Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport HJT d'alexou59

ipl_001

Par ipl_001
dans Analyses et éradication malwares

 Partager

Messages recommandés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Tu transpires Charles et je compatis à ta douleur car, mon tour viendra :P . Celui là est légitime (je me mouille :-( ) même si on ne l'apprécie pas :

 

Name: MSMSGS

Filename: msmsgs.exe

Description: Windows Messenger utility. If you don't use Windows Messenger, this can be annoying. Available via Start -> Programs. Go to Windows Messenger > Tools > Options > Preferences and uncheck "Run this program when Windows starts"

File Location: Unknown

Startup Type: Currently being identified.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

http://www.auditmypc.com/process/msmsgs.asp

 

Tu transpires Charles et je compatis à ta douleur car, mon tour viendra

 

:P tu m'étonnes,je savais que c'était du boulot ;et quand on a pas l'expérience!

 

En ce qui concerne msmsgs j'ai vu plusieurs fois des infos qui en parlent en mal :-(

 

=>http://www.auditmypc.com/process/msmsgs.asp

 

mais il doit y avoir une subtilité qui m'échappe!(il ne doit pas s'agir du même msmgs).

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

alors d'un côté on nous parle de"W32.Alcarys.B/G@mm Worm" pour "msmgs.exe"

 

mais chez Audit my pc.com ils parlent carrément de "msmsgs.exe" et l'apparentent à

 

"Agobot-Nl Worm" .Dans le doute je m'abstiendrais de l'éliminer:lol:

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Rebonsoir alexou59, rebonsoir à tous,

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

- Media Gateway

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

 

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenpn32.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [5f5icdhu] C:\WINDOWS\System32\5f5icdhu.exe

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/default.cab?uid=9&id=5...=3&start=050630

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorarteur Windows :

--- C:\windows\system32\elitenpn32.exe

--- C:\WINDOWS\System32\5f5icdhu.exe

--- C:\Program Files\Media Gateway\MediaGateway.exe (supprime le dossier)

--- xpjava.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Rebonsoir charles ingals, megataupe, rebonsoir à tous,

 

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background est à sa place, dans son répertoire habituel : pas de problème !

 

C'est lorsqu'il se trouve ailleurs (system32) qu'il faut froncer les sourcils !

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

j'ai encore des progrès à faire au niveau de la présentation on dirait :P est ce que ce

 

que j'ai posté te parrais convenable ipl?

 

édit:merci pour l'info sur msmsgs.exe:tout dépend de l'emplacement en fait!

(ipl , tu es pire que moi!je viens seulement de voir ton ajout concernant les lignes 016!!)

Modifié par charles ingals
ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Re,

 

Quelques commentaires :

j'aimerai beaucoup ipl, mais je ne sais pas vraiment quels outils lui conseiller pour se

 

débarrasser de ces saletés!!

Pourquoi un outil spécial ? HijackThis et l'Explorateur Windows feront l'affaire !
Je viens de lire ton post donc voilà:

alexou59,stp ,imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

Redémarre l'ordinateur en mode sans échec.

 

tu vas sur:

 

HijackThis -> Open the misc tools section -> Open Process Manager

 

tu sélectionnes: C:\Program Files\Media Gateway\MediaGateway.exe  et clic sur

 

killprocess

Pourquoi un cas particulier pour MediaGateWay.exe ?
Clique sur Back puis Scan... et coche ces lignes :

 

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

 

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenpn32.exe

 

O4 - HKLM\..\Run: [5f5icdhu] C:\WINDOWS\System32\5f5icdhu.exe

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/default.cab?uid=9&id=5...=3&start=050630

 

Fais Fix Checked.

N'oublie pas de faire fermer les autres fenêtres (il n efaut pas qu'IE soir ouvert !)
Supprime les fichiers/dossiers incriminés (s'ils existent encore):

 

C:\windows\system32\elitenpn32.exe

 

C:\WINDOWS\System32\5f5icdhu.exe

 

C:\Program Files\Media Gateway\MediaGateway.exe

Pour celui là, fais supprimer tout le dossier (auparavant, je demande de désinstaller dans Ajout-Suppression de programmes -lorsqu'il y a Program Files-)
- Assures-toi que tu as accès aux fichiers cachés.

- Explorateur windows->outils->options des dossiers->affichage

"Afficher les fichiers cachés"->coché

"Masquer les extensions.."->décoché

"Masquer les fichiers protégers du système"->décoché

Là c'est trop tard ! C'est avant la suppression des fichiers par l'Explorateur qu'il faut faire afficher tous les fichiers !
- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

ipl se tire t'il les cheveux? :P

 

Pas mal !

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)
N'oublie pas de faire fermer les autres fenêtres (il n efaut pas qu'IE soir ouvert !)

 

tu vas dire que je pinaille,mais on fais bien tout ca en mode sans échec sans prise en

 

charge du réseau?

 

Pas mal !

 

merki :-P c'est une première pour moi! En tout cas je te dis un grand merci pour avoir pris

 

le temps de m'expliquer ces subtilités , c'est vraiment interressant.Vu ce que ca m'a

 

pris , j'imagine (même s'il ne vous faut pas 2 heures de recherche comme

 

moi!!) le temps que vous sacrifiez !!

:P:-(:-P

 

allez je vais aller me racheter 2,3 neurones, bonne nuit les zamis.

Modifié par charles ingals
ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)
tu vas dire que je pinaille,mais on fais bien tout ca en mode sans échec sans prise en

 

charge du réseau?

Tu as raison ! c'est en mode sans échec et sans prise en charge du réseau... et donc, pas besoin de parler de fermeture d'IE ! LOL Bien joué !
merki :-P c'est une première pour moi! En tout cas je te dis un grand merci pour avoir pris

 

le temps de  m'expliquer ces subtilités , c'est vraiment interressant.Vu ce que ca m'a

 

pris , j'imagine (même s'il ne vous faut pas 2 heures de recherche comme

 

moi!!) le temps que vous sacrifiez !!

:P  :-(  :-P

De rien charles ingals ! C'est très gratifiant lorsqu'un internaute infecté nous dit "merci" et j'aimerais que beaucoup connaissent ces satisfactions !

Sur PC Astuces (j'ai développé le forum Sécurité là-bas pendant 6 mois), j'avais rédigé un long document d'une cinquantaine de pages en une semaine de vacances et les membres suivaient jour après jour ; ensuite, on avait organisé des formations à l'analyse de rapports HijackThis ! :-P

allez je vais aller me racheter 2,3 neurones, bonne nuit les zamis.
Bonne nuit à tous !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...