Lecture d'un log Hijackthis
Résolu/Fermé
stephmi78
Messages postés
206
Date d'inscription
mercredi 3 janvier 2007
Statut
Membre
Dernière intervention
12 octobre 2010
-
13 juil. 2009 à 00:51
stephmi78 Messages postés 206 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 12 octobre 2010 - 21 juil. 2009 à 16:41
stephmi78 Messages postés 206 Date d'inscription mercredi 3 janvier 2007 Statut Membre Dernière intervention 12 octobre 2010 - 21 juil. 2009 à 16:41
A voir également:
- Lecture d'un log Hijackthis
- Confirmation de lecture gmail - Guide
- Ti college plus log - Forum calculatrices
- Iptv erreur de lecture - Forum Vidéo/TV
- Un bloqueur de publicité empêche la lecture. veuillez le désactiver pour démarrer la vidéo - Astuces et Solutions
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
6 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
13 juil. 2009 à 09:13
13 juil. 2009 à 09:13
Bonjour,
1) que le rapport Hijackthis ne montre rien ne signifie plus que l'ordi n'est pas infecté.
2) Hijackthis est bien placé
3) toutes les fixations proposées relève de l'optimisation et pas de la désinfection
4) les lignes O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll...... signent une version pirate de Windows.
1) que le rapport Hijackthis ne montre rien ne signifie plus que l'ordi n'est pas infecté.
2) Hijackthis est bien placé
3) toutes les fixations proposées relève de l'optimisation et pas de la désinfection
4) les lignes O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll...... signent une version pirate de Windows.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
13 juil. 2009 à 20:48
13 juil. 2009 à 20:48
Bonsoir,
Problème résolu
Comme tu n'as jamais fait état d'un problème, je ne vois pas ce qui peut être résolu.
Je me répète, le rapport Hijackthis est propre ce qui ne prouve pas que l'ordi n'est pas infecté.
Problème résolu
Comme tu n'as jamais fait état d'un problème, je ne vois pas ce qui peut être résolu.
Je me répète, le rapport Hijackthis est propre ce qui ne prouve pas que l'ordi n'est pas infecté.
stephmi78
Messages postés
206
Date d'inscription
mercredi 3 janvier 2007
Statut
Membre
Dernière intervention
12 octobre 2010
7
14 juil. 2009 à 17:28
14 juil. 2009 à 17:28
Bonjour,
J'ai désinfecté l'ordinateur avec A-squared puis Malwarebytes puis Antivir puis Ccleaner puis Regcleaner, puis Spybot. J'ai ensuite fait un défrag avec JKdefrag et enfin je fais un Hijackthis afin d'être sur qu'il n'y avait pas d'infection.
L'origine de ma demande, mais je ne vous l'ai pas dit, était 2 problèmes : page intempestive internet + coupure régulière de Firefox. A l'issu de la désinfection, nous avons trouver un trojan éliminé par A-Squared puis d'autres ad-awares, ... etc, classic. Les pages intempestives ont disparu et les coupures de Firefox aussi.
Donc pour moi problème réglé.
Désolé si je me suis mal exprimé, et si je n'ai pas expliqué ma demande.
Cordialement
J'ai désinfecté l'ordinateur avec A-squared puis Malwarebytes puis Antivir puis Ccleaner puis Regcleaner, puis Spybot. J'ai ensuite fait un défrag avec JKdefrag et enfin je fais un Hijackthis afin d'être sur qu'il n'y avait pas d'infection.
L'origine de ma demande, mais je ne vous l'ai pas dit, était 2 problèmes : page intempestive internet + coupure régulière de Firefox. A l'issu de la désinfection, nous avons trouver un trojan éliminé par A-Squared puis d'autres ad-awares, ... etc, classic. Les pages intempestives ont disparu et les coupures de Firefox aussi.
Donc pour moi problème réglé.
Désolé si je me suis mal exprimé, et si je n'ai pas expliqué ma demande.
Cordialement
bonjours,
Votre rapport ne montre aucune infection !
IMPORTANT - Avant de supprimer une ligne avec HijackThis.
• Placez Hijkacthis dans un répertoire : c:\Program Files\HijackThis\Hijackthis.exe
• Créez un raccourci et placez le sur le bureau.
Désactiver la protection résidente de Spybot
(pourrait faire obstacle aux suppression avec HijakcThis.)
• Lancez Spybot > Mode avancé > Outils >> Résident
• Décochez la case résident "tea timer" et refermez Spybot
>> Vous pourrez remettre cette protection après les suppressions.
P.S.:
Avec Antivir qui gère déjà les Spyware,
vous pourriez laisser la protection de Spybot Désactiver.
Et ne l'utiliser que pour un scan au besoin et la vaccination, ..après l'avoir mis à jour.
Relancez HijackThis (après l'avoir mis dans son répertoire !)
• Cochez toutes ces lignes (O4 - ....) et appuyer sur "Fix Checked"
• Redémarrer le PC.
À cocher - Sauf si vous avez overclocké la carte maitresse "dans le Bios".
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
À cocher - Si nécessaire pour vous, créez leurs des raccourci.
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\CD-R\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
À cocher - Utile que pour les caractères asiatiques dans Word.
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
À cocher - Inutile.
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
Processus dont le chargement peut être modifiés.
Pour qu'ils ne soient chargés que lorsque leurs programmes sont lancés !
• Ouvrez l'invité de commandes (dans "Tout les programmes" > Accessoires..)
• Copiez / collez(par un clic-droit) les commandes (SC .....) qui suivent.
• Et appuyez sur entrée pour chacune.
( Ignorer les messages d'erreur aux lignes sc stop.... en validant pour continuer)
SC stop "Apple Mobile Device"
SC config "Apple Mobile Device" start= demand
SC stop IDriverT
SC config IDriverT start= demand
SC stop "iPod Service"
SC config "iPod Service" start= demand
SC stop JavaQuickStarterService
SC config JavaQuickStarterService start= demand
SC stop NVSvc
SC config NVSvc start= demand
SC stop "Pml Driver HPZ12"
SC config "Pml Driver HPZ12" start= demand
Désinstaller Yahoo toolbar, s'il ne vous est d'aucune utilité.
• Accessible dans le Panneau de Config. > Ajouts/suppression des programmes.
Vous pourriez désinstaller a-squared et le remplacer par Malwarebytes !
• Téléchargement Malwarebytes : http://www.pcinfo-web.com/...
En cas d'infection, favorisez le "scan Rapide" en "mode normal".
Si le mode normal n'est pas accessible, lancez le scan en "mode sans échec" et re-scanner en "mode normal" par la suite.
Pas certain si toutes ces lignes pourraient être cochées. À vérifier.. ?!
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll......
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe ..........
Votre rapport ne montre aucune infection !
IMPORTANT - Avant de supprimer une ligne avec HijackThis.
• Placez Hijkacthis dans un répertoire : c:\Program Files\HijackThis\Hijackthis.exe
• Créez un raccourci et placez le sur le bureau.
Désactiver la protection résidente de Spybot
(pourrait faire obstacle aux suppression avec HijakcThis.)
• Lancez Spybot > Mode avancé > Outils >> Résident
• Décochez la case résident "tea timer" et refermez Spybot
>> Vous pourrez remettre cette protection après les suppressions.
P.S.:
Avec Antivir qui gère déjà les Spyware,
vous pourriez laisser la protection de Spybot Désactiver.
Et ne l'utiliser que pour un scan au besoin et la vaccination, ..après l'avoir mis à jour.
Relancez HijackThis (après l'avoir mis dans son répertoire !)
• Cochez toutes ces lignes (O4 - ....) et appuyer sur "Fix Checked"
• Redémarrer le PC.
À cocher - Sauf si vous avez overclocké la carte maitresse "dans le Bios".
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
À cocher - Si nécessaire pour vous, créez leurs des raccourci.
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\CD-R\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
À cocher - Utile que pour les caractères asiatiques dans Word.
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
À cocher - Inutile.
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
Processus dont le chargement peut être modifiés.
Pour qu'ils ne soient chargés que lorsque leurs programmes sont lancés !
• Ouvrez l'invité de commandes (dans "Tout les programmes" > Accessoires..)
• Copiez / collez(par un clic-droit) les commandes (SC .....) qui suivent.
• Et appuyez sur entrée pour chacune.
( Ignorer les messages d'erreur aux lignes sc stop.... en validant pour continuer)
SC stop "Apple Mobile Device"
SC config "Apple Mobile Device" start= demand
SC stop IDriverT
SC config IDriverT start= demand
SC stop "iPod Service"
SC config "iPod Service" start= demand
SC stop JavaQuickStarterService
SC config JavaQuickStarterService start= demand
SC stop NVSvc
SC config NVSvc start= demand
SC stop "Pml Driver HPZ12"
SC config "Pml Driver HPZ12" start= demand
Désinstaller Yahoo toolbar, s'il ne vous est d'aucune utilité.
• Accessible dans le Panneau de Config. > Ajouts/suppression des programmes.
Vous pourriez désinstaller a-squared et le remplacer par Malwarebytes !
• Téléchargement Malwarebytes : http://www.pcinfo-web.com/...
En cas d'infection, favorisez le "scan Rapide" en "mode normal".
Si le mode normal n'est pas accessible, lancez le scan en "mode sans échec" et re-scanner en "mode normal" par la suite.
Pas certain si toutes ces lignes pourraient être cochées. À vérifier.. ?!
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll......
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe ..........
Faites utiliser Flash Disinfector au propriétaire du PC, pour vérifier et supprimer le cas échéant une possible infection des supports USB. Après suit l'étape de la vaccination, qui va place des répertoires autorun.inf sur le(s) disque(s) dur et les supports USB, pour prévenir ce genre d'infection.
Dans le tutoriel allez à "1. Flash Disinfector" : http://site-naheulbeuk.com/
Téléchargement : https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
Important que le propriétaire du PC procède "aussi" avec Flash Disinfector.
Puisque ses supports USB doivent également être vérifier et vacciner.
Dans le tutoriel allez à "1. Flash Disinfector" : http://site-naheulbeuk.com/
Téléchargement : https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
Important que le propriétaire du PC procède "aussi" avec Flash Disinfector.
Puisque ses supports USB doivent également être vérifier et vacciner.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
stephmi78
Messages postés
206
Date d'inscription
mercredi 3 janvier 2007
Statut
Membre
Dernière intervention
12 octobre 2010
7
13 juil. 2009 à 20:30
13 juil. 2009 à 20:30
Bonsoir,
Problème résolu merci pour tout à tous
Cordialement
Problème résolu merci pour tout à tous
Cordialement
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
14 juil. 2009 à 18:28
14 juil. 2009 à 18:28
Bonjour,
la désinfection est très porbable.
Il faut éliminer les outils de "force brute".
* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
* Clique sur Recherche et laisse le scan se terminer.
* Clique, sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
====
Pour la légitimité, si elle a un CD original (ou un CD de restauration fourni par le constructeur) et la clé de 25 caractères collée sur l'unité centrale (ou en dessous pour un portable), son Windows est légitime.
la désinfection est très porbable.
Il faut éliminer les outils de "force brute".
* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
* Clique sur Recherche et laisse le scan se terminer.
* Clique, sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
====
Pour la légitimité, si elle a un CD original (ou un CD de restauration fourni par le constructeur) et la clé de 25 caractères collée sur l'unité centrale (ou en dessous pour un portable), son Windows est légitime.
stephmi78
Messages postés
206
Date d'inscription
mercredi 3 janvier 2007
Statut
Membre
Dernière intervention
12 octobre 2010
7
14 juil. 2009 à 21:04
14 juil. 2009 à 21:04
Bonsoir,
Merci, je m'en occupe, je vous poste le rapport dès que c'est fait
Cordialement
Merci, je m'en occupe, je vous poste le rapport dès que c'est fait
Cordialement
stephmi78
Messages postés
206
Date d'inscription
mercredi 3 janvier 2007
Statut
Membre
Dernière intervention
12 octobre 2010
7
21 juil. 2009 à 16:41
21 juil. 2009 à 16:41
Bonjour,
J'ai enfin pu accéder à l'ordinateur !!
Voici le rapport :
[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Documents and Settings\Administrateur\Bureau\Sécurité\HijackThis.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Sécurité\hijackthis.log: trouvé !
Corbeille vidée!
Fichiers temporaires nettoyés !
---------------------------------
--> Suppression:
C:\Documents and Settings\Administrateur\Bureau\Sécurité\HijackThis.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Sécurité\hijackthis.log: supprimé !
Merci
Cordialement
J'ai enfin pu accéder à l'ordinateur !!
Voici le rapport :
[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Documents and Settings\Administrateur\Bureau\Sécurité\HijackThis.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Sécurité\hijackthis.log: trouvé !
Corbeille vidée!
Fichiers temporaires nettoyés !
---------------------------------
--> Suppression:
C:\Documents and Settings\Administrateur\Bureau\Sécurité\HijackThis.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Sécurité\hijackthis.log: supprimé !
Merci
Cordialement
13 juil. 2009 à 17:00
Je viens de prendre connaissance des réponse la votre m'interroge sur la version de windows "piratée" ?? Pour moi, c'est un original, hier j'ai même fait la mise à jour du SP3 de XP normalement. Il me semble que si c'était une copie il aurait refusée la MAJ ??
Je vais m'occuper des modifications ce soir, l'ordinateur n'est pas à moi. Je dépanne une amie.
Merci beaucoup