Besoin aide lignes 023 Hijack this

freezeyeti Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai la désagréable impression que je suis infecté par un trojan qui lance plein de connections au démarrage en utilisant le svchost.exe (j'ai eu jusqu'à 240 connections sortantes alors que je venais juste d'allumer le pc ! Et évidemment ça rame !).
Ca finit par se calmer au bout d'une demi-heure mais il est toujours là et recommence à chaque démarrage.

Donc, j'ai décidé de mettre les mains dans le cambouis et j'ai installé Hijack this, puis j'ai lu plusieurs tutos et me suis baladé sur plusieurs forums et j'ai compris pas mal de trucs qui me semblaient du chinois jusqu'ici (plutôt cool).

Mais je n'arrive pas à m'en sortir avec la section 023 ou se loge justement mon problème. Je ne sais pas quelles lignes fixer et quelles lignes conserver.

J'ai cru comprendre que la règle sur les forums est de demander de l'aide avant de poster le rapport. Donc voilà, c'est fait. J'attends mes sauveurs.

Merci d'avance.

13 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    ensuite

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
    0
  2. freezeyeti Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,

    Voici le lien du fichier sur ci-joint:
    http://www.cijoint.fr/cjlink.php?file=cj201010/cijX5Vn5eM.txt

    Merci
    0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    as tu fixer des lignes avec hijackthis ?

    .............

    2)

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.ask.com?o=15161&l=dis
    R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} . (.Ask - Ask Toolbar.) (5.8.0.0) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
    O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} . (.Google Inc. - Partner application.) -- C:\ProgramData\Partner\Partner.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
    O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}
    [HKCU\Software\AppDataLow\AskToolbarInfo]
    [HKCU\Software\AppDataLow\Software\AskToolbar]
    [HKCU\Software\Ask.com]
    [HKCU\Software\Burn4Free]
    O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Ask.com
    O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Burn4Free
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://websearch.ask.com
    SS - | Demand 17/11/2009 332272 | Partner Service (Partner Service) . (.Google Inc..) - C:\ProgramData\Partner\Partner.exe


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    ....................

    3)

    inutiles à supprimer

    - spybot
    - Trojan SVCHOSTRemoval Tool
    0
  4. freezeyeti Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    1) as tu fixer des lignes avec hijackthis ?

    Non, pas encore. Je ne voulais pas faire d'erreurs. Mais il y a beaucoup de lignes svchost dans la categorie 023 que je voyais dans Hijackthis et que je ne retrouve pas dans ZHPDiag (env.20 lignes dans ZHPDiag contre près de 150 dans HiJack !!)

    2)Voici le rapport ZHPfix :

    Rapport de ZHPFix 1.12.3205 par Nicolas Coolman, Update du 29/09/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-01-10-2010-12-09-19.txt
    Run by Yeti at 01/10/2010 12:09:29
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} . (.Google Inc. - Partner application.) -- C:\ProgramData\Partner\Partner.dll => Clé absente
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll => Clé absente
    HKCU\Software\AppDataLow\AskToolbarInfo => Clé absente
    HKCU\Software\AppDataLow\Software\AskToolbar => Clé absente
    HKCU\Software\Ask.com => Clé absente
    HKCU\Software\Burn4Free => Clé absente
    SS - | Demand 17/11/2009 332272 | Partner Service (Partner Service) . (.Google Inc..) - C:\ProgramData\Partner\Partner.exe => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} . (.Ask - Ask Toolbar.) (5.8.0.0) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll => Valeur absente
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=15161&l=dis => Donnée supprimée avec succès
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Donnée remplacée avec succès

    ========== Dossier(s) ==========
    C:\Program Files (x86)\Ask.com => Dossier absent
    C:\Program Files (x86)\Burn4Free => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\program files (x86)\ask.com => Supprimé et mis en quarantaine
    c:\programdata\partner\partner.dll => Supprimé et mis en quarantaine
    c:\programdata\partner\partner.exe => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE} => Logiciel supprimé avec succès

    ========== Récapitulatif ==========
    7 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    2 : Elément(s) de donnée du Registre
    2 : Dossier(s)
    3 : Fichier(s)
    1 : Logiciel(s)

    End of the scan

    3) inutiles à supprimer

    Veux-tu dire qu'il est inutile de les supprimer ou qu'ils sont inutiles et donc à supprimer.
    Trojan SVCHOSTRemoval Tool était juste une version d'essai que j'ai télécharger dans la recherche de résolution de mon problème.
    Par contre Spybot inutile ??
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    oui je voulais dire qu'ils sont à supprimer car inutiles...

    utilise ceci plutôt

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
  7. freezeyeti Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    voila le rapport d'analyse de malawarebytes :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4726

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    01/10/2010 16:01:23
    mbam-log-2010-10-01 (16-01-23).txt

    Type d'examen: Examen complet (C:\|D:\|J:\|)
    Elément(s) analysé(s): 681197
    Temps écoulé: 2 heure(s), 5 minute(s), 16 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    J:\Documents and Settings\Yeti\My Documents\Downloads\Adobe.Creative.Suite.5.Master.Collection.ESD.ISO-CORE\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    J:\Documents and Settings\Yeti\My Documents\Downloads\Adobe.Creative.Suite.5.Master.Collection.ESD.ISO-CORE\keygen.exe

    encore des soucis ?
    0
  9. freezeyeti Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    J'ai redémarré pour voir.
    Sans que je lance quoi que ce soit, dans les premières minutes mon firewall (comodo internet security premium) monte jusqu'à 25 connexions sortantes puis oscille entre 15 et 25 pendant 5 minutes puis redescend doucement pour se stabiliser autour de 10 connexions sortantes au bout d'un quart d'heure.
    Même avec les logiciels autorisés qui se connectent pour les mises à jour, est-ce bien normal ?
    Avant de poster sur ce forum j'avais vu des discussions. La normale semble être 6 connexions en moyenne pour svchost.exe.
    Et là j'en ai 15 ou 20 sans rien lancer.

    Je te poste le rapport de Hijack this sur cijoint pour que tu voie les lignes 023 puisqu'il y en a beaucoup plus que dans ZHPdiag.

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijfJpJeC4.txt

    Je vais aussi essayer malawarebytes en mode sans échec.

    Merci.
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    (sourire)

    toutes ces lignes sont légitimes...


    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)


    Télécharge ici :List_Kill'em et enregistre le sur ton bureau

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Fais de même avec more.txt qui se trouve sur ton bureau
    0
  11. freezeyeti
     
    Bonjour,

    J'ai téléchargé list_kill'em mais quand j'essaye de l'"executer en tant qu'administrateur " (je suis sous 7), j'ai un message d'erreur qui dit :

    Impossible d'executer le fichier depuis un dossier temporaire. Abandon de l'installation.

    Erreur 5:accès refusé

    Une idée ?
    0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il faut enregistrer le tool sur ton bureau avant de le lancer
    0
  13. freezeyeti
     
    C'est ce que j'avais fait. J'ai fini par aller faire autre chose et puis j'ai réessayé un peu plus tard et c'est passé. Mystère...
    Bref, voici le rapports :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij75cXFC5.txt

    et le more.txt :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijGWD4xty.txt
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    1)

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse

    ...................

    2)

    relance Hijackthis et poste rapport généré stp


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0