| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
gnap
Nouveau
Inscrit le: 29 Avr 2006
Messages: 3
|
 Posté le: 29 Avr 2006 5:13 Sujet du message: Erreur pages Web apres HIJACKTHIS |
|
|
Bonjour, 
Voila apres (certainement) une fausse manip sur HijackThis, je ne peux pas acceder à toute les pages internet... (google par exemple, ou gmail...voire hotmail...)
voici le log HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 07:02:53, on 29/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
J'ai tenté de retrouver p'tit à p'tit les clef de la base de registre, mais là j'peine un peu... qui saura? pourra m'aider? 
Merci d'avance...
Edité par Loreleï
Merci d'uploader tes rapports comme c'est expliqué sur ce >> post it <<.
Je ne prendrais pas la peine de le faire la prochaine fois, il sera supprimé  |
|
| Revenir en haut |
|
 |
Jet Li
VIP
Inscrit le: 18 Avr 2006
Messages: 421
Localisation: Bretagne, 22
|
| Posté le: 29 Avr 2006 9:51 Sujet du message: |
|
|
Bonjour, le temps que ton log soit analysé fais un scan en ligne
Tu possèdes quoi comme antivirus ?
_________________
Jet Li |
|
| Revenir en haut |
|
|
Jango78
Modérateur
Inscrit le: 02 Avr 2006
Messages: 4483
Localisation: Yvelines (France)
|
| Posté le: 29 Avr 2006 10:04 Sujet du message: |
|
|
Bonjour à tous,
Je ne suis pas trop spécialiste HJT, par contre j'ai relevé de suite les processus IExplorer et le backweb de "Logitech Desktop Messenger".
Il n'est peut-être pas non plus impératif d'avoir autant de processus au démarrage de l'ordi.
Autrement je suppose que Messenger Plus a été installé sans son sponsor... |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 29 Avr 2006 10:23 Sujet du message: |
|
|
Bonjour à tous,
C'est un peu plus grave que cela...
Ton système est vérolé et bien vérolé par Rbot notamment, je ne vois pas de trace d'antivirus non plus.
Je doute que tu puisses faire un scan en ligne avec de telles entrées sur ton log.
Du temps que je termine l'analyse du log et la procédure à appliquer, fais ce qui suit :
- Télécharge Move HijackThis.zip et dézippe le sur ton bureau.
- Fais un double clic sur Move hijackthis.vbs (accepte l'exécution du script si tu reçois un message d'alerte de windows ou d'un logiciel de sécurité)
- HijackThis se lancera maintenant à partir de C:\Program Files\Hijackthis\hijackthis.exe, ce qui lui permettra de créer un backup en cas de fausse manip.
Tel qu'il est placé, aucune sauvegarde n'a été enregistrée et si tu as fixé des lignes légitimes, tu ne pourras pas les récupérer. Je
te conseille vivement ne pas utiliser HJT seul si tu ne maîtrises pas cet outil ou tu vas droit au formatage. 
Dis moi exactement ce que tu as fait comme manipulation et par pitié arrête de tripatouiller ton registre. Les dysfonctionnements viennent de cette infection ne va pas en ajouter.
@+
_________________
 |
|
| Revenir en haut |
|
|
gnap
Nouveau
Inscrit le: 29 Avr 2006
Messages: 3
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 29 Avr 2006 11:59 Sujet du message: Re: Rapport de Scan |
|
|
Et tu pourrais répondre à la question que je t'ai posée ?
Un minimum d'explication serait le bienvenu...
Je te donne la marche à suivre dans le courant de la journée
@+
_________________
|
|
| Revenir en haut |
|
|
gnap
Nouveau
Inscrit le: 29 Avr 2006
Messages: 3
|
| Posté le: 29 Avr 2006 12:17 Sujet du message: |
|
|
En fait il me semblait n'avoir rien a cocher, ni même déjà coché... mais en cliquant pour quitter j'ai du malencontreusement cocher quelque chose... (en fait je ne sais pas trop si c'est bien cela...)
Bcp trop de fenètres ouvertes... 
Aussi je ne pense pas trop pouvoir te renseigner correctement quant à la question d'ou cette "réponse" en 2 temps... |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 29 Avr 2006 14:00 Sujet du message: |
|
|
Pour corriger une ligne avec HJT, il faut la cocher, cliquer sur Fix Checked et valider la correction... donc je pense que tu n'as rien fait de malencontreux sans le voir.
On va tailler dans le vif du sujet, dans un premier temps pour parer au plus pressé et s'occuper des "détails" ensuite.
Je t'invite à désinstaller ceci rapidement pour t'éviter de mauvaises surprises sur ton compte en banque : eCarteBleue-CLEO, cette variante de Rbot est capable de beaucoup de choses...
Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.
- Fais une sauvegarde de tes données personnelles si tu n'en as pas, mieux vaut être prudent
- Désinstalle tous tes logiciels de P2P (Kazaa, Emule, ect..) . Rbot se propage en utilisant ces ports. Tu es libre de réinstaller e-Mule ensuite, mais il vaut mieux t'en passer le temps de la désinfection.
- Télécharge & installe >> Ewido Suite <<
- Fais les mises à jour Ewido (mais ne lance pas de scan du système pour l'instant)
- Télécharge ces outils de désinfections spécifiques. Si tu rencontres des difficultés à les télécharger fais le à partir d'un pc sain et grave les pour les installer sur le pc malade :
- Ouvre le bloc notes et copie cette liste de fichiers. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
| Citation: | C:\WINDOWS\wk6\data\starter.bat
C:\WINDOWS\system32\msexcel.exe
C:\WINDOWS\system32\realone.exe
C:\WINDOWS\system32\servic.exe |
Débranche ta connexion internet à partir de maintenant
Désactive la restauration du système
Lance les uns après les autres les Fixs : F-Agobot, FxBropia, F-Bot, Clrav.
Redémarre ton pc, et ne te reconnecte pas à Internet.
Procède au nettoyage des fichiers temporaires avec CCleaner (que tu as déjà visiblement).
Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
Redémarre en mode sans échec
Ouvre HijackThis (do a system scan only), coche ces lignes et seulement celles-ci si présentes :
| Citation: | O4 - HKLM\..\RunServices: [Sygate Personal Firewall Start] servic.exe
O4 - HKLM\..\RunServices: [Microsoft Excel] msexcel.exe
O4 - HKLM\..\RunServices: [Real One Player] realone.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall Start] servic.exe
O4 - HKLM\..\RunServices: [Worms-Killer] "c:\WINDOWS\wk6\data\starter.bat"
O4 - HKCU\..\Run: [Sygate Personal Firewall Start] servic.exe
O4 - HKCU\..\Run: [Real One Player] realone.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe |
Clique Fix Cheked et accepte les modifications.
Lance Ewido et règle les paramètres suivants :
- Clique sur "scanner" puis sur "scan complet du système"
- Garde l'option par défaut "Supprimer" et vérifie que la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" est cochée.
- A la fin du scan, sauvegarde le rapport
Lance un scan complet de a² free -- > supprime tout ce qu'il trouve et vide sa quarantaine ensuite.
Redémarre ton pc en mode normal et réactive la restauration du système.
Rends toi sur Windows Update et fais les éventuelles mises à jour qu'il te manque.
Fais ces deux scans en ligne et poste moi les rapports :
Poste un nouveau log HijackThis (Do A System Scan & Save A log File)
N'oublie pas de poster le rapport de Ewido.
Bon courage
@+
_________________
|
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
