Analyse des logs HijackThis
Morgatte
Messages postés
1219
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
24 janvier 2023
-
8 juin 2008 à 14:24
Anonyme - 8 juin 2008 à 20:38
Anonyme - 8 juin 2008 à 20:38
11 réponses
Utilisateur anonyme
8 juin 2008 à 14:27
8 juin 2008 à 14:27
Salut ,
Quel est le rapport avec ton nom du topic ?
Sinon les robots sont à proscrire , cachant bien souvent l'infection et ne montrant que des lignes à cocher en sachant que cela ne supprime pas cette dernière.
Finalité = Inutile & dangereux .
a++
Quel est le rapport avec ton nom du topic ?
Sinon les robots sont à proscrire , cachant bien souvent l'infection et ne montrant que des lignes à cocher en sachant que cela ne supprime pas cette dernière.
Finalité = Inutile & dangereux .
a++
Morgatte
Messages postés
1219
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
24 janvier 2023
281
8 juin 2008 à 14:35
8 juin 2008 à 14:35
Non pas du tout.
Les concepteurs de HijackThis ont aussi mis un site en place servant à analyser le log de leur logiciel.
Vu que la majorité des gens sont incapables de lire le log eux-mêmes, c'est pas superflux de le lui donner.
Deplus, le control fait par le site en question est soumis à l'analyse des utilisateurs, c'est à dire que ce sont des milliers d'utilisateurs qui disent ... Ce programme ci est un malware par exemple et le notifient au site qui lui pourra renseigner les futures utilisateurs.
C'est exactement ce qui se fait ici dans les posts de ce forum, sauf qu'au lieu de 5 ou 6 personnes qui regardent un log, là ce sont des milliers qui ont déjà rencontrés et identifiés le problème.
Donc tu m'en voudras pas trop de pas être de ton avis, je cite : "Finalité = Inutile & dangereux . "
Les concepteurs de HijackThis ont aussi mis un site en place servant à analyser le log de leur logiciel.
Vu que la majorité des gens sont incapables de lire le log eux-mêmes, c'est pas superflux de le lui donner.
Deplus, le control fait par le site en question est soumis à l'analyse des utilisateurs, c'est à dire que ce sont des milliers d'utilisateurs qui disent ... Ce programme ci est un malware par exemple et le notifient au site qui lui pourra renseigner les futures utilisateurs.
C'est exactement ce qui se fait ici dans les posts de ce forum, sauf qu'au lieu de 5 ou 6 personnes qui regardent un log, là ce sont des milliers qui ont déjà rencontrés et identifiés le problème.
Donc tu m'en voudras pas trop de pas être de ton avis, je cite : "Finalité = Inutile & dangereux . "
Re ,
J'imagine que tu parles de ce site : http://hijackthis.de/index.php?langselect=french
*******************************
Ah si si :)
Je reprend tes propos et m'explique ,
J'en convient.
D'accord aussi , je ne remet pas en cause le principe.
Pour le reste , c'est là que ça coince ;)
Le fait en soi-même de fixer une ligne , c'est quoi ?
Je fixe une 04 [ le site m'annonce ' nasty ' ] -> Cela détruit la clé de démarrage du programme/fichier vérolé -> OK.
Mais ce fichier vérolé [ à l'origine de l'infection ] , il est où ? Et bien il est encore présent dans le pc !
, l'infection est encore là et continuera de se lancer .
au final fixer cette ligne aura été inutile , par contre pas de chance la 04 n'apparait plus dans le rapport Hijackthis.
On en arrive à cela sur les forums
: " J'ai tout essayé , Hijackthis , SDfix etc ... mais mon anti-virus me signale encore le trojan ! "
Il est important de préciser que nul part dans le site , il est dit qu'il fallait AUSSI supprimer le fichier à l'origine de l'infection. ( à ma connaissance )
Tant bien même que l'internaute supprime le fichier vérolé d'une infection par LOP ( par exemple ) il se croit tiré d'affaire , mais ce qu'il ne sais pas c'est qu'il y a une tâche planifiée ... donc au final il sera toujours infecté.
J'en reviens à ça :
Finalité = Inutile & dangereux
Voila ce que j'en pense :)
A++
J'imagine que tu parles de ce site : http://hijackthis.de/index.php?langselect=french
*******************************
Non pas du tout.
Ah si si :)
Je reprend tes propos et m'explique ,
Les concepteurs de HijackThis ont aussi mis un site en place servant à analyser le log de leur logiciel.
J'en convient.
Vu que la majorité des gens sont incapables de lire le log eux-mêmes
D'accord aussi , je ne remet pas en cause le principe.
Pour le reste , c'est là que ça coince ;)
Le fait en soi-même de fixer une ligne , c'est quoi ?
Je fixe une 04 [ le site m'annonce ' nasty ' ] -> Cela détruit la clé de démarrage du programme/fichier vérolé -> OK.
Mais ce fichier vérolé [ à l'origine de l'infection ] , il est où ? Et bien il est encore présent dans le pc !
, l'infection est encore là et continuera de se lancer .
au final fixer cette ligne aura été inutile , par contre pas de chance la 04 n'apparait plus dans le rapport Hijackthis.
On en arrive à cela sur les forums
: " J'ai tout essayé , Hijackthis , SDfix etc ... mais mon anti-virus me signale encore le trojan ! "
Il est important de préciser que nul part dans le site , il est dit qu'il fallait AUSSI supprimer le fichier à l'origine de l'infection. ( à ma connaissance )
Tant bien même que l'internaute supprime le fichier vérolé d'une infection par LOP ( par exemple ) il se croit tiré d'affaire , mais ce qu'il ne sais pas c'est qu'il y a une tâche planifiée ... donc au final il sera toujours infecté.
J'en reviens à ça :
Finalité = Inutile & dangereux
Voila ce que j'en pense :)
A++
^^Marie^^
Messages postés
113929
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 274
>
Utilisateur anonyme
8 juin 2008 à 15:07
8 juin 2008 à 15:07
+1²
Morgatte
Messages postés
1219
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
24 janvier 2023
281
8 juin 2008 à 15:25
8 juin 2008 à 15:25
Ben c'est pas mon avis, franchement.
Je sais d'ailleus très bien comment fonctionne un virus puisse qu'il y a encore deux ans j'en créait en assembleur (entre deux crack).
Je sais bien que seule les entrées sont détruites et non pas le virus.
Ce que j'expliquais simplement c'est qu'il existe un moyen de lire le log des utilisateurs pour les aider dans sa signification.
Je vois pas où est le problème ici, ça ne sert qu'à les orienter. Sinon le fait de poser son log ici dans ce forum n'a pas plus d'utilité, c'est exactement la même chose sauf que là-bas tout sera clairement identifié.
Maintenant bien sur que je ne me contente pas d'un pauvre Fix. Je me sert d'HijackThis simplement pour connaitre les noms des ces petites salopries pour les tuer à la main avec SoftIce.
A la rigueur si un fix détruisait la totalité des entrées le virus serait alors hors d'état de nuir (Et encore il possible de créer des TSR qui boot avant windows). Le probleme c'est que si un Fix oublie une entré tout est compromis car le virus se réinscrira partout.
Deuxièmement il est difficile de supprimer un virus en cour de fonctionnement car le privilège Ring3 (celui de windows) ne permet pas de supprimer un process en cours (contrairement au Ring0 utilisé par SoftIce)
Donc vraiment je vois pas où est le problème de cette page pour aider chacun, du moment qu'il leur est aussi expliqué que cette aide n'est pas une finalité en soit. Si ils comprennent ce qu'ils font c'est bénéfique pour eux.
Je sais d'ailleus très bien comment fonctionne un virus puisse qu'il y a encore deux ans j'en créait en assembleur (entre deux crack).
Je sais bien que seule les entrées sont détruites et non pas le virus.
Ce que j'expliquais simplement c'est qu'il existe un moyen de lire le log des utilisateurs pour les aider dans sa signification.
Je vois pas où est le problème ici, ça ne sert qu'à les orienter. Sinon le fait de poser son log ici dans ce forum n'a pas plus d'utilité, c'est exactement la même chose sauf que là-bas tout sera clairement identifié.
Maintenant bien sur que je ne me contente pas d'un pauvre Fix. Je me sert d'HijackThis simplement pour connaitre les noms des ces petites salopries pour les tuer à la main avec SoftIce.
A la rigueur si un fix détruisait la totalité des entrées le virus serait alors hors d'état de nuir (Et encore il possible de créer des TSR qui boot avant windows). Le probleme c'est que si un Fix oublie une entré tout est compromis car le virus se réinscrira partout.
Deuxièmement il est difficile de supprimer un virus en cour de fonctionnement car le privilège Ring3 (celui de windows) ne permet pas de supprimer un process en cours (contrairement au Ring0 utilisé par SoftIce)
Donc vraiment je vois pas où est le problème de cette page pour aider chacun, du moment qu'il leur est aussi expliqué que cette aide n'est pas une finalité en soit. Si ils comprennent ce qu'ils font c'est bénéfique pour eux.
Morgatte
Messages postés
1219
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
24 janvier 2023
281
8 juin 2008 à 15:26
8 juin 2008 à 15:26
Pourquoi ce +1 ? :) c'est pas la première fois... Vous avez des petits codes entre vous ?
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
8 juin 2008 à 15:35
8 juin 2008 à 15:35
Deuxièmement il est difficile de supprimer un virus en cour de fonctionnement Mouarffff....
Tu etais créateur de virus ???
Tu cherches pas plutot des infos concernant la détection ?
C'est bien de proner l'utilisation des robots, comme ça les gens ne font que supprimer ... rien du tout en fait, les entrés restent actives...
De plus,j'ai souvent vu ces robots donner des trucs légitimes comme néfaste ... ( AVG as, Avira ...) entre autres...
Le plus 1 sert a mettre en évidence les posts interéssants et sensés...
Tu etais créateur de virus ???
Tu cherches pas plutot des infos concernant la détection ?
C'est bien de proner l'utilisation des robots, comme ça les gens ne font que supprimer ... rien du tout en fait, les entrés restent actives...
De plus,j'ai souvent vu ces robots donner des trucs légitimes comme néfaste ... ( AVG as, Avira ...) entre autres...
Le plus 1 sert a mettre en évidence les posts interéssants et sensés...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Morgatte
Messages postés
1219
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
24 janvier 2023
281
8 juin 2008 à 15:53
8 juin 2008 à 15:53
Deuxièmement il est difficile de supprimer un virus en cour de fonctionnement Mouarffff....
Je pas le pourquoi du Mouarffff. Lances seulement notepad et essaies de le mettre à la corbeille ou de le supprimer et tu verras que c'est pas possible. Simplement parce que le fichier phisique notepad.exe à été recopié en mémoire dans un espace d'adressage qui n'est plus vide et donc le fait de tenter de le supprimer devient une violation des règles du Ring3.
D'ailleurs si c'était si simple, les antivirus pourraient les détruire sans problème. T'as jamais vu Bitdefender ou n'importe quel autre te donner le nom d'une merde puis pas être capable de le supprimer ? C'est pas un mystère, c'est qu'il n'arrive pas à arrêter son exécution.
Tu cherches pas plutot des infos concernant la détection ?
Ben ça je comprend pas nom plus... Tu veux dire quoi ? que je cherche à savoir comment fonctionne une analyse heuristique ou bien une analyse par signature ?... Par ailleurs ça fait 5 ans que j'ai pas été infecté, et c'est pas un hasard.
Je t'invite à lire ceci. "IAT" et "Crypteur basic" à l'adresse http://membres.lycos.fr/w32assembly/ y a une petite explication sur le Ring0 (CPL0) entre autre concernant les violations mémoire.
Ca me fait chier que ce poste parte en couille comme ça, alors qu'à l'origine c'était juste pour dire qu'ne petite page pouvait éclairer les utilsateurs non avertis à comprendre leur log
Je laisse tomber .... tant pis...
Je pas le pourquoi du Mouarffff. Lances seulement notepad et essaies de le mettre à la corbeille ou de le supprimer et tu verras que c'est pas possible. Simplement parce que le fichier phisique notepad.exe à été recopié en mémoire dans un espace d'adressage qui n'est plus vide et donc le fait de tenter de le supprimer devient une violation des règles du Ring3.
D'ailleurs si c'était si simple, les antivirus pourraient les détruire sans problème. T'as jamais vu Bitdefender ou n'importe quel autre te donner le nom d'une merde puis pas être capable de le supprimer ? C'est pas un mystère, c'est qu'il n'arrive pas à arrêter son exécution.
Tu cherches pas plutot des infos concernant la détection ?
Ben ça je comprend pas nom plus... Tu veux dire quoi ? que je cherche à savoir comment fonctionne une analyse heuristique ou bien une analyse par signature ?... Par ailleurs ça fait 5 ans que j'ai pas été infecté, et c'est pas un hasard.
Je t'invite à lire ceci. "IAT" et "Crypteur basic" à l'adresse http://membres.lycos.fr/w32assembly/ y a une petite explication sur le Ring0 (CPL0) entre autre concernant les violations mémoire.
Ca me fait chier que ce poste parte en couille comme ça, alors qu'à l'origine c'était juste pour dire qu'ne petite page pouvait éclairer les utilsateurs non avertis à comprendre leur log
Je laisse tomber .... tant pis...
green day
Messages postés
26371
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 162
8 juin 2008 à 15:54
8 juin 2008 à 15:54
Bonjour à tous
Dire que le robot est inutile est faux ! Car tout comme le logiciel, celui-ci est destiné à un public plutôt avertis.
@+
Dire que le robot est inutile est faux ! Car tout comme le logiciel, celui-ci est destiné à un public plutôt avertis.
@+
^^Marie^^
Messages postés
113929
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 274
8 juin 2008 à 16:07
8 juin 2008 à 16:07
Slt
celui-ci est destiné à un public plutôt avertis.
A ne pas mettre dans les mains d'un néophyte ... CQFD
;;;)))
celui-ci est destiné à un public plutôt avertis.
A ne pas mettre dans les mains d'un néophyte ... CQFD
;;;)))
Bonjour
Moi je voudrai un petit formulaire sur ccm fonctionnant hors ligne une fois chargé qui me permette de nettoyer mon log que je suis amener à poster en public ou même en priver afin de supprimer mon nom d'utilisateur, mes adresses ip, et tout ce qui n'est pas neutre pour ma vie privée ; merci. Par exemple avant que le message soit envoyé réellement, un robot pourrait signaler la présence d'un nom ou d'une ip ou autre afin de laisser la possibilité au postant de masquer les informations privées sans dénaturer le log qui doit bien-sûr être conforme pour être correctement analysé ; merci.
Que peut faire grâce à un log poster ici ou ailleur ; peut-on utiliser les informations pour nuire ? :
http://hijackthis.de/index.php?langselect=french
Vous obtenez de l'aide complémentaire = EN PLUS de l'aide par un humain expert !!
Merci, bonne proposition et bonne réflexion ; merci ..
Moi je voudrai un petit formulaire sur ccm fonctionnant hors ligne une fois chargé qui me permette de nettoyer mon log que je suis amener à poster en public ou même en priver afin de supprimer mon nom d'utilisateur, mes adresses ip, et tout ce qui n'est pas neutre pour ma vie privée ; merci. Par exemple avant que le message soit envoyé réellement, un robot pourrait signaler la présence d'un nom ou d'une ip ou autre afin de laisser la possibilité au postant de masquer les informations privées sans dénaturer le log qui doit bien-sûr être conforme pour être correctement analysé ; merci.
Que peut faire grâce à un log poster ici ou ailleur ; peut-on utiliser les informations pour nuire ? :
http://hijackthis.de/index.php?langselect=french
Vous obtenez de l'aide complémentaire = EN PLUS de l'aide par un humain expert !!
Merci, bonne proposition et bonne réflexion ; merci ..
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
8 juin 2008 à 18:53
8 juin 2008 à 18:53
Moi je voudrai un petit formulaire sur ccm fonctionnant hors ligne une fois chargé qui me permette de nettoyer mon log que je suis amener à poster en public ou même en priver afin de supprimer mon nom d'utilisateur, mes adresses ip,
Tu n'a qu'a copier le log dans un doccument txt et supprimer ce que tu veux avant de le poster sur les forums...
Pour l'IP, si elle est détournée sans que tu le sache, on ne pourra pas le voir si tu l'efface, donc, un de tes soucis restera non résolu ;-)
Tu n'a qu'a copier le log dans un doccument txt et supprimer ce que tu veux avant de le poster sur les forums...
Pour l'IP, si elle est détournée sans que tu le sache, on ne pourra pas le voir si tu l'efface, donc, un de tes soucis restera non résolu ;-)
Bonjour
J'arrive plus à trouver des log hikjackthis sur Google avec un nom d'utilisateur identique qui commence par "NOM-" suivi de chiffre v800045448 je sais plus quoi ; j'en ai vu un sur ccm section forum virus il y a quelques jours, mais à par une personne qui disait que sur internet c'est marqué comme virus, personne ne tique et je me demandais si les log ne seraient pas déjà, à l'origine, anonymisés automatiquement lors de leurs créations par les logiciels qui crées ces rapports ; merci. J'avais pas voulu demander dans la discutions ce jour là ... pour pas gêner, ayant un doute sur la pertinence de mon questionnement.
Il y a des lignes identifiant le pc pour trouver quel logiciel fait ce type de rapports ; merci.
Soit c'est un virus soit c'est le logiciel pour faire les rapports qui mets un nom identique.
Merci ; (et si vous re/trouvez et sachez expliquer le pourquoi de ce nom identique ; merci)
J'arrive plus à trouver des log hikjackthis sur Google avec un nom d'utilisateur identique qui commence par "NOM-" suivi de chiffre v800045448 je sais plus quoi ; j'en ai vu un sur ccm section forum virus il y a quelques jours, mais à par une personne qui disait que sur internet c'est marqué comme virus, personne ne tique et je me demandais si les log ne seraient pas déjà, à l'origine, anonymisés automatiquement lors de leurs créations par les logiciels qui crées ces rapports ; merci. J'avais pas voulu demander dans la discutions ce jour là ... pour pas gêner, ayant un doute sur la pertinence de mon questionnement.
Il y a des lignes identifiant le pc pour trouver quel logiciel fait ce type de rapports ; merci.
Soit c'est un virus soit c'est le logiciel pour faire les rapports qui mets un nom identique.
Merci ; (et si vous re/trouvez et sachez expliquer le pourquoi de ce nom identique ; merci)
Bonjour
J'ai trouvé => "NOM-W8KZ05N5F7S"
https://forums.commentcamarche.net/forum/affich-6674631-s-o-s-ma-barre-des-taches-fait-le-yoyo#0
C:\Documents and Settings\Administrateur.NOM-W8KZ05N5F7S\ ...
Recherche avec Google :
NOM-W8KZ05N5F7S
https://www.google.fr/search?hl=fr&q=NOM-W8KZ05N5F7S&gws_rd=ssl
W8KZ05N5F7S
https://www.google.fr/search?hl=fr&q=W8KZ05N5F7S&gws_rd=ssl
*********
44 Par * Chiquitine29, le dimanche 1 juin 2008 à 21:51:19
Sur le net on parle d infection !!
A découvrir : Estopa, Rosario Flores, La oreja de van gogh.. Bonne écoute
*********
Je suis passé par ; "Messages postés par jlpjlp sur les forums de Comment Ça Marche" :
https://forums.commentcamarche.net/forum/s/m/jlpjlp
Merci
J'ai trouvé => "NOM-W8KZ05N5F7S"
https://forums.commentcamarche.net/forum/affich-6674631-s-o-s-ma-barre-des-taches-fait-le-yoyo#0
C:\Documents and Settings\Administrateur.NOM-W8KZ05N5F7S\ ...
Recherche avec Google :
NOM-W8KZ05N5F7S
https://www.google.fr/search?hl=fr&q=NOM-W8KZ05N5F7S&gws_rd=ssl
W8KZ05N5F7S
https://www.google.fr/search?hl=fr&q=W8KZ05N5F7S&gws_rd=ssl
*********
44 Par * Chiquitine29, le dimanche 1 juin 2008 à 21:51:19
Sur le net on parle d infection !!
A découvrir : Estopa, Rosario Flores, La oreja de van gogh.. Bonne écoute
*********
Je suis passé par ; "Messages postés par jlpjlp sur les forums de Comment Ça Marche" :
https://forums.commentcamarche.net/forum/s/m/jlpjlp
Merci
