Redirection host .net et Màj et on-line scan impossible , mon rapport

[chtilo]

Bonjours à tous ,

 

Merci d'avance pour la personne qui va analysé mon scan.

 

Mon dernier scan est d'hier soir (Kapersky à partir de IE) et rien et pourtant sa fait quelque jours que mon PC esr très ralenti et dans Process explorer la charge CPU est collé à 100% et pour bien me faire "BIP" en plus de la redirection j'ai mon fichier host après l'avoir concoqueter avec celui de Tesgaz et Mpvp je ne peu plus faire de changement ou effacement sans qu'il me dise Impossible de créer C:\windows\système32\driver\etc\host , même le réinitialisé y veut pas ce c**

 

Débutant dans l'analyse de rapport Hijackthis je n'ai rien fixé mais je pense avoir trouvé quelque lignes qui me mettent le doute:

• dans Process running : "smss.exe", "csrss.exe", "Issas.exe"
  
• BHO : tout les file missing
  
• O1 - Hosts: .net
  
• O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
  

J'ai un doute sur svchost.exe car j'en ai plusieurs afficher dans Process explorer mais un seul consomme quasiment les 100% de charge CPU.

 

si une petite correction de mes doute sur le rapport peuvent mettre donner se serai sympa j'essaie de m'y mettre donc je pense que je dois d'abord comprendre un peu les chose en tout cas encore merci car analyser un rapport ne se fait pas comme ça au réveille un matin , lol

 

En attendant vos explications et instructions

 

voici mon rapport HijackThis en mode normale (Il est court car j'ai eu un plantage y a pas peu a cause d'une saleté donc c'est pour ça que je veus faire cette guerre aux saletés lol)

 

j'en rigole un peu sa me détend.

 

Logfile of HijackThis v1.99.1

Scan saved at 14:24:12, on 22/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\OO Software\CleverCache\ooccag.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe

C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\Program Files\OO Software\CleverCache\ooccctrl.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

U:\SETUP Divers\Tray It\TrayIt!.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\totalcmd\TOTALCMD.EXE

U:\Fichier Secu\Sécurisé Windows\Process Explorer\procexp.exe

C:\HijackThis-fr\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: .net

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (disabled by BHODemon)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (disabled by BHODemon)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: PrivBar - {300BC64A-BF32-4cc8-8917-91148CEFE700} - C:\DropMyRights\PrivBar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"

O4 - HKLM\..\Run: [DSA] "C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] "C:\Program Files\PowerISO\PWRISOVM.EXE"

O4 - HKLM\..\Run: [H2O] "C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe"

O4 - HKLM\..\Run: [ooccctrl.exe] "C:\Program Files\OO Software\CleverCache\ooccctrl.exe" /tasktray

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunOnce: [MRUBlaster] C:\Program Files\MRU-Blaster\indexcleaner.exe -COOKIES

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [superCopier2.exe] "C:\Program Files\SuperCopier2\SuperCopier2.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe

O4 - Startup: TrayIt!.lnk = U:\SETUP Divers\Tray It\TrayIt!.exe

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1185227167531

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\ooccag.exe

O23 - Service: Privacyware network service (PFNet) - PWI, Inc. - C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

Ma config WINdows XP Pro SP2, Firefox , IE pour les WinUpdate et scan online

 

amicalement.

Modifié le 22 août 2007 par chtilo

[champciaux]

va sur http://bastiensecurit.fr.monsite.orange.fr va sur ETES VOUS INFECTE lit la page et clique sur un des liens pour faire un scan antivirus en ligne.les liens se trouvent en bas de page.

[chtilo]

Y a quelqu'un qui peut me faire avancée car là sur le PC ou j'ai l'infection je ne peut plus aller sur le forum.

 

Champciaux la Pub est interdite je crois de plus je ne peut plus faire de scan en ligne mais merci de ton intervention.

 

Mon PC au bout de 20 minute a fini l'install d'Antivir mais la redirection "Host.net " me bloque pour lesMàj.

 

Tout est trop lent et beaucoup de chose son maintenant bloquer.

 

Merci de votre aide.

 

amicalement

[ipl_001]

Bonsoir champciaux,

va sur http://bastiensecurit.fr.monsite.orange.fr va sur ETES VOUS INFECTE lit la page et clique sur un des liens pour faire un scan antivirus en ligne.les liens se trouvent en bas de page.

Pas de cette publicité flagrante sur le forum, s'il te plaît !

[chtilo]

bon le désespoir ma fait poussé des ailes lol !

 

Bon j'ai lancer un nettoyage avec SmitFraudFix car j'avais un problème de fichier Hosts et également avec Spybot Search & Destroy, Désactivation de la Restauration, nettoyage du cacheDll et autre fichiers temp et j'ai fixé la ligne 01 de Hijackthis toutes ces étape en mode sans échec.

 

et redémarrage en mode normal avec ré activation de la restauration et désactivation du cache DNS.Bon il me reste à vérifier pour voir si il n'y a pas un Rootkit sinon analyse AVG anti-spy Clean.

 

Je pense que sa se voit que j'ai fais ça un peu "a l'arrache" mais le PC ne voulait plus aller sur le forum de Zebulon et ramait comme pas possible, plus de 20 min pour essayer d'installer Ativir que j'ai enlever juste après.

 

Voilà tout est rentré dans l'ordre si ce n'est qu 'il faut que je protège plus mon Hosts.

 

Quelqu'un aurai un pti moment pour me dire ça, il faut que je comble cette faille de sécurité qui est minime mais c'est une faille.

 

Merci à vous et j'espère avoir bien expliquer mes manips au cas ou quelqu'un aurai besoin de les faire.

 

Amicalement

[Gof]

Bonjour chtilo

 

Désolé que tu n'ais pas obtenu de réponses.

 

As-tu pu donc te débrouiller ? Veux tu que l'on vérifie ensemble que tout a été traité ?