Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
884 connectés 

 


 

 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14
Auteur Sujet :

[Tutoriel R+] - HijackThis

n°1619246
SICCO
dima dima
Posté le 26-06-2004 à 13:54:22  profilanswer
 

Reprise du message précédent :
Logfile of HijackThis v1.97.7
Scan saved at 13:54:10, on 26/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\crhp32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\crac.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\H.M\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zmxkl.dll/index.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zmxkl.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zmxkl.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
O2 - BHO: (no name) - {8C64AEC0-374E-EFF7-DA12-C97865DA9CF1} - C:\WINDOWS\ipay.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [crac.exe] C:\WINDOWS\crac.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
 


---------------
maman.rien que toi...
mood
Publicité
Posté le 26-06-2004 à 13:54:22  profilanswer
 

n°1619251
SICCO
dima dima
Posté le 26-06-2004 à 13:56:48  profilanswer
 

c pas un prb si je scanne sans fermer internet


---------------
maman.rien que toi...
n°1619255
SICCO
dima dima
Posté le 26-06-2004 à 13:57:32  profilanswer
 

c pas grave si je sacnne sans fermer internet


---------------
maman.rien que toi...
n°1619272
SICCO
dima dima
Posté le 26-06-2004 à 14:10:11  profilanswer
 

eh minipousss te ou voila le log de hijack je fasi qoui la


---------------
maman.rien que toi...
n°1619395
SICCO
dima dima
Posté le 26-06-2004 à 15:06:32  profilanswer
 

jai scanner avec spybot puis adaware et hijack et jai rebouter.jai cliker sur mon IE il m a afficher une fenetre de msn c bien .mais a pres jai fermé et jai retourner jai trouver ce putin prob encore


---------------
maman.rien que toi...
n°1619440
minipouss
un mini mini
Posté le 26-06-2004 à 15:23:05  profilanswer
 

alors tout d'abord. mieux vaut tout fermer avant de faire Hijack car peut-être que certaines choses ne peuvent pas être virées si elles tournent. C'est clair.
 
pour le reste tu as encore pas mal de choses à éliminer.
 
faut fermer ces processus dans le gestionnaire de tâche (clic droit sur la barre en bas de l'écran, puis gestionnaire des tâches, ensuite Onglet Processus)

Citation :

C:\WINDOWS\crhp32.exe  
C:\WINDOWS\crac.exe


 
et virer ça avec Hijack

Citation :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zmxkl.dll/index.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zmxkl.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zmxkl.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272  
O4 - HKLM\..\Run: [crac.exe] C:\WINDOWS\crac.exe  
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11

n°1619484
SICCO
dima dima
Posté le 26-06-2004 à 15:48:19  profilanswer
 

oui jai fait tout ca , mais qd je reboute je clik sut mon IE  il m'affiche une bonne adresse de msn je pense que le probleme est resolue mais qd je ferme internet et je retourne je trouve une nouvelle adresse de cette merde de spy

n°1619485
SICCO
dima dima
Posté le 26-06-2004 à 15:48:39  profilanswer
 

je vais tenvoyer mnt un nouveau log de hijack

n°1619492
SICCO
dima dima
Posté le 26-06-2004 à 15:51:37  profilanswer
 

Logfile of HijackThis v1.97.7
Scan saved at 15:51:33, on 26/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\netyr.exe
C:\WINDOWS\system32\atlyv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\H.M\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pdwla.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pdwla.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pdwla.dll/sp.html#44272
O2 - BHO: (no name) - {6C948E70-AB84-E5AD-7F98-E364697B6224} - C:\WINDOWS\nttt.dll
O4 - HKLM\..\Run: [netyr.exe] C:\WINDOWS\netyr.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
 

n°1619557
minipouss
un mini mini
Posté le 26-06-2004 à 16:26:38  profilanswer
 

dans les processus maintenant c'est  

Citation :

C:\WINDOWS\netyr.exe
C:\WINDOWS\system32\atlyv.exe


 
et pour le reste faur virer toutes les clés avec Hijack :/
 

mood
Publicité
Posté le 26-06-2004 à 16:26:38  profilanswer
 

n°1619564
minipouss
un mini mini
Posté le 26-06-2004 à 16:28:52  profilanswer
 

par contre je viens d'aller sur la page de CWShredder (qui sert à virer tout les pb de page de démarrage IE) et c'est pas cool pour toi :  

Citation :

June 18, 2004:
Please stop emailing me about the new CWS variant that hijacks you to res://<random>.dll/sp.html#96676. I am aware of this new thing, but it's a beast to remove.
A solution is being worked on, see this thread on the SWI forums.
 
If it's not working for you, or it's too complicated, I heard from several people that this workaround works as well:
 
    * Open the DLL you get hijacked to in Notepad
    * Select all content (Ctrl-A) and delete it
    * Save the file and exit Notepad
    * Find the file in Explorer, right-click it, select Properties, put a checkmark in 'Read-Only' and click OK.
 
If you can't find the DLL file, make sure your settings allow you to view "Hidden files". Open up any explorer windows and click on "Tools", "Folder Options", "View" and be sure to check off "Show Hidden Files and Folders".

:/ pas évident.  
 
faut lire le lien inclus dans le texte.

n°1619575
PHOENXREBR​TH
Allegro Maestoso
Posté le 26-06-2004 à 16:33:33  profilanswer
 

Yep, drapal


---------------
"Aujourd'hui, les Hommes connaissent le prix de tout mais la valeur de rien." O. Wilde
n°1619940
SICCO
dima dima
Posté le 27-06-2004 à 01:54:31  profilanswer
 

excuse moi mais moi je comprend pas bien l'anglais mais jr trouve tjr l'adresse res://.......et meme only the best popup windows je sais pas la je suis bloqué

n°1620178
SICCO
dima dima
Posté le 27-06-2004 à 14:29:17  profilanswer
 

tu vois qd je scane avec spybot et puis avec adaware et apres le hijack .je reboute je vais a internet c bien elle s'affiche l'adresse msn.com .mais qd je ferme inernet et je retourne je trouve le prb l'adresse qui commence par res://.........


---------------
maman.rien que toi...
n°1620185
SICCO
dima dima
Posté le 27-06-2004 à 14:43:59  profilanswer
 

repondez moi les amis aidez moi
l'adresse que je trouve c :res://pdwla.dll/index.html#44272


---------------
maman.rien que toi...
n°1620723
SICCO
dima dima
Posté le 27-06-2004 à 23:35:38  profilanswer
 

aidez moi les amis je compte sur vous

n°1620770
SICCO
dima dima
Posté le 28-06-2004 à 00:33:45  profilanswer
 

kon je scane avec les 3 et je reboute je trouve ces  
fichiers dans mon bureau je sais pas c qoui:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pdwla.dll/sp.html#44272
O4 - HKLM\..\Run: [winwl.exe] C:\WINDOWS\winwl.exe
en resume je trouve les fichiers ke jai virer

n°1620848
darxmurf
meow
Posté le 28-06-2004 à 08:19:59  profilanswer
 

bah t'as choppé une belle merde mon gars :( :( le trucs c'est qu'il faut faire comme dit minipous...
 
Alors apparemment tu dois tuer le processus winwl.exe depuis le gestionnaire des tâches, après ça tu ouvre C:\WINDOWS\pdwla.dll dans le notepad, tu efface tout le contenu et tu sauve. Après tu vas mettre le fichier en lecture seule.
Une fois ok tu retourne dans hijackThis et tu vire les lignes pouries...
 
bonne chance


---------------
My makes - flickr - galerie HFR
n°1621937
Phod
Glouloulou ?
Posté le 28-06-2004 à 20:53:13  profilanswer
 

pensez a moi, demain j'ai une BA a faire sur une machine qui a l'air pourrie de spy... :cry:
 

Darxmurf a écrit :

ouaip... mais il faudrait une capture d'une machine vraiment pourrie histoire de voir un peu ... qui se dévoue pour niquer sa machine ? :D


je vais essayer de la faire la capture si elle en aussi mauvais etat qu'on m'a expliquer au tel :D


---------------
Signatures aux choix Votez:  O - Le python c'est bon, mangez-en  O - L'abus de forum rend dependant, postez avec modération
n°1621951
minipouss
un mini mini
Posté le 28-06-2004 à 21:03:50  profilanswer
 

bon courage :D

n°1621958
Phod
Glouloulou ?
Posté le 28-06-2004 à 21:06:09  profilanswer
 

merci, je vais en avoir besoin  :sweat:


---------------
Signatures aux choix Votez:  O - Le python c'est bon, mangez-en  O - L'abus de forum rend dependant, postez avec modération
n°1622234
SICCO
dima dima
Posté le 29-06-2004 à 01:38:04  profilanswer
 

et moi les amis jai tjr le prob des spy aidez moi la je vais faire qoui je compte seulement sur vous jai essayer tous mais ca part et ca revient je sais pas qoui faire la

n°1622284
darxmurf
meow
Posté le 29-06-2004 à 08:00:21  profilanswer
 

sicco il semble que ton truc soit particulièrement méchant :/
 
Les choses à essayer sont :
 
Methode 1 :
Déconnecter internet
Lancer CWShreeder et nettoyer
Lancer HijackThis et nettoyer
Lancer Spybot et dans les options bloquer la page de démarrage d'internet explorer
 
Methode 2 :
Dans l'adresse de merde res:// que tu as, il y a un fichier .dll, ouvre le dans le notepad et efface le contenu. Après ça tu enregistre et tu vas le mettre en lecture seule.
Tu passe un coup de CWShreeder et HijackThis
 
Si ça revient encore bah je déspère... ou alors tu peux suivre le tutoriel ici : http://assiste.free.fr/p/frameset/06_37.php


---------------
My makes - flickr - galerie HFR
n°1623162
darxmurf
meow
Posté le 29-06-2004 à 15:35:54  profilanswer
 

Messieurs Dames !
 
J'ai enfin trouvé la solution pour cette merde de "Malware" qui change la page de démarrage d'internet Explorer en res://xxxxx.dll/index.html
 
Spybot, CWShreeder et HijackThis ne servent qu'à virer les processus en cours mais à chaque lancement d'internet explorer il revient !
 
en fait il s'agit d'un service système !!!
 
La première chose à faire est d'aller dans les services pour désactiver "Network Security System" (en tout cas sur la machine que je viens de traiter c'est ça) il est repérable car il n'a pas de texte d'explication à droite !
 
FERMEZ INTERNET EXPLORER
 
Ensuite tuez le processus du Malware (souvent un truc terminant par 32.exe) et lancez HijackThis. Supprimez toute les clés de merdes qui trainent.
 
Là le truc ne devrait plus revenir mais il reste pas mal de ménage à faire ! en effet, la version que je viens de voir sur une machine crééait environ 2500 fichiers .DLL et autant de fichiers .DAT
 
Allez dans la base de registre et cherchez le nom du service que vous avez arrêté (chez moi Network Security System) et supprimez toute l'arborescence de ce truc. (Il est souvent 2 fois dans la base de registre)
 
Après ça, il faut supprimer les DAT et DLL pourries ! Dans les propriétés d'explorer, affichez les fichiers cachés. Allez dans le répertoir C:\WINDOWS\ affichez tout en "détails" et triez vos fichiers par taille. Il y aura une chiée de fichiers .DAT avec des noms aléatoirs et cachés. Sur la machine que j'ai traîté ils faisaient tout 3 KO et 12 KO... supprimez les TOUS ! (laissez les dans la corbeille au cas ou ça foire...) continuez ensuite la recherche avec les fichiers DLL... là aussi ils portent des noms à la con et font 69 ko.
 
Faites le même cirque dans le répertoir C:\Windows\System32\
 
Une fois terminé on reboot et ça devrait marcher !
 
Putain j'en ai chier pour trouver ce truc :D


Message édité par darxmurf le 29-06-2004 à 15:37:16

---------------
My makes - flickr - galerie HFR
n°1624430
SICCO
dima dima
Posté le 30-06-2004 à 14:04:28  profilanswer
 

ou se trouve le network security system dans l'editeur de registre je le trouve pas moi? dans kellle clé
et apres je vire tous les .dat sans exception meme les .dll

n°1624447
minipouss
un mini mini
Posté le 30-06-2004 à 14:09:21  profilanswer
 

c'est pas dans la base de registre mais dans les services ;)
 
fais "Démarrer"-->"Exécuter" et tapes services.msc
 
ça te donnera la liste des services qui tournent :)

n°1624814
SICCO
dima dima
Posté le 30-06-2004 à 17:55:02  profilanswer
 

Allez dans la base de registre et cherchez le nom du service que vous avez arrêté (chez moi Network Security System) et supprimez toute l'arborescence de ce truc. (Il est souvent 2 fois dans la base de registre
moi jai pas trouvé ca dans l'editeur de registre ou il se trouve dans le registre ce service je lai desactivé mais je le trouve pas dans l'editeur de registre

n°1626159
SICCO
dima dima
Posté le 01-07-2004 à 17:52:54  profilanswer
 

moi je trouve dans services:network security servise pas network security system

n°1626165
darxmurf
meow
Posté le 01-07-2004 à 17:58:23  profilanswer
 

ouaip c'est ça ! ferme le !
 
Après tu prends le nom de la DLL de merde qui se lance avec internet explorer et tu fais une recherche dans le registre... tu virre toute les racines d'où se trouve cette merde !
 
Après tu lance HijackThis et tu nettoye tout !


Message édité par darxmurf le 01-07-2004 à 17:59:27

---------------
My makes - flickr - galerie HFR
n°1626322
darxmurf
meow
Posté le 01-07-2004 à 20:00:28  profilanswer
 

SICCO en passant tu peux m'envoyer un de ces fichiers DLL (caché) de 69 ko se trouvant dans \windows\system32\ ?
adresse : poubelle(at)quad-resistance.com
 
merci :D


---------------
My makes - flickr - galerie HFR
n°1627382
SICCO
dima dima
Posté le 02-07-2004 à 16:20:31  profilanswer
 

ce dll il veut pas se debarraser ca fai une semaine il est la c 'est:wojnq.dll meme qd je fais une recherche je le trouve pas je sais pas koi faire la

n°1627386
darxmurf
meow
Posté le 02-07-2004 à 16:23:02  profilanswer
 

Il faut que l'affichage des fichiers cachés soit activé sinon il n'apparait pas...
 
Si le DLL fait dans les 2 mo je l'ai déjà mais y en a d'autres qui font 69 ko que je veux :D
 
T'as réussi à tuer le service de merde et le virer dans la base de registre ?


Message édité par darxmurf le 02-07-2004 à 16:23:24

---------------
My makes - flickr - galerie HFR
n°1627935
SICCO
dima dima
Posté le 03-07-2004 à 00:41:31  profilanswer
 

network security service je l'ai desactivé dans les services mais dans le registre je sais pas il se trouve ou.
oui c activé l'option afficher dossiers cachés.
pour les dll ki font 69ko sont:usrcoina.dll,zmxkl.dll,wiascr.dll,sprio600.dll,tlvyo.dll,usbui.dll,qvlfs.dll,rdpdr.dll,ifsutil.dll,inseng.dll,mrmhs.dll,knnve.dll,korwbrkr.dll te le merde de wojnq.dll je le trouve pas

n°1627937
SICCO
dima dima
Posté le 03-07-2004 à 00:43:52  profilanswer
 

oui dans option des dossiers il est activé option afficher dossiers cachés

n°1627962
DeusP
Posté le 03-07-2004 à 01:41:13  profilanswer
 

ta envoyé les dll a drax ?
bon l'éditeur de la base de registre est accessible par démarrer->éxecuter->tu tape regedit et entrer

n°1628240
SICCO
dima dima
Posté le 03-07-2004 à 13:00:43  profilanswer
 

et apres je fais koi dans l'editeur de registre

n°1628246
SICCO
dima dima
Posté le 03-07-2004 à 13:07:07  profilanswer
 

jai une merde de dll c :wojnq.dll je le trouve pas qd je fais une recherche

n°1628554
darxmurf
meow
Posté le 03-07-2004 à 18:57:14  profilanswer
 

AdAware 6.0 avec mise à jour virre cette merde


---------------
My makes - flickr - galerie HFR
n°1628556
darxmurf
meow
Posté le 03-07-2004 à 18:58:18  profilanswer
 

pour les DLL envoie en une au bol dans la liste que tu m'a donné... genre korwbrkr.dll


---------------
My makes - flickr - galerie HFR
n°1629100
SICCO
dima dima
Posté le 04-07-2004 à 12:38:14  profilanswer
 

jai pas compris darx je les efface tous ou qoui?

n°1629184
minipouss
un mini mini
Posté le 04-07-2004 à 13:38:14  profilanswer
 

darxmurf te demande de lui en envoyer une c'est tout.
 
ensuite tu mets à jour AdAware et ça te permettra de virer cette saloperie de ton pc c'est tout. enfin j'espère.


Message édité par minipouss le 04-07-2004 à 13:38:45
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14

Aller à :
Ajouter une réponse
 

Sujets relatifs
[Tutoriel] Générer du PDF gratos (avec version entreprise / réseau)Demande d'analyse d'un log HijackThis
Commenter un log de Hijackthis[Nastran / Patran] Je cherche un bon tutoriel
tit question sur HIJACKTHIS[Topic Unique R+] Mozilla Thunderbird 78.11.0
[Tutoriel] Faire fonctionner son Sagem F@st908 en Ethernet[Access] Besoin d'aide pour tutoriel d'exportation
tutoriel word 2002 
Plus de sujets relatifs à : [Tutoriel R+] - HijackThis


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR