Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

scan hijackthis, besoin d'aide svp

titine95

Par titine95
dans Analyses et éradication malwares

 Partager

Messages recommandés

titine95 Junior Member

titine95

Posté(e)
Posté(e)

Bonjour, hier j'ai été su un site xxxxx, et le probleme est que j'ai chopé un spyware, et spybot et ad awre, ne changent rien :P

pouvez vous m'aider svp ?

 

 

Logfile of HijackThis v1.99.1

Scan saved at 09:25:32, on 15/04/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\drivers\trcboot.exe

C:\PROGRA~1\Navnt\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

C:\WINNT\System32\drivers\ldlcserv.exe

C:\Program Files\Lotus\Notes\ntmulti.exe

C:\PROGRA~1\Navnt\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\RCSERV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\atiptaxx.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe

C:\PROGRA~1\Navnt\vptray.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

C:\Program Files\Microsoft Office0\Office\OSA.EXE

C:\Program Files\3M\PSNotes2\Psn2.exe

C:\Program Files\Winzip\WZQKPICK.EXE

C:\Program Files\Pcs3270\zipprint.exe

C:\PROGRA~1\3M\PSNotes2\PSNGive.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\WINNT\System32\MDM.EXE

C:\WINNT\Personal\My Pictures\pic\HijackThis.exe

C:\Program Files\Lotus\Notes\NLNOTES.EXE

C:\Program Files\Lotus\Notes\ntaskldr.EXE

c:\srccode\o2kpsr1\disk1\PFiles\MSOffice\Office\EXCEL.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/066/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.mmm.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by 3M/IE 6.0

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://c:\srccode\ieconfig\3Mie60.ins

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = corpproxy1.mmm.com:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.mmm.com;*.3m.com;*.3mhis.com;<local>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [lcfep] "C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe"

O4 - HKLM\..\Run: [swdisUsrPCN.FRI6378] "C:\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Tivoli\swdis\1\wdusrpcn.env"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Navnt\vptray.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Adjust Screen Saver Settings Utility.lnk = C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office0\Office\FINDFAST.EXE

O4 - Global Startup: Microsoft Office (2).lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Office Startup.lnk = C:\Program Files\Microsoft Office0\Office\OSA.EXE

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes2\Psn2.exe

O4 - Global Startup: SnagIt 6.lnk = C:\Program Files\TechSmith\SnagIt 6\SnagIt32.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\Winzip\WZQKPICK.EXE

O4 - Global Startup: zipprint.exe.lnk = C:\Program Files\Pcs3270\zipprint.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\system32\shdocvw.dll

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://cypressfrprod.euro.mmm.com/cypress/...ents/isetup.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{60906946-1A84-4735-8ABD-E1BFE78629AF}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6F113F8-ABCE-4DA3-BBEB-02D467608F2C}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\Navnt\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

O23 - Service: LocalSystem (ldlcserv) - Unknown owner - C:\WINNT\System32\drivers\ldlcserv.exe

O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\Lotus\Notes\ntmulti.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\Navnt\rtvscan.exe

O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE

O23 - Service: TrcBoot - Unknown owner - C:\WINNT\System32\drivers\trcboot.exe

 

Titine95

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour titine95, BipBip, bonjour à tous,

 

Je te souhaite la bienvenue sur Zebulon ! :P

 

titine95, je te confirme que tu peux faire toute confiance à BipBip !

 

Par contre, j'édite ton message... !!!??? (charte)

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e) (modifié)

Coucou33.gif

 

A/Il a le parasite NewDoNet: O10 - Hijacked Internet access by New.Net

 

1/Télacharge cet outil de désinfection LSPFix

from Cexx.org

 

Ce programme tente de corriger les problèmes de connexion à Internet resultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.

Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé ; explications assiste.com.

 

Voici comment proceder:

1ere façon:

Démarrer>Parametres>Panneau de configuration>Ajout/suppression des programmes

Si il y as le programmes NEWDONET ou Newnet désinstaller le.

(le désinstaller en mode sans echec si l’application est récalsitrante)

2eme façon : Explorateur windows suivez ce chemin :

C:\Program Files\NewDotNet\  ou C:\windows\

rechercher le fichier de désinstallation ressamblant a NDNuninstallX_XX.exe(x est la version)

Clique dessus,une fois la désinstallation terminée ru supprime le dossier   C:\Program Files\NewDotNet\

3eme façon :

Tu télécharge ceci uninstallNewdonet

et tu le copie le sur une disquettete ou CD.

Insere la disquette ou CD.

Clique sur démarrer.

Click sur éxécuter.

Tape: X:\uninstall6_38.exe. (ou X représente le lecteur Disquette A ou ton lesteur CD D,E,F,..)

Clique sur OK .

Une fois la désinstallation terminée,Redémarrez.

 

Si après la manip ci-dessous tu pers l’acces a internet :

Démarre LSPFix

Coche 'I know what I'm doing'

Clicque sur 'Finished'.

Redémarre ton PC.

 

B/Démarrer le logiciel HijackThis hijackthis_big.gif et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/066/

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer

 

Téléchargeret exécuter (fix):

CWShredder

 

Si le probleme persite passer cet utilitaire mais en dernier recour car c'est l'editeur du spyware qui le propose (legislation oblige)

http://www.hotoffers.info/uninstall/uninstall.exe

 

Puis reviens mettre un rapport Hijackthis smiley_520.gif

 

edit: Hello ipl_001

Modifié par BipBip07
titine95 Junior Member

titine95

Posté(e)
  • Auteur
Posté(e)
Bonjour, hier j'ai été su un site xxxxx, et le probleme est que j'ai chopé un spyware, et spybot et ad awre, ne changent rien  :-(

pouvez vous m'aider svp ?

Logfile of HijackThis v1.99.1

Scan saved at 09:25:32, on 15/04/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\drivers\trcboot.exe

C:\PROGRA~1\Navnt\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

C:\WINNT\System32\drivers\ldlcserv.exe

C:\Program Files\Lotus\Notes\ntmulti.exe

C:\PROGRA~1\Navnt\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\RCSERV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\atiptaxx.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe

C:\PROGRA~1\Navnt\vptray.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

C:\Program Files\Microsoft Office0\Office\OSA.EXE

C:\Program Files\3M\PSNotes2\Psn2.exe

C:\Program Files\Winzip\WZQKPICK.EXE

C:\Program Files\Pcs3270\zipprint.exe

C:\PROGRA~1\3M\PSNotes2\PSNGive.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\WINNT\System32\MDM.EXE

C:\WINNT\Personal\My Pictures\pic\HijackThis.exe

C:\Program Files\Lotus\Notes\NLNOTES.EXE

C:\Program Files\Lotus\Notes\ntaskldr.EXE

c:\srccode\o2kpsr1\disk1\PFiles\MSOffice\Office\EXCEL.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/066/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.mmm.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by 3M/IE 6.0

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://c:\srccode\ieconfig\3Mie60.ins

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = corpproxy1.mmm.com:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.mmm.com;*.3m.com;*.3mhis.com;<local>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [lcfep] "C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe"

O4 - HKLM\..\Run: [swdisUsrPCN.FRI6378] "C:\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Tivoli\swdis\1\wdusrpcn.env"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Navnt\vptray.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Adjust Screen Saver Settings Utility.lnk = C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office0\Office\FINDFAST.EXE

O4 - Global Startup: Microsoft Office (2).lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Office Startup.lnk = C:\Program Files\Microsoft Office0\Office\OSA.EXE

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes2\Psn2.exe

O4 - Global Startup: SnagIt 6.lnk = C:\Program Files\TechSmith\SnagIt 6\SnagIt32.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\Winzip\WZQKPICK.EXE

O4 - Global Startup: zipprint.exe.lnk = C:\Program Files\Pcs3270\zipprint.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\system32\shdocvw.dll

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://cypressfrprod.euro.mmm.com/cypress/...ents/isetup.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{60906946-1A84-4735-8ABD-E1BFE78629AF}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6F113F8-ABCE-4DA3-BBEB-02D467608F2C}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\Navnt\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

O23 - Service: LocalSystem (ldlcserv) - Unknown owner - C:\WINNT\System32\drivers\ldlcserv.exe

O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\Lotus\Notes\ntmulti.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\Navnt\rtvscan.exe

O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE

O23 - Service: TrcBoot - Unknown owner - C:\WINNT\System32\drivers\trcboot.exe

 

Titine95

487753[/snapback]

 

Merci de votre aide !!

 

j'ai enfin reussi a virer le spyware en elevant des des choses dans system32 !

par contre j'arrive toujours pas a mettre de nouveau fon d'ecran, l'onglet a disparu !!! :P

Sinon voici mon nouveau scan peut etre que ça deconne encore :

PS: vraiment merci de m'aider vous etes les seuls sur le 10 site ou j'ai posté qui m'avais repondu, sincerement merci !!

 

Logfile of HijackThis v1.99.1

Scan saved at 10:32:06, on 15/04/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\drivers\trcboot.exe

C:\PROGRA~1\Navnt\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

C:\WINNT\System32\drivers\ldlcserv.exe

C:\Program Files\Lotus\Notes\ntmulti.exe

C:\PROGRA~1\Navnt\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\RCSERV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\atiptaxx.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe

C:\PROGRA~1\Navnt\vptray.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

C:\Program Files\Microsoft Office0\Office\OSA.EXE

C:\Program Files\3M\PSNotes2\Psn2.exe

C:\Program Files\Winzip\WZQKPICK.EXE

C:\Program Files\Pcs3270\zipprint.exe

C:\PROGRA~1\3M\PSNotes2\PSNGive.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\WINNT\System32\MDM.EXE

C:\WINNT\Personal\My Pictures\pic\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.mmm.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by 3M/IE 6.0

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://c:\srccode\ieconfig\3Mie60.ins

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = corpproxy1.mmm.com:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.mmm.com;*.3m.com;*.3mhis.com;<local>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [lcfep] "C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe"

O4 - HKLM\..\Run: [swdisUsrPCN.FRI6378] "C:\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Tivoli\swdis\1\wdusrpcn.env"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Navnt\vptray.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Adjust Screen Saver Settings Utility.lnk = C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office0\Office\FINDFAST.EXE

O4 - Global Startup: Microsoft Office (2).lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Office Startup.lnk = C:\Program Files\Microsoft Office0\Office\OSA.EXE

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes2\Psn2.exe

O4 - Global Startup: SnagIt 6.lnk = C:\Program Files\TechSmith\SnagIt 6\SnagIt32.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\Winzip\WZQKPICK.EXE

O4 - Global Startup: zipprint.exe.lnk = C:\Program Files\Pcs3270\zipprint.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\system32\shdocvw.dll

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://cypressfrprod.euro.mmm.com/cypress/...ents/isetup.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{60906946-1A84-4735-8ABD-E1BFE78629AF}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6F113F8-ABCE-4DA3-BBEB-02D467608F2C}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\Navnt\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

O23 - Service: LocalSystem (ldlcserv) - Unknown owner - C:\WINNT\System32\drivers\ldlcserv.exe

O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\Lotus\Notes\ntmulti.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\Navnt\rtvscan.exe

O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE

O23 - Service: TrcBoot - Unknown owner - C:\WINNT\System32\drivers\trcboot.exe

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Tu n'as pas désinstaller NEWDONET ! :-(:P

 

A/Il a le parasite NewDoNet: O10 - Hijacked Internet access by New.Net

 

1/Télacharge cet outil de désinfection LSPFix

from Cexx.org

 

Ce programme tente de corriger les problèmes de connexion à Internet resultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.

Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé ; explications assiste.com.

 

Voici comment proceder:

1ere façon:

Démarrer>Parametres>Panneau de configuration>Ajout/suppression des programmes

Si il y as le programmes NEWDONET ou Newnet désinstaller le.

(le désinstaller en mode sans echec si l’application est récalsitrante)

2eme façon : Explorateur windows suivez ce chemin :

C:\Program Files\NewDotNet\  ou C:\windows\

rechercher le fichier de désinstallation ressamblant a NDNuninstallX_XX.exe(x est la version)

Clique dessus,une fois la désinstallation terminée ru supprime le dossier  C:\Program Files\NewDotNet\

3eme façon :

Tu télécharge ceci uninstallNewdonet

et tu le copie le sur une disquettete ou CD.

Insere la disquette ou CD.

Clique sur démarrer.

Click sur éxécuter.

Tape: X:\uninstall6_38.exe. (ou X représente le lecteur Disquette A ou ton lesteur CD D,E,F,..)

Clique sur OK .

Une fois la désinstallation terminée,Redémarrez.

 

Si après la manip ci-dessous tu pers l’acces a internet :

Démarre LSPFix

Coche 'I know what I'm doing'

Clicque sur 'Finished'.

Redémarre ton PC.

 

Puis repose un rapport Hijackthis

titine95 Junior Member

titine95

Posté(e)
  • Auteur
Posté(e)

voila apres avoir tout fait, voici mon nouveau scan :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:43:57, on 15/04/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\drivers\trcboot.exe

C:\PROGRA~1\Navnt\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

C:\WINNT\System32\drivers\ldlcserv.exe

C:\Program Files\Lotus\Notes\ntmulti.exe

C:\PROGRA~1\Navnt\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\RCSERV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\atiptaxx.exe

C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe

C:\PROGRA~1\Navnt\vptray.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

C:\Program Files\Microsoft Office0\Office\OSA.EXE

C:\Program Files\3M\PSNotes2\Psn2.exe

C:\Program Files\Winzip\WZQKPICK.EXE

C:\Program Files\Pcs3270\zipprint.exe

C:\PROGRA~1\3M\PSNotes2\PSNGive.exe

c:\WINNT\System32\MDM.EXE

C:\WINNT\Personal\My Pictures\aide spy\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.mmm.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by 3M/IE 6.0

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://c:\srccode\ieconfig\3Mie60.ins

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = corpproxy1.mmm.com:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.mmm.com;*.3m.com;*.3mhis.com;<local>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [lcfep] "C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe"

O4 - HKLM\..\Run: [swdisUsrPCN.FRI6378] "C:\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Tivoli\swdis\1\wdusrpcn.env"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Navnt\vptray.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Adjust Screen Saver Settings Utility.lnk = C:\Program Files\Adjust Screen Saver Settings\AdjustScreenSaverSettings.exe

O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office0\Office\FINDFAST.EXE

O4 - Global Startup: Microsoft Office (2).lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

O4 - Global Startup: Office Startup.lnk = C:\Program Files\Microsoft Office0\Office\OSA.EXE

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes2\Psn2.exe

O4 - Global Startup: SnagIt 6.lnk = C:\Program Files\TechSmith\SnagIt 6\SnagIt32.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\Winzip\WZQKPICK.EXE

O4 - Global Startup: zipprint.exe.lnk = C:\Program Files\Pcs3270\zipprint.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\system32\shdocvw.dll

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://cypressfrprod.euro.mmm.com/cypress/...ents/isetup.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{60906946-1A84-4735-8ABD-E1BFE78629AF}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6F113F8-ABCE-4DA3-BBEB-02D467608F2C}: NameServer = 169.4.193.18,169.4.193.21

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = euro.mmm.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = euro.mmm.com,mmm.com

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: CWShredder Service - Unknown owner - C:\WINNT\Personal\My Pictures\pic\CWShredder.exe (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\Navnt\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE

O23 - Service: LocalSystem (ldlcserv) - Unknown owner - C:\WINNT\System32\drivers\ldlcserv.exe

O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\Lotus\Notes\ntmulti.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\Navnt\rtvscan.exe

O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE

O23 - Service: TrcBoot - Unknown owner - C:\WINNT\System32\drivers\trcboot.exe

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Cette fois ci ton PC est propre :P

 

Si tu souhaite accélérer ton PC au démarrage retire du démarrage automatique les lignes suivante car elles consommes beaucoup de ressources inutilement:

 

MSCONFIG

Ensuite tu vas enlever du démarrage automatique ces programmes qui ne servent a rien (tu pourra si tu le souhaites les remettre en faisant la manip inverse, tu aura un message a ton prochain démarrage coche la case pour ne plus être informé)

démarrer > exécuter > tape msconfig > onglet démarrage > décoche:

 

Microsoft Find Fast.lnk C:\Program Files\Microsoft Office0\Office\FINDFAST.EXE

Microsoft Office (2).lnk C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

Microsoft Office.lnk C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

Office Startup.lnk C:\Program Files\Microsoft Office0\Office\OSA.EXE

 

Quel est ce probleme que tu as en ce qui concerne cet ecran de veille ?

 

NB: attention les ecran de veille téléchargeable sur internet sont souvent source d'infection ( contiennent des spyware )

 

A suivre

titine95 Junior Member

titine95

Posté(e)
  • Auteur
Posté(e)
Cette fois ci ton PC est propre  :P

 

Si tu souhaite accélérer ton PC au démarrage retire du démarrage automatique les lignes suivante car elles consommes beaucoup de ressources inutilement:

 

MSCONFIG

Ensuite tu vas enlever du démarrage automatique ces programmes qui ne servent a rien (tu pourra si tu le souhaites les remettre en faisant la manip inverse, tu aura un message a ton prochain démarrage coche la case pour ne plus être informé)

démarrer > exécuter > tape msconfig > onglet démarrage > décoche:

 

Microsoft Find Fast.lnk  C:\Program Files\Microsoft Office0\Office\FINDFAST.EXE

Microsoft Office (2).lnk  C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

Microsoft Office.lnk  C:\srccode\O2KPSR1\Disk1\PFiles\MSOffice\Office\OSA9.EXE

Office Startup.lnk  C:\Program Files\Microsoft Office0\Office\OSA.EXE

 

Quel est ce probleme que tu as en ce qui concerne cet ecran de veille ?

 

NB: attention les ecran de veille téléchargeable sur internet sont souvent source d'infection ( contiennent des spyware )

 

A suivre

487782[/snapback]

 

 

msconfig, on fait comment ? je dois le taper dans " executer " ?

car je le fais mais ça marche pas !!

 

sinon , pour l'ecran de veille , en fait je n'ai plus l'onglet fond d'ecran kan je fais clique droit - propriété dans le bureau, du coup je peux plus mettre d'image, j'ai encore celle du virus ( mon ecran bleu avec le texte warning ) !!

pas cool !

sinon le reste impeccble

 

Merci beaucoup ! :-(

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Ce PC a l'air d'etre un PC d'entreprise... L'administrateur ne t'aurais t'il pas couper des autorisations pour ce qui est de la configuration du PC, ecran de veille, base de registre,... ?

 

A suivre,

 

NB: si un autre zebulonien a une idée ....

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...