Infection par New.net

[Jack_Burton]

Bonjour a tous,

 

Poursuivons notre série des infections typiques par un malware que l on retrouve tres souvent dans des rapports Hijackthis. Il s agit de New.net appelé également NEWDOTNET.

Celui-ci est "livré" avec certains logiciels "douteux" tels que les programmes de Peer 2 Peer ou gestionnaires de téléchargement! Il peut soit etre présenté comme un sponsor du logiciel (dans ce cas, il suffit de décocher la case pour ne pas l installer) ou pire, etre installé a l insu de l utilisateur!

 

Aujourd'hui, New.net peut etre considéré comme un vétéran dans les malwares! Il est donc tres facilement reconnu et supprimable par l ensemble des anti-spyware!

 

1/ Comment reconnaitre une infection par New.net?

 

Ci-dessous un extrait de rapport hijackthis infecté par New.net ! Les lignes en rouges démontrent une infection par New.net :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

 

La présence de New.net est révélée par plusieurs choses qui ne trompent pas

- la présence en lignes 04 d un dossier C:\PROGRA~1\NEWDOT~1 et de sa dll qui en dépend!

- la présence de(s) ligne(s) 010 :

O10 - Hijacked Internet access by New.Net

 

 

Il arrive quelque fois que l on ne retrouve pas les deux renseignement ci-dessus dans le rapport Hijackthis! Cependant, la présence de l un ou l autre est certifiée donc, vous ne pourrez pas vous tromper dans l identification du malware

 

2/ Comment désinfecter un systeme par New.net?

 

Comme je l ai dit en introduction, New.net est un malware "classique" qui est reconnu par tous les antispywares du marché (gratuits & payants)!

Il n y a donc aucune difficulté pour s en débarrasser!

Cela dit, il est impératif de procéder a la désinfection en mode sans échec

Pourquoi cela? Car comme vous pouvez le voir en ligne 04 sur le rapport hijackthis ci-dessus, New.net intègre une dll en cours d utilisation dans le dossier C:\PROGRA~1\NEWDOT~1! Par conséquent, le mode normal pourrait poser des difficultés a supprimer un fichier en cours d utilisation (ce qui ne sera plus le cas en mode sans échec)!

 

Quelles procédures utiliser pour supprimer New.net?

 

Nous pouvons en distinguer deux :

1 ere méthode : une procédure classique en utilisant un antispyware tel que Spybot Search and Destroy

2eme méthode : une méthode "manuelle" a l aide d hijackthis et de deux petits utilitaires : uninstallNewdonet et Lspfix

 

1ere méthode :

 

*Vous devez télécharger et installer un antispyware! A titre d exemple, je vous propose Spybot Search and Destroy car il supprime tres bien ce malware!

 

*Une fois le logiciel installé, mettez le a jour!

 

*Démarrez en mode sans échec

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*scannez votre systeme avec Spybot!

 

Il devrait sans probleme supprimer le dossier néfaste C:\PROGRA~1\NEWDOT~1!

Dans le cas ou il n aurait pas supprimé la dll en cours d utilisation, Spybot vous proposera un nouveau scan au prochain démarrage du systeme, juste avant le lancement du bureau de windows, acceptez cette demande.

 

2eme métode :

 

*Téléchargez les 2 logiciels uninstallNewdonet et Lspfix

 

* Exécutez uninstallNewdonet

Tapez: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur cd D, E, F,..)

Cliquez sur OK.

 

*Démarrez en mode sans échec

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*Désinstallez via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s):

-New.net ou NEWDOTNET

 

*Fixez les lignes correspondant a l infection :

Prenons l exemple de l extrait du rapport ci-dessus

 

lancez un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

 

Fermez toutes les fenêtres sauf HijackThis et "Fix Checked".

 

Il ne faut pas fixer les lignes 010 mentionnant "Hijacked Internet access by New.Net" avec hijackthis sinon vous risquez de perdre votre connexion

 

*Une fois le(s) lignes fixée(s), il faut supprimer le(s) dossier(s) incriminé(s) :

 

C:\PROGRA~1\NEWDOT~1<---supprimez tout le dossier

 

*Si après la manip avec "uninstallNewdonet" vous perdez l’accès à internet :

Démarrez LSPFix

Cochez 'I know what I'm doing'

Cliquez sur 'Finish'.

 

 

Vous pouvez redémarrer votre systeme en mode normal! Vous voila débarrassez de New.net

Modifié le 18 janvier 2006 par Jack_Burton

[Médicus 33]

Merci (beaucoup) à Jack Burton pour ces 2 premiers articles sur les procédures à appliquer lors des infections 'typiques'. Clair et limpide. Ceux qui comme moi s'intéressent à la sécu de nos PC et essayent modestement de progresser ne peuvent que tirer un grand profit de ce nouveau sous-forum.Je promets d'en être un lecteur assidu !

Donc félicitations ....et encouragements à tous les conseillers en sécu pour alimenter cette rubrique .

Bonne soirée à tous.

 

Zut ! j'aurais mieux fait de poster dans le "qu'est ce que vous attendez" du VC ( )qui est plus général..mes excuses et merci à IPL de déplacer si besoin..

Modifié le 18 janvier 2006 par Médicus 33

[ipl_001]

Bonsoir Jack_Burton, Médicus 33, bonsoir à tou(te)s,

 

Merci à Jack_Burton ! Félicitations pour la clarté de l'exposé !

 

Je promets d'en être un lecteur assidu !

Médicus 33, j'espère bien que tu seras mieux que çà : un membre qui récapituleras quelques infections typiques en effectuant peut-être des copier-collers de résolutions de problèmes réels du forum "Analyse de rapports HijackThis, Eradication Malwares" !

Zut ! j'aurais mieux fait de poster dans le "qu'est ce que vous attendez" du VC

il n'y a pas de problème pour ce post qui rend l'hommage qu'il mérite à Jack_Burton, notre pourfendeur de malwares !

[mushylex]

Vide

Modifié le 21 mai 2022 par mushylex
Vide

[tornado]

Je rejoins médicus et mushylex... beau boulot

 

Bon courage jack pour la suite (smitfraud, vundo .... la liste est très longue )

[Jack_Burton]

Bonjour a tous, bonjour Tornado, ipl_001, Médicus et mushylex

 

Note pour la désinfection...

Le mode sans echec est-il obligatoire?

Je fais souvent des scans, mais seulement en mode normal...

 

merci beaucoup...

Le mode sans échec est conseillé afin de pouvoir supprimer plus facilement les malwares!

Pourquoi cela? Dans ce mode, seuls les composants spécifiques nécessaires à l'exécution du système d'exploitation sont chargés. En mode de fonctionnement "sans échec", Microsoft Windows ne permet pas certaines fonctions, comme la connexion à Internet, le chargement des programmes au démarrage par exemple. Donc certains malwares ne seront plus en cours d utilisation ou n essayeront plus de se connecter sur le net, facilitant ainsi leur suppression!

[Champagne]

Salut tout le monde,

 

Merci à Jack Burton pour cette explication.

J'avais eu cette saloperie de newnet ; pour réinitialiser TCP/IP,

j'avais utilisé la commande "netsh winsock reset catalog" utilisable avec le sp2,

et qui fait la même chose que LSPfix.

 

La liste des logiciels qui installent newnet

(Désolé, je ne me souviens plus de la source) :

Kazaa

Go!Zilla

BearShare

Mp3.com

iMesh

Babylon

Webshots

gDivx

BikiniDesk

RadLight / Subtitle Studio

RealNetworks (RealOne Player)

UK Software

Cydoor (LingoWare)

Grokster

Mindset Interactive (NetPalNow)

[Regis59]

Bonjour Jack,

 

Felicitation pour cette nouvelle explication.

Cependant, recemment, cette infection a la facheuse particularité de faire sauter la connection.

Il existe ce programme a exucuter dans ce cas:

http://babin.nelly.free.fr/WinsockFix.zip

 

Tu confirmes?

Si tu juges necessaire, tu peux le rajouter dans ta demarche excellente du debut.

 

A+

[Mark]

Salut Q !!

 

Content de te lire !

 

Notre ami Jack sera absent pendant quelques mois ; il est en formation intensive et nous reviendra quand il le pourra.

 

L'utilitaire que tu nous proposes est parfaitement adapté aux problèmes de connectivité qui peuvent être associés à une fausse manip lors de la désinstallation de New.Net - bien vu !

 

Si tu regardes la 2ème méthode proposée par Jack ; il nous parle de LSPFix qui, lui aussi, est conçu pour palier à ce genre de problème (Winsock abimé, donc perte de connectivité). Dans de rares cas, mais ça arrive, LSPFix ne peut faire la réparation voulue, alors l'utilisation d'un autre outil tel WinsockFix peut être nécessaire en effet. Certains préfèrent prescrire l'un plutôt que l'autre, mais de façon générale, les deux font le boulot. Il en existe un autre, nommé WinsockXPFix (par Option^Explicit également - créateur de KillBox ) qui était différent du premier... Je viens de regarder les deux versions, qui portent des noms différents, mais qui sont identiques une fois lancées !

 

Je me tais maintenant

 

@+

[Regis59]

Salut Q !!

 

Content de te lire !

 

Notre ami Jack sera absent pendant quelques mois ; il est en formation intensive et nous reviendra quand il le pourra.

 

L'utilitaire que tu nous proposes est parfaitement adapté aux problèmes de connectivité qui peuvent être associés à une fausse manip lors de la désinstallation de New.Net - bien vu !

 

Si tu regardes la 2ème méthode proposée par Jack ; il nous parle de LSPFix qui, lui aussi, est conçu pour palier à ce genre de problème (Winsock abimé, donc perte de connectivité). Dans de rares cas, mais ça arrive, LSPFix ne peut faire la réparation voulue, alors l'utilisation d'un autre outil tel WinsockFix peut être nécessaire en effet. Certains préfèrent prescrire l'un plutôt que l'autre, mais de façon générale, les deux font le boulot. Il en existe un autre, nommé WinsockXPFix (par Option^Explicit également - créateur de KillBox ) qui était différent du premier... Je viens de regarder les deux versions, qui portent des noms différents, mais qui sont identiques une fois lancées !

 

Je me tais maintenant

 

@+

 

Salut Qc001,

 

Sans indiscretion, formation de?

 

Merci pour les precisions, complements qui sont toujours aussi claires !

 

a++