Pcinf     Assistance Pc Matériel Logiciel et Système     "Forum Informatique d'aide en ligne"
Touch'à Tout Pro Entretien de baliment et Locaux, Nettoyage de batiment et locaux, Espaces Verts, Lyon 69, Bourg 01, Villefranche 69, Macon 71
 

 
Web Pc-Informatique.net
                                        Recherche sur le ForumRecherche sur le Forum    Groupes d'utilisateursGroupes d'utilisateurs   InscriptionInscription         

Votre ProfilVotre Profil   Vérifier ses messages privésVérifier ses messages privés   Se connecterSe connecter    FAQ du forumFAQ du forum
PC-Informatique.net     tutoriaux
 
Sécurité Internet aide en ligne logiciel gratuit       Aide au Référencement      Dossier sur la sécurité Wi-fi : WEP, WPA...       Tuto VNC 4.1.1       Réencoder des .AVI et couper vos films       Activation désactivation de WGA Windows genuine advantage       Partage de connexion Internet       Installation de Mandriva Linux    Construction dune base de données MySQL Créer un formulaire et récupérer les données  _
 

    Le Site   TV ce soir  Météo  Cartes virtuelles gratuites  Sudoku  Contact Admin  Faire un lien  Calendrier 2011

Aide à l'analyse HiJack This

 
Poster un nouveau sujet   Répondre au sujet    Forum Pcinf retour aux Forums -> Sécurité Informatique
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
bi1sa
Rank Pr 12
Rank Pr 12


Inscrit le: 15 Juin 2008
Messages: 4

MessagePosté le: Dim Juin 15, 2008 8:11 pm    Sujet du message: Aide à l'analyse HiJack This Répondre en citant

Bonjour à tous.

Depuis quelques temps, mon ordinateur me pose des problèmes :
je reçois intempestivement des messages envoyés par le service des messages m'invitant à me rendre sur registerycleanerxp.

De plus, mon antivirus (Antivir) me signale la présence de fichiers infectés mais qu'il ne semble pas capable de supprimer...

J'ai donc lancé hijackthis mais je ne sais pas l'analyser. Je me suis rendu sur www.hijackthis.de/fr mais je ne fais pas trop confiance au robot.

Merci donc de me guider afin que je n'endommage pas mon ordinateur.

Je vous en remercie par avance.

Cordialement
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
bi1sa
Rank Pr 12
Rank Pr 12


Inscrit le: 15 Juin 2008
Messages: 4

MessagePosté le: Dim Juin 15, 2008 8:12 pm    Sujet du message: Répondre en citant

J'ai oublié de vous fournir le code... Désolé

_____________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:20, on 15/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Documents and Settings\Corinne\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1CAF9CA1-F4E5-41BD-9730-361A3B316A53} - C:\WINDOWS\System32\qomjhffe.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {bfc95fe8-b1f2-286a-ba04-dd0ab32a5187} - {7815a23b-a0dd-40ab-a682-2f1b8ef59cfb} - C:\WINDOWS\System32\llxbhutu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\chetvhf.exe
O4 - HKLM\..\Run: [BM8bc820b7] Rundll32.exe "C:\WINDOWS\System32\bmeijuau.dll",s
O4 - HKLM\..\Run: [88fb132b] rundll32.exe "C:\WINDOWS\System32\pxtpvvvw.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
@YvesJean01@
Rank Pr 2
Rank Pr 2


Inscrit le: 09 Sep 2005
Messages: 3386
Localisation Pays-Ville: Guéreins 01090

MessagePosté le: Lun Juin 16, 2008 1:40 am    Sujet du message: Répondre en citant

Bonsoir Bi1sa,

Voila un log intéressant, tu a un Backdoor.Futro , winIogon.exe qui manipule tes programmes, et un autre Trojan qui pour le moment se nome chetvhf.exe mais son nom reste aléatoire et peut changer, cela veut dire en gros que dès que tu connect ta machine en réseau, que tu n’est pas seul.
Désactive ta restauration système et affiche les dossiers et fichiers cachés puis ouvre hijackthis et fixe les lignes ci dessous et reposte un log pour voir si toutes les taches ont été exécuter autrement ont ira a la mano:

O2 - BHO: (no name) - {1CAF9CA1-F4E5-41BD-9730-361A3B316A53} - C:\WINDOWS\System32\qomjhffe.dll (file missing)

O2 - BHO: {bfc95fe8-b1f2-286a-ba04-dd0ab32a5187} - {7815a23b-a0dd-40ab-a682-2f1b8ef59cfb} - C:\WINDOWS\System32\llxbhutu.dll

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\chetvhf.exe

O4 - HKLM\..\Run: [BM8bc820b7] Rundll32.exe "C:\WINDOWS\System32\bmeijuau.dll",s

O4 - HKLM\..\Run: [88fb132b] rundll32.exe "C:\WINDOWS\System32\pxtpvvvw.dll",b
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Envoyer l'e-mail Visiter le site web du posteur MSN Messenger - Windows Live Messenger
bi1sa
Rank Pr 12
Rank Pr 12


Inscrit le: 15 Juin 2008
Messages: 4

MessagePosté le: Lun Juin 16, 2008 11:02 am    Sujet du message: Répondre en citant

Bonjour, et merci pour cette réponse rapide.

Néanmoins, malgré le fait que je me débrouille en informatique, je ne suis pas un pro et je n'ai pas tout saisi.

Que faut il faire pour bloquer la restauration du système comme tu me le dis, et pour afficher les dossiers cachés (je suis sous XP).

Et je présume que lorsque tu dis fixer les lignes concernées, cela signifie les faire supprimer par HiJack This Neutral

Merci de ces quelques précisions, je suivrai alors tes conseils.

Bonne journée et désolé de t'embêter !
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
@YvesJean01@
Rank Pr 2
Rank Pr 2


Inscrit le: 09 Sep 2005
Messages: 3386
Localisation Pays-Ville: Guéreins 01090

MessagePosté le: Lun Juin 16, 2008 12:20 pm    Sujet du message: Répondre en citant

Bonjour,

Pour ce faire clique sur démarrer puis un clique du droit sur "poste de travail"
clique sur propriétés les propriétés système vont ainsi s'afficher,

Repére et clique sur "Restauration système" puis coche la case pour la désactiver.

recherche l’option des dossiers dans ton panneau de configuration en cliquant sur « Apparence et thèmes » puis sous l’onglet affichage recherche et coche « afficher les dossiers et fichiers cachés » puis valide tu peut maintenant commencer les opérations de "nettoyage" qui permettra de fixer les lignes avec hijackthis qui le fait automatiquement.

pour se faire ouvre hijackthis clique sur 'Do a system scan only', et recherche et coche les lignes suivantes puis valide avec le bouton « Fix Checked » puis confirme "yes" (fait attention a ne pas te tromper de ligne)


Code:
O2 - BHO: (no name) - {1CAF9CA1-F4E5-41BD-9730-361A3B316A53} - C:\WINDOWS\System32\qomjhffe.dll (file missing)

O2 - BHO: {bfc95fe8-b1f2-286a-ba04-dd0ab32a5187} - {7815a23b-a0dd-40ab-a682-2f1b8ef59cfb} - C:\WINDOWS\System32\llxbhutu.dll

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\chetvhf.exe

O4 - HKLM\..\Run: [BM8bc820b7] Rundll32.exe "C:\WINDOWS\System32\bmeijuau.dll",s

O4 - HKLM\..\Run: [88fb132b] rundll32.exe "C:\WINDOWS\System32\pxtpvvvw.dll",b


Ferme hijackthis, redémarre ta machine tu peut également donner un coup avec ton AntiVirus personnel puis ensuite re poste un log sur le forum comme tu la fait au départ pour annalyse pour voir si tout est rentrer dans l’ordre.
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Envoyer l'e-mail Visiter le site web du posteur MSN Messenger - Windows Live Messenger
bi1sa
Rank Pr 12
Rank Pr 12


Inscrit le: 15 Juin 2008
Messages: 4

MessagePosté le: Lun Juin 16, 2008 4:05 pm    Sujet du message: Répondre en citant

Bonjour,

Merci pour ces explications. J'ai suivi ce que tu m'as dit, et au redémarrage j'ai eu un message de registrycleaner une fois de plus, mais apres plus un seul et hijackthis n'a plus l'air de voir ce que j'ai supprimé.

Je te mets donc ici le code final, peux tu me dire s'il faut que je réactive la restauration du système Neutral

Je te remercie

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:41, on 16/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Documents and Settings\Corinne\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
@YvesJean01@
Rank Pr 2
Rank Pr 2


Inscrit le: 09 Sep 2005
Messages: 3386
Localisation Pays-Ville: Guéreins 01090

MessagePosté le: Lun Juin 16, 2008 5:07 pm    Sujet du message: Répondre en citant

Pour ton message ’Registry Cleaner’ cela doit etre un logiciel qui permet de nettoyer la base de registre, il a enlevé les entrées erronées ou obsolètes lié que nous avons supprimer, mais bizarrement je ne retrouve pas trace de lui dans ton log sous les lignes de démarrage 04 de ton Windows, se n’est pas inquiétant de toutes façon puisque ton log a bien été épurer il a simplement remis les pendules a l’heure.

Le nettoyage c’est dérouler sans problème et j’ai pu noter dans ton log épurer que Alexa avait deux entrer dans ton registre qu’il vaut mieux supprimer voici les lignes a supprimer par sécurité mais toute fois tu peut les garder si tu en a l’utilité :


Citation:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


A la finale tu aurra certainement encore se message ‘Registry Cleaner’ qui agira a chaque fois qu’une clef est enlever pas de souci de se coté la.

Oui tu peux maintenant réactiver ta restauration système et re cocher la case pour ne plus afficher les dossiers et fichiers cachés.
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Envoyer l'e-mail Visiter le site web du posteur MSN Messenger - Windows Live Messenger
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Forum Pcinf retour aux Forums -> Sécurité Informatique Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  
Vous pouvez poster de nouveaux sujets dans ce forum
Vous pouvez répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Coin pub d'échange de bannières Pcinf
Touch' à Tout depannage Informatique et Bricolage a domicile Belleville 69220, Bourg 01, Villefranche 69, Macon 71
 

Sites Partenaires:>> Organisme de services a domicile |Entretien de la maison |Travaux de jardinage |Gardiennage |Travaux de bricolage |Assistance informatique |Boules Unibloc Caudera |Cleanpc |Vistaprint cartes de visite gratuite

Référenceur:---->> Moteur de recherche |Référencement gratuit Denicher.com |metamoteur |PHP Sources |boosterforum.com |Réseau Annuaires : référencement de site |Reférencement automatique


Pages vues sur la multiboard


Powered by phpBB © 2001, 2005 phpBB Group

Anti Bot Question MOD - phpBB MOD against Spam Bots
Inscriptions bloquées: 36309
Modified scripts and design © 2005, 2015 Tous droits réservés Pc-informatique.net
Traduction par : phpBB-fr.com