Bonjour à tous
J'avais quelques difficultés à accèder certain sites, donc j'ai scanner avec ewidow en mode sans-échec, puis un hijack en mode normal. Voici les rapports de scan en fichiers joints. Semble y avoir un fichier hook1.dll qui m'inquiète un peu.
Merci !!!
Bonsoir Dekessé,
la dll a bien été nettoyer, et ton log hijakcthis ne montre rien, mais on va quand même faire un scann en ligne pour être sur >> http://webscanner.kaspersky.fr/
As-tu d'autre dysfonctionnement? Est-ce que celà c'est arrangé depuis le passage d'Ewido??
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Salut!
Non il n'y avait pas d'autre dysfonctionnement, j'étais juste inquiet du dll. Mais j'ai passé kaspersky (voir rapport lié), et il a trouvé 4 fichiers, mais ils sont dans la ''quarantaine'' de mon Norton.
Merci de me rassurer!!
Bonjour Dekessé,
on va juste faire deux opération histoire qque ton pc soit complétement propre !!!
1/ Vide le dossier de quarantaine de Norton:
C:\Program Files\Norton AntiVirus\Quarantine\ << c'est le contenu de ce dossier
2/ Création d'un point de restauration sain :
Désactive la restauration système :Tous les points de restauration sont supprimés, ... avec les malwares inclus dans ceux-ci !
- Demande le menu contextuel (clic droit) sur l'icône "Poste de travail" située sur le Bureau > choisis "Propriétés"
- Clique sur l'onglet "Restauration du système"
- Coche la case "Désactiver la Restauration du système sur tous les lecteurs"
- Clique sur "Oui" dans la boîte de dialogue de confirmation
Rédémarre l'ordinateur
Réactive la restauration du système :Un nouveau point de restauration est créé automatiquement
- Demande le menu contextuel (clic droit) sur l'icône "Poste de travail" située sur le Bureau > choisis "Propriétés"
- Clique sur l'onglet "Restauration du système"
- Décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
Voila,
Bonne journée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Salut Igor,
J'ai suivi la procédure conseillé. Mais petit détail, j'ai fait afficher les fichiers système, et sur mon bureau il y avait toujours le hook1.dll et un autre fichier, timetrial.exe. Je les ai effacés avec ''eraser''. J'ai repassé ewido, et il n'a rien trouvé.
Bonjour Dekessé,
j'ai comme un doute la...ton log hijakcthis montre des signes de lacunes pourrais-tu en reposter en mode normal??
Normalement dans els premières lignes, il devrait y avoir plus de processus et des informations telle sque :
C:\Windows\system32\svchost
Or toi tu n'as rien, donc reposte un log, il se peut que quelque chose est détourné hijakcthis et ne soit pas détecté par Kasperky.
Bonne journée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir Dekessé,
Pourrais-tu envoyer la dll "hook1.dll" à l'adresse suivante pour qu'elle soit analysée?
(en commentaire tu peux mettre le lien vers le sujet
MAD -> http://secubox.gateweb.org/mad.php (zipper avec commentaires pour ajouter une petite note)
ou madbox@aldria.org (merci de nous l'envoyer zippé avec le mot de passe: "infected")
Merci,
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir,
Voici un nouveau Hijack, en mode normal. J'ai envoyé le zip du dll, mais pour ce qui est du mot de passe ...je ne sais pas comment mettre un mot de passe dans un message (thunderbird)...
Merci de cette précieuse aide !!
PS: J'ai vérifié dans mes processus (gestionnaire des tâches) et effectivement, il y a beaucoup plus de trucs qui roulent que le prétend hijack!!!! Bizarre??
Allo,
J'ai re-refait un hijack en ouvrant ma session administrateur, et cette fois-ci, ca semble plus ''normal''...je crois...
Salut!!
Bonjour Dekessé,
c'est déjà mieux..merci d'avoir essayer d'envoyer la dll j'èpère que ça marchait !!!
On va maintenant vérifier en profonduer si ton pc n'a rien et pourquoi cette dll rvent constamment....
On va vérifier si tu ne possède pas de Rootkit :
Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Fais le sur ton compte mais si la dll apparait sur les autres comptes, fais le aussi sur les autres.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Rebonsoir,
on va reéssayer d'uploader la dll si tu le veux bien, sans passer par un messagerie
- MAD
--- Upload -> http://secubox.gateweb.org/mad.php
Clique sur parcourir et choisis la dll si tu ne la vois pas assure toi d'avoir accès à tous les fichiers avant !!!!
en faisant comme ceci:
Pour afficher les fichiers et dossiers cachés du systéme :
- Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation- Cliquer Appliquer puis OK
Voila,
bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Salut,
dll envoyé et message reçu de m.a.d, disant que c'est un fichier de 0k... J'ai refait une recherche et effectivement, c'est un fichier de 0K !??!?!?! Dois-l'effacer ?
Pour blbeta, l'option ''[X]scan through Windows Explorer'' n'existe pas (version 2.2.1037.0). Voici quand même le log...
06/20/06 18:35:10 [Info]: BlackLight Engine 1.0.37 initialized
06/20/06 18:35:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/20/06 18:35:10 [Note]: 7019 4
06/20/06 18:35:10 [Note]: 7005 0
06/20/06 18:35:15 [Note]: 7006 0
06/20/06 18:35:15 [Note]: 7011 1660
06/20/06 18:35:16 [Note]: 7026 0
06/20/06 18:35:16 [Note]: 7026 0
06/20/06 18:35:20 [Note]: FSRAW library version 1.7.1015
06/20/06 18:35:48 [Note]: 7007 0
Salut!!!
Bonjour,
Bon alors pour le fichier de 0 Ko c'est étonnant mais bon pourquoi pas, tu peux le supprimer manuellement (en mode sans échec si tu as un peu de mal)
Sinon blacklight ne donne rien...refais un scan ewido, mais celui sur le compte administrateur et en mode sans échec puis poste le rapport ici...
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir,
Voici le rapport ewido (en sans échec, dans mon compte admin)...il a trouvé quelques tracking cookie...
Merci!
Bonjour,
bon bon bon, déjà si infection il y a, elle n'est pas présente sur le compte administrateur.
Est-ce que la dll est toujours présente??? As-tu modifié quelque chose dans ton msconfig??? As-tu des signes de dysfonctionnement???
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Salut,
J'ai refait une recherche du dll et elle n'est pas revenue...enfin!! Je n'ai rien modifié dans le msconfig, et tout y semble normal.
Pour effacer la dll, au lieu de faire un simple ''delete'' et de vider la corbeille, j'ai utiliser le programme ''eraser''. Il vient écrire des ''0'' sur le fichier à éliminer, m'enfin quelquechose comme ça...
Mon PC va bien, tout mes sites sont accessible sans problème.
Merci Beaucoup!
Bonjour DéKessé,
OK pour la suppression de la dll, mais je veux juste vérifier pourquoi ton msconfig est toujours présent dans tes logs hijakcthis :
Copie/colle la quote ci-dessous dans un nouveau document texte (non wordpad).
Sauvegarde le sur ton bureau comme mslook.bat. Sauvegarde le comme celà :regedit /a /e %systemdrive%\regkey.txt "HKEY_LOCAL_MACHINE\SOFTWARE\M icrosoft\Shared Tools\MSConfig"
notepad %systemdrive%\regkey.txt
del /q %systemdrive%\regkey.txt
Type de fichier : Tous les fichiers (Non comme un document texte).
Nomme le : mslook.bat
Trouve mslook.bat sur ton bureau et couble-clique dessus. Quand le fichier texte s'est ouvert,Copie/colle ce qu'il contient dans lun autre document texte( celui-ci tu le posteras dans ta prochaine réponse). Quand tu fermes le fichier texte, la fenetre CMD sera automatiquement fermée et tout le fichier texte sera effacé.
Bonne journée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour tout les deux,
Juste pour préciser à DeKessé : le forum a mis un espace entre le M et le i de Microsoft, n'en tiens pas compte, c'est bien Microsoft
Bonne journée
Cyrrus
Salut Igor!
Désolé du délais (fête nationale oblige) Alors voici le fichier demandé.
MErci!
Bonsoir,
pas de problème pour la fete
Bon il te restes quelque bricole à supprimer.
1/ Démarre en mode sans échec:
Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).
NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924
2/ assures- toi d'avoir accès à tous les dossiers/fichiers:
Pour afficher les fichiers et dossiers cachés du systéme :
- Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation- Cliquer Appliquer puis OK
3/ Suppression des fichiers.
Fais une recher pour supprimer ces fichiers suivants: ( localisation possible dans system32 )
ifhkmczqin.EXE
adchkr.exe
4/nettoyage du registre :
-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html
-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php
- Mettre le logiciel en français Preferences > Language > Français > OK.
- Ensuite, Outils registre > menu Outils > nettoyeur de registre.
- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
- Cliquer sur "Continuer" puis sur "Démarrer".
- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.
redémarre ne mode normal et poste un log hijakcthis de ta session.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir!
Alors voici le nouveau log. J'ai trouvé adchkr.exe, mais pas ifhkmczqin.exe ?? C'est 2 fichiers me disent qqchose, je crois que c'est des résidus d'un virus contracté il y a un bout de temps. Un vundoo je crois. Voir mes vieux post pour plus de détails.
Salut!!
Bonsoir Dekéssé,
Vi, la pièce jointe n'est pas validée mais c'est bien des restent de vundo...étonnant que tu ne trouves pas le deuxième fichier car il apparait dans ton msconfig.
Te souviens-tu de comment tu avais enlevé ce Vundo??
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Salut,
avec vundofix, et l'aide de Cyrrus !!!
Bonjour Igor, bonjour DeKessé,
....dans ce cas j'ai mal fait mon boulot, car normalement il n'aurait pas du rester...j'en suis vraiment désolé !!
Je vais regarder le topic pour voir où est mon erreur...
Bonne soirée
Cyrrus
edit : j'ai retrouvé le sujet. Ces deux fichiers étaient bien présents en O4. Je te les ai fait fixer et supprimer. La dessus, tu m'as dit que tu ne les avait trouvé que dans la Prefetch. Je pense que mon erreur vient du fait que je ne t'es pa demandé d'affichier tout les fichiers. Ils devaient être donc cachés...
Autre hypothèse : d'utres fichiers malicieux régénérant ces deux fichiers, mais dans ce cas c'est plus grave et ca m'étonnerait...
Dernière modification par Cyrrus ; 27/06/2006 à 15h24.
Bonsoir à tous les deux,
le problème c'est que tu n'as pas trouvé un des deux fichiers, et je saisa pas trop quoi faire, en tout cas ce qui est sur c'est qu'il faut une bonne protection pour ton pc donc je t'encourage vivement à lire le dossier protection sur Futura ici >> http://www.futura-sciences.com/compr...ssier627-1.php
Sinon on peut attendre un petit peu pour voir ce qui se passe et revient dans quelques jours pour nous dire comment celà évolue. (disons par exemple 4-5 jours)
Bonne soirée,
Igor
PS: on peut essayer celà sinon :
Télécharge windatfindbat et dézippe le sur ton bureau.
Lance le fichier windatfind.bat en double cliquant dessus.
Une fenêtre DOS va s'ouvrir brièvement, et un fichier texte va apparaitre: poste stp le résultat en sélectionnant juste les 30 derniers jours.
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour messieurs,
Voici ce qu'a trouvé windatfind. Il y a le fichier ladchkr.exe qui y traine !?!?
PS: Pour ce qui est des conseils de sécurité, Igor, je les ai appliqué, lors de mon premier passage ici.
Merci!! Je vais essayer de trouver(encore) le fichier ifhk... Dans mon msconfig, adchkr est toujours là en passant, mais pas coché, comme ifhk....
Bonsoir,
bon il doit y avoir quelque chose qui régénère ce fichier..parce que sinon je ne vois pas !! il faut donc trouvé ce qui régénère ceci :
Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît (pas d'installation Windows)
- redémarre l'ordinateur en mode sans échec
- lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" :
C:\WINDOWS\System32\adchkr.exe
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard
C:\WINDOWS\System32\adchkr.exe
* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting".
--- clique sur la croix blanche sur fond rouge (Delete File) :
- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder
Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/...ls/KillBox.htm
Pour ce qui est de msconfig tant qu'il n'est pas coché, il n'y a rien à craindre, mais je vais continuer mes recherches, si tu trouves l'autre fichier effectue la meme opération que pour celui-la.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Salut,
Ok, c'est fait, mais toujours pas trouvé l'autre fichier...
Bye et merci!
Bonjour,
Fais ceci :
Ouvre hijakcthis, choisis "open the misc tools section"
La coche les deux case : "list also minor sections" et "list empty sections"
Puis clique sur generate Startup List log, un fichier texte va apparaitre, enregistre le en .txt
Puis poste le rapport en pièce jointe.
Bonne journée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
