Rapport hijackthis d'un ami

ZoX' · le 24 août 2005

Bonjour à tous, voilà le log qu'un ami ma fait parvenir pour que je lui analyse, il est rès chargé, probablement le plus chargé que j'ai vu oO...Je lui ai dejà dit de cocher beaucoup de cases mais je voudrais savoir si celles qui restent ne sont pas infectueuses car j'ai eu "peur" de les lui retirer et je voudrais un avis d'expert, si tesgaz pouvait aussi lui faire un de ses régimes magiques huhu enfin voilà bonne soirée à tous...

Il est apparemment infecté pas new.net mais j'ai peur de faire foirer sa connect, si c'était mon pc je n'aurais pas hésité mais bon je ne préfère pas risquer

Logfile of HijackThis v1.99.1

Scan saved at 22:47:54, on 24/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\CNYHKey.exe

C:\Program Files\AVPersonal\AVSched32.EXE

C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe

C:\program files\powerstrip\pstrip.exe

C:\PROGRA~1\Toolbar\TBPS.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\valve\steam\steam.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\PROGRA~1\Toolbar\PIB.exe

C:\Program Files\Fichiers communs\WinTools\WSup.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\rsvp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\BENOIT~1\LOCALS~1\Temp\Rar$EX00.515\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FICHIE~1\WinTools\WToolsB.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FICHIE~1\WinTools\WToolsB.dll

O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)

O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min

O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe

O4 - HKLM\..\Run: [Parallel Tasking] C:\Program Files\Parallel Tasking\ptask.exe

O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] "c:\valve\steam\steam.exe" -silent

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O10 - Hijacked Internet access by New.Net

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\PROGRA~1\Toolbar\toolbar.dll

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Modifié le 24 août 2005 par ZoX'

le 24 août 2005

Bonsoir Zox', bonsoir à tous télécharge cet outil de désinfection LSPFix de Cexx.org

http://www.cexx.org/lspfix.htm

Ce programme tente de corriger les problèmes de connexion à Internet résultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.

Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé, explications assiste.com.

Voici comment procéder:

1 Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes

S’il y a le programme NewDoNeT ou NewNet le désinstaller.

(le désinstaller en mode sans échec si l’application est récalcitrante)

2 Explorateur Windows suivre ce chemin :

C:\Program Files\NewDotNet\ ou C:\windows\

Rechercher le fichier de désinstallation ressemblant a NDNuninstallX_XX.exe(x est la version)

Cliquer dessus,une fois la désinstallation terminée supprime le dossier C:\Program Files\NewDotNet\

3 Télécharge ceci uninstallNewdonet http://www.new.net/support/uninstall6_38.exe

Clique sur Démarrer.

Clique sur Exécuter.

Tape: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur CD D, E, F,..)

Clique sur OK.

Une fois la désinstallation terminée, redémarre.

Si après la manip ci-dessous tu perds l’accès à internet :

Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.

Redémarre ton PC.

ZoX' · le 24 août 2005

Ok merci stonangel je lui dit quoi faire et je te tiens au courant

ZoX' · le 24 août 2005

Ok j'ai suvis tes instructions stonangel et tout va bien je te remercie, je connaissais la procédure mais je n'étais pas sur Au niveau du log hijackthis, qu'en penses tu?Y a-t'il des lignes a cocher que j'aurais omises

le 24 août 2005

Re Zox', dans un optique sécurité:

Désinstaller deux antivirus ( là il y en a 3: Antivir, e Trust et Norton)

Désintaller via Ajout/Suppression de programmes:

Parallel Tasking, Media Gateway

Fixer avec Hijackthis les entrées suivantes: