Que faire avec lignes méchantes d'hijackthis
Résolu
Swiss Knight
Messages postés
1956
Date d'inscription
Statut
Membre
Dernière intervention
-
Swiss Knight Messages postés 1956 Date d'inscription Statut Membre Dernière intervention -
Swiss Knight Messages postés 1956 Date d'inscription Statut Membre Dernière intervention -
Salut tout le monde,
je viens de chopper une saleté : System tool
une sorte de virus qui cherche à me forcer un anti-virus (payant bien entendu)
je ne sais pas comment s'appelle ce genre de trucs, mais ça m'était arrivé une fois il y a longtemps sur un autre ordinateur.
Bref.
J'ai fait un scan avec hijackthis en mode sans échec et je vois deux lignes qui sont méchantes et dues à ce programme.
Est-ce que si je clic sur "fix" ça vire ces entrées du registre ou pas ?
Dois-je passer par un logiciel tiers ?
Merci d'avance !
PS : ces lignes sont :
O4 - HKCU\..\RunOnce: [mNkDaBi07500] C:\Documents and Settings\All Users\Application Data\mNkDaBi07500\mNkDaBi07500.exe
et
O4 - HKUS\S-1-5-21-1123561945-602609370-1177238915-1003\..\RunOnce: [mNkDaBi07500] C:\Documents and Settings\All Users\Application Data\mNkDaBi07500\mNkDaBi07500.exe (User '?')
je viens de chopper une saleté : System tool
une sorte de virus qui cherche à me forcer un anti-virus (payant bien entendu)
je ne sais pas comment s'appelle ce genre de trucs, mais ça m'était arrivé une fois il y a longtemps sur un autre ordinateur.
Bref.
J'ai fait un scan avec hijackthis en mode sans échec et je vois deux lignes qui sont méchantes et dues à ce programme.
Est-ce que si je clic sur "fix" ça vire ces entrées du registre ou pas ?
Dois-je passer par un logiciel tiers ?
Merci d'avance !
PS : ces lignes sont :
O4 - HKCU\..\RunOnce: [mNkDaBi07500] C:\Documents and Settings\All Users\Application Data\mNkDaBi07500\mNkDaBi07500.exe
et
O4 - HKUS\S-1-5-21-1123561945-602609370-1177238915-1003\..\RunOnce: [mNkDaBi07500] C:\Documents and Settings\All Users\Application Data\mNkDaBi07500\mNkDaBi07500.exe (User '?')
A voir également:
- Que faire avec lignes méchantes d'hijackthis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Excel trier par ordre alphabétique en gardant les lignes - Guide
- En ligne sur messenger alors que non - Forum Facebook
- Écrire plusieurs lignes dans une cellule excel mac - Guide
- En ligne sur instagram alors que non - Forum Instagram
6 réponses
Hop,
En effet on va utiliser un logiciel tiers plus efficace :
-+-+-+-+-> RogueKiller <-+-+-+-+-
[x] Télécharge RogueKiller ( de Tigzy ) sur ton bureau.
[x] Quitte tout programme en cours d'exécution puis lance RogueKiller ( Clic droit -> Exécuter en tant qu'administrateur sous Vista/7 ).
[x] Lorsque le programme te le demanderas, tape 1 puis valide par [Entrée].
[x] Copie/Colle le contenu du rapport qui s'ouvrira à l'écran.
Note : Le rapport est également sauvegardé sous C:\RKreport.txt
En effet on va utiliser un logiciel tiers plus efficace :
-+-+-+-+-> RogueKiller <-+-+-+-+-
[x] Télécharge RogueKiller ( de Tigzy ) sur ton bureau.
[x] Quitte tout programme en cours d'exécution puis lance RogueKiller ( Clic droit -> Exécuter en tant qu'administrateur sous Vista/7 ).
[x] Lorsque le programme te le demanderas, tape 1 puis valide par [Entrée].
[x] Copie/Colle le contenu du rapport qui s'ouvrira à l'écran.
Note : Le rapport est également sauvegardé sous C:\RKreport.txt
RogueKiller V3.9.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.xxxx Service Pack 3) 32 bits version
Started in : Normal mode
User: Moimeme[Admin rights]
Mode: Scan -- Time : 08/02/2011 20:37:41
Bad processes:
Found:
HKLM\...\ControlSet001\...\Tcpip\...\Interface\{476E57BA-24F7-4244-8E00-4ADA60917094}: [Adresse IP]
HKLM\...\ControlSet001\...\Tcpip\...\Interface\{93C85BDF-DD91-4773-A3C7-192A2ABA2959}: [Adresse IP]
HKLM\...\ControlSet003\...\Tcpip\...\Interface\{476E57BA-24F7-4244-8E00-4ADA60917094}: [Adresse IP]
HKLM\...\ControlSet003\...\Tcpip\...\Interface\{93C85BDF-DD91-4773-A3C7-192A2ABA2959}: [Adresse IP]
HOSTS File:
127.0.0.1 localhost
Finished
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.xxxx Service Pack 3) 32 bits version
Started in : Normal mode
User: Moimeme[Admin rights]
Mode: Scan -- Time : 08/02/2011 20:37:41
Bad processes:
Found:
HKLM\...\ControlSet001\...\Tcpip\...\Interface\{476E57BA-24F7-4244-8E00-4ADA60917094}: [Adresse IP]
HKLM\...\ControlSet001\...\Tcpip\...\Interface\{93C85BDF-DD91-4773-A3C7-192A2ABA2959}: [Adresse IP]
HKLM\...\ControlSet003\...\Tcpip\...\Interface\{476E57BA-24F7-4244-8E00-4ADA60917094}: [Adresse IP]
HKLM\...\ControlSet003\...\Tcpip\...\Interface\{93C85BDF-DD91-4773-A3C7-192A2ABA2959}: [Adresse IP]
HOSTS File:
127.0.0.1 localhost
Finished
Euh, j'ai entre temps fait tourner un anti-malware en mode sans échec avec prise en charge réseau (mis à jour et tout et tout), il m'a détecté trois trucs lié à ce problème, j'ai demandé de les virer, il a fait, reboot le PC, et hijack ne les détecte plus. Ni ton programme apparemment.
J'en déduis que c'est réglé. Je n'ai pas de processus bizarres qui tournent dans mon gestionnaire aussi. Tout à l'air d'être OK pour moi.
J'en déduis que c'est réglé. Je n'ai pas de processus bizarres qui tournent dans mon gestionnaire aussi. Tout à l'air d'être OK pour moi.
Donc tu as lancé l'anti-malware et fait la suppression AVANT de lancer RogueKiller ?
Merci de répondre car c'est important :)
@+
Merci de répondre car c'est important :)
@+
Oui, j'ai lancé tout ça AVANT de faire le scan de roguekiller.
J'ai lancé les anti-truc en mode sans échec, tandis que le roguekiller je l'ai fait après avoir re-redémarré le système. Et en mode normal.
Et en mode sans échec, je ne voyais plus les fenêtres d'avertissement de ce malware "system tool" j'en déduis qu'il était inactif dans ce mode de windows. Ce qui m'a permis de le supprimer.
... En quoi est-ce si important ?
J'ai lancé les anti-truc en mode sans échec, tandis que le roguekiller je l'ai fait après avoir re-redémarré le système. Et en mode normal.
Et en mode sans échec, je ne voyais plus les fenêtres d'avertissement de ce malware "system tool" j'en déduis qu'il était inactif dans ce mode de windows. Ce qui m'a permis de le supprimer.
... En quoi est-ce si important ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut
Pourquoi avoir caché les adresses DNS?
Ce n'est pas ton IP tu sais...
Là du coup on peut pas savoir si c'est infectieux.
Pourquoi avoir caché les adresses DNS?
Ce n'est pas ton IP tu sais...
Là du coup on peut pas savoir si c'est infectieux.
J'ai fait un traceroute, il s'agit de mon FAI.
Et ça ne regarde que moi du coup. :D t'inquiètes pas.
Et ça ne regarde que moi du coup. :D t'inquiètes pas.
en quoi ça vous aide ? je ne sais pas si j'ai bien saisi le sens de ta phrase là...
voilà l'entête de ce que me donne un traceroute fait depuis le site network-tools :
"IP address: [l'adresse IP]
Host name: xxx7.monFAI.ch
[l'adresse IP] is from Switzerland(CH) in region Western Europe"
il s'agit d'un serveur DNS de mon FAI. Seraient-il aussi tordus que ça pour infecter les ordinateurs de leurs clients ? je ne pense pas... ça se saurait.
voilà l'entête de ce que me donne un traceroute fait depuis le site network-tools :
"IP address: [l'adresse IP]
Host name: xxx7.monFAI.ch
[l'adresse IP] is from Switzerland(CH) in region Western Europe"
il s'agit d'un serveur DNS de mon FAI. Seraient-il aussi tordus que ça pour infecter les ordinateurs de leurs clients ? je ne pense pas... ça se saurait.
Non, c'est pas le sens de ce que j'ai dit.
Certaines infections injectent des DNS malicieux dans la config système, ce qui fait que toutes tes requêtes sont filtrées, afin d'empêcher l'accès à certains sites ou de rediriger vers un autre;
l'adresse IP des DNS me permet de les rajouter à ma liste blanche afin que leur détection n'apparaisse plus.
EDIT: le fait de dire qu'il s'agit de ton FAI permet de savoir que la config DNS n'a pas besoin d'être fixée. En revanche, j'aurais bien aimé avoir les adresses ip
Certaines infections injectent des DNS malicieux dans la config système, ce qui fait que toutes tes requêtes sont filtrées, afin d'empêcher l'accès à certains sites ou de rediriger vers un autre;
l'adresse IP des DNS me permet de les rajouter à ma liste blanche afin que leur détection n'apparaisse plus.
EDIT: le fait de dire qu'il s'agit de ton FAI permet de savoir que la config DNS n'a pas besoin d'être fixée. En revanche, j'aurais bien aimé avoir les adresses ip
