Demande d'analyse HijackThis Résolu/Fermé

Question

J'ai utilise HijackThis pour éliminer Elite Tool Bar et surtout le virus lié "adw elitebar.f".Voici la copie de mon log. Qu dois-je faire maintenant ?Merci d'avance pour votre aide !Logfile of HijackThis v1.99.0Scan saved at 19:55:37, on 12/02/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Ahead\InCD\InCDsrv.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Trend Micro\Internet Security\Tmntsrv.exeC:\Program Files\Trend Micro\Internet Security	mproxy.exeC:\Program Files\Trend Micro\Internet Security\PccPfw.exeC:\HP\KBD\KBD.EXEC:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXEC:\Program Files\Trend Micro\Internet Security\pccguide.exeC:\Program Files\Trend Micro\Internet Security\PCClient.exeC:\Program Files\Trend Micro\Internet Security\TMOAgent.exeC:\Program Files\Ahead\InCD\InCD.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\msexploren.exeC:\WINDOWS\a64sddd.exeC:\WINDOWS\System32\ctfmon.exeC:\PROGRA~1\MESSEN~1\msmsgs.exeC:\Program Files\Spybot - Search & Destroy\TeaTimer.exeC:\Program Files\HijackThis\HijackThis.exeC:\Program Files\Internet Explorer\IEXPLORE.EXER0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.noos.fr:80R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dllO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /hO4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXEO4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /runO4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exeO4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exeO4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exeO4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -sO4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteldm32.exeO4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /iO4 - HKLM\..\Run: [popuppers64] C:\WINDOWS\a64sddd.exeO4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXEO4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheckO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~4\OFFICE\1036\PHDINTL.DLL/phdContext.htmO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXEO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO15 - Trusted Zone: *.media-motor.netO15 - Trusted Zone: *.popuppers.comO15 - Trusted Zone: http://www.logitelnet.socgen.comO16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/alien.cabO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: InCD File System Service - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exeO23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security	mproxy.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

bernie61 · Answer

salut
un peu de courage y a du boulot

Il faut aussi désinstaller NewDotNet
Comment désinstaller NEWdot.NET
http://www.geocities.com/merijn_bellekom/new/nonewdotnet.html
Voir aussi utilitaire LSP-FIX là http://www.cexx.org/lspfix.htm
(pour NEW.NET et WebHancer) ou sur site même là
http://www.newdotnet.com/removal.html

si vous n’arrivez pas à désinstaller avec XP SP1 vérifier dans
Démarrer/PanneauConfig/optionsInternet là onglet Confidentialité et en dessous BloqueurPubliciataireIntenpestive/Paramètres et là regarder si le site ne serait pas listé de confiance, si oui à supprimer de la liste
Voir aussi Démarrer/panneauConfig/OptionsInternetr/ et là onglet sécurité cliq sur icones site Confiance et icône site Interdit et retirer LOP.com et/ou NewDot de la liste
Vérifier aussi dans ces 2 clefs le nom de domaine, s’il y est alors vous n’accéder plus à ces sites :
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Les logiciels IE-spyad et Spywareblaster permettent une protection contre sites indésirables

Fais rechercher puis vérifier Propriétés de ceux-ci, si inconnu (de toi ou non placé par toi) à Zipper (comprimer avec WinZip ou WinRar) puis effacer le .exe
C:\WINDOWS\a64sddd.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE >> c’est toi qui a installé, si NON à effacer

A effacer (en mode sans échec ou VGA si ne s’efface pas)
C:\WINDOWS\msexploren.exe
C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll > répertoire à effacer
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll >> répertoire à effacer
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
C:\WINDOWS\system32\ps2.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe > effacer répertoire
C:\Program Files\AdStatus Service\AdStatServ.exe > effacer répertoire
C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s > effacer répertoire
C:\windows\system32\eliteldm32.exe
C:\WINDOWS\a64sddd.exe

Relances HijackThis et cocher toutes ces lignes, puis FIX :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.noos.fr:80 >> tu n’as pas ADSL alors Ok si tu as alors à cocher
R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe > !!
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup –s
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteldm32.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [popuppers64] C:\WINDOWS\a64sddd.exe
O10 - Hijacked Internet access by New.Net >> cocher toutes lignes 010 et O15
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/alien.cab

Et
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE >> si inconnu

ensuite redémarre et refais un HijackThis de contrôle
a+

Demande d'analyse HijackThis

1 réponse

Discussions similaires