Sujet Précédent Sujet Suivant

Des explications !!!

Résolu/Fermé
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 - 6 avril 2008 à 14:08
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 - 23 mai 2008 à 16:56
Bonjour,


J'aimerais que quelqu'un qui sache eradiquer des menaces a partir d'un scan HitJackhis m'explique comment il s'y prend. Qu'est ce qui est dangereux ?
Comment savoir ?

Vous seriez vraiment sympa en repondant ! Voila un exemple:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:24, on 29/03/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\incpglor\gvehkbcx.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\NETGEAR\WPN111\wpn111.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\WindowsMobile\WmdHost.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Program Files\Navilog1\catchme.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F087D755-2884-4ED8-ACC4-62A240819869} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Program Files\ASUS\AASP\1.00.24\AsRunHelp.exe
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Program Files\ASUS\AI Booster\OverClk.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Arucer] rundll32 C:\Windows\system32\Arucer.dll,Arucer
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKLM\..\Policies\Explorer\Run: [FNEDOUrSLu] C:\ProgramData\incpglor\gvehkbcx.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FB05B44-4A8C-4BB4-BD74-903E857B7B03}: NameServer = 192.168.1.1
O21 - SSODL: dwnrpofk - {077C76DC-FA07-4EFA-B731-D2240B849344} - (no file)
O21 - SSODL: vbgtorfd - {F942853D-E0FB-4968-91E7-BA6ABB1EC4F4} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

End of file - 9002 bytes




Merci d'avance!!

36 réponses

Précédent
  • 1
  • 2
Réponse 21 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 00:21
Re,

Merci d'avoir repondu si vite. En fait je veux essayer de m'occuper d'un message de virus/securité et tu me dis s'il y a des erreurs. Je prends un au hasard, je te dis ce que je pense qu'il faut faire, et tu me dis si j'ai tout bon. J'exagere peut etre un peu, mais j'essaie d'apprendre pour pouvoir aider. Voila.

Merci beaucoup.
0
Réponse 22 / 36
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 mai 2008 à 01:07
Re,

OK, on commence par celui-là :

http://www.commentcamarche.net/forum/affich 6415683 indetectable#8

ne lis pas la suite des posts.

Dis moi où sont les infections et comment tu les éradiques.

Toutes les lignes signes d'une infection et, pour chaque 2 méthodes de désinfection.
0
Réponse 23 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 01:35
Merci,
Super je m'y mets. Merci et merci encore.
0
Réponse 24 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 02:04
Re,
1.Lancer hijackthis et choisir do a system scan only. Cocher les lignes suivantes et cliquer sur fix checked:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {7F5AD828-EA56-4101-9F1A-DB2DBD0A9D74} - (no file)
O2 - BHO: (no name) - {88ebbe0b-5ff8-4b84-b043-71a216374a5b} - C:\WINDOWS\system32\urqRhFyW.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {DC7812F4-D42F-4F51-B0B0-17B30B1825EC} - C:\WINDOWS\system32\iiffGXpq.dll (file missing)
O2 - BHO: QXK Rhythm - {DF47FCFB-AA32-4ECC-9F32-C99E30385AF3} - (no file)
O2 - BHO: (no name) - {EA2DC768-3877-450E-859D-556154796CB2} - (no file)
O2 - BHO: (no name) - {F54F3C08-21DA-4A47-84CE-F495008AD4B7} - (no file)


Puis reposter un rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 02:06
Je n'ai pas fini. 2mn . Problemes de connexion quand je suis sur vista . J'ai du le taper 2 fois Alors pour etre plus sur....
0
Réponse 26 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 02:11
Re,
Pourrais tu me dire si je peux telecharger moi meme OtmoveIt sur mon sans danger ordi et sur quel lien?

Merci!
0
Réponse 27 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 07:19
Bonjour,
Meme question pour ComboFix, Vundofix.
Merci!
0
Réponse 28 / 36
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 mai 2008 à 10:30
Bonjour,

pas de problème pour OTMoveIt :

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

inutile pour Vundofix qui n'est plus efficace

pour Combofix :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

outil puissant, à utiliser en dernier recours.

comme beaucoup d'outils, il est mis à jour très régulièrement (donc il faut le retélécharger).

Tu n'auras pas d'infos sur le mode d'emploi autre que ce qui existe dans le lien ci-desssus. Le créateur de l'outil s'y oppose.
_______________________

Ton post 28 ne répond pas à ma question du post 26.

Une seule ligne concerne une infection active :

O2 - BHO: (no name) - {88ebbe0b-5ff8-4b84-b043-71a216374a5b} - C:\WINDOWS\system32\urqRhFyW.dll

tu n'as pas dit quelle infection est concernée.

La "fixer" par Hijackthis ne servira à rien : une ligne semblable va réapparaître au prochain redémarrage de l'ordi.

Pour les autres lignes que tu cites,


les lignes 1 et 4 ne sont pas liées à une infection.

Pour les autres, ces lignes sont inutiles mais l'infection n'est plus active.

Un outil incontournable :

http://www.castlecops.com/CLSID.html

Fais un copier-coller du CLSID dans la zone de recherche puis clique sur SEARCH et regarde ce qui se passe.



Et il manque des lignes infectés.

0
Réponse 29 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 12:27
Bonbonbon,
J'ai fait plusieurs recherches avant et je n'ai jamais vu autant d'infections.


1.Telecharger et enregistrer OtmoveIt sur le bureau. Copier ces lignes sur l'endroit de recherche, et cliquer sur CleanUp!, ou lancer une recherche et supprimer:


C:\WINDOWS\system32\urqRhFyW.dll
C:\WINDOWS\SYSTEM32\crypts.dll
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\mpfanvqg.dll

Ce sont des noms de dll aleatoires, signes de vundo. Ils ne sont pas dans la liste blanche de hijackthis, pour les 020.

2.Telecharger Malwaresbytes anti malwares pour supprimer l'infection virusheat ligne 022. Scan complet et suppression des elements malveillants.En fait j'ai deja attrapé ce virus.Je ne vois d'autres methodes a part fix checked pour la 2ieme methode.

Merci de ton aide
0
Réponse 30 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 12:51
Re,
On peut aussi utiliser Virtumundobegone pour supprimer le fichier:

C:\WINDOWS\system32\urqRhFyW.dll

Il a les lignes 02 et 020 : exactement la specialite du logiciel.
0
Réponse 31 / 36
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 mai 2008 à 13:50
Re,

ça c'est une bonne réponse : O2 et O20 = virtumundobegone et ça marche.

Sinoin, contre Vundo, le bon outil actuel c'est Malwarebytes' Anti-Malware (MBAM) :

- il éradique toute l'infection

- il est un excellent antispy à faire conserver et utiliser régulièrement..
0
Réponse 32 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
18 mai 2008 à 14:29
Re,
Bon.. et a part ca .... Le post 33, qu'en penses tu?
0
Réponse 33 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
19 mai 2008 à 20:28
Re,

Peut on essayer un autre test ? A mon avis il m'en faut avant d'avoir 20 / 20.

Merci de ton aide et ta patience!
0
Réponse 34 / 36
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 mai 2008 à 21:14
Bonsoir,

https://www.bleepingcomputer.com/startups/crypts.dll-21047.html

https://www.symantec.com?uid=7ca7569a-c0aa-40b2-b20f-4e3a6b9ddb40
0
Réponse 35 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
19 mai 2008 à 21:35
Re,
Interessants les sites, a avoir dans les favoris.
Merci!
0
Réponse 36 / 36
raphy00 Messages postés 1092 Date d'inscription dimanche 9 mars 2008 Statut Membre Dernière intervention 3 février 2014 9
23 mai 2008 à 16:56
Re,

Desole de t'importuner tout le temps, mais cette fois ci j'aimerais apprendre a analyser un rapport combofix. Comment fais t on ? C'est quoi Find32M etc... ? Merci de ta patience !
0

Discussions similaires

Moi je fais des petites bulles
sonny21250 -
sonny21250 -

2 réponses
Devinette - Trois nains vont à la mine
Louis2530 -
Jeanno -

2 réponses
Bonjour, je cherche la réponse a une énigme
Kerjouano -
Raymond PENTIER -

2 réponses
Devinette
Annaa -
bazfile -

1 réponse
Bonjour je cherche la réponse à la devinette svp
Norman -
Didi64_549 -

4 réponses