A voir également:
- Supprimer cheval de troie
- Supprimer rond bleu whatsapp - Guide
- Impossible de supprimer une page word - Guide
- Impossible de supprimer un fichier - Guide
- Supprimer pub youtube - Accueil - Streaming
- Supprimer compte instagram - Guide
49 réponses
ok je fais ca pour ton retour
le fichier extra le voici :http://www.cijoint.fr/cjlink.php?file=cj201005/cijphc8g0N.txt
jespere que c'est le bon cette fois ci
merci a toi
mourad
le fichier extra le voici :http://www.cijoint.fr/cjlink.php?file=cj201005/cijphc8g0N.txt
jespere que c'est le bon cette fois ci
merci a toi
mourad
voilà ce que me donne le rapport
ComboFix 10-05-17.05 - mourad belmihoub 19/05/2010 17:26:31.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.164 [GMT 2:00]
Lancé depuis: c:\documents and settings\mourad belmihoub\Mes documents\Téléchargements\ComboFix.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\eBay.ico
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\uninst.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-19 au 2010-05-19 ))))))))))))))))))))))))))))))))))))
.
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\Yahoo!
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\program files\Yahoo!
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\program files\CCleaner
2010-05-14 06:13 . 2010-05-14 06:13 -------- d-----w- c:\documents and settings\All Users\Application Data\WholeSecurity
2010-05-14 06:12 . 2010-05-14 06:12 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-14 06:12 . 2010-05-14 06:12 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\InstallShield
2010-05-12 17:39 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-05-12 17:39 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-05-12 16:51 . 2010-05-12 16:51 -------- d-----w- c:\documents and settings\All Users\Application Data\UAB
2010-05-12 16:51 . 2010-05-12 16:51 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\PC_Drivers_Headquarters
2010-05-12 16:50 . 2010-05-12 16:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Driver Whiz
2010-05-12 06:40 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-05-12 06:40 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-05-11 20:53 . 2010-05-11 20:53 -------- d--h--w- c:\windows\PIF
2010-05-11 20:45 . 2010-05-12 16:59 -------- d-----w- c:\program files\ma-config.com
2010-05-11 20:45 . 2010-05-11 20:49 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-05-11 20:34 . 2010-05-11 20:34 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2010-05-11 19:45 . 2010-05-19 15:05 -------- d-----w- c:\documents and settings\mourad belmihoub\Tracing
2010-05-11 19:43 . 2010-05-11 19:43 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-11 19:42 . 2010-05-11 19:42 -------- d-----w- c:\program files\Microsoft
2010-05-11 19:42 . 2010-05-11 19:42 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-05-11 19:42 . 2010-05-11 19:43 -------- d-----w- c:\program files\Windows Live
2010-05-11 19:29 . 2010-05-11 19:29 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-05-11 13:17 . 2008-04-14 12:00 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-05-11 13:16 . 2010-05-11 13:16 -------- d-----w- c:\program files\Windows Media Connect 2
2010-05-11 13:16 . 2010-05-11 13:16 -------- d-----w- C:\d8f1359cab1bdfee6f
2010-05-11 13:15 . 2010-05-11 13:15 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-05-11 13:15 . 2010-05-11 13:15 -------- d-----w- c:\windows\system32\LogFiles
2010-05-11 08:32 . 2010-05-11 08:32 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Identities
2010-05-11 06:17 . 2010-05-19 15:02 -------- d-----w- c:\program files\Wanadoo
2010-05-11 06:08 . 2010-05-11 06:08 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2010-05-11 06:07 . 2010-05-11 06:07 -------- d-----w- c:\program files\Securitoo
2010-05-11 04:37 . 2010-05-11 04:37 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Help
2010-05-10 21:09 . 2010-05-10 21:09 2550 ----a-r- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Installer\{D5EA1755-1899-4380-A4BA-83840648CBDA}\MainExecutableShortcutIcon.exe
2010-05-10 21:09 . 2010-05-10 21:09 -------- d-----w- c:\program files\Votre Opinion
2010-05-10 21:09 . 2010-05-10 21:09 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion
2010-05-10 12:05 . 2010-05-19 15:20 12912 ----a-w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-10 12:02 . 2010-05-12 16:59 -------- d-----w- c:\program files\Unlocker
2010-05-10 11:59 . 2010-05-10 11:59 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\MSNInstaller
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 10:00 . 2010-05-10 10:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-14 06:13 . 2010-05-10 08:50 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\eBay
2010-05-14 06:13 . 2010-05-10 08:50 -------- d-----w- c:\documents and settings\All Users\Application Data\eBay
2010-05-14 06:12 . 2010-05-10 08:50 -------- d-----w- c:\program files\eBay
2010-05-12 18:06 . 2008-04-14 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-12 18:06 . 2008-04-14 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-12 17:57 . 2010-05-10 08:23 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-12 17:57 . 2010-05-12 17:57 102656 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1036.dat
2010-05-12 17:40 . 2010-05-12 17:40 -------- d-----w- c:\program files\MSBuild
2010-05-12 17:40 . 2010-05-12 17:40 -------- d-----w- c:\program files\Reference Assemblies
2010-05-12 16:58 . 2010-05-10 08:38 -------- d-----w- c:\program files\Inventel
2010-05-10 10:27 . 2010-05-10 10:27 86576 ----a-w- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2010-05-10 10:27 . 2010-05-10 10:27 392728 ----a-w- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2010-05-10 10:27 . 2010-05-10 10:27 132672 ----a-w- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-03-11 12:34 . 2008-04-14 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2008-04-14 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2008-04-14 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2008-04-14 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"SpybotSD TeaTimer"="d:\spybot - search & destroy\TeaTimer.exe" [2009-03-05 2260480]
"PanelApp"="c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion\PanelApp\PanelApp.exe" [2009-12-30 31232]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]
"eBayToolbar"="c:\program files\eBay\eBay Toolbar2\eBayTBDaemon.exe" [2009-03-19 632048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10/05/2010 11:25 164048]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/05/2010 11:25 19024]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [11/05/2010 11:34 271728]
S3 PanelSvc;PanelSvc;c:\program files\Votre Opinion\PanelApp\PanelSvc.exe [30/12/2009 11:20 91136]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - HTTPFILTER
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: Recherche sur eBay - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: { - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\documents and settings\mourad belmihoub\Application Data\Mozilla\Firefox\Profiles\9p1yar54.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MOAWA1&q=
FF - component: c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion\PanelApp\ff\components\FFoxAddinStub.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-eBay Icon - c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\uninst.exe
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-19 17:29
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-05-19 17:30:44
ComboFix-quarantined-files.txt 2010-05-19 15:30
Avant-CF: 94 874 828 800 octets libres
Après-CF: 94 855 933 952 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - 98DDFC6696EEE7C30AE27FA979E8F156
merci beaucoup pour ton aide
mourad
ComboFix 10-05-17.05 - mourad belmihoub 19/05/2010 17:26:31.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.164 [GMT 2:00]
Lancé depuis: c:\documents and settings\mourad belmihoub\Mes documents\Téléchargements\ComboFix.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\eBay.ico
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\uninst.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-19 au 2010-05-19 ))))))))))))))))))))))))))))))))))))
.
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\Yahoo!
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\program files\Yahoo!
2010-05-19 09:57 . 2010-05-19 09:57 -------- d-----w- c:\program files\CCleaner
2010-05-14 06:13 . 2010-05-14 06:13 -------- d-----w- c:\documents and settings\All Users\Application Data\WholeSecurity
2010-05-14 06:12 . 2010-05-14 06:12 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-14 06:12 . 2010-05-14 06:12 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\InstallShield
2010-05-12 17:39 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-05-12 17:39 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-05-12 16:51 . 2010-05-12 16:51 -------- d-----w- c:\documents and settings\All Users\Application Data\UAB
2010-05-12 16:51 . 2010-05-12 16:51 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\PC_Drivers_Headquarters
2010-05-12 16:50 . 2010-05-12 16:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Driver Whiz
2010-05-12 06:40 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-05-12 06:40 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-05-11 20:53 . 2010-05-11 20:53 -------- d--h--w- c:\windows\PIF
2010-05-11 20:45 . 2010-05-12 16:59 -------- d-----w- c:\program files\ma-config.com
2010-05-11 20:45 . 2010-05-11 20:49 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-05-11 20:34 . 2010-05-11 20:34 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2010-05-11 19:45 . 2010-05-19 15:05 -------- d-----w- c:\documents and settings\mourad belmihoub\Tracing
2010-05-11 19:43 . 2010-05-11 19:43 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-11 19:42 . 2010-05-11 19:42 -------- d-----w- c:\program files\Microsoft
2010-05-11 19:42 . 2010-05-11 19:42 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-05-11 19:42 . 2010-05-11 19:43 -------- d-----w- c:\program files\Windows Live
2010-05-11 19:29 . 2010-05-11 19:29 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-05-11 13:17 . 2008-04-14 12:00 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-05-11 13:16 . 2010-05-11 13:16 -------- d-----w- c:\program files\Windows Media Connect 2
2010-05-11 13:16 . 2010-05-11 13:16 -------- d-----w- C:\d8f1359cab1bdfee6f
2010-05-11 13:15 . 2010-05-11 13:15 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-05-11 13:15 . 2010-05-11 13:15 -------- d-----w- c:\windows\system32\LogFiles
2010-05-11 08:32 . 2010-05-11 08:32 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Identities
2010-05-11 06:17 . 2010-05-19 15:02 -------- d-----w- c:\program files\Wanadoo
2010-05-11 06:08 . 2010-05-11 06:08 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2010-05-11 06:07 . 2010-05-11 06:07 -------- d-----w- c:\program files\Securitoo
2010-05-11 04:37 . 2010-05-11 04:37 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Help
2010-05-10 21:09 . 2010-05-10 21:09 2550 ----a-r- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Installer\{D5EA1755-1899-4380-A4BA-83840648CBDA}\MainExecutableShortcutIcon.exe
2010-05-10 21:09 . 2010-05-10 21:09 -------- d-----w- c:\program files\Votre Opinion
2010-05-10 21:09 . 2010-05-10 21:09 -------- d-----w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion
2010-05-10 12:05 . 2010-05-19 15:20 12912 ----a-w- c:\documents and settings\mourad belmihoub\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-10 12:02 . 2010-05-12 16:59 -------- d-----w- c:\program files\Unlocker
2010-05-10 11:59 . 2010-05-10 11:59 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\MSNInstaller
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 10:00 . 2010-05-10 10:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-14 06:13 . 2010-05-10 08:50 -------- d-----w- c:\documents and settings\mourad belmihoub\Application Data\eBay
2010-05-14 06:13 . 2010-05-10 08:50 -------- d-----w- c:\documents and settings\All Users\Application Data\eBay
2010-05-14 06:12 . 2010-05-10 08:50 -------- d-----w- c:\program files\eBay
2010-05-12 18:06 . 2008-04-14 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-12 18:06 . 2008-04-14 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-12 17:57 . 2010-05-10 08:23 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-12 17:57 . 2010-05-12 17:57 102656 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1036.dat
2010-05-12 17:40 . 2010-05-12 17:40 -------- d-----w- c:\program files\MSBuild
2010-05-12 17:40 . 2010-05-12 17:40 -------- d-----w- c:\program files\Reference Assemblies
2010-05-12 16:58 . 2010-05-10 08:38 -------- d-----w- c:\program files\Inventel
2010-05-10 10:27 . 2010-05-10 10:27 86576 ----a-w- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2010-05-10 10:27 . 2010-05-10 10:27 392728 ----a-w- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2010-05-10 10:27 . 2010-05-10 10:27 132672 ----a-w- c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-03-11 12:34 . 2008-04-14 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2008-04-14 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2008-04-14 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2008-04-14 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"SpybotSD TeaTimer"="d:\spybot - search & destroy\TeaTimer.exe" [2009-03-05 2260480]
"PanelApp"="c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion\PanelApp\PanelApp.exe" [2009-12-30 31232]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]
"eBayToolbar"="c:\program files\eBay\eBay Toolbar2\eBayTBDaemon.exe" [2009-03-19 632048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10/05/2010 11:25 164048]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/05/2010 11:25 19024]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [11/05/2010 11:34 271728]
S3 PanelSvc;PanelSvc;c:\program files\Votre Opinion\PanelApp\PanelSvc.exe [30/12/2009 11:20 91136]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - HTTPFILTER
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: Recherche sur eBay - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: { - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\documents and settings\mourad belmihoub\Application Data\Mozilla\Firefox\Profiles\9p1yar54.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MOAWA1&q=
FF - component: c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion\PanelApp\ff\components\FFoxAddinStub.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-eBay Icon - c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\uninst.exe
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-19 17:29
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-05-19 17:30:44
ComboFix-quarantined-files.txt 2010-05-19 15:30
Avant-CF: 94 874 828 800 octets libres
Après-CF: 94 855 933 952 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - 98DDFC6696EEE7C30AE27FA979E8F156
merci beaucoup pour ton aide
mourad
Mourad,
1/ télécharge AFT Cleaner et enregistre-le sur le bureau.
http://www.atribune.org/ccount/click.php?id=1
Ferme ton navigateur. Double clique sur ATF-Cleaner.exe.
Si Tu as Firefox, clique dans le menu sur ce nom.
Choisis l'option Select All puis valide.
2/ Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
A+
1/ télécharge AFT Cleaner et enregistre-le sur le bureau.
http://www.atribune.org/ccount/click.php?id=1
Ferme ton navigateur. Double clique sur ATF-Cleaner.exe.
Si Tu as Firefox, clique dans le menu sur ce nom.
Choisis l'option Select All puis valide.
2/ Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
A+
voilà le résultat ,apparemment pas d'infection
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4117
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
19/05/2010 18:47:38
mbam-log-2010-05-19 (18-47-38).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 129813
Temps écoulé: 15 minute(s), 15 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
merci
mourad
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4117
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
19/05/2010 18:47:38
mbam-log-2010-05-19 (18-47-38).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 129813
Temps écoulé: 15 minute(s), 15 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
merci
mourad
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mourad,
Oui, mais c'est bon signe.
Avast5 a bien joué son rôle en bloquant l'infection.
Pour ce logiciel, malwarebytes, garde le . C'est le meilleur antimalware.
Si tu as des doutes sur une infection possible sur le PC, tu peux toujours le lancer.
------------------------------------------------------------------------------------------
Une dernière vérification.
Tu vas lancer Avast mais auparavant fais le réglage suivant :
# Ouvre Avast5 en cliquant sur l'icône dans la barre des taches.
# Clique sur paramètres en haut à droite de la fenêtre ouverte.
# sélectionne l'option Afficher les résultats à la fin du scan dans la partie Comportement.
Si des infections sont trouvés, cela génèrera un rapport.
lance un scan minutieux avec l'antivirus.
A+
voilà le résultat ,apparemment pas d'infection
Oui, mais c'est bon signe.
Avast5 a bien joué son rôle en bloquant l'infection.
Pour ce logiciel, malwarebytes, garde le . C'est le meilleur antimalware.
Si tu as des doutes sur une infection possible sur le PC, tu peux toujours le lancer.
------------------------------------------------------------------------------------------
Une dernière vérification.
Tu vas lancer Avast mais auparavant fais le réglage suivant :
# Ouvre Avast5 en cliquant sur l'icône dans la barre des taches.
# Clique sur paramètres en haut à droite de la fenêtre ouverte.
# sélectionne l'option Afficher les résultats à la fin du scan dans la partie Comportement.
Si des infections sont trouvés, cela génèrera un rapport.
lance un scan minutieux avec l'antivirus.
A+
he ben non rien de rien ,pas de virus détecté
pourtant lorsque je veux aller sur le site d'enchère (ou j'ai mes annonces)
o-puces.com la fenêtre :cheval de Troie réapparait
alors comprends pas
merci
Mourad
pourtant lorsque je veux aller sur le site d'enchère (ou j'ai mes annonces)
o-puces.com la fenêtre :cheval de Troie réapparait
alors comprends pas
merci
Mourad
Mourad,
C'est ce que je t'expliquais.
Avast5 intègre un nouveau module qui détecte les pages web infectés par du javascript.
Et il te signale la page infectée.
Vide les dossiers temporaires avec AFT.
-----------------------------------------------------------
Tu peux m'indiquer le lien du site.
Attention, au lieu de http://..... indique le lien en hxxp://....
Il faut les alerter que leur site est infecté.
A+
C'est ce que je t'expliquais.
Avast5 intègre un nouveau module qui détecte les pages web infectés par du javascript.
Et il te signale la page infectée.
Vide les dossiers temporaires avec AFT.
-----------------------------------------------------------
Tu peux m'indiquer le lien du site.
Attention, au lieu de http://..... indique le lien en hxxp://....
Il faut les alerter que leur site est infecté.
A+
le problème est que il n'est plus en quarantaine non plus apparemment
quand je veux ouvrir la page de ce site il me l'annonce
Mourad
quand je veux ouvrir la page de ce site il me l'annonce
Mourad
Verni ,
pour supprimer les dossiers temporaires avec AFT comment faut faire
je connais rien en anglais
merci
mourad
pour supprimer les dossiers temporaires avec AFT comment faut faire
je connais rien en anglais
merci
mourad
mourad,
c'est l'option temporary internet files.
Je viens de voir le code source du site.
Oui, il y a bien un script.
je vais les contacter pour les en informer.
De toute façon, comme avast te bloque cette page, le PC n'est pas infecté.
Je te mets les consignes de fin après manger.
A+
c'est l'option temporary internet files.
Je viens de voir le code source du site.
Oui, il y a bien un script.
je vais les contacter pour les en informer.
De toute façon, comme avast te bloque cette page, le PC n'est pas infecté.
Je te mets les consignes de fin après manger.
A+
Mourad,
Ton antivirus t'a bien protégé.
Le site que tu cites est détourné vers un site russe qui redirige vers un site pornographique. :-(
Je t'explique succinctement comment cela se passe.
le site a été piraté et du langage de programmation ( javascript ) a été introduit dans la page d'accueil de ce site.
Pourquoi ? pour rediriger ce site vers un autre.
C'est quoi un javascript ? c'est du langage utilisé dans les pages web pour y ajouter des fonctionnalités. C'est très utilisé et aussi par des hackers pour infectés des sites web.
-----------------------------------------------------------------------------
Donc, aucune crainte. Ton PC est propre.
1/ Enlève les outils utilisés.
pour cela, lance OTL et clique sur Purge Outils.
Le PC va redémarrer et enlever certains outils.
vérifie au redémarrage que ComboFix est supprimé ainsi que C:\Qoobox
2/ Vu que tu utilises Firefox, tu devrais utiliser un add-on qui s'appelle NoScript ( bien que Avast5 fasse le boulot maintenant mais il n'est pas infaillible ):
https://addons.mozilla.org/fr/firefox/addon/noscript/
Il sert justement à contrôler les script java sur les pages web.
Tu devrais l'installer. Tu verras apparaitre en bas ( à droite ) de ton navigateur l'icône de cet add-on. Et tu acceptes ensuite au cas pas et temporaiement les scripts sur les sites que tu connais.
3/ Crée un point de restauration propre sur ton PC.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
---------------------------------------------------------------------------------
Ton PC est propre.
Un peu de lecture pour mieux comprendre les risques du net : projet antimalwares : https://www.malekal.com/projet-antimalware-2/
--------------------------------------------------------------------------------
En te souhaitant bonne lecture et bon surf.
Si tu as d'autres questions.
@+
Ton antivirus t'a bien protégé.
Le site que tu cites est détourné vers un site russe qui redirige vers un site pornographique. :-(
Je t'explique succinctement comment cela se passe.
le site a été piraté et du langage de programmation ( javascript ) a été introduit dans la page d'accueil de ce site.
Pourquoi ? pour rediriger ce site vers un autre.
C'est quoi un javascript ? c'est du langage utilisé dans les pages web pour y ajouter des fonctionnalités. C'est très utilisé et aussi par des hackers pour infectés des sites web.
-----------------------------------------------------------------------------
Donc, aucune crainte. Ton PC est propre.
1/ Enlève les outils utilisés.
pour cela, lance OTL et clique sur Purge Outils.
Le PC va redémarrer et enlever certains outils.
vérifie au redémarrage que ComboFix est supprimé ainsi que C:\Qoobox
2/ Vu que tu utilises Firefox, tu devrais utiliser un add-on qui s'appelle NoScript ( bien que Avast5 fasse le boulot maintenant mais il n'est pas infaillible ):
https://addons.mozilla.org/fr/firefox/addon/noscript/
Il sert justement à contrôler les script java sur les pages web.
Tu devrais l'installer. Tu verras apparaitre en bas ( à droite ) de ton navigateur l'icône de cet add-on. Et tu acceptes ensuite au cas pas et temporaiement les scripts sur les sites que tu connais.
3/ Crée un point de restauration propre sur ton PC.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
---------------------------------------------------------------------------------
Ton PC est propre.
Un peu de lecture pour mieux comprendre les risques du net : projet antimalwares : https://www.malekal.com/projet-antimalware-2/
--------------------------------------------------------------------------------
En te souhaitant bonne lecture et bon surf.
Si tu as d'autres questions.
@+
ah pour le coup j'ai de la lecture oui ahahaaahah
donc le mieux est d'arreter d'aller sur ce site car il risque d'etre infecté sans arret si j'ai bien compris
je vais suivre les instructions pour tout retirer
en tout cas un grand merci
bonne soirée a toi aussi
mourad
donc le mieux est d'arreter d'aller sur ce site car il risque d'etre infecté sans arret si j'ai bien compris
je vais suivre les instructions pour tout retirer
en tout cas un grand merci
bonne soirée a toi aussi
mourad
Bonjour je suis le webmaster du site o-puces et je tiens à remercier mourad ainsi que verni29 de m'avoir prévenu j'ai effacé le script maintenant.
2 questions svp la 1ere pourquoi McAfee ne m'a pas prévenu pour mon site et si je lis le rapport de McAfee je cite :
o-puces.com
Green Verdict Image
Nous avons testé ce site et n'avons relevé aucun problème important.
Etes-vous le propriétaire de ce site ? Déposer un commentaire
2eme question comment un pirate peut mettre un script sur ma page d'accueil alors que les chmod sont à 644 sur l'index.php ?
2 questions svp la 1ere pourquoi McAfee ne m'a pas prévenu pour mon site et si je lis le rapport de McAfee je cite :
o-puces.com
Green Verdict Image
Nous avons testé ce site et n'avons relevé aucun problème important.
Etes-vous le propriétaire de ce site ? Déposer un commentaire
2eme question comment un pirate peut mettre un script sur ma page d'accueil alors que les chmod sont à 644 sur l'index.php ?
bonsoir , perso je n'y comprends rien du tout
ce matin en allant sur le site (comme ts les jours en tant que vendeur ) j'ai eu message de cheval de Troie ,alors j'espère que quelqu'un pourra vous répondre
merci
Mourad
ce matin en allant sur le site (comme ts les jours en tant que vendeur ) j'ai eu message de cheval de Troie ,alors j'espère que quelqu'un pourra vous répondre
merci
Mourad
Bonsoir Mourad, j'espère moi aussi que je trouverais une réponse on vient de me dire que le site était peut être infecté par le virus gumblar.
Donc je vais télécharger ce logiciel et l'installer sur http://www.o-puces.com
Donc je vais télécharger ce logiciel et l'installer sur http://www.o-puces.com
Bonjour,
Il y a en effet encore du js malveillant à l'heure actuelle.
On a ces iframes qui ont été insérées :
Celui-ci semble hébergé en Allemagne : http://whois.domaintools.com/88.84.145.36
Il faut supprimer tout le code js pourri sur l'ensemble des pages.
Apparemment, ton hébergeur est OVH. Es-tu limité en nombre de caractères pour le mot de passe ftp ?
Il faut choisir un mot de passe fort mélangeant lettres, chiffres et caractères spéciaux en utilisant au minimum 8 caractères. Ensuite, le mdp ne doit pas être enregistré par le client ftp.
FillPCA
Il y a en effet encore du js malveillant à l'heure actuelle.
On a ces iframes qui ont été insérées :
hxxp://tenthprofit.ru:8080/ow-ly/google.com/usatoday.com.php 200 text/javascript hxxp://tenthprofit.ru:8080/index.php?pid=1&home=1
Celui-ci semble hébergé en Allemagne : http://whois.domaintools.com/88.84.145.36
Il faut supprimer tout le code js pourri sur l'ensemble des pages.
Apparemment, ton hébergeur est OVH. Es-tu limité en nombre de caractères pour le mot de passe ftp ?
Il faut choisir un mot de passe fort mélangeant lettres, chiffres et caractères spéciaux en utilisant au minimum 8 caractères. Ensuite, le mdp ne doit pas être enregistré par le client ftp.
FillPCA
gladiator2b,
Bonjour. Désolé de ne pas vous répondre auparavant.
Je ne pensais que vous auriez répondu aussi vite.
Pourquoi MacAffe n'a rien détecté ? C'est quelle version de cet AV ?
Comment le fichier index.php a pu être modifié alors qu'il n'y a que l'administrateur qui a les droits en écriture ?
Le principe de l'infection Gumblar est de réussir à infecter un PC et de là trouver les mdp du client ftp sur un PC.
Certains clients ftp comme filezilla conservent les mdp dans des fichiers .xml.
Puis de là avoir les droits administrateurs sur les sites accessibles via le ftp.
Si votre hébergeur est en effet ovh, vous trouverez des liens sur le forum de ce site qui parlent de ces infections :
https://forum.ovh.net/
Il semblerait que la méthode manuelle soit la plus utilisée ( nettoyage des pages, changement du mdp ).
Le principe étant de descendre le site sur un PC pour le nettoyer.
Comme le signale FillPCA, il faut nettoyer toutes les pages infectées.
Il n'y a pas que la page d'accueil du site qui est infecté.
En vous souhaitant bon courage.
@+
Salut, Fill.
Bonjour. Désolé de ne pas vous répondre auparavant.
Je ne pensais que vous auriez répondu aussi vite.
Pourquoi MacAffe n'a rien détecté ? C'est quelle version de cet AV ?
Comment le fichier index.php a pu être modifié alors qu'il n'y a que l'administrateur qui a les droits en écriture ?
Le principe de l'infection Gumblar est de réussir à infecter un PC et de là trouver les mdp du client ftp sur un PC.
Certains clients ftp comme filezilla conservent les mdp dans des fichiers .xml.
Puis de là avoir les droits administrateurs sur les sites accessibles via le ftp.
Si votre hébergeur est en effet ovh, vous trouverez des liens sur le forum de ce site qui parlent de ces infections :
https://forum.ovh.net/
Il semblerait que la méthode manuelle soit la plus utilisée ( nettoyage des pages, changement du mdp ).
Le principe étant de descendre le site sur un PC pour le nettoyer.
Comme le signale FillPCA, il faut nettoyer toutes les pages infectées.
Il n'y a pas que la page d'accueil du site qui est infecté.
En vous souhaitant bon courage.
@+
Salut, Fill.