Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

donnie

[résolu]mon rapport hijackthis (help plz :( )

Messages recommandés

Désolé Jack, j'ai un peu mixé les différentes procédures :P

 

Je vais le refaire correctement.

 

Pour infos, je n'utilise QUE firefox, à bas IE !!!!!!!!

 

Je n'ai pas de firewall non...

 

Faut-il que j'en active un ? ou puis-je me débarrasser des trojans sans ?

 

Je tente de ce pas la procédure de Jack.

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité Diana

Ou la la, :P

 

la procedure d'eradication se fera lorsque tu auras installé un firewall !

 

Sinon c une vie sans fin !

 

On vas effacer les bebetes de ta machine, mais la porte d'internet est grande ouverte....

donc il faut la fermé ! sinon il y en a dautres qui rentre ! :-(

 

Ta priorité actuelle c d'installer un firewall :P

 

voici le lien, Zone Alarme, la version gratuite :

 

http://download.zonelabs.com/bin/free/3301..._60_667_000.exe

 

Ensuite tu iras dans l'onglet Parfeu, et tu mets tout à élevé.

 

lorsque Zone Alarme t'avertira que quelquechose veut sortir comme FireFox tu dis oui !

 

mais pour toutes les betetes citées plus haut tu dis non, et si tes pas sur tu postes ! :-P

 

Il faut que ton pc soit hermétique !

Modifié par Diana

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne peux pas lancer l'installation de zone alarm, j'ai le message d'erreur suivant :

 

"Validation failed for C:\DOCUME~1\donnie\LOCALS~1\Temp\VSINIT.dll. You probably are missing a necessary root certificate."

 

Sinon j'ai fait la procédure de Jack.

 

Je n'ai pas pu supprimer "C:\WINDOWS\System32\netddesrv.exe", même en mode sans échec, le fichier était utilisé (j'ai tenté de terminer le processus, mais rien à faire il se relançait tout seul quand je le terminais).

 

Voici mon log hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:52:03, on 01/01/2002

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\netddesrv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Program Files\HiJackThis\HijackThis.exe

C:\WINDOWS\system32\kyacga.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour a tous

 

Tu as éliminé certaines vermines mais au passage tu en as de nouvelles.

 

Je n'ai pas pu supprimer "C:\WINDOWS\System32\netddesrv.exe", même en mode sans échec, le fichier était utilisé (j'ai tenté de terminer le processus, mais rien à faire il se relançait tout seul quand je le terminais).

 

Ok j ai pris note, on va se servir d un programme afin de "tuer" ce processus de force.

 

1/ Télécharge Killprocess

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Lance Killprocess et "kill" les processus suivant :

-firewall.exe

-ftp.exe

-netddesrv.exe

-ftp.exe

-kyacga.exe

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous si elles s y trouvent encore (car Killprocess a du stopper ces processus, donc ne devraient plus apparaitre)

 

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

 

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows :

 

-C:\WINDOWS\System32\firewall.exe

-C:\WINDOWS\system32\ftp.exe

-C:\WINDOWS\System32\netddesrv.exe

-C:\WINDOWS\system32\kyacga.exe

 

6/ Nettoyage manuel des vers dans la base de registre :

 

Tu vas dans "Démarrer" puis "Exécuter", tape regedit et va successivement à :

 

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-[Windows Network Firewall]<--- supprime si présent

- [Configuration Loader] scvhost.exe<---- supprime si présent

 

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

-[Configuration Loader] scvhost.exe<---- supprime si présent

 

Ferme ensuite le registre.

 

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité Diana

Salut Jack,

 

je pense que d'essayer de les éliminer c une perte de temps car à chaque fois il y en aura des nouveaux.

 

la priorité c le firewall, sinon on va se décarcassé pour rien ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Pas d accord avec toi Diana, si on laisse des trojans a l intérieur du systeme cela peut désactiver les protections (y compris parfeu) donc il faut les supprimer.

 

Il est vrai néanmoins qu elle devrait installer un parfeu pour éviter d en avoir davantage a chaque fois.

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...