Help virus Adware Generic ATT

[flimo]

Bonjour,

J'ai un virus que je cherche désespérément à éliminer. Voici ma config:

Laptop sous XP SP2, antivirus AVG, zonealarm.

Le virus est Adware Generic ATT. Le virus se trouve dans le fichier newdotnet6_38.dll dans le répertoire NewDotNet sous program files. J'ai fait un scan avec Hitjackthis et voici le log:


Logfile of HijackThis v1.99.1
Scan saved at 01:01:56, on 06/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.ex e
C:\PROGRA~1\Grisoft\AVG7\avgam svr.exe
C:\PROGRA~1\Grisoft\AVG7\avgup svc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\system32\ZoneLabs\v smon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.e xe
C:\WINDOWS\system32\drivers\ST DSB.exe
C:\WINDOWS\system32\drivers\Ic on.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\Program Files\Java\j2re1.4.2_05\bin\ju sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Apps\Powercinema\PCMService .exe
C:\PROGRA~1\SPEEDR~1\speedram. exe
C:\WINDOWS\system32\rundll32.e xe
C:\PROGRA~1\Grisoft\AVG7\avgcc .exe
C:\PROGRA~1\Grisoft\AVG7\avgem c.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SETI@home\SETI@home.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock .exe
C:\WINDOWS\slrundll.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Flimo\Mes documents\Downloads\hijackthis \HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = http://www.btireland.ie/flatrateanytime/complete.html
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bi...6&k ey=SEARCH
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = http://www.btireland.ie/flatrateanytime/complete.html
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.btireland.ie/flatrateanytime/complete.html
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelpe r.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMI G.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLG NT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLG NT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.e xe
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\ST DSB.exe
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Ic on.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\ju sched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMServic e.exe"
O4 - HKLM\..\Run: [SpeedRam2] C:\PROGRA~1\SPEEDR~1\speedram. exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc .exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgem c.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2. DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [seticlient] C:\Program Files\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP. exe -Hide
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock .exe
O8 - Extra context menu item: GoTranslate - http://ut.gotranslate.com/utd/ieutd-r.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip \..\{9A2B56FB-1FD8-4547-997F-850154EA8FB8}: NameServer = 159.134.237.6 159.134.248.17
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgam svr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgup svc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\ SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v smon.exe

J'ai tout essayé pour le virer, mais rien à faire.

Que faire de plus?

Merci de vos réponses éclairées, Ô Grands Maîtres de l'Informatique Toute Puissante (GMITP pour faire plus court)

Francis

[mach3]

tout essayé c'est à dire? même en mode sans échec?

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2. DLL,NewDotNetStartup -s

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

tu coches ces 5 là et ça devrait rouler

supprimes le dossier newdotnet et tout son contenu tant qu'à faire, ça n'a rien à faire là, c'est de la cochonerie

m@ch3

[yoda1234]

Bonjour
j'ajouterais
cette petite manip que je préfère a l'éradiction pure et simple pour les lignes 010
et aussi:
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)<-voir ici.
Attention tu as aussi des traces de ton ancien AV(Noton) qu'il faudra éliminer après éradication de la cochonerie.

[igor51]

bonjour,
je fixerai aussi les premières lignes(R1 R1 R1 RO) parce que je ne connais pas et que quand j'ai voulu me connecter dessu il me demandait un certificat...donc à moins que se soit toi qu'il l'ait installé, je les fixerai aussi.

[yoda1234]

Bonjour
c'est curieux parce que je me connecte sans problèmes sur les deux sites et qu'ils n'ont pas l'air hostiles.
Quelqu'un peut confirmer?

[igor51]

je vais confirmer au'il n'y a pas de problème...je viens de faire des recherches et tout me parait correct, je ne devais pas être réveiller. désolé d'avoir donner une fausse information sa m'apprendra à pas assez dormir!!

[flimo]

Bon, me voilà de retour (encore une fois). Il y a eu un GROS os, ça m'apprendra à faire l'andouille (de Guéméné, ma préférée!):

Après avoir renommé ce p... de fichier, j'ai réussi à supprimer le répertoire en question en mode sans échec. pas de soucis. Mais... PLUS DE NAVIGATION INTERNET!!

Il m'a fallu plus d'une journée pour tout remettre d'applomb, restaurer le système!!

Je ne sais pas qui crée ces virus, mais si j'en coince un un jour ça va être sa fête! Et son anniversaire aussi!! Sans compter son Noël et son Pâques!!!!! Il va s'en souvenir longtemps!

Merci pour vos réponses éclairées en tout cas!

Francis

[yoda1234]

Citation:

Posté par yoda1234

Bonjour
j'ajouterais
cette petite manip que je préfère a l'éradiction pure et simple pour les lignes 010

Bonjour
ça c'etait pour éviter les problèmes que tu as évoqué.

[flimo]

Je te remercie, mais quand on ne peut pas accéder au NET, comment télécharger?

Mais bon, maintenant tout fonctionne.

Ah, un petit détail:

Mon laptop a été fourni avec Norton Security et anti-virus. Comment les éliminer... en douceur? Ils n'apparaissent pas dans les menus de désinstal... Et je n'ose plus traficoter la registry ni les répertoires lol...

Je ne comprends pas pourquoi on nous IMPOSE un anti-virus si lourd...

Francis

[pete]

tu verras celui là il te trouvera toute les entrées..........

reg seeker :


http://www.hoverdesk.net/freeware.htm

[yoda1234]

Bonjour
je préfère de loin conseiller ces deux liens pour une désinstallation propre:
désinstaller Norton AntiVirus 2003 ou antérieur.
Désinstaller norton 2004 2005 2006.

[pete]

j'avais essayé cela ; il restera toujours des entrées vides .
reg seeker , regsupreme pro/jv16PT m'ont trouvé des "restes"......