Demande analyse log HijackThis (Thenewsearch)
yann
-
yann -
yann -
Bonjour,
j'espere que vous pouvez m'aider.
Ma page de demarage a disparue et il y a ca a la place:
http://thenewsearch.com/thenewsearch.html
voici le resultat de hijackthis.
Merci bcp pour votre aide.
PS:
J'ai déjà essayer de séléctionner les 2 lignes suivantes et de cliquer sur Fix Checked, mais elles reviennent après que j'ai relancé IE 4 fois... IL doit y avoir d'autres lignes à enlever, mais lesquelle??? (j'y connais riens ;-)
Logfile of HijackThis v1.98.2
Scan saved at 11:05:08, on 03/10/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
j'espere que vous pouvez m'aider.
Ma page de demarage a disparue et il y a ca a la place:
http://thenewsearch.com/thenewsearch.html
voici le resultat de hijackthis.
Merci bcp pour votre aide.
PS:
J'ai déjà essayer de séléctionner les 2 lignes suivantes et de cliquer sur Fix Checked, mais elles reviennent après que j'ai relancé IE 4 fois... IL doit y avoir d'autres lignes à enlever, mais lesquelle??? (j'y connais riens ;-)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
Logfile of HijackThis v1.98.2
Scan saved at 11:05:08, on 03/10/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\system32\mshelp32.exe C:\WINNT\system32\explorer.exe C:\WINNT\system32\internat.exe C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\DSLMON.exe C:\WINNT\system32\ntvdm.exe C:\Program Files\Diagonal\ProLexis\Adaptateurs\Intégrateur.exe C:\WINNT\System32\cdplayer.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [adiras] adiras.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [mshelp32] C:\WINNT\system32\mshelp32.exe O4 - HKLM\..\Run: [explorer] C:\WINNT\system32\explorer.exe -go -c53 -w1 O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: DSLMON-9Online.LNK = C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\DSLMON.exe O4 - Global Startup: Intégrateur ProLexis 16 bits.lnk = C:\Program Files\Diagonal\ProLexis\Adaptateurs\PLInteg.EXE O4 - Global Startup: Intégrateur ProLexis 32 bits.lnk = ? O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db O16 - DPF: {380C4261-4FC3-40D0-ADF8-0240A5857CE6} (Aurigma Image Uploader 2.5) - http://www.photoweb.fr/order/telechargement-photoweb.cab O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/tools/activex/fpu.cab O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.girafoto.fr/XUpload.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{237ABB04-678E-48FC-A650-9B5C3A841C16}: NameServer = 80.118.196.36 80.118.192.100 O17 - HKLM\System\CS1\Services\Tcpip\..\{237ABB04-678E-48FC-A650-9B5C3A841C16}: NameServer = 80.118.196.36 80.118.192.100 O21 - SSODL: eplrr - {3827262A-7A6B-40A1-BB0C-F7F68D3EAFD1} - C:\WINNT\system32\eplrr0.dll
A voir également:
- Demande analyse log HijackThis (Thenewsearch)
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Nouveau tag analysé - Forum Huawei
4 réponses
Bonjour,
on en a souvent déjà parlé, et c'est repris chez les grands éditeurs (http://vil.nai.com/vil/content/v_125950.htm )
On enlève cela avec les outils classiques (http://www.commentcamarche.net/forum/affich-973867-Comment-supprimer-barre-d%27outils-mysearchnow#3 ).
Une fois infesté, le genre de trojan réinfecte le PC toutes les cinq secondes, même avec spybot. Pour bien désinfecter, je pense qu'il serait bon de démarrer en mode sans échec, avec le moins de programmes lancés au démarrage, avec toutes les fenêtres internet explorer et windows explorer fermées, en lançait un par un ces outils de nettoyage, et en priant.
Il faut avoir un windows correctement mis à jour.
Puis il faudra bien passer au service pack 2 de Windows XP qui change le comportement de internent explorer, ou alors installer Firefox en remplacement d'internet explorer 6 SP1, ça fonctionne bien et ainsi tu éviteras dans l'avenir les 4/5èmes des trojans.
_ç_§:
(.)#(.)
on en a souvent déjà parlé, et c'est repris chez les grands éditeurs (http://vil.nai.com/vil/content/v_125950.htm )
On enlève cela avec les outils classiques (http://www.commentcamarche.net/forum/affich-973867-Comment-supprimer-barre-d%27outils-mysearchnow#3 ).
Une fois infesté, le genre de trojan réinfecte le PC toutes les cinq secondes, même avec spybot. Pour bien désinfecter, je pense qu'il serait bon de démarrer en mode sans échec, avec le moins de programmes lancés au démarrage, avec toutes les fenêtres internet explorer et windows explorer fermées, en lançait un par un ces outils de nettoyage, et en priant.
Il faut avoir un windows correctement mis à jour.
Puis il faudra bien passer au service pack 2 de Windows XP qui change le comportement de internent explorer, ou alors installer Firefox en remplacement d'internet explorer 6 SP1, ça fonctionne bien et ainsi tu éviteras dans l'avenir les 4/5èmes des trojans.
_ç_§:
(.)#(.)
hello :-)
à fixer
C:\WINNT\system32\mshelp32.exe
Pespatrol identifie cette exe comme un Rat (trojan)
http://www.pestpatrol.com/pestinfo/i/inclinedroad_1_0.asp#Detection%20and%20Removal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
les lignes 04 : 1) ctrl+alt+supp (pour arrêter le processus dans le gestionnaire des tâches/tu recherches et tu clic /arrêter) - 2) tu fixes dans l'hijack (suis la procédure exacte)
O4 - HKLM\..\Run: [mshelp32] C:\WINNT\system32\mshelp32.exe (<--Trojan/Pespatrol)
O4 - HKLM\..\Run: [explorer] C:\WINNT\system32\explorer.exe -go -c53 -w1
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db
O16 - DPF: {380C4261-4FC3-40D0-ADF8-0240A5857CE6} (Aurigma Image Uploader 2.5) - http://www.photoweb.fr/order/telechargement-photoweb.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/tools/activex/fpu.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.girafoto.fr/XUplo
O21 - SSODL: eplrr - {3827262A-7A6B-40A1-BB0C-F7F68D3EAFD1} - C:\WINNT\system32\eplrr0.dll
recherche et supprime (sous DOS si ça échoue)
C:\WINNT>>\system32>>\mshelp32.exe
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..)
*utilise ad-aware.se et spybot 1.3
*refait un nouveau log après les fix pour vérification
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
à fixer
C:\WINNT\system32\mshelp32.exe
Pespatrol identifie cette exe comme un Rat (trojan)
http://www.pestpatrol.com/pestinfo/i/inclinedroad_1_0.asp#Detection%20and%20Removal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\system32\ADV.dll
les lignes 04 : 1) ctrl+alt+supp (pour arrêter le processus dans le gestionnaire des tâches/tu recherches et tu clic /arrêter) - 2) tu fixes dans l'hijack (suis la procédure exacte)
O4 - HKLM\..\Run: [mshelp32] C:\WINNT\system32\mshelp32.exe (<--Trojan/Pespatrol)
O4 - HKLM\..\Run: [explorer] C:\WINNT\system32\explorer.exe -go -c53 -w1
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db
O16 - DPF: {380C4261-4FC3-40D0-ADF8-0240A5857CE6} (Aurigma Image Uploader 2.5) - http://www.photoweb.fr/order/telechargement-photoweb.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/tools/activex/fpu.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.girafoto.fr/XUplo
O21 - SSODL: eplrr - {3827262A-7A6B-40A1-BB0C-F7F68D3EAFD1} - C:\WINNT\system32\eplrr0.dll
recherche et supprime (sous DOS si ça échoue)
C:\WINNT>>\system32>>\mshelp32.exe
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..)
*utilise ad-aware.se et spybot 1.3
*refait un nouveau log après les fix pour vérification
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Merci Dolli.dagger,
donc yann, télécharge vite Adaware SE (http://www.lavasoftusa.com/support/download/#free, lance-le et clique sur check for update now pour bien avoir le dernier cri avant de scanner tous tes disques. Une fois qu'il aura découvert plein de petites bêbêtes, tu devras cocher toutes les lignes (ou avec le bouton de droite trouver l'option qui les coche toutes en une fois avant de tout nettoyer...
_ç_§:
(.)#(.)
donc yann, télécharge vite Adaware SE (http://www.lavasoftusa.com/support/download/#free, lance-le et clique sur check for update now pour bien avoir le dernier cri avant de scanner tous tes disques. Une fois qu'il aura découvert plein de petites bêbêtes, tu devras cocher toutes les lignes (ou avec le bouton de droite trouver l'option qui les coche toutes en une fois avant de tout nettoyer...
_ç_§:
(.)#(.)
