gros bblème avec le net Résolu/Fermé

Question

Bonjour,
j'ai woosbbbrower qui se met en route a chaque fois que je veux me servire de mon navigateur orange et ma connexion qui ram voici mon rapport hijack car jai tout les symptomes d'un hijacker


merci sa ma'arrangerai trop

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:02:15, on 11/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Spamicillin\Spamicillin.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Utilisateur\Bureau\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Program Files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe"
O4 - HKCU\..\Run: [wjjmwmdml] c:\documents and settings\utilisateur\local settings\application data\wjjmwmdml.exe wjjmwmdml
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Spamicillin.lnk = C:\Program Files\Spamicillin\Spamicillin.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

End of file - 6900 bytesConfiguration: Windows XP
Internet Explorer 7.0

eZula · Answer

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

eZula · Answer

oui, tout à fait

eZula · Answer

Vas sur ce site https://www.virustotal.com/gui/
Colle dans la case à gauche de "parcourir" :
C:\DOCUME~1\ALLUSE~1\APPLIC~1\dyaniilw.kxq
clique ensuite sur "send". Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention [b]"FINISHED"[/b] sur la droite. Dépose le dans ta réponse.
Recommence avec ces chemins :
C:\Documents and Settings\Utilisateur\locals~1\applic~1\wjjmwmdml.exe
C:\WINDOWS\system32\wjjmwmdml.exe

eZula · Answer

pour les deux derniers fichiers, c'était juste pour vérifier s'ils étaient présents.
En revanche dyaniilw.kxq je ne vois pas trop ce que ça pourrait être https://www.google.fr/search?sourceid=mozclient&ie=utf-8&oe=utf-8&q=dyaniilw.kxq&gws_rd=ssl

Fais ceci https://jesses.pagesperso-orange.fr/Docs/Bases/TousLesFichiers.htm et par clic droit sur C:\DOCUMENTS AND SETTINGS\ALLUSERS\APPLICATION DATA\dyaniilw.kxq regarde ses propriétés, taille, version, entreprise, date création, modification, etc et si tu peux l'ouvrir avec le bloc-notes -> que contient-il ?

et ça c'est quoi sinon :

C:\Documents and Settings\Utilisateur\Mes documents\xxxxxxO\arnaud-script\arnaud\arnaud-script\crack2.exe
C:\Documents and Settings\Utilisateur\Application Data\uTorrent\Autodesk AutoCAD 2008 Full Version Incl Keygen.torrent

eZula · Answer

renomme ce fichier en dyaniilw.kxq.off tu verras après plusieurs redémarrages si tu n'as pas de souci, c'est débrayable évidemment.
Je te déconseille vivement de restaurer, le risque est justement de faire revenir les malwares.

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 puis poste le rapport lorsqu'il a terminé.

eZula · Answer

ce fichier est suspect, quasiment aucune référence sur internet, nom aléatoire, extension bizaroïde
on ne le supprime pas par prudence mais on le renomme, c'est donc "débrayable" puisque si jamais tu rencontrais des problèmes suite à ce renommage, il suffirait simplement de lui rendre son nom originel en supprimant l'extension .off

eZula · Answer

Alors pour en revenir au problème de surface, je te donne mon avis, la navigateur orange ne vaut rien, et c'est sans doute un prétexte pour redirigier vers des liens commerciaux. La meilleure recommandation qui me vient à l'esprit c'est la désinstallation de cette petite saleté.
Tu peux utiliser IE7 ou pourquoi pas Mozilla Firefox http://www.mozilla-europe.org/fr/products/firefox/ ou Opéra http://opera-fr.com/

================================

* Pour terminer, utilise ToolsCleaner! (de A.Rothstein) http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe pour nettoyer les utilitaires téléchargés.

* Lance le nettoyage avec CCleaner et fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1

* Lorsqu'il a terminé, désactive ta restauration système, redémarre l'ordinateur et réactive-la :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Utilise hebdomadairement ce petit programme http://filehippo.com/updatechecker/UpdateChecker.exe pour effectuer tes mises à jour logicielles. Il suffit de le lancer (aucune installation n'est requise). Les liens des mises à jour disponibles apparaitront alors dans une page web. Conseil : n'installe pas les version "beta".
* Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas 

* Note importante : "Les comptes Administrateur ne sont pas appropriés pour une utilisation occasionnelle ; toute personne utilisant votre ordinateur devrait par conséquent disposer d'un compte utilisateur limité afin de pouvoir accomplir des activités ordinaires, telles que le traitement de texte, la messagerie, le mutlimédia, la navigation sur le Web... Si vous êtes victime d'une attaque par un logiciel malveillant, l'attaquant peut accéder à votre ordinateur par l'intermédiaire du compte auquel vous êtes connecté ; des comptes limités donnent à l'attaquant un accès restreint, tandis qu'un compte administrateur lui donne un accès total."
=> Voir https://www.microsoft.com/de-ch

à+

eZula · Answer

C/RESTORE

si tu fais les dernières manips que je t'ai indiqué ces fichiers disparaitront

lance ton ordi en mode sans échec avec prise en charge réseau, et regarde si le surf est meilleur. Sinon les autres bugs c'est quoi ? sois précis

Formater est bien sur une possibilité, peut être que ça ne vaut pas encore le coup à ce stade.

eZula · Answer

laisse tomber la restauration, c'est de la daube

depuis quand et quoi tu as ces problèmes de lenteur avec internet ? est-ce que Update_Checker a trouvé des mises à jour ?

eZula · Answer

essaye :

1. nettoyage des fichiers temporaires avec CCleaner
2. nettoyage du registre, tjs avec CCleaner (accepte la sauvegarde)
3 défragmentation en mode sans échec

Et vois ce que ça donne

némo7 · Answer

c fais rien de plus

eZula · Answer

remarque, quand tu as installé le SP3, l'ordi était déjà infecté d'après toi ?

némo7 · Answer

oui je l'ai mis hier et je suis infecté depuis dimanche dernier

némo7 · Answer

t'es plus la?

eZula · Answer

je suis là, ai-je le droit de manger, juste quelques minutes ? :)

donc l'installation de ce type de mise à jour sur un pc vérolé peut entrainer de sérieux dégâts. 
Maintenant, est-ce qu'il n'y a qu'au niveau de la connection internet que ça foire, ou alors c'est l'ensemble du système qui se traine ? dans la 2ème hypothèse peut être qu' effectivement un formatage serait approprié après ce qu'on a essayé pour résoudre ce problème. Sans le cd il doit y avoir une solution en farfouillant du coté des partitions de restauration, je ne sais pas vraiment comment procéder exactement mais tu devrais trouver une solution sur le forum XP

Dans la première hypothèse, il faudrait essayer de réinstaller ta connexion, je te conseille d'ailleurs de ne pas installer l'artillerie lourde wanadoo et de configurer tout ça proprement et donc manuellement http://www.bichofeo.com/

Gros bblème avec le net

15 réponses

Discussions similaires