log hijackthis + LSA

Laubean · le 3 septembre 2005

Encore un post inutile..........tu les colectionnes....

adams.familly · le 3 septembre 2005

Encore un post inutile..........tu les colectionnes....

565015[/snapback]

:?: :?: :?:

missjulia · le 3 septembre 2005

Bonsoir,

Merci pour ces réponses. Voilà j'ai suivi la procédure préliminaire, revoilà donc le logn (avec les premières lignes et les infos sur mon système -bien que j'utilise mozilla et non IE) :

Logfile of HijackThis v1.99.1

Scan saved at 22:53:56, on 03/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\ax12.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Palm\HOTSYNC.EXE

C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Microsoft call manager] C:\\WINDOWS\\System32\\ax12.exe

O4 - HKCU\..\Run: [Microsoft call manager] C:\\WINDOWS\\System32\\ax12.exe

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O10 - Hijacked Internet access by New.Net

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

ipl_001 · le 3 septembre 2005

Rebonsoir missjulia,

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Il n'est pas prudent de rester à cette version initiale de ton système d'exploitation car il y alors plein de failles de sécurité !

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

ipl_001 · le 3 septembre 2005

Rebonsoir missjulia, rebonsoir à tous,

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

-3- Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm (instructions -> http://www.cexx.org/lspfix.txt ) il faut tout de suite penser à ce logiciel lorsqu'on voir une ligne O10 et en particulier avec NewDotNet car il y a risque de perte de la connexion Internet !.. nous utiliserons LSPfix si nous perdons cette connexion !

Installation :

- télécharger LSPfix sur le bureau, éventuellement, le dézipper sur le bureau

-4- Redémarre l'ordinateur en mode sans échec.

-5- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- NewDotNet ou New.Net

--- tu as 2 antivirus et il te faut n'en garder qu'un : désinstalle l'autre !

-6- Si tu n'as pas trouvé NewDotNet dans Ajout-Suppression de programmes, effectue ceci :

- lancer LSPfix et se mettre en plein écran pour voir boutons et ascenseurs

- fermer Internet Explorer et arrêter la connexion à Internet

- cocher la case "I know what I'm doing" (je sais ce que je fais)

- dans la colonne de gauche, sélectionner toutes les instances des fichiers à éliminer (NewDotNet ou un nom ressemblant comme Newdotnet6_38.dll)

- cliquer sur la flèche vers la droite pour les ajouter (de la colonne KEEP) dans la colonne REMOVE

- scroller et cliquer sur Finish.

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

-7- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O4 - HKLM\..\Run: [Microsoft call manager] C:\\WINDOWS\\System32\\ax12.exe

O4 - HKCU\..\Run: [Microsoft call manager] C:\\WINDOWS\\System32\\ax12.exe

O10 - Hijacked Internet access by New.Net

Ces lignes seront enlevées par le traitement préliminaire !

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\System32\ax12.exe

--- C:\Program Files\NewDotNet (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

-9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

-10- Qu'en est-il de dysfonctionnements éventuels ?

le 3 septembre 2005

Désolé d'interférer mais ça m'interpelle de lire ton pseudo...

megataupe · le 3 septembre 2005

Salut stonangel . Peut être un clone de cet autre missjulia ou ???????????????

Ratiatum [Forum P2P] > Affichage d'un profil

Affichage du profil : missjulia

missjulia

Tit nouveau

Groupe: Membres

Inscrit: 28-07-05

missjulia · le 3 septembre 2005

Bon merci pour tous ces tuyaux, j'ai bien suivi les recommendations et voilà mon log ci-dessous. Juste pour info ce p***** de ax12.exe j'ai pas pu le supprimer même en mode sans échec. Bizarre????