il me semble avoir un virus

il me semble avoir un virus - Sécurité - Windows & Software

Marsh Posté le 31-07-2005 à 10:05:12    

bonjour a tous  
est ce que quelqu'un pe me dire quelle virus j'ai attrapé et que faut il faire avec cela:
 
 Logfile of HijackThis v1.99.1
Scan saved at 21:05:00, on 30/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\svchost.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\DitExp.exe
C:\Program Files\Canon\MultiPASS4\MPDBMgr.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.carrefour.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [Microsoft Hosting Services] c:\svchost.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\ImInstaller\IncrediMail\imloader.exe -startup -product IncrediMail -skip_dialog language -skip_dialog info
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour.fr/
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} - http://images.goa.com/it/Woo2/fr/2 [...] /npwwg.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/ [...] anager.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://jeuxvideo.wanadoo.fr/components/Metaboli.ocx
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.servicesalacar [...] loader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/conten [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A669366-F6C0-4979-80AB-7F37811AD246}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

Reply

Marsh Posté le 31-07-2005 à 10:05:12   

Reply

Marsh Posté le 31-07-2005 à 10:08:06    

www.secuser.com analyse en ligne, tu sera fixer...


---------------
Si vis pacem, para bellum.
Reply

Marsh Posté le 31-07-2005 à 10:59:36    

oui mais apparament on peut le faire avec hijackthis et j'aurais bien voulu supprimer les virus avec cela mais comment faire!!!!!!!!

Reply

Marsh Posté le 31-07-2005 à 11:04:53    

Non, on ne peut pas supprimer un virus avec HJT ... Ou alors un très gentil.
HJT permet de faire un constat, un état du PC mais il n'agit pas ensuite.
 
La ligne O15 - Trusted Zone: www_archiviosex_net me semble  [:columbo2] Et celles qui l'entoure, éventuellement.
 
C'est pas obligatoirement un virus que tu as, mais peut-être un spyware (ad-aware + spybot sont tes amis). D'autres ont des BHO dans IE (bhodemon aurait été ton ami), ...
 
 
EDIT: lien non cliquable, smieux


Message édité par phosphorus68 le 31-07-2005 à 11:05:23
Reply

Marsh Posté le 31-07-2005 à 11:18:32    

à faire sauter :
 
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (stune merde)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s  (qui va avec)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
(les 5 lignes ont été créées par newdotnet)
O15 - Trusted Zone: www-archiviosex.net
O15 - Trusted Zone: www-linkautomatici.com
O15 - Trusted Zone: www-skymasters.biz

O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - ht---//acceso.masminutos.com/aplicacion.cab (mais ca je suis pas sûr, je préfèrerais que qqu'un confirme)
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - ht---//dx.mastacash.com/loader.cab (pareil)
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - ht---//game16.zylom.servicesalacar [...] loader.cab (pareil)
 
pour newdotnet je sais pas si ca suffira, faudra retester après...
 
[EDIT] modif des liens cliquables en non-cliquables


Message édité par Patchou le 31-07-2005 à 11:21:21
Reply

Marsh Posté le 31-07-2005 à 11:28:34    

le problem c'est que spybot et ad adaware n'arrive pas  a allez au bout du scan donc il y a quelque chose qui empeche de finir cela

Reply

Marsh Posté le 31-07-2005 à 11:31:09    

commence par une analyse antiviral ;) puis passe aux anti spyware at adware...


---------------
Si vis pacem, para bellum.
Reply

Marsh Posté le 31-07-2005 à 11:31:55    

si l'analyse antiviral bloque elle aussi... passe en mode sans echec... et c'est parti...


---------------
Si vis pacem, para bellum.
Reply

Marsh Posté le 31-07-2005 à 14:24:55    

Bonjour, il y a le parasite NewDotNet: O10 - Hijacked Internet access by New.Net
Télécharge cet outil de désinfection LSPFix de Cexx.org
http://www.cexx.org/lspfix.htm
 
Ce programme tente de corriger les problèmes de connexion à Internet résultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.
Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé, explications assiste.com.
 
Voici comment procéder:
 
1 Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes
S’il y a le programme NewDoNeT ou NewNet le désinstaller.
(le désinstaller en mode sans échec si l’application est récalcitrante)
 
2 Explorateur Windows suivre ce chemin :
C:\Program Files\NewDotNet\ ou C:\windows\
Rechercher le fichier de désinstallation ressemblant a NDNuninstallX_XX.exe(x est la version)
Cliquer dessus,une fois la désinstallation terminée  supprime le dossier C:\Program Files\NewDotNet\
 
3 Télécharge ceci uninstallNewdonet  http://www.new.net/support/uninstall6_38.exe
et tu le copies sur une disquette ou CD.  
Insère la disquette ou CD.  
Clique sur Démarrer.  
Clique sur Exécuter.  
Tape: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur CD D, E, F,..)
Clique sur OK.  
Une fois la désinstallation terminée, redémarre.
 
Si après la manip ci-dessous tu perds l’accès à internet :  
Démarre LSPFix  
Coche 'I know what I'm doing'  
Clique sur 'Finish'.  
Redémarre ton PC et poste un nouveau rapport Hijackthis
 
 

Reply

Marsh Posté le 31-07-2005 à 18:05:54    

bon alors quelle manip faut il faire en premier. celle de stonangel semble la plus dure mais la plus efficace car tous ce qu'il a ecrit je l'ai dans mon pc (il y a le parasite NewDotNet)

Reply

Marsh Posté le 31-07-2005 à 18:05:54   

Reply

Marsh Posté le 31-07-2005 à 18:22:08    

Celle qui te semble la plus judicieuse sachant qu'Hijackthis ne répare pas les lignes altérées par Newnet

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed