salut,
 
quelqu'un saurait-il me renseigner sur les lignes suivantes de mon log hijackThis please?
 
  O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint  Programme inconnu.  
 
  O17 - HKLM\System\CCS\Services\Tcpip\..\{38A7869B-46A9-4CBE-BA9B-3A508954F366}: NameServer = 212.151.136.246 212.151.137.166  Effacer si l’IP ou le domaine '212.151.136.246 212.151.137.166' ne vous est pas connu.  
 
  O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\  
 
 
Dois-je supprimer ces lignes depuis Hijackthis?  
Est-ce réversible avec hijackthis ou pas?
 
merci

hercplgs.cpl est ta carte son Hercules. WgaLogon est windows genuine advantage qui vérifie si ta version est bien valide.
 
Pour ce qui de la clé O17, je te conseille de l'effacer!  
 

 
Tu diras aurevoir de ma part à ton worm?

bigre Ogaby tu es sur tous les fronts !
 
peut-etre que la redirection est légitime? non? 212.151.136.246 redirigé en 212.151.137.166 ?
je me demande de toute façon quelle peut en etre l'incidence en rapport avec mon problème.
 
mais ok je fais le ménage on verra bien!
 
 
Edited: euh au fait je n'ai pas de carte son (son intégré à ma mobo)

Quand tu parlais d'éventuels problèmes de ports et que ce virus cherchait à s'installer sur IE, j'ai pensé à un activeX douteux. Et c'est pour ca que je t'ais demandé de regarder avec hijackthis.
 
Peut-être que l'entrée est légitime mais ca m'étonnerais vraiment. Un worm qui cherche à se mettre sur IE et en plus une entrée sur Hijackthis qui dit que ce genre de services est utilisé par des pirates. Ca fait beaucoup. Et pour moi c'est bien la source de ton problème.
Tu peux regarder également dans IE menu outil->modules complémentaires. Là il y a la liste des ActiveX. Ils sont normalement signés c'est à dire que tu vois le nom de la société. Exemple Windows, Sun, etc... Si il n'y en a pas désactive l'activeX.
 
PS: si t'as du son, tu as forcément une carte son. Si elle est intégrée à ta carte mère, elle existe tout de même.

bravo!!!  
 
Spybot ne m'affiche plus l'alerte de tentative de modif de la barre IE
 
(en fait j'ai fixé les 3 clés que j'avais listé)
 
je me demande ce qui ce se serait passé si Spybot n'avait pas bloqué la modif registre?
(notons que spyware doctor n'a rien détecté lui)
 
toutefois je me demande comment le détournement DNS a pu avoir lieu???
 
il reste à voir dans les semaines à venir si le worm delph détecté périodiquement dans Volume information système revient ou pas.. car comment se fait il qu'un exe soit tout de meme de temps en temps infecté par ce worm si celui-ci n'a pas pu modifié la clé d'IE... suis un peu largué
 
 
P.S. je ne sais pas s'il y a un problème de port à vrai dire, c'est moi qui me posait la question (et je me la pose tjrs car je ne sais pas pquoi les ports listés sur mon autre topic sont-ils en listenning (à savoir 135, 445, 139, 1026, 10110, ...)

j'ai regardé pour les activeX, et voici la liste de ceux qui n'ont pas d'éditeurs renseignés:
 

Les 2 premiers sont pour une toolbar d'adobe. Elle n'est pas vraiment dangereuse mais ca apporte de la pub. Une alternative à Adobe PDF est foxit reader qui est bien plus rapide.
Pour les 2 autres, je suppose que c'est pour msn.