besoin d'avis pour hijackthis(Stonangel welcome)

besoin d'avis pour hijackthis(Stonangel welcome) - Sécurité - Windows & Software

Marsh Posté le 11-06-2005 à 09:17:16    

:hello:  
 
depuis 3 jours,j'ai le svchost.exe qui demande a se raccorder des que je demarre mon pc(je l'ai bloque par ZA,mais du coup je n'ai plus de cnx  :( )
 
apres analyse, NAV me trouve le W32.spybot.worm mais ne peux pas me l'eliminer :heink:  
 
voici mon rapport HJT:
 
Logfile of HijackThis v1.99.1
Scan saved at 08:50:57, on 11/06/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Documents and Settings\Louis\Mes documents\Hijackthis\HijackThis.exe
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {88F3D404-439C-136A-B7DB-136404DE4BC0} - (no file)
O2 - BHO: (no name) - {8DF3D405-43EE-101B-B7A9-146402D74BC6} - (no file)
O2 - BHO: (no name) - {BDDEE404-6EAF-265E-9AEB-234934EE66F0} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ [...] loader.cab
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
si qq1 a une idee ou un avis, :jap: d'avance


---------------
http://malcolm-culte.skyblog.com (+ de 2000 commentaires!)
Reply

Marsh Posté le 11-06-2005 à 09:17:16   

Reply

Marsh Posté le 11-06-2005 à 10:10:29    

De passage...
Il y a le parasite NewDotNet: O10 - Hijacked Internet access by New.Net
Télécharge cet outil de désinfection LSPFix de Cexx.org
http://www.cexx.org/lspfix.htm
 
Ce programme tente de corriger les problèmes de connexion à Internet résultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.
Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé ; explications assiste.com.
 
Voici comment procéder:
 
1 Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes
Si il y a le programmes NEWDONET ou Newnet le désinstaller.
(le désinstaller en mode sans échec si l’application est récalcitrante)
 
2 Explorateur Windows suivez ce chemin :
C:\Program Files\NewDotNet\ ou C:\windows\
rechercher le fichier de désinstallation ressemblant a NDNuninstallX_XX.exe(x est la version)
Clique dessus,une fois la désinstallation terminée ru supprime le dossier C:\Program Files\NewDotNet\
 
3 Tu télécharge ceci uninstallNewdonet  http://www.new.net/support/uninstall6_38.exe
et tu le copies sur une disquette ou CD.  
Insère la disquette ou CD.  
Clique sur démarrer.  
Click sur exécuter.  
Tape: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur CD D, E, F,..)
Clique sur OK.  
Une fois la désinstallation terminée, redémarre.
 
 
Si après la manip ci-dessous tu perds l’accès à internet :  
Démarre LSPFix  
Coche 'I know what I'm doing'  
Clique sur 'Finish'.  
Redémarre ton PC.  
 
Poste un nouveau rapport HIjackthis

Reply

Marsh Posté le 11-06-2005 à 12:31:52    

Rebonjour, je termine l'analyse.
 
Télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :
 
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {88F3D404-439C-136A-B7DB-136404DE4BC0} - (no file)
O2 - BHO: (no name) - {8DF3D405-43EE-101B-B7A9-146402D74BC6} - (no file)
O2 - BHO: (no name) - {BDDEE404-6EAF-265E-9AEB-234934EE66F0} - (no file)
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
 
 
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
< ne pas faire réparer par Hijackthis
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
C:\Program Files\NewDotNet< le dossier
C:\WINDOWS\vsnpstd.exe< le fichier
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
 
Fais les mises à jour de sécurité via Windows Update
 
 

Reply

Marsh Posté le 11-06-2005 à 17:14:04    

:hello: Stonangel et  :jap:  de t'occuper de mon fiston
 
je reprends la main momentanement,mais petit pb,je n'arrive pas a afficher les fichiers caches :??: au risque de faire marrer tout le forum(je tourne sous SE et lui sous XP Pro)
 
@+
 
c'est bon j'ai trouve :D  
 
@+
 
d'autant + que tu me l'avais mis + haut :pt1cable:


Message édité par flit le 11-06-2005 à 17:55:54

---------------
Id trade all my tomorrows for a single yesterday  Team R@B
Reply

Marsh Posté le 11-06-2005 à 18:05:04    

Re,
 
apres avoir fait les manips,voilà ce que çà donne :
 
 
Logfile of HijackThis v1.99.1
Scan saved at 18:00:06, on 11/06/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Documents and Settings\Louis\Mes documents\Hijackthis\HijackThis.exe
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ [...] loader.cab
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
 
je vais tester la cnx et je repost ;)  
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
Reply

Marsh Posté le 11-06-2005 à 18:20:41    

Re,
 
cnx ok :D  
 
j'ai lance NAV pour voir si le W32 est encore dedans
 
je repost apres l'analyse
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
Reply

Marsh Posté le 11-06-2005 à 18:34:50    

Bonsoir flit, le rapport Hijackthis est propre. J'attends celui de Norton sinon scan en ligne sur Panda.

Reply

Marsh Posté le 11-06-2005 à 19:16:00    

Re,
 
NAV n'a rien trouve :D (j'avais nettoye avant les elements de sauvegarde)
 
 
 :jap: encore a toi Stonangel et bonne soiree a tous :)  
 
 
@+
 
 
 
 [:flit]


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
Reply

Marsh Posté le 11-06-2005 à 19:18:24    

:jap:  Avec plasir flit. N'oublie pas de faire les mises à jour de sécurité. Bonne soirée à toi aussi.  :hello:

Reply

Marsh Posté le 11-06-2005 à 19:28:56    

:hello:  
 
 :jap: à toi stonangel pour le sérieux coup de main!
 
 :bounce: et encore merci
 
flitjr


---------------
http://malcolm-culte.skyblog.com (+ de 2000 commentaires!)
Reply

Marsh Posté le 11-06-2005 à 19:28:56   

Reply

Marsh Posté le 11-06-2005 à 20:08:50    

Salut flitjr, bon surf  :hello:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed