Nettoyage de browsalc.dll

Tata Arlette · le 21 août 2005

Bonjour le forum ! Je suis toute nouvelle. Je viens de lire point par point toutes les instructions afin d'éradiquer le trojan browsalc.dll

j'ai pendant plus de 3 heures fait tout ce que vous indiquez. J'ai téléchargé tous les programmes, fait les manip en mode sans échec et me revoici avec le script de Hijacktis.

Le voici ci-dessous : que faire ?? est-ce grave docteur ??

Logfile of HijackThis v1.99.1

Scan saved at 16:57:19, on 21/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://assoc.wanadoo.fr/lesamisdurelais.lissois

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Systran40perso.IEPlugIn - {397B3223-7D10-11D6-ABC6-00B0D094B576} - C:\Program Files\Systran\4_0\Personal\IEPlugIn.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FTP Server] C:\TYPSOF~1\ftpserv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t

O4 - HKLM\..\Run: [Anniversaire] C:\Program Files\Anniversaire\AlerteAnniversaire.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O10 - Hijacked Internet access by New.Net

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.3suissesphotos.fr/Components/Up...geUploader3.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Merci du temps passé pour une petite nouvelle de 56 ans...

ipl_001 · le 21 août 2005

Bonjour Tata Arlette, bonjour à tous,

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Ce n'est pas un gentil qui a infecté ton système... NewDotNet !

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Jack_Burton · le 21 août 2005

O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t

556125[/snapback]

Bonjour tata Arlette & ipl_001

Les logiciels de peer to peer véhiculent souvent des virus et autres malwares.

Modifié le 21 août 2005 par Jack_Burton

ipl_001 · le 21 août 2005

Rebonjour Tata Arlette, rebonjour à tous,

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

-3- Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm (instructions -> http://www.cexx.org/lspfix.txt ) il faut tout de suite penser à ce logiciel lorsqu'on voir une ligne O10 et en particulier avec NewDotNet car il y a risque de perte de la connexion Internet !.. nous utiliserons LSPfix si nous perdons cette connexion !

- télécharger LSPfix sur le bureau, éventuellement, le dézipper sur le bureau

-4- Redémarre l'ordinateur en mode sans échec.

-5- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- NewDotNet

--- tu as 2 antivirus (Antivir et Avast) : il faut n'en conserver qu'un ! Je sais que la procédure demandait l'installation d'Antivir mais elle demandait aussi sa désinstallation !

--- eDonkey (contraire à la charte du forum ! C'est la source de beaucoup d'ennuis !)

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

-6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t

O4 - HKLM\..\Run: [Anniversaire] C:\Program Files\Anniversaire\AlerteAnniversaire.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O10 - Hijacked Internet access by New.Net

Ne pas toucher par HijackThis, ces lignes doivent être enlevées par la désinstallation de NewDotNetv!

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.3suissesphotos.fr/Components/Up...geUploader3.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

-7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\Program Files\NewDotNet (supprime le dossier)

--- C:\Program Files\Overnet (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

-9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

-10- Qu'en est-il des dysfonctionnements ?

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Tata Arlette · le 21 août 2005

Rebonjour Tata Arlette, rebonjour à tous,

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

-3- Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm (instructions -> http://www.cexx.org/lspfix.txt ) il faut tout de suite penser à ce logiciel lorsqu'on voir une ligne O10 et en particulier avec NewDotNet car il y a risque de perte de la connexion Internet !.. nous utiliserons LSPfix si nous perdons cette connexion !

- télécharger LSPfix sur le bureau, éventuellement, le dézipper sur le bureau

-4- Redémarre l'ordinateur en mode sans échec.

-5- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- NewDotNet

--- tu as 2 antivirus (Antivir et Avast) : il faut n'en conserver qu'un ! Je sais que la procédure demandait l'installation d'Antivir mais elle demandait aussi sa désinstallation !

--- eDonkey (contraire à la charte du forum ! C'est la source de beaucoup d'ennuis !)

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

-6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t

O4 - HKLM\..\Run: [Anniversaire] C:\Program Files\Anniversaire\AlerteAnniversaire.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

Ne pas toucher par HijackThis, ces lignes doivent être enlevées par la désinstallation de NewDotNetv!

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - [url=http://www

Tata Arlette · le 21 août 2005

Rebonjour Tata Arlette, rebonjour à tous,

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

-3- Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm (instructions -> http://www.cexx.org/lspfix.txt ) il faut tout de suite penser à ce logiciel lorsqu'on voir une ligne O10 et en particulier avec NewDotNet car il y a risque de perte de la connexion Internet !.. nous utiliserons LSPfix si nous perdons cette connexion !

- télécharger LSPfix sur le bureau, éventuellement, le dézipper sur le bureau

-4- Redémarre l'ordinateur en mode sans échec.

-5- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- NewDotNet

--- tu as 2 antivirus (Antivir et Avast) : il faut n'en conserver qu'un ! Je sais que la procédure demandait l'installation d'Antivir mais elle demandait aussi sa désinstallation !

--- eDonkey (contraire à la charte du forum ! C'est la source de beaucoup d'ennuis !)

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

-6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\eDonkey2000.exe -t

O4 - HKLM\..\Run: [Anniversaire] C:\Program Files\Anniversaire\AlerteAnniversaire.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

Ne pas toucher par HijackThis, ces lignes doivent être enlevées par la désinstallation de NewDotNetv!

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.3suissesphotos.fr/Components/Up...geUploader3.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

-7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\Program Files\NewDotNet (supprime le dossier)

--- C:\Program Files\Overnet (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

-9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

-10- Qu'en est-il des dysfonctionnements ?

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

556147[/snapback]

Merci du temps passé pour nous tous et plus particulièrement en ce moment pour moi !!

Voilà, j'ai fait absolument tout et minutieusement tout ce que tu m'as dit de faire...

Deux soucis :

- explorateur pour le repertoire Newdotnet : ..."impossible de supprimer Newdotnet6_38 : accès refusé

- ma connection internet joue le yoyo... j'ai eu beaucoup de mal à venir sur le forum, la connection s'arrête, redémarre... comme avant... pourtant j'ai tout fait vérifier depuis plusieurs jour par les télécom et wanadoo. La live box est en parfaite connection...

Ci dessous le script de Hitackthis :

Logfile of HijackThis v1.99.1

Scan saved at 20:07:55, on 21/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\No-IP\DUC20.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\IncrediMail\bin\IncMail.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://assoc.wanadoo.fr/lesamisdurelais.lissois

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =