Interpretation Hijack help ...

[Sandy]

Bonjour

 

Mon PC ne peut plus se connecter à Internet et il ne s'agit pas d'un probleme de connexion physique car je dispose d'un acces au reseau local. Je suppose qu'il s'agit d'un virus qui me bloque mon acces, mon antivirus ne detecte rien (Norton system Works 2004, mise a jour tres ancienne) et je ne plus pas effectuer de mise a jour...Voici le log d'Hijack que je ne sais pas interpreter...

 

Logfile of HijackThis v1.99.1

Scan saved at 18:13:13, on 27/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID {DA9935BA-22F7-44ee-BD12-BD8B87700BEA}

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet6_38.dll' missing

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120...all/xscan53.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{EAD2B815-E3B4-4896-B883-D19C924D2083}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = editerra.fr

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

 

 

Merci beaucoup de votre aide...

[BipBip07]

Salut et bienvenu,

je regarde ton rapport et te dis quoi faire dans 10 mins

[megataupe]

Bonjour Sandy. Infectionpar Newnet. Applique la procédure suivante :

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge cet outil de désinfection LSPFix de Cexx.org

http://www.cexx.org/lspfix.htm

Télécharge CleanUp40 et installe le dans son répertoire.

http://www.stevengould.org/software/cleanup/

Voici comment procéder:

1 Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes

S’il y a le programme NewDoNeT ou NewNet le désinstaller.

(le désinstaller en mode sans échec si l’application est récalcitrante)

2 Explorateur Windows suivre ce chemin :

C:\Program Files\NewDotNet\ ou C:\windows\

Rechercher le fichier de désinstallation ressemblant a NDNuninstallX_XX.exe(x est la version)

Cliquer dessus,une fois la désinstallation terminée supprime le dossier C:\Program Files\NewDotNet\

3 Télécharge ceci : uninstallNewdonet

http://www.new.net/support/uninstall6_38.e...install6_38.exe

et tu le copies sur une disquette ou un CD.

Insère la disquette ou CD.

Clique sur Démarrer.

Clique sur Exécuter.

Tape: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur CD, D, E, F,..)

Clique sur OK.

Une fois la désinstallation terminée, redémarre.

Si après la manip ci-dessus tu perds l’accès à internet :

Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.

Exécute Cleanup40

Redémarre ton PC et poste un nouveau rapport Hijackthis effectué en mode sans échec.

567222[/snapback]

 

edit: attend l'avis de BipBip (salut BipBip ) avant de lancer la procédure

Modifié le 27 septembre 2005 par megataupe

[BipBip07]

 

Il a le parasite NewDoNet: O10 - Hijacked Internet access by New.Net

 

1/Télacharge cet outil de désinfection LSPFix de Cexx.org

 

Ce programme tente de corriger les problèmes de connexion à Internet resultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.

Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé ; explications assiste.com.

 

Voici comment proceder:

1ere façon:

Démarrer>Parametres>Panneau de configuration>Ajout/suppression des programmes

Si il y as le programmes NEWDONET ou Newnet désinstaller le.

(le désinstaller en mode sans echec si l’application est récalsitrante)

2eme façon : Explorateur windows suivez ce chemin :

C:\Program Files\NewDotNet\  ou C:\windows\

rechercher le fichier de désinstallation ressamblant a NDNuninstallX_XX.exe(x est la version)

Clique dessus,une fois la désinstallation terminée ru supprime le dossier   C:\Program Files\NewDotNet\

3eme façon :

Tu télécharge ceci uninstallNewdonet

et tu le copie le sur une disquettete ou CD.

Insere la disquette ou CD.

Clique sur démarrer.

Click sur éxécuter.

Tape: X:\uninstall6_38.exe. (ou X représente le lecteur Disquette A ou ton lesteur CD D,E,F,..)

Clique sur OK .

Une fois la désinstallation terminée,Redémarrez.

 

Si après la manip ci-dessous tu pers l’acces a internet :

Démarre LSPFix

Coche 'I know what I'm doing'

Clicque sur 'Finished'.

Redémarre ton PC.

 

2/Optimisation du PC

 

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120...all/xscan53.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici

 

et supprimer les fichiers ci dessous si ils sont présent :

 

c:\program files\newdotnet\

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\windows\Downloaded Program Files\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

 

Redémarrer normalement,

 

Vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, Easycleaner(registre uniquement), Ccleaner et installer un Firewall (parefeu).

Si tu n'a plus la licence Norton Antivirus il existe des antivirus gratuits et efficace (voir ma signature)

NB: Ne pas avoir 2 antivirus sur le meme PC.

 

Puis reviens mettre un rapport Hijackthis

 

edit: Salut megataupe

Modifié le 27 septembre 2005 par BipBip07

[Sandy]

Merci pour vos reponses aussi rapides j'essaie de faire ça demain dans la journée et vous poste le log des que c'est fait

[Sandy]

Bonsoir

 

J'ai effectué les differentes manips concernant la desinfection du PC et son optimisation maintenant il me reste quelques soucis pour le nettoyage et nottamment avec Adaware qui plante systematiquement...

 

Etant donné que j'ai récupéré ma connexion internet j'ai du faire les mises a jour avec Windows update et Norton antivirus cela ne risque pas de créer de conflits ?

 

Merci

[BipBip07]

Bonsoir

 

J'ai effectué les differentes manips concernant la desinfection du PC et son optimisation maintenant il me reste quelques soucis pour le nettoyage et nottamment avec Adaware qui plante systematiquement...

 

As tu bien la derniere version de Adaware ? Sur quel fihcier bloque t'il ?

Etant donné que j'ai récupéré ma connexion internet j'ai du faire les mises a jour avec Windows update et Norton antivirus cela ne risque pas de créer de conflits ?

Qeul conflits ? Entre quoi et quoi ?

 

Merci

Derien, mais apparament il rste du travail...

 

Vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, Easycleaner(registre uniquement), Ccleaner et installer un Firewall (parefeu).

Si tu n'a plus la licence Norton Antivirus il existe des antivirus gratuits et efficace (voir ma signature)

NB: Ne pas avoir 2 antivirus sur le meme PC.

 

Puis reviens mettre un rapport Hijackthis

???

[Sandy]

Bonjour

 

Bon concernant Adaware c'est resolu j'ai juste du le reinstaller.

 

J'ai donc nettoyé mon PC avec les differents utilitaires que tu m'as conseillé et j'ai éliminé quelques trojans recalcitrants ac Avast.

 

A priori tout fonctionne a nouveau sur ce PC

 

Voici le dernier log

 

Logfile of HijackThis v1.99.1

Scan saved at 16:51:32, on 29/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{EAD2B815-E3B4-4896-B883-D19C924D2083}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = editerra.fr

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

MERCI BEAUCOUP

[BipBip07]

Parfait tout est propre.

Je te conseil vivement de lire les consignes sur la prévention d'ipl_001 que tu trouvera dans ma signature "consignes de sécurité"

De rien et bon surf