hijacker - Forum Internet - Réseau

Odysseus · 08/04/2006, 16h52

Bonjour

J'ai fait un scan avec pestpatrol et il a détecté un hijacker, voici ce qu'il me dit sur le hijacker

1 SearchCentrix Category: Hijacker Release Date: 1/21/2003 0:00:00 Background Info: <A href="http://PestPatrol.com/PestInfo/s/searchcentrix.asp">Click here</A> In File: C:\WINDOWS\system32\ifhelper.d ll Date: 23/08/2004 14:49:56 Company Name: France Télécom R&D File Description: IfHelper File Version: 11.0 (2) Internal Name: IfHelper Legal Copyright: Copyright (C) France Télécom R&D 1999-2002 Original Filename: IfHelper.dll Product Name: IfHelper Product Version: 11.0 (2) Certainty: Confirmed Threatens: <A href="http://research.pestpatrol.com/WhitePapers/About_Pest_Threats.asp">Liabil ity</A> Risk: Moderate - this file can be executed! Advice: Delete

Donc j'essaye de le supprimer manuellement (parce que je ne l'ai pas acheté donc il n'y a pas toutes les options) je vais dans l'explorateur window,disque local, window mais je ne toruve pas system32 dans lequel le hijacker se trouve. Je fais alors une recherche (démarrer rechercher dossier) mais je ne retrouve pas system32 ! Qu'est-ce que je dois faire ?

merci de m'aider

**igor51** · 08/04/2006, 17h34

Bonjour,

tu devrais suivre cette procédure et posté les logs pour su l'on te dise quoi faire, parce que un problème ne vient généralement pas seul et essayer de l'enlever "à la main" est très dangeureux

procédure>> http://forums.futura-sciences.com/thread69698.html

Bonne journée,

Igor

Odysseus · 08/04/2006, 18h02

ah ça m'énerve

, j'arrive pas à le mettre en pièce jointe, il me met à chaque fois "hijackthis.log fichier non-valide". Qu'est-ce que je dois faire ?

merci

**igor51** · 08/04/2006, 18h03

il faut que tu le renome en hijackthis.txt pour que le forum l'accepte.

Bonne journée,

Igor

Odysseus · 10/04/2006, 19h57

voilà, je te le mets en pièce jointe.

**igor51** · 10/04/2006, 22h13

Bonsoir,

Pourrais-tu poster le rapport d'ewido aussi?
Et refait un scan avec ton logiciel pour voir si il trouve toujours le problème.
Bonne soirée,

Igor

Odysseus · 11/04/2006, 20h07

Salut

Voici le rapport d'ewido. Mais mon scan (avec pestpatrol) a encore identifié le hijacker.
Sinon, quand je vais dans l'explorateur window pour trouver le hijacker dans le dossier system32, je ne le trouve pas alors que quand je choisis avec pestpatrol les dossiers à analyser je trouve le system32 dans window. Alors où est-il passé dans l'explorateur windows ?

merci

**JPL** · 11/04/2006, 23h47

Citation:

Posté par Odysseus

Sinon, quand je vais dans l'explorateur window pour trouver le hijacker dans le dossier system32, je ne le trouve pas

Affiche le Poste de travail. Dans Outils, Options de dossiers, onglet Affichage, coche Afficher le contenu des dossiers système et, un peu plus bas, Afficher les fichiers et dossiers cachés.
Opérations qui ne sont pas conseillées en effet si des personnes inexpérimentées accèdent à l'ordinateur.

**Cyrrus** · 12/04/2006, 13h05

Bonjour à tous,

Du calme avant de lancer l'artillerie. PestPatrol a des faux positif (j'en ai fait les frais à une époque).
Ewido n'a rien trouvé...
Pourtant le ifhelper.dll est reconnu par castle comme un adware...et comme safe par spywardata....

Après quelque recheche, je crois que cela se tient à l'endroit ou il est :
Le ifhelper.dll est un élément du kit de connexion Wanadoo. Il est donc sain s'il se trouve dans les dossiers de Wanadoo...
Par contre dans System32 ce peut être l'adware mais aussi de chez Wanadoo...

On va donc chercher d'auters fichiers relatifs à l'adware.

1/ Assure toi d'avoir accès à tous les fichiers/dossiers cachés

2/ Vérifie l'emplacement de ces fichiers, si tu en trouves un tu le supprime :

Citation:

C:\WINDOWS\somatic.dll
C:\WINDOWS\system32\somatic.dl l

3/ Va dans Ajout/Suppression de programmes et désinstalles les applications suivantes si tu les trouves :

Citation:

WinDirect
GSIM
GSIM Uninstaller
eXpand Search

4/

Citation:

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
Clique sur Analyse
Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

Clique sur l'icône Erreurs situé dans la marge à gauche.
Puis clique sur Analyser les erreurs
Patiente pendant que CCleaner scanne ton registre.
Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
Tu peux cliquer ensuite sur Corriger les erreurs.
Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Je vais me renseigner sur cette bestiole..et sur ce ifhelper.dll...
Normallement si c'était bien l'adware, tu devrais le trouver dans l'Ajout/Suppression de programme.

Bonne journée
Cyrrus

Odysseus · 12/04/2006, 13h48

Bonjour,

Alors, je n'ai pas trouvé de fichiers C:\WINDOWS\somatic.dll
C:\WINDOWS\system32\somatic.dl l.
Je ai touvé aucun de ces programmes (WinDirect GSIM GSIM Uninstaller eXpand Search).
Et puis j'ai fait la manipulation que tu m'as dites. Sinon, dans ajout/suppresion programmes, il n'y a aucune trace de ifhelper.dll.

merci
Benoît

**Cyrrus** · 12/04/2006, 16h39

Bonjour Odysseus,

Apparemment ce serait donc un faux positif...PestPatrol confondant le ifhelper.dll de Wanadoo avec celui de SearchCentrix (l'adware).

As tu cherché le ifhelper.dll dans System32 en ayant affiché les fichiers dossiers cacés/ en ayant fait une recherche de fichier ?

Bonne journée
Cyrrus

Odysseus · 12/04/2006, 21h02

Bonjour,

Oui j'ai trouvé le fichier ifhelper.dll dans le system32. Donc d'après ce que je comprends je peux l'ignorer ?

Benoît

**Cyrrus** · 12/04/2006, 21h12

Bonsoir Odysseus,

Je pense que oui en effet....

PestPatrol te parle d'un hijacker, or si c'était le cas, il aurait détourné ta page de démarrage..

Hmmmm....raaa je veux quand même prendre une dernière précaution si cela ne te dérange pas :

Citation:

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karan...efr&ac=webroot

Clique sur "Télécharger la version test".
Installe le programme. Une fois installé, il se lancera.
L'option de le mettre à jour s'affichera; clic Yes.
Lorsque les mises à jour seront installées, clic Options sur la gauche.
Clic sur l'onglet Sweep Options.
Sous What to Sweep, coche les options suivantes:
- Sweep for Rootkits
- DÉCOCHE Do not Sweep System Restore Folder.
Clic Sweep Now sur la gauche.
Clic sur Start.
Quand le scan est terminé, clic sur Next.
Assure-toi que tous les items sont cochés, puis clic sur Next.
Tous les items cochés seront éliminés.
Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
Clic sur l'onglet Summary, puis clic sur Finish.
Colle le contenu du "Session Log" dans ta prochaine réponse.

Poste son rapport en pièce jointe je te prie...

S'il y a du searchcentrix là dessous, il doit normallement le renifler...ou renifller quelque chose...

Bonne soirée
Cyrrus

Odysseus · 13/04/2006, 20h55

Et voilà le rapport de ce qu'il a détecté ! C'est fou

, à chaque fois que je télécharge un logiciel dans ce genre, je détecte quelque chose.