Dhcpclient.exe ?
Jeff
-
Jeff -
Jeff -
Bonjour
J'ai un programme qui s'est créé il y a deux jours dans WinnT/system32.
il se nomme dhcpclient.exe. Il cherche régulièrement à se connecter (mais mon firewall l'en empeche). Impossible de le supprimer même en mode sans échec
J'ai essayé la plupart des anti-spy-virus-trojan... rien
Mais dans la base de registre j'ai trouvé 2 dossier dhcp !
Le premier semble être d'origine car il contient
%SystemRoot%\System32\services.exe
Le second me semble suspect car il contenait dans imagepath un lien vers ce programme dhcpclient.exe
Cependant j'hésite à supprimer tout ce second dossier...
Les suggestions sont les bienvenues
Merci de votre aide
Jeff
J'ai un programme qui s'est créé il y a deux jours dans WinnT/system32.
il se nomme dhcpclient.exe. Il cherche régulièrement à se connecter (mais mon firewall l'en empeche). Impossible de le supprimer même en mode sans échec
J'ai essayé la plupart des anti-spy-virus-trojan... rien
Mais dans la base de registre j'ai trouvé 2 dossier dhcp !
Le premier semble être d'origine car il contient
%SystemRoot%\System32\services.exe
Le second me semble suspect car il contenait dans imagepath un lien vers ce programme dhcpclient.exe
Cependant j'hésite à supprimer tout ce second dossier...
Les suggestions sont les bienvenues
Merci de votre aide
Jeff
6 réponses
re'
Ca me semble être en ordre.
DHCP est un protocole qui permet d'attribuer automatiquement des IP dans un rezo.
Ta machine est sur un rezo d'entreprise ou perso ?
As-tu configuré un proxy pour surfer ? Si non fixe ca avec HijackThis:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
Ca me semble être en ordre.
DHCP est un protocole qui permet d'attribuer automatiquement des IP dans un rezo.
Ta machine est sur un rezo d'entreprise ou perso ?
As-tu configuré un proxy pour surfer ? Si non fixe ca avec HijackThis:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
Le problème est que ce programme a été créé il y a deux jours et qu'il a voulu se connecter. J'ai tenté de le détruire mais... rien à faire !
J'ai un ordi perso mais je navigue parfois avec un proxy effectivement . (simple mesure de précaution).
Il existe 2 dossier dhcp dans ma base de registre dont un suspect mais j'hésite à le détruire..
Enfin merci quand-même pour ton aide
Jeff
J'ai un ordi perso mais je navigue parfois avec un proxy effectivement . (simple mesure de précaution).
Il existe 2 dossier dhcp dans ma base de registre dont un suspect mais j'hésite à le détruire..
Enfin merci quand-même pour ton aide
Jeff
Regarde la version et le copyright du fichier (click doit dessus, propriété) et vérifie qu'il s'agit bien d'un fichier signé Microsoft ou d'une boite connue.
Tu ne peux pas le supprimer car il est actif en tant que service (certainement un service légitime Microsoft car HijackThis ne l'affiche pas). C'est aussi pour cela que tu le vois dans le registre.
Tu peux toujours essayer de le desactiver pour voir s'il est necessaire à ton système (a priori non puisque le firewall l'empèche d'aller chercher une IP):
Menu Demarrer, Executer, tape: Services.msc
Recherche le service: Client DHCP
Double clique dessus et clique sur le bouton [arreter]
Dans type de demarrage, sélectionne Manuel.
Si tu as des problèmes pour surfer, remet le type de demarrage en automatique.
Tu ne peux pas le supprimer car il est actif en tant que service (certainement un service légitime Microsoft car HijackThis ne l'affiche pas). C'est aussi pour cela que tu le vois dans le registre.
Tu peux toujours essayer de le desactiver pour voir s'il est necessaire à ton système (a priori non puisque le firewall l'empèche d'aller chercher une IP):
Menu Demarrer, Executer, tape: Services.msc
Recherche le service: Client DHCP
Double clique dessus et clique sur le bouton [arreter]
Dans type de demarrage, sélectionne Manuel.
Si tu as des problèmes pour surfer, remet le type de demarrage en automatique.
Ok
Tient moi au courant si le fichier est signé microsoft et sur la presence d'un service qui se nomme: Handling the DHCP requests
Tient moi au courant si le fichier est signé microsoft et sur la presence d'un service qui se nomme: Handling the DHCP requests
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ça sent le spyware.
ça:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
c'est extrêmement louche.
Si tu peux, fais un scan avant le démarrage de Windows
(Avast permet ça, par exemple).
ça permet de choper les intrus avant qu'ils aient eu le temps de démarrer.
Essai aussi avec un scan en ligne avec l'un de ces antivirus (dans IE):
http://sebsauvage.net/logiciels/fprot.html#online
ça:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
c'est extrêmement louche.
Si tu peux, fais un scan avant le démarrage de Windows
(Avast permet ça, par exemple).
ça permet de choper les intrus avant qu'ils aient eu le temps de démarrer.
Essai aussi avec un scan en ligne avec l'un de ces antivirus (dans IE):
http://sebsauvage.net/logiciels/fprot.html#online
Salut sebsauvage
Effectivement, c'est louche, c'est une ip qui appartient à MITIE Group PLC ( http://www.generic-nic.net/dyn/whois/ask?query=194.73.110.250 )
et Jeff dit qu'il utilise un proxy....
J'ai deja vu plusieurs infection avec un service Handling the DHCP requests qui lance dhcpclient.exe .
D'ailleur dolly en a repéré un ici: http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
Effectivement, c'est louche, c'est une ip qui appartient à MITIE Group PLC ( http://www.generic-nic.net/dyn/whois/ask?query=194.73.110.250 )
et Jeff dit qu'il utilise un proxy....
J'ai deja vu plusieurs infection avec un service Handling the DHCP requests qui lance dhcpclient.exe .
D'ailleur dolly en a repéré un ici: http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
J'ai lu le lien
http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
et j'ai téléchargé et utilisé
http://www.newdotnet.com/removal.html
Depuis, dhcpclient ne me demande plus de se connecter et il m'a été possible de jeter ce @!#¤$ de programme !!
Merci beaucoup pour vos précieuses interventions.
Jeff (heureuuuuuuuxxx ! :o))))
http://www.commentcamarche.net/forum/affich-1634905-Probl%E8me-avec-Trojan-Lowzones#1
et j'ai téléchargé et utilisé
http://www.newdotnet.com/removal.html
Depuis, dhcpclient ne me demande plus de se connecter et il m'a été possible de jeter ce @!#¤$ de programme !!
Merci beaucoup pour vos précieuses interventions.
Jeff (heureuuuuuuuxxx ! :o))))
Logfile of HijackThis v1.99.1
Scan saved at 11:49:23, on 28/06/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\dhcpclient.exe <--- MON INTRU !!!
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\WINNT\System32\atiptaxx.exe
C:\WINNT\System32\desk95.exe
C:\WINNT\loadqm.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Magic mail monitor\Magic.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\njf\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.73.110.250:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [zSPGuard] c:\program files\pjw\startpage guard\spguard.exe /s /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe "njf"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: ImageFox.lnk = C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\njf\Application Data\Mozilla\Firefox\Profiles\nbjvhr6b.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\njf\Application Data\Mozilla\Firefox\Profiles\nbjvhr6b.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe