Demande d'analyse de HijackThis

[Jack_Burton]

Bonjour a tous,

 

Une petite remarque Tornado, les lignes 023 d un rapport hijackthis représentent des services. Il ne faut pas simplement les fixer. Il faut également stopper les services en question en effectuant cette manip par exemple :

Dans le menu Demarrer>Executer >tape: services.msc

 

Recherche le service avec cette orthographe exacte:

- nom du service a arreter

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

Bonne continuation

Modifié le 5 février 2006 par Jack_Burton

[tornado]

Salut jack, liégeois,

 

Une petite remarque Tornado, les lignes 023 d un rapport hijackthis représentent des services. Il ne faut pas simplement les fixer. Il faut également stopper les services en question en effectuant cette manip par exemple :

 

Ouep, j'avais oublié Merci.

 

Sinon, zarbi, pour ton rapport, je peux pas dire grand chose pour l'instant.. virtumonde est parti mais pas Winfixer. J'attens avec impatience ton nouveau rapport hijack après avoir effectué le reste de la procédure...

 

Juste une chose: après avoir fixer les lignes, stoppe ces services comme Jack burton me l'a préconisé:

 

-fwnet64

-Microsoft Background Intelligent Transfer Update Version 2.0

-MicroSoft Media Tools

-Chong3 Me

-Network System Driver

-Word Process

-Microsoft Network Service

-Remote Administrator Service

-XP Backup

-Windows Logon

-WindowsNod

Modifié le 5 février 2006 par tornado

[Zarbi]

Hello,

Déjà au boulot ? Je pensais que vue l'heure tardive du dernier post, tu étais en ligne plutôt le soir... Jour et nuit ! Quelle perf !

 

Me voilà donc avec la suite.... et je dois reconnaître que je n'ai pas bien compris votre histoire de service qui ne doivent pas qu'être fixé, mais stoppé (c'est quoi la différence ?)...

 

Pour les corrections que j'ai apportées, voici me remarques, dans le rapport de Hijackthis, certaines lignes avaient déjà disparu, j'ai imaginé que c'était plutôt bon signe. Idem pour certains des fichiers que tu me demandais de supprimer. Par contre, il y en a deux :

 

c:\windows\mswinpad.exe et

c:\windows\msnet32.exe

 

que je vois, mais je n'arrive pas à les supprimer. J'ai essayé de les renommer pour pouvoir les détruire, pas possible non plus. Leur icône est en grisé et impossible à détruire...

 

Pour VirtumondeBegone, m'étonne pas que ça n'ait pas marché, car ça a été très vite. Je l'ai fait en mode sans échec, je n'aurai peut-être pas dû ? Par contre, il m'a généré un rapport, si ça peut t'aider... je l'ai sauvegardé. Au besoin je te le mets. Redis-moi.

 

Voici le Hijackthis en l'état après toute la procédure que tu m'as décrite (sans la dernière remarque des services que je n'ai pas trop comprise).

 

Logfile of HijackThis v1.99.1

Scan saved at 14:19:27, on 05.02.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\Program Files\MediaGateway\MediaGateway.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\drivers\etc\dlls\s.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\drivers\etc\dlls\explorer.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\mswinpad.exe

C:\WINDOWS\msnet32.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\HCBuff\Bureau\Utilitaires\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ch\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ch\msntb.dll

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [DGam prosessor] rbldnvx.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\RunServices: [DGam prosessor] rbldnvx.exe

O4 - HKLM\..\RunServices: [Telnet24] nrbfxxim.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Microsoft Background Intelligent Transfer Update Version 2.0 (MBIT) - Unknown owner - C:\WINDOWS\system32\msbitsec.exe (file missing)

O23 - Service: Chong3 Me (MlCR0SOFTS UPDATEe) - Unknown owner - C:\WINDOWS\N0rtan.exe (file missing)

O23 - Service: Network System Driver (MSNET) - Unknown owner - C:\WINDOWS\system32\msnetdrv.exe (file missing)

O23 - Service: Word Process (msproc) - Unknown owner - C:\WINDOWS\mswinpad.exe

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\dllcache\jusched.exe" /service (file missing)

O23 - Service: XP Backup (Smart XP) - Unknown owner - C:\WINDOWS\smtxp.exe (file missing)

O23 - Service: Windows Logon (winlog) - Unknown owner - C:\WINDOWS\winlog.exe (file missing)

O23 - Service: WindowsNod (WinNod) - Unknown owner - C:\WINDOWS\winnod.exe (file missing)

 

 

 

Salut jack, liégeois,

 

 

 

Ouep, j'avais oublié

 

Sinon, zarbi, pour ton rapport, je peux pas dire grand chose pour l'instant.. virtumonde est parti mais pas Winfixer. J'attens avec impatience ton nouveau rapport hijack après avoir effectué le reste de la procédure...

[tornado]

Re,

 

Pour les fichiers récalcitrants, supprime les en mode sans échec:

 

-C:\WINDOWS\mswinpad.exe

-C:\WINDOWS\msnet32.exe

- nrbfxxim.exe

- MSWSA32.exe

 

 

Sinon, j'aimerais tu fasses scanner ce fichier : "rbldnvx.exe" avec le viruscan de Jotti. ---> http://virusscan.jotti.org/

-Fais "parcourir", puis recherche le fichier sur le Disque dur (surement dans C:\windows ou C:\windows\system32) puis "submit"

-Colle le rapport

 

 

 

Pour les services, fais comme Jack te l'a dit, hijackthis n'est pas censé les arrêter (un oubli de ma part).

Modifié le 5 février 2006 par tornado

[Zarbi]

Hello,

Pour les services, c'est ok je les ai désactivés.

Pour les fichiers récalcitrants, j'ai pu supprimer les deux premiers, les deux autres impossibles de les trouver sur mon ordi (j'ai cherché manuellement puis avec la fonction rechercher, il ne trouve rien).

 

Par contre, j'ai fait un msconfig (oui, car entre deux, je n'ai plus de connexion internet sur l'ordi fixe (là je suis sur le portable)), et j'ai vu quand dans "démarrage", j'avais les fichiers suivants qui étaient inscrits :

- type 32

- rblndnvx

- MediaGateway

- zango

- ctfmon

- MSWSA32

- BTTray

- Microsoft Office

 

Alors pendant que j'essaie de réparer la connexion internet histoire de scanner le fichier rbldnvx.exe, peux-tu me dire si c'est normal que ces fichiers que je ne trouve pas sur le PC se trouvent dans les fonctions de démarrage de mon PC ???!!!!

 

A+

 

Re,

 

Pour les fichiers récalcitrants, supprime les en mode sans échec:

 

-C:\WINDOWS\mswinpad.exe

-C:\WINDOWS\msnet32.exe

- nrbfxxim.exe

- MSWSA32.exe

Sinon, j'aimerais tu fasses scanner ce fichier : "rbldnvx.exe" avec le viruscan de Jotti. ---> http://virusscan.jotti.org/

-Fais "parcourir", puis recherche le fichier sur le Disque dur (surement dans C:\windows ou C:\windows\system32) puis "submit"

-Colle le rapport

Pour les services, fais comme Jack te l'a dit, hijackthis n'est pas censé les arrêter (un oubli de ma part).

[Apollo]

Re Zarbi,

 

Dans le message#7, Tornado te donnait ce conseil; l'as-tu suivi avant de faire tes recherches?

 

(active au préalable l'option d'affichage des fichiers cachés dans le poste de travail) :

[Zarbi]

Hello,

Oui, ça c'est tout bon...

C'était également indiqué dans la procédure préliminaire à suivre avant de demander de l'aide...

 

Par contre, là je sèche sur la connexion internet. L'icone en bas à droite m'indique qu'il y a une connexion qui fonctionne. Si je clique sur "réparer", il me dit que la procédure de renouvellement de l'adresse IP a échoué et que je dois contacter mon administrateur réseau (elle est bien bonne...).

 

J'y retourne...

A+

Zarbi

 

 

Re Zarbi,

 

Dans le message#7, Tornado te donnait ce conseil; l'as-tu suivi avant de faire tes recherches?

[Zarbi]

Hello, Tornado, un gros souci, je viens de rallumer le pc fixe et ça fait 10mn qu'il tourne dans le vide et que je ne peux strictement rien faire dessus...

 

Tu as un indice ?

 

A+

Zarbi

[tornado]

Hello, Tornado, un gros souci, je viens de rallumer le pc fixe et ça fait 10mn qu'il tourne dans le vide et que je ne peux strictement rien faire dessus...

 

 

Tu pourrais préciser ce qui se passe exactement ?

 

Essaie de l'éteindre puis de le rallumer...

 

 

Pour le fichier rbldnvx.exe, as tu fait ceci avant de le rechercher (dans " poste de travail"):

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Modifié le 5 février 2006 par tornado

[Zarbi]

Hello,

Alors bon, ma connexion internet ne fonctionne toujours pas, mais de toute façon je ne trouve absolument pas le fichier rbldnvx.exe sur mon disque. Donc je ne pourrais pas l'analyser avec la fonction en ligne...

 

Tu as une autre idée ?

 

A+

Zarbi

 

Précision : lorsque je t'envoyai les rapports, c'était à partir du portable (plus simple avec les différents redémarrage du fixe), donc je ne sais pas depuis quand la connexion internet ne fonctionne plus.

 

Ce qui est bizarre, c'est que la connexion au réseau local est indiquée comme excellente (100Mb/s) mais impossible d'utiliser internet. Ma connexion est la suivante : ADSL arrive sur modem, le signal repart sur une boîte Wireless (pour le portable) et le fixe est connecté avec un câble RJ45 sur la boîte du wireless.

 

Mais comme précisé dans ma dernière réponse, de toute façon, je ne trouve pas le fichier en question...

 

 

 

Tu pourrais préciser ce qui se passe exactement ?

 

Essaie de l'éteindre puis de le rallumer...