6 réponses
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
28 juin 2005 à 11:46
28 juin 2005 à 11:46
Salut Jeff,
Poste un rapport HijackThis - http://www.merijn.org/files/hijackthis.zip
A+
Poste un rapport HijackThis - http://www.merijn.org/files/hijackthis.zip
A+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
28 juin 2005 à 12:42
28 juin 2005 à 12:42
re'
Ca me semble être en ordre.
DHCP est un protocole qui permet d'attribuer automatiquement des IP dans un rezo.
Ta machine est sur un rezo d'entreprise ou perso ?
As-tu configuré un proxy pour surfer ? Si non fixe ca avec HijackThis:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
Ca me semble être en ordre.
DHCP est un protocole qui permet d'attribuer automatiquement des IP dans un rezo.
Ta machine est sur un rezo d'entreprise ou perso ?
As-tu configuré un proxy pour surfer ? Si non fixe ca avec HijackThis:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
Le problème est que ce programme a été créé il y a deux jours et qu'il a voulu se connecter. J'ai tenté de le détruire mais... rien à faire !
J'ai un ordi perso mais je navigue parfois avec un proxy effectivement . (simple mesure de précaution).
Il existe 2 dossier dhcp dans ma base de registre dont un suspect mais j'hésite à le détruire..
Enfin merci quand-même pour ton aide
Jeff
J'ai un ordi perso mais je navigue parfois avec un proxy effectivement . (simple mesure de précaution).
Il existe 2 dossier dhcp dans ma base de registre dont un suspect mais j'hésite à le détruire..
Enfin merci quand-même pour ton aide
Jeff
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
28 juin 2005 à 13:09
28 juin 2005 à 13:09
Regarde la version et le copyright du fichier (click doit dessus, propriété) et vérifie qu'il s'agit bien d'un fichier signé Microsoft ou d'une boite connue.
Tu ne peux pas le supprimer car il est actif en tant que service (certainement un service légitime Microsoft car HijackThis ne l'affiche pas). C'est aussi pour cela que tu le vois dans le registre.
Tu peux toujours essayer de le desactiver pour voir s'il est necessaire à ton système (a priori non puisque le firewall l'empèche d'aller chercher une IP):
Menu Demarrer, Executer, tape: Services.msc
Recherche le service: Client DHCP
Double clique dessus et clique sur le bouton [arreter]
Dans type de demarrage, sélectionne Manuel.
Si tu as des problèmes pour surfer, remet le type de demarrage en automatique.
Tu ne peux pas le supprimer car il est actif en tant que service (certainement un service légitime Microsoft car HijackThis ne l'affiche pas). C'est aussi pour cela que tu le vois dans le registre.
Tu peux toujours essayer de le desactiver pour voir s'il est necessaire à ton système (a priori non puisque le firewall l'empèche d'aller chercher une IP):
Menu Demarrer, Executer, tape: Services.msc
Recherche le service: Client DHCP
Double clique dessus et clique sur le bouton [arreter]
Dans type de demarrage, sélectionne Manuel.
Si tu as des problèmes pour surfer, remet le type de demarrage en automatique.
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
28 juin 2005 à 13:47
28 juin 2005 à 13:47
Ok
Tient moi au courant si le fichier est signé microsoft et sur la presence d'un service qui se nomme: Handling the DHCP requests
Tient moi au courant si le fichier est signé microsoft et sur la presence d'un service qui se nomme: Handling the DHCP requests
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sebsauvage
Messages postés
32847
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 656
28 juin 2005 à 13:56
28 juin 2005 à 13:56
ça sent le spyware.
ça:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
c'est extrêmement louche.
Si tu peux, fais un scan avant le démarrage de Windows
(Avast permet ça, par exemple).
ça permet de choper les intrus avant qu'ils aient eu le temps de démarrer.
Essai aussi avec un scan en ligne avec l'un de ces antivirus (dans IE):
http://sebsauvage.net/logiciels/fprot.html#online
ça:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
c'est extrêmement louche.
Si tu peux, fais un scan avant le démarrage de Windows
(Avast permet ça, par exemple).
ça permet de choper les intrus avant qu'ils aient eu le temps de démarrer.
Essai aussi avec un scan en ligne avec l'un de ces antivirus (dans IE):
http://sebsauvage.net/logiciels/fprot.html#online
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
28 juin 2005 à 14:17
28 juin 2005 à 14:17
Salut sebsauvage
Effectivement, c'est louche, c'est une ip qui appartient à MITIE Group PLC ( http://www.generic-nic.net/dyn/whois/ask?query=194.73.110.250 )
et Jeff dit qu'il utilise un proxy....
J'ai deja vu plusieurs infection avec un service Handling the DHCP requests qui lance dhcpclient.exe .
D'ailleur dolly en a repéré un ici: http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
Effectivement, c'est louche, c'est une ip qui appartient à MITIE Group PLC ( http://www.generic-nic.net/dyn/whois/ask?query=194.73.110.250 )
et Jeff dit qu'il utilise un proxy....
J'ai deja vu plusieurs infection avec un service Handling the DHCP requests qui lance dhcpclient.exe .
D'ailleur dolly en a repéré un ici: http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
J'ai lu le lien
http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
et j'ai téléchargé et utilisé
http://www.newdotnet.com/removal.html
Depuis, dhcpclient ne me demande plus de se connecter et il m'a été possible de jeter ce @!#¤$ de programme !!
Merci beaucoup pour vos précieuses interventions.
Jeff (heureuuuuuuuxxx ! :o))))
http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
et j'ai téléchargé et utilisé
http://www.newdotnet.com/removal.html
Depuis, dhcpclient ne me demande plus de se connecter et il m'a été possible de jeter ce @!#¤$ de programme !!
Merci beaucoup pour vos précieuses interventions.
Jeff (heureuuuuuuuxxx ! :o))))
28 juin 2005 à 11:55
Logfile of HijackThis v1.99.1
Scan saved at 11:49:23, on 28/06/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\dhcpclient.exe <--- MON INTRU !!!
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\WINNT\System32\atiptaxx.exe
C:\WINNT\System32\desk95.exe
C:\WINNT\loadqm.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Magic mail monitor\Magic.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\njf\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [zSPGuard] c:\program files\pjw\startpage guard\spguard.exe /s /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe "njf"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: ImageFox.lnk = C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\njf\Application Data\Mozilla\Firefox\Profiles\nbjvhr6b.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\njf\Application Data\Mozilla\Firefox\Profiles\nbjvhr6b.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe