J'ai fait une analyse HijackThis sur l'ordinateur de ma mère (Vista) qui avait un problème de publicité intempestive qui s'ouvraient dans le navigateur, et aussi l'impression que l'ordi rame tout le temps.
J'ai résolu entre temps le problème de la pub et autre truc "méchant" signalé dans le rapport, mais je suis restée perplexe devant la fin du rapport et ces dizaines de lignes concernant le system 32.
En copiant ce log dans http://www.hijackthis.de pour une analyse en ligne, le nombre de croix rouge est impressionnant !
Il est noté par exemple : "Méchant, cette tâche devrait se trouver dans le répertoire System32. Ce service (svchost.exe) semble être méchant.
Tâche ne se trouve pas dans le répertoire System32 !"
Je n'y comprend rien ! svchost.exe n'est pas dangereux... et il est bien dans system32 d'après le log.
Je suis perdue...
J'espère que quelqu'un peut m'aider pour comprendre ce qui ne va pas sur l'ordi de ma mère.
D'avance MERCI
marie
-------------------------------------
voici le log (je ne mets que la fin, la partie qui me pose problème)
-------------------------------
Destrio5
Messages postés85926Date d'inscriptiondimanche 11 juillet 2010StatutModérateurDernière intervention17 février 202310 297 Modifié par Destrio5 le 6/05/2010 à 12:03
Bonjour,
Le site http://www.hijackthis.de/ est bidon.
Par rapport à l'infection que Scarface72 a relevé :
● Télécharge Ad-Remover(de C_XX) sur ton Bureau.
● Déconnecte-toi d'Internet et ferme toutes applications en cours.
● Double-clique sur le programme AD-R situé sur ton Bureau.
● Clique sur Nettoyer puis valide.
● Poste le rapport généré (C:\Ad-Report-CLEAN.log).
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Ekim55 et Destrio5, que pensez-vous de la présence sur le rapport de toutes ces lignes O23 qui n'apparaissent habituellement pas?
Destrio5
Messages postés85926Date d'inscriptiondimanche 11 juillet 2010StatutModérateurDernière intervention17 février 202310 297 Modifié par Destrio5 le 6/05/2010 à 12:13
Soit il a une version 64 bits de Windows, soit il utilise la version 2.0.4 d'HijackThis, soit les deux.
A part une ligne: O23 - Service: Gestionnaire de mise à jour Winsudate - Unknown - C:\Program Files\Winsudate\gibsvc.exe (file missing)
Considérée comme dangereuse et quelques lignes "file missing" il n'y a rien de particulier à dire.
Si ce n'est déjà fait, fais un scan complet avec Malwarebyte's Antimalware en n'oubliant pas de le mettre à jour après l'avoir installé et colle le rapport généré dans une prochaine réponse.
En fonction de ça on te dirigera peut-être sur le forum Virus/Sécurité pour d'autres analyses.
C'est bizarre en effet toutes ces lignes qui correspondent en principe à des services Windows qui ne sont en général pas listés dans les rapports HJT.
Tiens nous au courant quand tu pourras ;-)
ekim55
Messages postés84314Date d'inscriptionmercredi 27 mai 2009StatutModérateurDernière intervention25 mars 202314 181 6 mai 2010 à 11:59
Bonjour,
Il serait bon de voir le rapport au complet, comme les lignes 02 voir les BHO, 04 pour les run et runonce, etc... souvent ca donne des indices de ce qui est installé comme les toolbar indésirables et qui se lancent au démarrage et les runonce en silence. Si tu postes dans le forum sécurité, ils vont sûrement te demander le rapport au complet.
Bonne chance.
je mettrai HJT à jour sur l'ordi de ma mère
peut-être finalement que ça vient de là, tout simplement
destrio5 : tu dis que le site d'analyse est bidon...zut, je ne connais que celui-là et jusqu'ici je l'ai trouvé bien utile. Je ne pense pas qu'il soit totalement fiable mais pas totalement bidon non plus. ça donne une bonne idée des problèmes éventuels.
pour ce qui est de l'infection relevée par scarface, je l'ai déjà corrigée (c'était une copie du log fait "avant" réparation...)
Destrio5
Messages postés85926Date d'inscriptiondimanche 11 juillet 2010StatutModérateurDernière intervention17 février 202310 297 6 mai 2010 à 12:57
Il existe ZHP (Zeb Help Process) pour analyser les rapports HijackThis.
Pour supprimer l'infection, il ne suffit pas de fixer la ligne.
Bon, j'ai pu faire tourner AD-R sur l'ordinateur de ma mère, et j'ai trouvé les derniers bastions de résistance de "eorezo" qui créait les problèmes.
J'ai aussi téléchargé la dernière version de Hijackthis et tout est ok maintenant.
merci
6 mai 2010 à 12:06
Modifié par Destrio5 le 6/05/2010 à 12:13
6 mai 2010 à 12:14
6 mai 2010 à 12:17