Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
1480 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  hijackThis: ligne douteuse -> avis SVP?

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

hijackThis: ligne douteuse -> avis SVP?

n°2701987
namerh
Posté le 06-07-2007 à 13:29:44  profilanswer
 

salut,
 
quelqu'un saurait-il me renseigner sur les lignes suivantes de mon log hijackThis please?
 
  O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint  Programme inconnu.  
 
  O17 - HKLM\System\CCS\Services\Tcpip\..\{38A7869B-46A9-4CBE-BA9B-3A508954F366}: NameServer = 212.151.136.246 212.151.137.166  Effacer si l’IP ou le domaine '212.151.136.246 212.151.137.166' ne vous est pas connu.  
 
  O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\  
 
 
Dois-je supprimer ces lignes depuis Hijackthis?  
Est-ce réversible avec hijackthis ou pas?
 
merci


Message édité par namerh le 06-07-2007 à 13:32:08
mood
Publicité
Posté le 06-07-2007 à 13:29:44  profilanswer
 

n°2702031
ogaby
Posté le 06-07-2007 à 14:31:24  profilanswer
 

hercplgs.cpl est ta carte son Hercules. WgaLogon est windows genuine advantage qui vérifie si ta version est bien valide.
 
Pour ce qui de la clé O17, je te conseille de l'effacer!  
 

Citation :

O17     Modification des serveurs DNS pour permettre des redirections vers des sites malveillants.
Clef du registre : HKLM\System\CS1\Services\VxD\MSTCP


 
Tu diras aurevoir de ma part à ton worm? ;)

n°2702073
namerh
Posté le 06-07-2007 à 15:30:24  profilanswer
 

bigre Ogaby tu es sur tous les fronts ! ;)
 
peut-etre que la redirection est légitime? non? 212.151.136.246 redirigé en 212.151.137.166 ?
je me demande de toute façon quelle peut en etre l'incidence en rapport avec mon problème.
 
mais ok je fais le ménage on verra bien!
 
 
Edited: euh au fait je n'ai pas de carte son (son intégré à ma mobo)


Message édité par namerh le 06-07-2007 à 15:55:02
n°2702088
ogaby
Posté le 06-07-2007 à 16:07:04  profilanswer
 

Quand tu parlais d'éventuels problèmes de ports et que ce virus cherchait à s'installer sur IE, j'ai pensé à un activeX douteux. Et c'est pour ca que je t'ais demandé de regarder avec hijackthis.
 
Peut-être que l'entrée est légitime mais ca m'étonnerais vraiment. Un worm qui cherche à se mettre sur IE et en plus une entrée sur Hijackthis qui dit que ce genre de services est utilisé par des pirates. Ca fait beaucoup. Et pour moi c'est bien la source de ton problème.
Tu peux regarder également dans IE menu outil->modules complémentaires. Là il y a la liste des ActiveX. Ils sont normalement signés c'est à dire que tu vois le nom de la société. Exemple Windows, Sun, etc... Si il n'y en a pas désactive l'activeX.
 
PS: si t'as du son, tu as forcément une carte son. Si elle est intégrée à ta carte mère, elle existe tout de même. ;)

n°2702101
namerh
Posté le 06-07-2007 à 16:22:45  profilanswer
 

bravo!!!  
 
Spybot ne m'affiche plus l'alerte de tentative de modif de la barre IE :)
 
(en fait j'ai fixé les 3 clés que j'avais listé)
 
je me demande ce qui ce se serait passé si Spybot n'avait pas bloqué la modif registre?
(notons que spyware doctor n'a rien détecté lui)
 
toutefois je me demande comment le détournement DNS a pu avoir lieu???
 
il reste à voir dans les semaines à venir si le worm delph détecté périodiquement dans Volume information système revient ou pas.. car comment se fait il qu'un exe soit tout de meme de temps en temps infecté par ce worm si celui-ci n'a pas pu modifié la clé d'IE... suis un peu largué
 
 
P.S. je ne sais pas s'il y a un problème de port à vrai dire, c'est moi qui me posait la question (et je me la pose tjrs car je ne sais pas pquoi les ports listés sur mon autre topic sont-ils en listenning (à savoir 135, 445, 139, 1026, 10110, ...)


Message édité par namerh le 06-07-2007 à 16:31:50
n°2702103
namerh
Posté le 06-07-2007 à 16:24:24  profilanswer
 

j'ai regardé pour les activeX, et voici la liste de ceux qui n'ont pas d'éditeurs renseignés:
 
http://img159.imageshack.us/img159/142/activexwf1.jpg

n°2702136
ogaby
Posté le 06-07-2007 à 16:51:42  profilanswer
 

Les 2 premiers sont pour une toolbar d'adobe. Elle n'est pas vraiment dangereuse mais ca apporte de la pub. Une alternative à Adobe PDF est foxit reader qui est bien plus rapide.
Pour les 2 autres, je suppose que c'est pour msn.
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  hijackThis: ligne douteuse -> avis SVP?

 

Sujets relatifs
Lancer automatiquement une ligne de commandequel service de groupes en ligne choisir?
Des fenêtres s'ouvrent sans qu'on m'ai demandé mon avis(Virus?Spy?)[WIN2003] modifier la permission d'un partage en ligne de commande
[AVIS] sur programmes au demarrage d'XPProblème de démarrage windows et de pare feu, help SVP.
aide pour l'analyse de mon pctweakVI ou TuneUp votre avis.
Votre avis ? sur un probleme de demarrage XP64Pbs pc infecté - rapport hijackthis et kaspersky en ligne dispo
Plus de sujets relatifs à : hijackThis: ligne douteuse -> avis SVP?


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR