HijackThis pour WIN32
Résolu/Fermé
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
-
29 janv. 2011 à 23:06
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 1 févr. 2011 à 23:05
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 1 févr. 2011 à 23:05
A voir également:
- HijackThis pour WIN32
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
- Trojan win32 - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
- Win32:malware-gen ✓ - Forum Virus
- Win32/offercore ✓ - Forum Virus
48 réponses
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
30 janv. 2011 à 19:46
30 janv. 2011 à 19:46
Voilà le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijO7e0TUk.rtf
http://www.cijoint.fr/cjlink.php?file=cj201101/cijO7e0TUk.rtf
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
30 janv. 2011 à 20:37
30 janv. 2011 à 20:37
Re,
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===)
Choisis un antivirus entre Avast et McAfee.
Sauf si tu as une licence payante avec McAfee, je te conseille de conserver Avast.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
[HKCU\Software\180solutions] [HKLM\Software\Totem] O43 - CFD: 22/01/2005 - 17:24:08 ----D- C:\Program Files\Fichiers Communs\Totem Shared O51 - MPSK:{9325ded1-1165-11de-9083-000802da8019}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (.not file.) O51 - MPSK:{9325ded1-1165-11de-9083-000802da8019}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (.not file.)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===)
Choisis un antivirus entre Avast et McAfee.
Sauf si tu as une licence payante avec McAfee, je te conseille de conserver Avast.
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
Modifié par douie le 30/01/2011 à 22:18
Modifié par douie le 30/01/2011 à 22:18
J'ai exactement fait comme tu avais dit.
Après avoir appuyé sur H puis sur la malette, j'ai revu la ligne que j'ai copié, que j'ai donc selectionné et nettoyé. (c'était ça ?). Ca ne m'a pas demandé de redémarrer et voilà la seule chose que j'ai eu :
Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre :
Run by Administrateur at 30/01/2011 21:21:58
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
au niveau de l'antivirus j'avais déjà desinstallé McAfee
Après avoir appuyé sur H puis sur la malette, j'ai revu la ligne que j'ai copié, que j'ai donc selectionné et nettoyé. (c'était ça ?). Ca ne m'a pas demandé de redémarrer et voilà la seule chose que j'ai eu :
Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre :
Run by Administrateur at 30/01/2011 21:21:58
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
au niveau de l'antivirus j'avais déjà desinstallé McAfee
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
30 janv. 2011 à 22:26
30 janv. 2011 à 22:26
Re,
la ligne que j'ai copié ?
il y aurait du en avoir 5.
Laquelle avais tu ?
la ligne que j'ai copié ?
il y aurait du en avoir 5.
Laquelle avais tu ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
Modifié par douie le 30/01/2011 à 22:37
Modifié par douie le 30/01/2011 à 22:37
Voilà le scan :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijX4AEYHe.rtf
http://www.cijoint.fr/cjlink.php?file=cj201101/cijX4AEYHe.rtf
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
30 janv. 2011 à 22:45
30 janv. 2011 à 22:45
C'est quand même vraiment tenace ces trucs !
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
30 janv. 2011 à 23:06
30 janv. 2011 à 23:06
Re,
ça doit être OK.
Il faut mettre à jour Windows en installant le Sp3 :
ouvre ce lien https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/ télécharge le fichier, enregistre le.
déconnecte toi d'Internet, ferme toutes les applications, y compris désactive la protection résidente de Avast puis exécute le.
Réactive Avast, fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.
ça doit être OK.
Il faut mettre à jour Windows en installant le Sp3 :
ouvre ce lien https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/ télécharge le fichier, enregistre le.
déconnecte toi d'Internet, ferme toutes les applications, y compris désactive la protection résidente de Avast puis exécute le.
Réactive Avast, fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
31 janv. 2011 à 01:30
31 janv. 2011 à 01:30
Désolé, mon ordi a mis une heure à se mettre à jour et plus de 40 min à s'allumer et 10 minutes à lancer une application (une horreur !) je ne sais pas si c'est du au trojan car d'habitude il n'est pas si long ....
Mauvaise nouvelle : AdAware Watch Live m'a annoncé qu'il avait bloqué une application au démarrage car elle contenait un trojan nommé win32 ... J'ai bien l'impression qu'il n'est toujours pas parti ....
Voilà le nouveau scan :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijRqHMtJl.rtf
Mauvaise nouvelle : AdAware Watch Live m'a annoncé qu'il avait bloqué une application au démarrage car elle contenait un trojan nommé win32 ... J'ai bien l'impression qu'il n'est toujours pas parti ....
Voilà le nouveau scan :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijRqHMtJl.rtf
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
31 janv. 2011 à 01:42
31 janv. 2011 à 01:42
Re,
fais redémarrer l'ordi.
Toujours aussi long ?
Tu as des détails sur le fichier bloqué par AdAware Watch Live ?
fais redémarrer l'ordi.
Toujours aussi long ?
Tu as des détails sur le fichier bloqué par AdAware Watch Live ?
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
31 janv. 2011 à 12:26
31 janv. 2011 à 12:26
Oui, toujours aussi long. Peut être à cause des misses à jour ou des programmes qui se lancent au démarrage. Le soucis c'esr que quand je veux ouvrir Ad Aware j'ai le panneau 'Lavasoft AdAware chargement' qui s'ouvre mais l'application n'arrive jamais ...
Le test de ZHPdiag ne detecte rien de nouveau ?
En tout cas merci beaucoup pour ton aide !
Le test de ZHPdiag ne detecte rien de nouveau ?
En tout cas merci beaucoup pour ton aide !
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
31 janv. 2011 à 13:17
31 janv. 2011 à 13:17
Bonjour,
ZHPDiag ne me semble rien déceler.
Par contre, tu as effectivement beaucoup de processus au démarrage et aussi un DD C: qui est presque plein.
Peux tu faire du ménage dessus ?
Tu as combien de RAM ?
ZHPDiag ne me semble rien déceler.
Par contre, tu as effectivement beaucoup de processus au démarrage et aussi un DD C: qui est presque plein.
Peux tu faire du ménage dessus ?
Tu as combien de RAM ?
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
31 janv. 2011 à 13:58
31 janv. 2011 à 13:58
Oui je vais faire un grand nettoyage !
J'essaie de redémarrer Ad Aware pour voir si je trouve l'application.
Ou est-ce qu'on voit combien de RAM on a ?
J'essaie de redémarrer Ad Aware pour voir si je trouve l'application.
Ou est-ce qu'on voit combien de RAM on a ?
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
Modifié par douie le 31/01/2011 à 16:03
Modifié par douie le 31/01/2011 à 16:03
Voilà, j'ai pu ouvrir Ad Aware et le fichier qu'il a bloqué est mmrtkrnl.exe qui s'execute au démarrage. Il se situe dans HKLM/Software/Microsoft/Windows/CurrentVersion/Run.
Dans le même genre, mais non bloqué il y a aussi Ati2mdxx.exe au démarrage.
Sinon j'ai fait un nettoyage de programmes et ça va beaucoup plus vite.
Je suis aussi en train de faire un scan sur le registre grâce à ce site : http://www.liutilities.com/products/campaigns/plib/rb/ et apparemment j'ai enormément d'erreurs !
Dans le même genre, mais non bloqué il y a aussi Ati2mdxx.exe au démarrage.
Sinon j'ai fait un nettoyage de programmes et ça va beaucoup plus vite.
Je suis aussi en train de faire un scan sur le registre grâce à ce site : http://www.liutilities.com/products/campaigns/plib/rb/ et apparemment j'ai enormément d'erreurs !
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
31 janv. 2011 à 16:26
31 janv. 2011 à 16:26
Re,
les 2 fichiers sont légitimes, le premier n'est pas nécessaire au démarrage.
Je n'aime pas beaucoup ce logiciel (Uniblue) et n'ai guère confiance en lui.
Si tu juges nécessaire de nettoyer le registre, CCleaner me semble préférable :
https://www.commentcamarche.net/download/s/ccleaner%20slim
Prends la précaution de sauvegarder quand l'outil te le propose.
Tu peux refaire un ZHPDiag pour voir où on en est. (rapport dans un lien Cijoint)
les 2 fichiers sont légitimes, le premier n'est pas nécessaire au démarrage.
Je n'aime pas beaucoup ce logiciel (Uniblue) et n'ai guère confiance en lui.
Si tu juges nécessaire de nettoyer le registre, CCleaner me semble préférable :
https://www.commentcamarche.net/download/s/ccleaner%20slim
Prends la précaution de sauvegarder quand l'outil te le propose.
Tu peux refaire un ZHPDiag pour voir où on en est. (rapport dans un lien Cijoint)
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
31 janv. 2011 à 17:30
31 janv. 2011 à 17:30
J'ai refait un scan avec Ad aware qui m'a trouvé WIN32 dans ce fichier (mmrtkrln.exe) et qui l'a supprimé. Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijap7ZODg.txt
Et voila le nouveau rapport de ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij57wkVDz.rtf
http://www.cijoint.fr/cjlink.php?file=cj201101/cijap7ZODg.txt
Et voila le nouveau rapport de ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij57wkVDz.rtf
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
31 janv. 2011 à 19:36
31 janv. 2011 à 19:36
Re,
le rapport a fait apparaître des lignes qui n'étaient apparues jusqu'ici dont un malware.
Relance ZHPFix avec cette ligne :
Tu es au bout du ménage sur C: ?
Essaye de purger la Restauration système :
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
le rapport a fait apparaître des lignes qui n'étaient apparues jusqu'ici dont un malware.
Relance ZHPFix avec cette ligne :
O53 - SMSR:HKLM\...\startupreg\XP [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Sexyliebe\Sexyliebe.exe
Tu es au bout du ménage sur C: ?
Essaye de purger la Restauration système :
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
Modifié par douie le 31/01/2011 à 21:49
Modifié par douie le 31/01/2011 à 21:49
Oui le nettoyage était terminé !
J'ai fais ce que tu m'a dit pour la restauration.
Voilà le rapport de zhpfix :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijxf6miBB.rtf
J'ai refait un test avec zhpdiag :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij3sYUG7g.rtf
J'ai vu que dans Applications démarrées par registre & par dossier (O4) il y avait toujours mmrtkrnl.exe on peut l'enlever définitivement ?? Il y a aussi dans 064, une ligne avec 'MAGIX' (en bleu) qui était un logiciel avec un trojan ... Je pensais l'avoir totalement enlevé mais apparemment non
Sinon j'avais aussi lancé spybot qui avait trouvé 12 spyware/dialer
J'ai fais ce que tu m'a dit pour la restauration.
Voilà le rapport de zhpfix :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijxf6miBB.rtf
J'ai refait un test avec zhpdiag :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij3sYUG7g.rtf
J'ai vu que dans Applications démarrées par registre & par dossier (O4) il y avait toujours mmrtkrnl.exe on peut l'enlever définitivement ?? Il y a aussi dans 064, une ligne avec 'MAGIX' (en bleu) qui était un logiciel avec un trojan ... Je pensais l'avoir totalement enlevé mais apparemment non
Sinon j'avais aussi lancé spybot qui avait trouvé 12 spyware/dialer
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
31 janv. 2011 à 22:09
31 janv. 2011 à 22:09
Re,
je pense que Ad Aware se trompe pour mmrtkrnl.exe.
relance MPBAM, mets le à jour et fais un scan complet.
Poste le rapport.
je pense que Ad Aware se trompe pour mmrtkrnl.exe.
relance MPBAM, mets le à jour et fais un scan complet.
Poste le rapport.
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
31 janv. 2011 à 22:58
31 janv. 2011 à 22:58
C'est bon, MPBAM n'a absolument rien trouvé (0 de partout).
En tout cas si c'est fini, merci beaucoup pour ton aide !
En tout cas si c'est fini, merci beaucoup pour ton aide !
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
31 janv. 2011 à 23:10
31 janv. 2011 à 23:10
Re,
de rien pour l'aide, ce fut avec plaisir.
On en a fini après ça :
mets à jour Internet Explorer
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
de rien pour l'aide, ce fut avec plaisir.
On en a fini après ça :
mets à jour Internet Explorer
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
douie
Messages postés
91
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
13 novembre 2015
31 janv. 2011 à 23:49
31 janv. 2011 à 23:49
Voilà c'est fait !
Vu que j'utilise google chrome je n'ai pas mis à jour internet explorer..
Bon ben merci beaucoup mon ordi marche beaucoup mieux =)
Vu que j'utilise google chrome je n'ai pas mis à jour internet explorer..
Bon ben merci beaucoup mon ordi marche beaucoup mieux =)