Corriger avec HijackThis
Corriger avec HijackThis - Sécurité - Windows & Software
Marsh Posté le 09-05-2005 à 01:49:39
Salut,
télécharge Spybot, mets le à jour et scanne ton ordinateur.
Télécharge SpywareBlaster, mets le à jour et charge toutes les protections disponibles.
Mets à jour ton antivirus et fais un scan complet de ton ordinateur.
Après ça, si toutefois ces lignes sont encore là, suis les étapes suivantes :
Ferme tous tes programmes en cours, navigateur inclus et lance un scan de HijackThis.
Tu supprimmes les entrées suivantes :
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41}
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sfondissimi.net
O15 - Trusted Zone: www.yeak.net
Lance CCleaner et nettoie.
Redémarre en mode normal et reposte un log.
Marsh Posté le 09-05-2005 à 11:30:25
Merci Darren. Sympa de m'aider.
Spybot, Adaware tout cela j'avais déjà fait. Ils nettoient en effet mais à chaque passage sur internet (ou à chaque lancement de internet explorer) les mouchards ou autres sont recréés automatiquement.
Il faudra donc supprimer les lignes. Daccord à 100% pour les 3 lignes 015.
Jhésite toutefois pour la ligne :
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41}
Es-tu sûr ?
Dautre part, crois-tu que les lignes suivantes sont valables ? Elles me semblent suspectes ?
O4 - HKLM\..\Run: [MCI driver32] driver32.exe
O4 - HKLM\..\RunServices: [MCI driver32] driver32.exe
O4 - HKCU\..\Run: [MCI driver32] driver32.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
Driver32 ? Dilla ? quest-ce que cest ?
Merci
frdg
Marsh Posté le 09-05-2005 à 12:45:48
Hello frdg 
Ces lignes aussi m'ont interpellé mais dans le doute j'ai préféré m'abstenir, d'autant qu'à l'heure où j'ai posté je n'avais pas trop le temps de rechercher des infos à leur sujet.
Pour CD Dilla apparemment tu peux l'enlever mais ce n'est pas non plus un spyware violent :
http://www.privacyandspying.com/privacy-c_dilla.html
Il semblerait aussi que tu puisses supprimmer les suivantes :
O4 - HKLM\..\Run: [MCI driver32] driver32.exe
O4 - HKLM\..\RunServices: [MCI driver32] driver32.exe
O4 - HKCU\..\Run: [MCI driver32] driver32.exe
Pense à installer Hijackthis dans un repertoire dédié (pas dans mes documents) pour faire un backup si nécessaire mais à priori pas besoin.
Une fois ces lignes cochées et corrigées, redémaare en mode sans échec et delete les fichiers suivants :
driver32.exe (en lançan une recherche incluant les fichiers cachés).
Si tu n'arrives pas à l'effacer, utilise Move on Boot. Clic droit sur le fichier et "delete on next boot".
Lance CCleaner et nettoie.
Message édité par darren le 09-05-2005 à 12:47:38
Marsh Posté le 09-05-2005 à 20:53:24
Hello Darren !
Merci encore de m'avoir aidé !
Super ! ce logiciel HijackThis.
Finalement j'ai supprimé les lignes 04 faisant allusion à Driver32.exe
Ce sont elles qui posaient problèmes car elles généraient automatiquement les lignes 015. Ces dernières (les lignes 015)disparaissaient à chaque lancement de Spybot searsh & destroy.
Il y a probablement d'autres lignes que je pourrais supprimer mais il faut être sûr !
Je me demande si les lignes ace windebug.exe qui reviennent plusieurs fois ne devraient pas également disparaître ? As tu une idée là dessus ?
Amicalement
Marsh Posté le 09-05-2005 à 21:05:18
Hello frdg 
C'est tout naturel, au boulot je me farcis des tonnes de portables des commerciaux infestés jusqu'à la moelle alors HijackThis j'ai pris une certaine habitude 
Pour les lignes Windebug, je n'ai pas trop le temps de chercher, j'ai regardé vite fait sur google, il semblerait que ce soit un processus système légitime, donc je ne pense pas qu'il faille y toucher. Néanmmoins tu peux faire le test de terminer le processus à la main et voir si ton système devient instable. Normalement les processus essentiels à l'O/S ne peuvent pas être fermés, meme avec CTRL ALT SUPPR.
Tu peux aussi virer les lignes avec HJT et utiliser la fonction de backup intégrée au programme.
Enfin, si tu veux te prévenir efficacement des spywares, je te conseille très chaudement Télécharger SpywareBlaster, je l'utilise depuis un bon moment, c'est une sorte de fonction de vaccination contre un grand nombre de malwares et je le trouve très effiace.
Tu le d/l, effectue une mise à jour, et tu l'oublies en le mettant à jour environ toutes les deux semaines (peu de MAJ à effectuer)
Tiens moi au courant si tu as d'autres soucis 
@ plus!
Sujets relatifs:
- Log de HijackThis
- besoin d'aide pour hijackthis
- besoin d'un avis pour hijackthis[update nouvel avis needed]
- un petit coup de main sur un log hijackthis SVP
- Au secour ma grand mére c'est mis à internet (analyse hijackthis)
- Tous mes jeux ont disparus ?! Log HijackThis posté
- [Résolu] Log de HijackThis & abreula.dll. Merci encore
- log hijackthis : help !!
- [Hijackthis] probleme
- HijackThis PC PROPRES ??? ou SALES ????
Marsh Posté le 08-05-2005 à 22:10:27
Bonjour à tous..
Et merci à Acrobaze et à d'autres pour les conseils que j'ai pu trouver sur le site.
Trojan, elitebar, Belgium_nm.exe etc.. Hélas, je connais maintenant et mon ordi en est infecté.
J'ai essayé de trouver une solution via les revendeurs. Personne n'a pu m'aider valablement.
Je me suis donc retourné vers le forum. Après avoir lu Acrobaze j'ai chargé et exécuté HijackThis
Le résultat est ci-après :
--------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:48:44, on 7/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.be/0SENLBE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl-be\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Video Capture Control] windebug.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCI driver32] driver32.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitefpp32.exe
O4 - HKLM\..\Run: [lyninkn] C:\WINNT\lyninkn.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\RunServices: [Microsoft Video Capture Control] windebug.exe
O4 - HKLM\..\RunServices: [MCI driver32] driver32.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Microsoft Video Capture Control] windebug.exe
O4 - HKCU\..\Run: [MCI driver32] driver32.exe
O4 - Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: MktBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\Program Files\MarketBrowser\lmt\MarketBrowser_Launch.xpy
O9 - Extra 'Tools' menuitem: MarketBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\Program Files\MarketBrowser\lmt\MarketBrowser_Launch.xpy
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sfondissimi.net
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] e-c139.cab
O16 - DPF: {544EB377-350A-4295-9BEB-EAB8392E09C6} (MSN Money Charting) - http://fdl.msn.com/public/investor/v13/invinstl.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {EF0DBA6F-43CE-4B26-9808-2AB38FA0DB29} (MSN Money Ticker) - http://fdl.msn.com/public/investor/v13/ticker.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
--------------------------------------------------------------------------
A première vue ce sont les lignes 015 qui devraient causer problèmes. Est-ce exact ? Mais n'y en a-t-il pas d'autres à éliminer ?
Un grand merci à celui qui pourra m'aider.
J'aimerais aussi comprendre. Comment fonctionne HijackThis ? Est-ce un éditeur de texte qui va lire dans le bios ? ou dans un fichier .ini ou autoexec.bat ?
Amitiés
frdg