Panne totale ! Log hijack à analyser...

mafalda · le 3 octobre 2005

Bonjour à tous !

J'ai suivi les instructions mises dans les machins épinglés.

Je me permets de vous mettre mon rapport hijack.

Mon problème : impossible de me surfer sur internet. Quand j'ouvre le navigateur, je tombe sur la page d'accueil neuf.fr (imposée par leur foutu service) et après je suis bloquée, je ne peux plus changer de page. Par ailleurs à partir du moment ôù explorer est ouvert, mon ordinateur plante systématiquement. Je dois alors l'éteindre sauvagement. En revanche pas de plantage si je n'ouvre pas explorer dans la session. Pour écrire ce mail je suis sur l'ordinateur portable d'une amie.

Je suis désespérée, je paye internet pour rien depuis 2 mois

Ma configuration : windows 2000 professionnel

Logfile of HijackThis v1.99.1

Scan saved at 01:50:16, on 03/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\HijackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunServices: [Network Access] winssh.exe

O4 - HKLM\..\RunServices: [Windows Messenger] msnsmgs.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunServices: [Windows Messenger] msnsmgs.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)

Thanos · le 3 octobre 2005

salut mafalda et bienvenue sur le forum sécurité

Je jette un oeil sur ton log et te dis quoi faire!

Un truc tres important : je ne vois pas de firewall sur ton pc !!! En as tu un ?

mafalda · le 3 octobre 2005

Ouh la la !!! j'hallucine sur ta rapidité à me répondre !!!

Pour le fire wall, non je n'en ai pas car en fait j'ai du reformater mon ordi suite au problème (qui a persisté comme tu vois) et depuis je n'ai pu réinstaller les mises à jours de windows update.

J'ai oublié de dire (peut-être c'est important) j'ai un virus : 180saax.cab : clientax.dll

Merci

Thanos · le 3 octobre 2005

-Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

--Télécharge Clean Up 40:

http://www.stevengould.org/software/cleanup/

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Assure toi d'avoir accès à tous les fichiers.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant(si tu trouves!):

-network access

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O4 - HKLM\..\RunServices: [Network Access] winssh.exe

O4 - HKLM\..\RunServices: [Windows Messenger] msnsmgs.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunServices: [Windows Messenger] msnsmgs.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

-winssh.exe=> lance une recherche sur le disque dur(avec l'outil "Rechercher"), probablement dans C:\Windows\System32

-C:\Windows\System32\msnsmgs.exe

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

-Exécute Cleanup40

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

IL faudras remettre un firewall en route avant d'aller sur internet:imperatif!!

j'ai un virus : 180saax.cab : clientax.dll

Qui t'as donné cette alerte?Avast? Il s'agit de l'Adware 180 Search qui devrais être

éliminé par Spybot Search & Destroy Mets Spybot à jour si tu peux et scanne le pc

dis moi ce qu'il a trouvé! Si il y a des trucs que tu ne comprends pas , n'hésites pas

à demander

Modifié le 3 octobre 2005 par charles ingals

mafalda · le 3 octobre 2005

120saax m'a été donné par Norman antivirus. Mais je l'ai désinstallé tout à l'heure car je le trouve inutile et je l'ai remplacé par avast.

Comment je peux mettre le fire wall et les mises à jours sécurité si je ne peux connecter l'ordinateur?

(là j'ai un ordi prêté juste à côté, avec la clé usb je peux faire des transferts de fichiers).

Une question avant de suivre toutes tes gentilles recommandations.

J'ai oublié de te dire qu'en plus de avast j'ai ad aware et spybot (qui n'ont rien donné c'est vrai...). Ce n'est pas la même chose que les 2 que tu me proposes de télécharger?

Thanos · le 3 octobre 2005

les deux utilitaires que je te fais télécharger sont utiles pour virer de ton disque dur tous

les fichiers temporaires qui s'accumulent (cleanup40) ;et nettoyer la base de registre et

les fichiers inutiles(Easycleaner =>n'utilise surtout pas la fonction doublons, elle bugge )

ad aware et spybot eux, nettoyent le pc des spywares qui squattent!

Tu as bien fais de virer Norman qui lui est payant!

-Il est préférable de procéder dans cet ordre: nettoyer le pc de ses daubes

-Installer le parefeu : en voici un gratos =>

-zone alarm: http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial: http://www.zebulon.fr/articles/configurationZA_1.php

-Une fois tout celà fait tu pourra mettre à jour ton Antivirus par la fonction "update"

intégrée .

D'autres logiciels tous simples que je pourrai te conseiller une fois le pc nettoyé pour

sécuriser ton pc!

Edit: tu n'as pas besoin d'être connecté à internet pour installer ton parefeu , au

contraire!

Modifié le 3 octobre 2005 par charles ingals

Thanos · le 3 octobre 2005

Je sais je te fais travailler mais j'aimerais par la suite que tu scanne ton pc avec

Ewido (en Mode sans Echec)et que tu poste le rapport . Voilà comment faire:

Télécharger la version d'essai d'Ewido ici :

http://www.ewido.net/fr/

Télécharger la mise à jour ici :(Full Data Base) et mets la dans le même dossier:

http://www.ewido.net/en/download/updates/

Installer Ewido(important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu").Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour

puis, fermer le programme.

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner

puis sur scan complet du système.

Si Ewido trouve quelque chose, et que tu n'es pas sûr de la donnée, sélectionne

"aucune" pour le moment. Nous verrons cela dans le log que tu vas poster plus tard

et nous te ferons savoir si Ewido doit être relancé.

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer.

C'est chiant mais ca va permettre de savoir si il n'y a pas autre chose qui se cache!

Modifié le 3 octobre 2005 par charles ingals

mafalda · le 3 octobre 2005

Charles,

J'ai fait tout ce que tu m'as dit !!!!

Ci-dessous le rapport final.

J'ai juste eu une hésitation pour Easy Cleaner / nettoyages des inutiles : j'ai pas osé effacer ce qui correspondait à "types normaux" et "types supplémentaires" car leur emplacement était dans des programmes installés (genre ACDsee). Si tu me confirmes que c'est sans risque j'efface.

J'ai lancé explorer depuis 5 min, et pour l'instant ça plante pas!!!!!!

Que penses-tu du nouveau rapport?

Je suis preneuse pour tes conseils sécurité !!! (je m'étais trompé, c'est XP que j'ai)

TU ES FORMIDABLE! C'est la 1ere fois que je vais sur un forum informatique, je suis impressionnée par la solidarité qui y règne, je me sentais très isolée dans mon coin et prête à me ruiner avec l'achat d'un nouvel ordinateur...

Bizzz

Ton adepte, laura ingalls

Logfile of HijackThis v1.99.1

Scan saved at 04:00:51, on 03/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe