo - {F22838E4-0640-4D91-893B-12EC8D4C8834} - C:\WINDOWS\svpekgondsm.dll
tu copie ce qui est entre parenthèse: F22838E4-0640-4D91-893B-12EC8D4C8834
dans ce lien
http://www.castlecops.com/CLSID.html
et tu le colle dans la recherche de castlecops ici et tu vois apres avoir cliqué sur search que c'est un "X" donc nefaste:
X BHO
Adware downloader causing false spyware warnings and connecting to rogue "security sites", a member of the Trojan-Downloader.Zlob.Media-Codec aka NewMediaCodec malware family
________________________
pour ceci c'est un EXE:
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe
tu copie et colle :
iTunesHelper.exe
ici
http://www.castlecops.com/StartupList.html
et tu le colle dans la recherche de castlecops ici et tu vois apres avoir cliqué sur search que c'est un " Y" donc :
pas forecement necessaire au demaarage mais pas nefaste
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
>
Utilisateur anonyme
25 avril 2008 à 20:17
25 avril 2008 à 20:17
de rien n'hesite pas si tu as des questions ,
Utilisateur anonyme
>
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
25 avril 2008 à 23:15
25 avril 2008 à 23:15
merci, justement j'en ai
O2 - BHO: (no name) - {E7E9F57E-2947-40B1-9BBF-0896D19C092F} - (no file)"
celle ci est mauvaise j'en suis quasiment sur
si tu peut vérifié quand méme...
mais celle si il en existe plusieurs... deux n et un x
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
donc je pense qu'il faut l'enlever ... ?
et celle ci peut tu m'expliqué pourquoi il y a des U et des X
des bons et des mauvais comment on fait pour savoir?
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O2 - BHO: (no name) - {E7E9F57E-2947-40B1-9BBF-0896D19C092F} - (no file)"
celle ci est mauvaise j'en suis quasiment sur
si tu peut vérifié quand méme...
mais celle si il en existe plusieurs... deux n et un x
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
donc je pense qu'il faut l'enlever ... ?
et celle ci peut tu m'expliqué pourquoi il y a des U et des X
des bons et des mauvais comment on fait pour savoir?
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
28 avril 2008 à 16:15
28 avril 2008 à 16:15
O2 - BHO: (no name) - {E7E9F57E-2947-40B1-9BBF-0896D19C092F} - (no file)"
celle ci est mauvaise j'en suis quasiment sur
si tu peut vérifié quand méme...
POUR CECI, LE FICHIER EST MANQUANT (no file) DONC TU PEUX LE VIRER
en tapant ( sur hijackhtis dans les dll : http://www.castlecops.com/CLSID.html ) :
E7E9F57E-2947-40B1-9BBF-0896D19C092F tu aurai vu que c'etait les estes d'une infection
____________________
mais celle si il en existe plusieurs... deux n et un x
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
donc je pense qu'il faut l'enlever ... ?
CELA CORRESPOND AU LOGICIEL JAVA, IL n'est pas necessaire au demarrage, tu peux le virer
_________________
et celle ci peut tu m'expliqué pourquoi il y a des U et des X
des bons et des mauvais comment on fait pour savoir?
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
Parfois effectivement les infections prennent le meme nom que des fichiers legitime: dans ce cas si tu as un doute tu demande de faire analyser le fichier en question sur VIRUS TOTAL: https://www.virustotal.com/gui/
celle ci est mauvaise j'en suis quasiment sur
si tu peut vérifié quand méme...
POUR CECI, LE FICHIER EST MANQUANT (no file) DONC TU PEUX LE VIRER
en tapant ( sur hijackhtis dans les dll : http://www.castlecops.com/CLSID.html ) :
E7E9F57E-2947-40B1-9BBF-0896D19C092F tu aurai vu que c'etait les estes d'une infection
____________________
mais celle si il en existe plusieurs... deux n et un x
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
donc je pense qu'il faut l'enlever ... ?
CELA CORRESPOND AU LOGICIEL JAVA, IL n'est pas necessaire au demarrage, tu peux le virer
_________________
et celle ci peut tu m'expliqué pourquoi il y a des U et des X
des bons et des mauvais comment on fait pour savoir?
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
Parfois effectivement les infections prennent le meme nom que des fichiers legitime: dans ce cas si tu as un doute tu demande de faire analyser le fichier en question sur VIRUS TOTAL: https://www.virustotal.com/gui/