hijacker

[Odysseus]

Bonjour

J'ai fait un scan avec pestpatrol et il a détecté un hijacker, voici ce qu'il me dit sur le hijacker

1 SearchCentrix <b>Category: </b>Hijacker<br><b>Release Date:</b> 1/21/2003 0:00:00<br><b>Background Info:</b> <A href="http://PestPatrol.com/PestInfo/s/searchcentrix.asp">Click here</A> <b>In File:</b> C:\WINDOWS\system32\ifhelper.d ll<br><b>Date:</b> 23/08/2004 14:49:56<br><b>Company Name:</b> France Télécom R&D<br><b>File Description:</b> IfHelper<br><b>File Version:</b> 11.0 (2)<br><b>Internal Name:</b> IfHelper<br><b>Legal Copyright:</b> Copyright (C) France Télécom R&D 1999-2002<br><b>Original Filename:</b> IfHelper.dll<br><b>Product Name:</b> IfHelper<br><b>Product Version:</b> 11.0 (2) <b>Certainty:</b> Confirmed<br><b>Threatens: </b> <A href="http://research.pestpatrol.com/WhitePapers/About_Pest_Threats.asp">Liabil ity</A><br><b>Risk:</b> Moderate - this file can be executed!<br><b>Advice:</b> Delete

Donc j'essaye de le supprimer manuellement (parce que je ne l'ai pas acheté donc il n'y a pas toutes les options) je vais dans l'explorateur window,disque local, window mais je ne toruve pas system32 dans lequel le hijacker se trouve. Je fais alors une recherche (démarrer rechercher dossier) mais je ne retrouve pas system32 ! Qu'est-ce que je dois faire ?

merci de m'aider
-----

[igor51]

Bonjour,

tu devrais suivre cette procédure et posté les logs pour su l'on te dise quoi faire, parce que un problème ne vient généralement pas seul et essayer de l'enlever "à la main" est très dangeureux

procédure>> http://forums.futura-sciences.com/thread69698.html

Bonne journée,

Igor

[Odysseus]

ah ça m'énerve , j'arrive pas à le mettre en pièce jointe, il me met à chaque fois "hijackthis.log fichier non-valide". Qu'est-ce que je dois faire ?

merci

[igor51]

il faut que tu le renome en hijackthis.txt pour que le forum l'accepte.

Bonne journée,

Igor

[A voir en vidéo sur Futura]

[Odysseus]

voilà, je te le mets en pièce jointe.

[igor51]

Bonsoir,

Pourrais-tu poster le rapport d'ewido aussi?
Et refait un scan avec ton logiciel pour voir si il trouve toujours le problème.
Bonne soirée,

Igor

[Odysseus]

Salut

Voici le rapport d'ewido. Mais mon scan (avec pestpatrol) a encore identifié le hijacker.
Sinon, quand je vais dans l'explorateur window pour trouver le hijacker dans le dossier system32, je ne le trouve pas alors que quand je choisis avec pestpatrol les dossiers à analyser je trouve le system32 dans window. Alors où est-il passé dans l'explorateur windows ?

merci

[JPL]

Sinon, quand je vais dans l'explorateur window pour trouver le hijacker dans le dossier system32, je ne le trouve pas

Affiche le Poste de travail. Dans Outils, Options de dossiers, onglet Affichage, coche Afficher le contenu des dossiers système et, un peu plus bas, Afficher les fichiers et dossiers cachés.
Opérations qui ne sont pas conseillées en effet si des personnes inexpérimentées accèdent à l'ordinateur.

[Cyrrus]

Bonjour à tous,

Du calme avant de lancer l'artillerie. PestPatrol a des faux positif (j'en ai fait les frais à une époque).
Ewido n'a rien trouvé...
Pourtant le ifhelper.dll est reconnu par castle comme un adware...et comme safe par spywardata....

Après quelque recheche, je crois que cela se tient à l'endroit ou il est :
Le ifhelper.dll est un élément du kit de connexion Wanadoo. Il est donc sain s'il se trouve dans les dossiers de Wanadoo...
Par contre dans System32 ce peut être l'adware mais aussi de chez Wanadoo...

On va donc chercher d'auters fichiers relatifs à l'adware.

1/ Assure toi d'avoir accès à tous les fichiers/dossiers cachés

2/ Vérifie l'emplacement de ces fichiers, si tu en trouves un tu le supprime :

C:\WINDOWS\somatic.dll
C:\WINDOWS\system32\somatic.dl l

3/ Va dans Ajout/Suppression de programmes et désinstalles les applications suivantes si tu les trouves :

WinDirect
GSIM
GSIM Uninstaller
eXpand Search

4/

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Je vais me renseigner sur cette bestiole..et sur ce ifhelper.dll...
Normallement si c'était bien l'adware, tu devrais le trouver dans l'Ajout/Suppression de programme.

Bonne journée
Cyrrus

[Odysseus]

Bonjour,

Alors, je n'ai pas trouvé de fichiers C:\WINDOWS\somatic.dll
C:\WINDOWS\system32\somatic.dl l.
Je ai touvé aucun de ces programmes (WinDirect GSIM GSIM Uninstaller eXpand Search).
Et puis j'ai fait la manipulation que tu m'as dites. Sinon, dans ajout/suppresion programmes, il n'y a aucune trace de ifhelper.dll.

merci
Benoît

[Cyrrus]

Bonjour Odysseus,

Apparemment ce serait donc un faux positif...PestPatrol confondant le ifhelper.dll de Wanadoo avec celui de SearchCentrix (l'adware).

As tu cherché le ifhelper.dll dans System32 en ayant affiché les fichiers dossiers cacés/ en ayant fait une recherche de fichier ?

Bonne journée
Cyrrus

[Odysseus]

Bonjour,

Oui j'ai trouvé le fichier ifhelper.dll dans le system32. Donc d'après ce que je comprends je peux l'ignorer ?

Benoît

[Cyrrus]

Bonsoir Odysseus,

Je pense que oui en effet....

PestPatrol te parle d'un hijacker, or si c'était le cas, il aurait détourné ta page de démarrage..

Hmmmm....raaa je veux quand même prendre une dernière précaution si cela ne te dérange pas :

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karan...efr&ac=webroot

• Clique sur "Télécharger la version test".
• Installe le programme. Une fois installé, il se lancera.
• L'option de le mettre à jour s'affichera; clic Yes.
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
• Clic sur l'onglet Sweep Options.
• Sous What to Sweep, coche les options suivantes:
  • Sweep Memory
  • Sweep Registry
  • Sweep Cookies
  • Sweep All User Accounts
  • Enable Direct Disk Sweeping
  • Sweep Contents of Compressed Files
  • Sweep for Rootkits
  • DÉCOCHE Do not Sweep System Restore Folder.
• Clic Sweep Now sur la gauche.
• Clic sur Start.
• Quand le scan est terminé, clic sur Next.
• Assure-toi que tous les items sont cochés, puis clic sur Next.
• Tous les items cochés seront éliminés.
• Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
• Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
• Clic sur l'onglet Summary, puis clic sur Finish.
• Colle le contenu du "Session Log" dans ta prochaine réponse.

Poste son rapport en pièce jointe je te prie...

S'il y a du searchcentrix là dessous, il doit normallement le renifler...ou renifller quelque chose...

Bonne soirée
Cyrrus

[Odysseus]

Et voilà le rapport de ce qu'il a détecté ! C'est fou , à chaque fois que je télécharge un logiciel dans ce genre, je détecte quelque chose.