[résolu]mon rapport hijackthis (help plz :( )

[Invité Diana]

Bon mégataupe, Jack, en verra at tomorrow !

[donnie]

Désolé Jack, j'ai un peu mixé les différentes procédures

 

Je vais le refaire correctement.

 

Pour infos, je n'utilise QUE firefox, à bas IE !!!!!!!!

 

Je n'ai pas de firewall non...

 

Faut-il que j'en active un ? ou puis-je me débarrasser des trojans sans ?

 

Je tente de ce pas la procédure de Jack.

[Invité Diana]

Ou la la,

 

la procedure d'eradication se fera lorsque tu auras installé un firewall !

 

Sinon c une vie sans fin !

 

On vas effacer les bebetes de ta machine, mais la porte d'internet est grande ouverte....

donc il faut la fermé ! sinon il y en a dautres qui rentre !

 

Ta priorité actuelle c d'installer un firewall

 

voici le lien, Zone Alarme, la version gratuite :

 

http://download.zonelabs.com/bin/free/3301..._60_667_000.exe

 

Ensuite tu iras dans l'onglet Parfeu, et tu mets tout à élevé.

 

lorsque Zone Alarme t'avertira que quelquechose veut sortir comme FireFox tu dis oui !

 

mais pour toutes les betetes citées plus haut tu dis non, et si tes pas sur tu postes !

 

Il faut que ton pc soit hermétique !

Modifié le 22 septembre 2005 par Diana

[donnie]

Je ne peux pas lancer l'installation de zone alarm, j'ai le message d'erreur suivant :

 

"Validation failed for C:\DOCUME~1\donnie\LOCALS~1\Temp\VSINIT.dll. You probably are missing a necessary root certificate."

 

Sinon j'ai fait la procédure de Jack.

 

Je n'ai pas pu supprimer "C:\WINDOWS\System32\netddesrv.exe", même en mode sans échec, le fichier était utilisé (j'ai tenté de terminer le processus, mais rien à faire il se relançait tout seul quand je le terminais).

 

Voici mon log hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:52:03, on 01/01/2002

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\netddesrv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Program Files\HiJackThis\HijackThis.exe

C:\WINDOWS\system32\kyacga.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[megataupe]

Bonjour Donnie. Si ça coince avec ZA, tu peux essayer d'installer Kerio :

 

-Kerio (téléchargement et tutorial)

 

http://babin.nelly.free.fr/kerio.htm

[Jack_Burton]

Bonjour a tous

 

Tu as éliminé certaines vermines mais au passage tu en as de nouvelles.

 

Je n'ai pas pu supprimer "C:\WINDOWS\System32\netddesrv.exe", même en mode sans échec, le fichier était utilisé (j'ai tenté de terminer le processus, mais rien à faire il se relançait tout seul quand je le terminais).

 

Ok j ai pris note, on va se servir d un programme afin de "tuer" ce processus de force.

 

1/ Télécharge Killprocess

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Lance Killprocess et "kill" les processus suivant :

-firewall.exe

-ftp.exe

-netddesrv.exe

-ftp.exe

-kyacga.exe

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous si elles s y trouvent encore (car Killprocess a du stopper ces processus, donc ne devraient plus apparaitre)

 

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

 

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows :

 

-C:\WINDOWS\System32\firewall.exe

-C:\WINDOWS\system32\ftp.exe

-C:\WINDOWS\System32\netddesrv.exe

-C:\WINDOWS\system32\kyacga.exe

 

6/ Nettoyage manuel des vers dans la base de registre :

 

Tu vas dans "Démarrer" puis "Exécuter", tape regedit et va successivement à :

 

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-[Windows Network Firewall]<--- supprime si présent

- [Configuration Loader] scvhost.exe<---- supprime si présent

 

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

-[Configuration Loader] scvhost.exe<---- supprime si présent

 

Ferme ensuite le registre.

 

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié le 23 septembre 2005 par Jack_Burton

[Invité Diana]

Salut Jack,

 

je pense que d'essayer de les éliminer c une perte de temps car à chaque fois il y en aura des nouveaux.

 

la priorité c le firewall, sinon on va se décarcassé pour rien !

[Invité Diana]

Bonjour Donnie. Si ça coince avec ZA, tu peux essayer d'installer Kerio :

 

-Kerio (téléchargement et tutorial)

 

http://babin.nelly.free.fr/kerio.htm

576758[/snapback]

 

oui essaie celui là Donnie !

[donnie]

Salut à tous

 

Je vais essayer d'installer Kerio sur le conseil de Megataupe, et ensuite je testerai la procédure de Jack.

 

Merci encore pour votre aide

[Jack_Burton]

Pas d accord avec toi Diana, si on laisse des trojans a l intérieur du systeme cela peut désactiver les protections (y compris parfeu) donc il faut les supprimer.

 

Il est vrai néanmoins qu elle devrait installer un parfeu pour éviter d en avoir davantage a chaque fois.

Modifié le 23 septembre 2005 par Jack_Burton