spyware : ADW NDOTNET.O

cliffburton · le 6 avril 2006

Bonjour,

Un ami à moi a un problème avec son PC et n'a plus accès à Internet (je ne sais pas si le spyware en est la cause) et son anti-virus indique la présence d'un ou plusieurs spywares.

J'ai donc fait un rapport Hijackthis sur son ordi et vous le poste via mon propre PC :

Logfile of HijackThis v1.99.1

Scan saved at 15:45:40, on 05/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

C:\Program Files\Securitoo\av_fw\fswsclds.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\mssearchnet.exe

C:\WINDOWS\System32\nvctrl.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\windows\system32\rlvknlg.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PCCTLCOM.EXE

C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\TMPFW.EXE

C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Félix\Bureau\Hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hpC0A.tmp

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Barre d'outils du menu Anti-fraude de Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\PROGRA~1\TRENDM~1\INTERN~1\PccIeBar.dll (file missing)

O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Program Files\Panicware\Pop-Up Stopper Companion\popupus.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 14\pccguide.exe"

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe

O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029

O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)

O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Que pouvez-vous en dire ?

Merci d'avance.

Thanos · le 6 avril 2006

salut cliffburton

3 antivirus sur le pc il faut en virer 2 !

Le pc est effectivement infecté par Newnet et autres. Commence par faire ceci =>

* Pour débarrasser le pc de Newnet ,suis les recommendations de Jack ici =>

http://forum.zebulon.fr/index.php?showtopic=85181

*Ensuite nettoie le pc comme ceci =>

http://forum.zebulon.fr/index.php?showtopic=83986

Enfin reviens poster un nouveau rapport ici même

Ne conserve qu'un antivirus surtout :-P

cliffburton · le 6 avril 2006

Très bien, je le ferai.

Etant donné qu'il faut que je retourne chez cet ami pour appliquer cette démarche, je ne pourrai pas poster de réponse immédiatement.

Cependant j'ai une question : pensez-vous que le fait qu'il ne puisse plus accéder à Internet est lié à l'infection ?

Thanos · le 6 avril 2006

salut cliffburton

Je ne peux pas te répondre de manière catégorique! Par contre lorsque tu désinstalles Newdotnet, il arrive que tu perde la connexion à internet. Dans ce cas il faut lancer LSPFix comme indiqué dans le tutoriel de Jack .

Par contre je peut te dire d'ou vient les infections présentes sur le pc de ton copain =>Shareaza

Un gros risque sécuritaire et un bon moyen de pourrir le pc comme montré clairement ici =>

http://forum.zebulon.fr/index.php?showtopic=85544

Pas de morale ici , mais une prise de conscience des risques encourus (fais lire l'article de tesgaz à ton copain!).

@+

cliffburton · le 7 avril 2006

D'accord, merci pour l'info

Par contre, je n'ai pas trouvé le tutorial sur LSPFix, pourrais-tu me l'indiquer ?

Sur les 3 anti-virus, je n'en connais que deux ( Trend, ou quelque chose du genre, et l'anti-virus de wanadoo), est-ce que tu arrives à voir quel est le troisième ?

Merci beaucoup (et un merci général pour ce site qui facilite vraiment la vie, même pour les débutants )

Thanos · le 8 avril 2006

salut

Par contre, je n'ai pas trouvé le tutorial sur LSPFix, pourrais-tu me l'indiquer ?

Essaie plutôt le scan avec Spybot comme indiqué dans le tutoriel de Jack, c'est plus simple!

Les 3 antivirus=>

-Securitoo (Wanadoo)

-Trend Micro

- un reste de Norton!(SNDSrvc.exe => Norton AntiVirus Scan Service)

@+tard

cliffburton · le 9 avril 2006

Ok, ça a marché. J'ai suivi toutes les procédures que tu m'as indiquées, et ça n'était pas vain : il a détecté et supprimé 12 fichiers infectés !

Restent deux petits problèmes :

1 - la connexion Internet est rétablie, mais IE s'ouvre sur 'aboutblank', soit une page vierge, et il ne veut pas retenir la page de démarrage que je lui indique dans Options Internet.

2- un bug qui subsiste apparament depuis longtemps sur son pc : quand on essaie de se rendre sur panneau de configuration (sauf en mode sans échec), un message d'erreur microsoft apparait puis ferme automatiquement la fenêtre.

Une idée sur ces problèmes ?

En tous cas merci charles ingals pour ton coup de main

tornado · le 9 avril 2006

Salut cliffburton, charles ,

Il serait indispensable que tu postes un tout nouveau rapport hijackthis, pour voir si certaines infections sont persistantes ( New.net n'est pas le seul à avoir infecté ton système, et Spybot ne t'a sans doute pas entièrement débarassé des autres infections).

Petite remarque :

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

C'est sûrement une des sources de tes différentes infections... les logiciels de p2p en sont une. Lis cet article pour t'en rendre compte --> http://forum.zebulon.fr/index.php?showtopic=85544

Par ailleurs, c'est contraire à la charte du forum.

Je te conseille de le désinstaller, pour ne pas être de nouveau infecté au cours de la désinfection de ton système (tu pourras le faire en mode sans échec, vu que le panneau de config° n'a pas l'air de focntionner en mode normal).

A+

Modifié le 9 avril 2006 par tornado

Thanos · le 9 avril 2006

salut cliffburton, tornado

Aux conseils de tornado, je relève ce que tu as dit =>

un bug qui subsiste apparament depuis longtemps sur son pc : quand on essaie de se rendre sur panneau de configuration (sauf en mode sans échec), un message d'erreur microsoft apparait puis ferme automatiquement la fenêtre.

Est ce que tu peux être plus précis? quel est le message d'erreur?

@+ avec le rapport hijackthis

cliffburton · le 10 avril 2006

salut cliffburton, tornado

Aux conseils de tornado, je relève ce que tu as dit =>

Est ce que tu peux être plus précis? quel est le message d'erreur?

@+ avec le rapport hijackthis

le message classique qui propose 'envoyer le rapport' et 'ne pas envoyer'

Voici le nouveau rapport Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 21:51:42, on 08/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\fswsclds.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\WINDOWS\System32\nvctrl.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Félix\Bureau\Hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp3C24.tmp