Un hijack this qui ne fonctionne pas...

Résolu
la gribouille Messages postés 323 Statut Membre -  
 Utilisateur anonyme -
bonjour à tous!

Voilà, j'ai un ordinateur qui doit être infesté de virus, et autres petites bêtes disgracieuses...
Il fonctionne en réseau (qui marche correctement puisque j'ai la connexion et qu'il n'est pas serveur), sous windows XP pro.

J'ai voulu faire un hijack this et vous transmettre le log, mais il n'a pas pu terminer correctement, me mettant un message d'erreur, et ne m'a pas donné le document bloc note....

Comment pourrais-je faire d'après vous?

merci de vos réponse!

92 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Un ordinateur sous Windows XP Pro est infesté par des virus et des éléments malveillants, et l’outil HijackThis échoue à générer le log demandé, rendant le diagnostic difficile.
Plusieurs participants évoquent des solutions comme la suppression de dvrvideo, le rechargement ou la réinstallation de HijackThis, et l’analyse des entrées vertes et rouges pour cibler les menaces.
D'autres échanges couvrent des outils complémentaires, tels que Killbox et StartDreck, des ajustements de registre et des vérifications des démarrages et des services, afin de persister dans le nettoyage et l’identification.
En conséquence, les discussions rappellent la nécessité de tester divers outils, de vérifier les fichiers et les entrées du registre, sans conclure à une résolution immédiate et en restant vigilant sur les risques.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. la gribouille Messages postés 323 Statut Membre 14
     
    re!

    je viens de faire un scan avec rav anti virus, et voilà ce que j'obtiens...

    Scan started at 22/05/2005 15:25:49

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\eied_s7.cab->eied_s7_c_78.exe - TrojanDownloader:Win32/Mediket.U -> Infected
    C:\Program Files\Internet Explorer\iexplorer.exe - TrojanDownloader:Win32/Crypt -> Infected
    C:\Program Files\kkjurtzl\kkjurtzl.exe - Backdoor:Win32/Ruledor.F -> Infected
    C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected
    C:\WINDOWS\system32\cddrv32.exe - TrojanDownloader:Win32/Crypt -> Infected

    Scanned
    ============================
    Objects: 41185
    Directories: 4483
    Archives: 1392
    Size(Kb): -133369
    Infected files: 5

    Found
    ============================
    Viruses found: 4
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 767

    D'arpès vous faut-il que je supprime quelques trojan et autres avant de relancer un hijackthis?
    0
  2. Utilisateur anonyme
     
    salut,
    supprime ce qui est en gras:
    C:\eied_s7.cab
    C:\Program Files\Internet Explorer\iexplorer.exe
    C:\Program Files\kkjurtzl\kkjurtzl.exe
    C:\WINDOWS\autoclk.exe
    C:\WINDOWS\system32\cddrv32.exe

    et refais un scan pr verif

    a+
    0
  3. la gribouille Messages postés 323 Statut Membre 14
     
    slt!

    Bon alors, j'ai essayé de supprimer les fichiers que tu m'as indiqués, mais bien sur, quelques n'étaient pas présents et un autre ne pouvait pas etre supprimé, car il était utilisé. il s'agit de:

    C:\Program Files\Internet Explorer\iexplorer.exe
    C:\WINDOWS\system32\cddrv32.exe

    qui n'étaient pas présent dans mon ordi...

    C:\Program Files\kkjurtzl\kkjurtzl.exe qui était utilisé par l'ordi...

    Faut-il que je le supprime en mode sans echec?

    Je te joints un peu plus tard le nouveau scan, là il est en train de travailler!!

    merci!

    la gribouille
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    imperatif le sans echec salut
    0
    1. la gribouille Messages postés 323 Statut Membre 14
       
      Slt!

      et faut-il que je désactive la restauration système et tout le tintouin?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui
    0
  7. la gribouille Messages postés 323 Statut Membre 14
     
    re!

    Ok merci, et à demain (le temps que je fasse tout ça, et que je récupère ensuite le reseau!! )

    bonne soirée à tous, et bon courage!

    la gribouille
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    je serais pas la mais les autres je pense que oui donc je leur laisse la suite
    0
  9. la gribouille Messages postés 323 Statut Membre 14
     
    ok!! ;o)

    merci pour tes réponses!
    0
  10. la gribouille Messages postés 323 Statut Membre 14
     
    Slt à tous!

    Voici donc mon scan du matin...

    Scan started at 23/05/2005 09:10:15

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\WINDOWS\system32\dvrvideo.exe - TrojanDownloader:Win32/Crypt -> Infected

    Scanned
    ============================
    Objects: 41099
    Directories: 4474
    Archives: 1389
    Size(Kb): -187450
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 769

    J'ai essayé de faire à nouveau un hijack this, mais il ne fonctionne toujours pas!

    Je me demande de plus en plus s'il ne faut pas que je formate l'ordi...

    Merci
    0
  11. la gribouille Messages postés 323 Statut Membre 14
     
    Re!

    J'ai regardé le log que j'obtenais quand meme (la fenêtre de hijack this) et j'ai constaté que j'avais plein de lignes (une centaine au moins!) qui se terminait toujours par la meme chose...

    O4 - HKLM\...\Run:[vwOHV5ox]c:\porga~1\uuxopoxr\ustotsrw.exe

    La ligne est toujours la meme sauf les lettres entre crochets qui changent...

    J'ai cherché un peu partout, je n'ai eu aucune réponse sur ce que ça peut etre (ver, trojan ou virus????? )
    0
  12. Utilisateur anonyme
     
    salut
    supprime ce .exe
    C:\WINDOWS\system32\dvrvideo.exe

    pusi refais un scan pr verification

    et poste ton log hijack this ici

    a+
    0
  13. la gribouille Messages postés 323 Statut Membre 14
     
    slt!

    je viens de supprimer dvrvideo comme tu me l'as demandé, mais quand j'ai rallumé l'ordi en mode normal, il m'a indiqué qu'il ne le trouvait pas.... ce qui est normal! (à quoi sert il ce dvrvideo?)

    de plus, je ne peux toujours pas t'envoyer le log puisque hijack This ne fonctionne toujours pas... (d'ailleurs en fond d'écran, j'ai toujours ce meme message: "no suspicious ies found" en grisé....)

    Faut-il que je retelecharge hijack this? Ya t-il une nouvelle version depuis la semaine dernière?

    Merci pour tes réponses! :))
    0
  14. Utilisateur anonyme
     
    salut,
    pour hijack this, si tu la telecharger et t arrives pas a l ouvrir, renomme le !
    cad sur le fichier clik droit renommer en zidane.exe par exemple puis essai de le lancer pr voir

    a+
    0
    1. la gribouille Messages postés 323 Statut Membre 14
       
      slt!

      Bon, c'est ce que j'ai fait, je l'ai renommé, et il se lance comme d'hab, c'est à dire au trois quart, puis bloque au niveau de mes fameux "04-resgistry and start menu autoruns".
      Il me met le message comme quoi il s'agit d'un unexpected error, et je je clique ok, il termine le processus. Je suis alors obligée de cliquer sur "info" puis "back", et là, je peux avoir les cases à cocher... mais toujours pas mon bloc note...
      0
  15. la gribouille Messages postés 323 Statut Membre 14
     
    slt slt!!....

    ben y a plus personne pour me répondre??....

    Ou alors, ça y est, mon ordi est bon pour la casse!...

    ;o)
    0
  16. la gribouille Messages postés 323 Statut Membre 14
     
    ;o)
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    telecharge ceci
    Télécharger ce petit programme qui nous donnera la liste
    des services :

    http://pageperso.aol.fr/balltrap34/page%20virus.htm

    Le poser sur le bureau.
    Le lancer.
    Copier/coller le fichier texte qui apparaît.

    et aussi un hijackthis
    0
    1. la gribouille Messages postés 323 Statut Membre 14
       
      slt!

      Merci pour ta réponse... mais de quel programme s'agit-il? le lien me renvoie sur une de tes pages de ton site, avec plusieurs liens...

      Je choisis lequel?
      0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oups desoler
    get active services
    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  19. la gribouille Messages postés 323 Statut Membre 14
     
    re

    voici ce que me dit le petit programme active:

    These are the Current Active Services:

    SERVICE DE LA PASSERELLE DE LA COUCHE APPLICATION: ALG
    C:\WINDOWS\System32\alg.exe

    AUDIO WINDOWS: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    EXPLORATEUR D'ORDINATEUR: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES DE CRYPTOGRAPHIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    CLIENT DHCP: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE DE RAPPORT D'ERREURS: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITÉ AVEC LE CHANGEMENT RAPIDE D'UTILISATEUR: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    AIDE ET SUPPORT: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVEUR: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    STATION DE TRAVAIL: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    AFFICHAGE DES MESSAGES: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    CONNEXIONS RÉSEAU: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NLA (NETWORK LOCATION AWARENESS): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    PLANIFICATEUR DE TÂCHES: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    CONNEXION SECONDAIRE: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DÉTECTION MATÉRIEL NOYAU: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE DE RESTAURATION SYSTÈME: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TÉLÉPHONIE: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES TERMINAL SERVER: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THÈMES: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    HORLOGE WINDOWS: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    MISES À JOUR AUTOMATIQUES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    CLIENT DNS: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    JOURNAL DES ÉVÉNEMENTS: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG-AND-PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    ASSISTANCE TCP/IP NETBIOS: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
    C:\WINDOWS\system32\svchost.exe -k LocalService

    SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    NVIDIA DISPLAY DRIVER SERVICE: NVSvc
    C:\WINDOWS\System32\nvsvc32.exe

    PCTEL SPEAKER PHONE: Pctspk
    C:\WINDOWS\system32\pctspk.exe

    SERVICES IPSEC: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    EMPLACEMENT PROTÉGÉ: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
    C:\WINDOWS\system32\lsass.exe

    APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    SPOULEUR D'IMPRESSION: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    ACQUISITION D'IMAGE WINDOWS (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc

    quant à hijack... ben peut toujours pas la fille!
    0
  20. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    meme en le renomment
    0
  21. la gribouille Messages postés 323 Statut Membre 14
     
    vi, je l'ai appelé zidane et ça ne marche pas!...

    du moins il se lance correctement mais bloque au trois quart

    j'ai retéléchargé le zip (qui fonctionnait très bien sur mon autre ordi) et je l'ai réinstallé plusieurs fois.... meme chose...

    Le problème ne viendrait-il pas de ces lignes:

    O4 - HKLM\...\Run:[vwOHV5ox]c:\porga~1\uuxopoxr\ustotsrw.exe
    0
  • 1
  • 2
  • 3
  • 4
  • 5