interpreter le rapport hijackthis1

ieroue · le 24 mars 2006

Bonjour

Qui pourras m'apporter son aide pour apporter les corrections nécessaires?

J'ai préalablement suivi (autant que faire se peut) la nouvelle méthode avec l'utilisation d'antivir , de CleanMgr et enfin hijakthis.

Ci-dessous copie du log.

Merci d'avance

Logfile of HijackThis v1.99.1

Scan saved at 18:47:32, on 23/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HPHUPD08] C:\Program Files\Hewlett-Packard\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger le site web avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm

O8 - Extra context menu item: Télécharger sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger tout avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner...can_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.moroccan.com.au/cabs/svideo3.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Thanos · le 24 mars 2006

salut ieroue et bienvenue sur le forum

Du boulot sur ton pc , mais je te rassure c'est faisable! Je lance une analyse et te dit quoi faire dans une trentaine de minutes!

Pour info: infection par Newdotnet, et autres spywares.

Thanos · le 24 mars 2006

N'aie pas peur la seule opération qui peut prendre un peu de temps, c'est le scan avec Ewido!Les autres utilitaires sont rapides.Mais le tout est nécéssaire pour bien nettoyer!

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

-Télécharge LSPfix et garde le de côté :

http://www.downloads.subratam.org/lspfix.zip

- Télécharge uninstallNewdonet et dézippe le sur le bureau:

http://www.new.net/support/uninstall6_38.exe

-Télécharge Elite toolbar remover de SimplyTech et met le sur le bureau:

http://www.simplytech.it/ETRemover/ETRemover_v212.zip

-Télécharge ATF Cleaner by Atribune sur ton bureau.

Étape 1:

*Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

Étape 2:

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner...can_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.moroccan.com.au/cabs/svideo3.cab

-Ferme tous les programmes et clique sur "Fix Checked"

Étape 3:

*Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:

MyWay ou MySearchBar

NewDotNet

P2P Networking

CMEII ou CmeSYS

Étape 4:

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

*Supprime les dossiers en gras dans C:\Program Files:

C:\Program Files\MyWay

C:\Program Files\NewDotNet

C:\Program Files\Fichiers communs\CMEII

*Supprime les fichiers en gras dans C:\WINDOWS\System32:

C:\WINDOWS\System32\P2P Networking => le dossier.

C:\WINDOWS\system32\gah95on6.exe

-Vide la corbeille.

Étape 5:

*Lance uninstallNewdonet.

*Lance Elite toolbar remover

-clique sur le bouton"Kill Elite Toolbar" et attend qu'il fasse le travail.

-Parfois une fenêtre DOS s'ouvre : il te sera demandé ta permission pour effacer certains fichiers :accepte!!(YES).

Étape 6:

Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

Étape 7:

*Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

Étape 8:

Redémarre normalement ,et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rapport d'Ewido.

Important:

Si après la manip ci-dessus tu perds l’accès à internet :

Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.

Bon courage et à demain avec un pc plus clean

Edit: pour répondre ,utilise le bouton "Répondre" entre "Flash" et "Nouveau" en bas de page.

Modifié le 24 mars 2006 par charles ingals

ieroue · le 24 mars 2006

Merci de tes réponses charles ingals.

Je vais me mettre à la tache, mais j'en ai surement pour un moment.

Comme mon PC rame, que la connexion internet n'est pas de l'ADSL de metropole et qu'actuellement il doit etre 04 h00 à PARIS ( ici en nouvelle- caledonie il est vendredi 14h00), je te renverrai un postit.

mais compte tenu du decalage horaire et du temps necessaire à ton intervention je ne prévoie de me reconnecter qu'à partir de dimancche ici(= samedi soir à paris).

A+

ieroue · le 25 mars 2006

Voici les rapports Hijackthis et Ewido.

J'ai eu qques problèmes:

à l'etape 3 -MySeachBar n'a pas pu êtresupprimé car le programme ne fait mention d'aucun octets dans la liste "Ajout/suppression de programme du panneau de configuration;

-NewDotNet n'a pu être trouvé;

- CMEII ou CmeSYS n'a pu être trouvé.

à l'étape 4 -NewDotNetn' a pu être supprimé la première fois(refus) et ensuite ( après réouverture du pc le lendemain)n'a pu être trouvé;

- CMEII n'a pu être trouvé;

- P2P Networking n'a pu être trouvé;

- gah95on6.exe n' a pu être trouvé la première fois(il existait par contre gah95on6.ini que je n'ai pas supprimé) et ensuite ( après réouverture du pc le lendemain) aucun des 2 n'apparaissait.

-----------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 12:13:38, 25/03/2006

+ Somme de contrôle: 25F719C1

+ Résultats du scan:

HKLM\SOFTWARE\PerfectNav -> Adware.KeenValue : Nettoyer et sauvegarder

C:\Documents and Settings\ADMINI\Bureau\uninstall6_38\uninstall6_38.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\Documents and Settings\ADMINI\Bureau\uninstall6_38.zip/uninstall6_38.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\Documents and Settings\ADMINI\uninstall6_38.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\Documents and Settings\All Users.WINDOWS\Documents\fichiers decompresses\uninstall6_38.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Cookies\delbosc@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Cookies\delbosc@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Local Settings\Temp\__unin__.exe -> Adware.Altnet : Nettoyer et sauvegarder

C:\Documents and Settings\Proprietaire\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Program Files\HijackThis\backups\backup-20060324-171305-753.dll -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\Program Files\iMesh\Client\fsg.exe -> Adware.Gator : Nettoyer et sauvegarder

C:\Program Files\PerfectNav -> Adware.PerfectNav : Nettoyer et sauvegarder

C:\Program Files\PerfectNav\BHO -> Adware.PerfectNav : Nettoyer et sauvegarder

C:\WINDOWS\system32\70tovmto.ini -> Adware.Sahat : Nettoyer et sauvegarder

H:\windows\Cookies\[email protected][2].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

H:\windows\TEMP\msnsetup.exe -> Heuristic.Win32.AVKiller : Nettoyer et sauvegarder

::Fin du rapport

Logfile of HijackThis v1.99.1

Scan saved at 12:17:37, on 25/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\PHILIP~1\VProperty.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\fxssvc.exe

C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Free Download Manager\fdm.exe