Analyse Hijackthis/ pour faire le tri ?

Joebar -  
 Joebar -
Bonjour à tous,
Il semble d'après mon log qu'il y ait plein de problèmes sur mon pc.
Qui peut m'aider svp à faire le tri?
Joebar

Logfile of HijackThis v1.99.0
Scan saved at 18:53:08, on 27/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Caere\OmniPagePro90\opware32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\HSPPWCFG.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HSPPwCfg] HSPPWCFG.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&http://www.nec.fr/grand_public/rubrique/produits/necmobile/N401.php
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12e8adbba1add7432206/netzip/RdxIE601_fr.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://autos.msn.com/components/ocx/exterior/Outside.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

4 réponses

  1. scoubidou944 Messages postés 728 Statut Membre 175
     
    A première vue, regarde dans Ajout/Suppr de programmes,
    vire les jeux gratuit de Yahoo ainsi que NetDotNet Domain.

    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

    0
    1. Joebar
       
      Merci Scoubidou944 !!!
      Joebar
      0
  2. pcuser Messages postés 207 Date d'inscription   Statut Membre Dernière intervention   9
     
    --
    calme et sérénité sont mes principes de vie
    Salut

    voila ce que j'ai trouvé...

    Membre CCM Ajouté par balltrap34
    2005-01-08 17:30:01 (GMT+1)
    Statut : En cours

    salut a tous
    telecharger ces logiciels
    spybot
    adaware
    CWShredder
    vous les trouverez (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

    mettez les a jour virer tous se qu il trouvent et utiliser les tous

    pour spybot et adaware sur la meme page il y a des aides

    pour CWShredder
    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next

    ensuite redemarrer et faire son hijack

    # < 2 > - Prb avec Newdot
    Membre CCM Ajouté par balltrap34 (05/04/2004 à 01:45 GMT+1)

    salut
    tu fait demarrer/executer
    tutape msconfig puis tu click sur onglet demarrage
    regarde si tu trouve quelque chose qui ressenble a ca
    rundll32 c:\prog file\newdot~2\newdot~2.dll
    si oui tu decoche tu redemarre une fenetre vas apparaitre
    tu coche ne plus afiche se message
    ensuite utilise ces 2 logiciel
    Supprimer les mouchards avec AdAware ou Spybot:
    http://www.ordi-netfr.org/tutorialadaware.html
    http://www.safer-networking.org/index.php?page=download〈=fr
    pense a les mettre a jour avant de scanner ton pc avec
    supprime tous ce qu il trouve

    [ Continuer la discussion ][ Répondre à balltrap34 ]
    [ Alerter un modérateur ]

    newdot est un virus...

    salut
    0
    1. Joebar
       
      En fait, j'ai déjà adaware et spybot qui ne me trouvent que des cookies...Mais je ne connais pas CWshredder. J'ai téléchargé Ccleaner, est-ce pareil? Par contre, j'ai bien Newdot~1!
      J'essaye la manip. Merci bcp pour ton aide,
      bonne journée/soirée
      Joebar
      0
  3. tufs
     
    salut tout le monde
    demarrer en mode sans echec relance le pc et tapotte sur touche f5 ou f8
    puis tu fixe ( fix cheked )
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DL
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&http://www.nec.fr/grand_public/rubrique/produits/necmobile/N401.php

    puis tu tapes ctrl+alt+suppr onglet procesus tu cherches le
    procesus HSPPwCfg clique droit souris et tu l arretes
    retourne sur hijackthis et fixe cette ligne

    O4 - HKLM\..\Run: [HSPPwCfg] HSPPWCFG.EXE
    suite

    assure toi que tu as acces aux fichiers cacher
    explorateur windows<outil<option des dossiers<affichage
    coche<< afficher les fichiers et dossier cacher
    decoche<< masquer les extentions des fichiers dont le type....
    decoche<< masquer les fichiers proteger du system......

    recherche et supprime
    C:\WINDOWS\System32\HSPPWCFG.EXE<<supprime le dossier
    HSPPWCFG.EXE
    puis recolle ton log hijack pour verif
    0
    1. Joebar
       
      Merci Tufs! Il faut donc que je vire new net et ce HSPPWCFG.EXE (merci de me l'avoir indiqué!). Je vais essayer demain la manip que tu m'expliques (plus au calme que ce soir...), je donnerai des news.
      bonne soirée à toi,
      Joebar
      0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    1. À partir d'un ordinateur qui a accès d'Internet, cliquetez dessus le lien suivant:
    http://www.new.net/support/uninstall6_38.exe .
    2. Téléchargez et sauvez uninstall6_38.exe à une disquette 3-½.
    3. Insérez la disquette dans la commande souple de l'ordinateur du lequel doit avoir notre logiciel uninstalled.
    4. Cliquetez dessus le début .
    5. Cliquetez dessus la course .
    6. Dans le type ouvert de fenêtre, A:\uninstall6_38.exe .
    7. Cliquetez dessus le bouton CORRECT.
    8. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.
    0
    1. Joebar
       
      Tout d'abord merci à tous pour vos conseils.
      Après avoir suivi toutes les techniques c'est finalement celle de Balltrap qui a fonctionné (sinon, ça réapparaissait dans Hijack), génial ce truc!
      Par contre, je ne trouve pas HSPPWCF dans processus démarrage et n'arrive pas à le fixer.
      R3 est toujours là aussi (URLsearchhook...Wanadoo).
      Puis-je les supprimer autrement?

      Joebar, qui vous re-remercie!
      0