Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Demande d'analyse rapport Hijackthis


Messages recommandés

ok y a du boulot! Procède comme ceci stp >

 

Tout d'abord, tu n'as pas copié l'intégralité du rapport Vundo.txt, du coup je ne sais pas exactement ce qui a été éliminé!

il y a des infos importantes sous la rubrique > Beginning removal...

Poste l'intégralité stp dans ton prochain message.

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire :P

Tu as deux possiblités pour consulter les instructions qui suivent >

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Demande d'analyse rapport Hijackthis (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

Si tu n'as accès qu'au mode sans échec avec prise en charge du réseau, débranche ta connexion avant de faire les manipulations.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

1) Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com

 

O2 - BHO: (no name) - {3F9ADD15-646F-44B2-AB4C-71BAD1F7B3CA} - C:\WINDOWS\System32\hggdb.dll (file missing)

O2 - BHO: (no name) - {66B134E4-7952-4093-A2F3-C7CAAF2E5674} - C:\WINDOWS\System32\ikasgvoj.dll

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\widlhmvw.dll (file missing)

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\awtqnkh.dll (file missing)

 

O4 - HKLM\..\Run: [clcl3] C:\WINDOWS\System32\clcl3.exe

O4 - HKLM\..\Run: [MSN MESSENGER 9.0] messengerr.exe

O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\System32\kcsjjmqv.dll",setvm

O4 - HKLM\..\Run: [Office Monitors] C:\WINDOWS\System32\GoogleUpdater.exe

O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe

O4 - HKLM\..\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe

O4 - HKLM\..\RunServices: [MSN MESSENGER 9.0] messengerr.exe

O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe

O4 - HKCU\..\Run: [MSN MESSENGER 9.0] messengerr.exe

O4 - HKCU\..\Run: [Office Monitors] C:\WINDOWS\System32\GoogleUpdater.exe

O4 - HKCU\..\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe

 

O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

2) Télécharger The Avenger par Swandog46 sur votre Bureau.

  • Click sur Avenger.zip pour ouvrir le fichier
  • Extraire avenger.exe sur votre bureau
  • Copier tout le texte de la boîte ci-dessous(sans le mot "code") : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\Windows DLLISP Service

Files to Delete:
C:\WINDOWS\System32\ikasgvoj.dll
C:\WINDOWS\System32\kcsjjmqv.dll
C:\WINDOWS\system32\mszsrn32.dll
C:\WINDOWS\System32\qmedia.exe
C:\WINDOWS\System32\clcl3.exe
C:\WINDOWS\System32\messengerr.exe
C:\WINDOWS\dllisp.exe

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3) Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  • Cliquer Done
  • ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5) Redémarre ton pc impérativement en mode sans échec

 

6) Relance SDFix comme précédemment >

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt

7) Redémarre normalement et poste les rapports suivants >

 

-le rapport de SDFix nommé Report.txt

-le rapport de The Avenger nommé C:\avenger.txt et qui se situe dans C:\

-un nouveau rapport hijackthis

-lance ce scan rapide >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

Allez, courage!! suis bien les indications dans l'ordre stp, et poste tous les rapports en entier (utilise deux messages pour le faire s'il le faut!)

N'oublie pas qu'il faut désinstaller un des deux antivirus présents sur ton pc!!(Antivir ou Avast)

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Bonjour ,

 

Cette fois c'est le desespoir total, je ne peux plus du tout me connecter au Net de la maison.

 

- J'ai bien retrouvé l'intégralité du rapport Vundo.txt ( ca a été une erreur de collage)

 

1° ( en mode sans echec)-J'ai appliqué la procédure de nettoyage Hijackthis comme indiqué tout a été ok.

 

2° ( en mode sans echec) j'ai du faire cette procédure 2 fois car la premiere fois j'ai eu un message me disant qu'il etait impossible de créer un fichier log (en fait j'avais bien une fenetre bloc note ouverte mais vide) la seconde fois cela a fonctionner! lorsque le pc a redemarrer il s'est mis en mode normal je suppose que c'est "normal". Ah j'oubliai pendant que

 

3° Ok

 

4° Ok

 

5° J'ai redémarré en sans echec

 

6° La tout se complique, j'ai procédé en suivant les instructions tout s'est apparement bien passé,mais j'ai dû m'y reprendre a 3 fois car pendant le process de nettoyage j'avai des interventions d'Antivir qui me trouvait des virus par dizaines (que j'ai mis en quarataine) puis par deux fois j'ai un fenetre "arret du systeme qui interrompait mes actions en cours)mais bon j'ai pas perdu patience et je suis arrivée a la fin.

 

par contre au redémarrage: catastrophe...les icones s'affichent, mais le curseur souris reste en sablier, j'essaie douvrir le fichierSDfix pour poster le rapport de SDFix nommé Report.txt

impossible d'ouvrir ce fichier...et là j'ai plein de fenetre qui s'ouvre me disant que l'application bla bla bla .dll n'a pu s'installe etc....

 

Je redémarre donc en mode sans echec et ensuite normal plus rien!!!!

Impossible de me connecter à internet!!!

 

de plus j'ai un fichier bizarre .exe sur mon bureau (je suis désolée j'ai oublié le nom et là suis au travail)

 

J'ai l'impression que mon pc est bien atteint cette fois.

 

Ne vaudra t'il mieux pas formater?

 

Merci Charles

Lien vers le commentaire
Partager sur d’autres sites

salut :P

 

vassilia, je suis vraiment désolé pour ce qui arrive! le pc étant bien infecté, il arrive que la connexion saute!!

 

Je te demandais de faire les manipulations en mode sans échec, mais seulement à partir de l'étape 5 !! (après avoir fait le script Avenger, et l'avoir exécuté en mode normal).

 

6° La tout se complique, j'ai procédé en suivant les instructions tout s'est apparement bien passé,mais j'ai dû m'y reprendre a 3 fois car pendant le process de nettoyage j'avai des interventions d'Antivir

Tu ne devait pas avoir d'intervention d'Antivir, parce qu'en mode sans échec il ne se lance pas!!A moins que tu l'ais lancé toi même ?

 

Tu n'as pas fini ta phrase (ce que tu voulais dire) dans ton "option 2" !! > "Ah j'oubliai pendant que " : qu'as tu noté de particulier?

 

Pour ce qui est de ta connexion qui ne fonctionne plus, fais ceci >

 

Passe par Démarrer> Exécuter et tape cmd puis clique sur [OK]

 

Copie/colle ceci dans la fenetre noire :

netsh winsock reset catalog

> valide par la touche [entrée]

 

Redémarre le pc : si tu as récupéré ta connexion, poste les rapports dans ton prochain message.

 

Ce serait dommage de formater...! En tout cas félicitations pour ta patience , ne lâche pas , j'ai bon espoir : le rapport DiagHelp nous en dira plus.:P

 

EDIT: désolé, mmais je n'avais pas fait gaffe de suite > ton Windows n'intègre pas le service Pack 2, aussi la commande ne fonctionnera pas :P Si tu en as la possibilité, télécharge depuis un autre pc ce petit utilitaire (léger) sur une clé usb (par ex) > WinSock XP Fix de Option Explicit

Tu le met sur le bureau, puis tu double cliques sur son icône (une croix rouge) > clique ensuite sur le bouton "Fix" puis quitte le programme. Redémarre le pc et dis moi si c'est bon.

Courage :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Bonjour :P

 

Decidement je t'aurai embêté Charles!!!

 

En fait j'ai tout fait en mode sans echec, mais Antivir s'est manisfesté car lorsque le pc a redémarrer il la fait en mode normal, dou l'intervention d'antivir.

 

Dans l'option 2 je voulais parler de ce fichier bizarre qui s'est install sur mon bureau: en fait j'ai noté il s'agit de: knwckrwl.exe

 

Ce matin j'ai refait un Hijackthis parce que là apparement j'ai chopé une qté de virus considérable, même Windows m'alerte que le système est atteint par un virus argh!!!!!

Donc dan sle rapport une ligne me paraissait suspecte

O4 - HKLM\..\Run: [juwoumxx] C:\fjgyqirr.bat]

Je me suis prise pour merlin l'enchanteur là alors j'ai fait Fix dessus.

 

 

 

J'ai pu noté le message qui apparait à l'ouverture et fermeture du pc:

Application n'a pas pu etre terminée ou initialisée: dwwin.exe

 

Sinon j'ai encore plein d'intervention de mon anitvirus mais lorsque je veux mettre en quarantaine ou supprimer

On me dit que la zone de quarantaine n'est pas actif

ou

pour réparer: ne peut pas acceder au fichier car il est utiliser par une autre application.

 

Voilou voilou bon je vais tenté de faire les taches que tu m'as conseillé et posterai les rapports si tout va bien

 

En tout cas merci de ton aide et patience :P

Lien vers le commentaire
Partager sur d’autres sites

salut vassilia

 

De rien :P accroche toi, on va y arriver :P Si tu récupères ta connexion, poste les rapports de DiagHelp, SDFix et Avenger stp.

 

Il va falloir installer un parefeu d'urgence!!>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

Tu te souviens, je t'ai demandé de désinstaller un des deux antivirus!! c'est très important, parce que les deux programmes sont en train de se gêner > conserve soit Antivir, soit Avast.

Profites en pour faire un scan complêt de ton pc en mode sans échec avec Antivir (conserve le rapport).

@+ tard pour la suite :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...