svchost infecté par le virus w32.mubla Fermé

Question

Bonjour,

J'ai reçu un virus par msn il y a quelques temps, celui ci ouvrant une vingtaine de fenêtre msn à la seconde.
J'ai donc lancé mon anti virus et il a detecté le virus w32.mubla dans mon fichier svchost mais il n'arrive pas à le supprimer.
Je ne sais pas quoi faire et je suis vraiment pas douée avec les ordinateurs ! :p

Merci de votre aide.

ep44 · Answer

Bonjour suis cette procédure et poste tes rapports Télécharge: http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe AVG-AntiSpyware = Installer = Le lancer = Clic : Mise à jour ------ = Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes) Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes. Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel ------- = Dans ANALYSE ( en forme de loupe ) ==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine ==> Clic : Analyse complète du système En fin de scan ( qui est assez long) ==> Clic Appliquer toutes les actions <== ceci Très important ==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau ------- En mode normal colle le rapport ------------- Télécharge sur le bureau http://sosvirus.changelog.fr/MSNFix.zip = Clic-Droit sur MSNFix.zip = Extraire ici ( ou extraire sans confirmation ou tout ou unzip) = Double-Clic sur le dossier MSNfix qui vient de se créer = Double-Clic MSNfix ==> Symbole roue dentée = Choisir R = Choisir ensuite N ( si infection) = Enregistre le rapport redémarre le PC et relancer MSN tu sauras ainsi si tout est supprimé ======================= et pour contrôle Télécharge sur le bureau ftp://ftp.commentcamarche.com/download/HJTInstall.exe = Clic-droit sur Hijackthis = Extraire ici ( ou extraire sans confirmation ou tout ou unzip) = clic droit sur Hijackthis ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important =Double-clic dessus = Clic Do a system scan and save the log = ensuite colle le rapport @+

Coline · Answer

Merci beaucoup je vais faire tout ça.
Une dernière question avant que je parte : je suis en réseau avec d'autres ordinateurs est ce que le virus peut se propager ? je peux me connecter à internet tranquillement, sans risquer de les contaminer ? (je ne suis pas sur l'ordi ayant le virus, il est éteint).

Merci d'avance !

ep44 · Answer

tu as plusieurs pc chez toi en wifi?

Coline · Answer

Oui il y'en a 4 mais moi je n'en utilise qu'un ( celui où y'a le virus). Ils sont tout les quatres reliés par un cable à un ordinateur central. Et je ne crois pas que ça soit en wifi puisqu'il sont reliés par un fil.

ep44 · Answer

avec l'aide green day
je peux te répondre que tu peut lancer les étapes que je t'ai donné 
pour que les autres pc soit infectés il faudrait qu'ils  acceptent le fichier zip de msn
en espérant que ce n'est pas déjà fait 
@+

Coline · Answer

J'ai fait la première étape (j'aii appliquer les actions tout est en quarantaine, mais pourquoi ne pas les nettoyer? ) mais je n'ai pas pu sauvegarder le rapport, je ne pouvais pas cliquer sur la case enregistrer !
Il ne m'a pas trouvé le virus w32.mubla je crois mais il en a trouvé d'autres.
Je suis vraiment désolée pour  le rapport ! Vous pouvez quand même m'aider ?

Merci :)

ep44 · Answer

Bonjour 
poste les aitres rapports 
MSNfix et hijack
@+

Coline · Answer

Voila le rapport du dernier truc à faire avec HjackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:30, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Ebates__MoeMoney__Maker\ebatesmmmv.exe
C:\PROGRA~1\NORTON~1
avapw32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\INTERN~2\iw.exe
C:\Program Files\ClockSync\Sync.exe
C:\PROGRA~1\Save\Save.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Ebates__MoeMoney__Maker\eb.exe
C:\Program Files\Trend Micro	est.exe\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = websearch.drsnsrch.com/q.cgi?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\System32\wsaupdater.exe,
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS
em220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Program Files\MediaLoads Enhanced\ME2.DLL (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: SurfairyHlp Class - {E0B9B5FE-B66E-4FB0-A1D9-726F0E743CFD} - C:\Program Files\Surfairy\SurfairyPP.dll
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS
em218.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Sffgfi] C:\Program Files\Dpqjtmh\Jmnfdm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ebmmm] "C:\Program Files\Ebates__MoeMoney__Maker\ebatesmmmv.exe"
O4 - HKLM\..\Run: [Windows Service] C:\DOCUME~1\clem\LOCALS~1\Temp\svchost.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
avapw32.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Internet Washer Pro] C:\PROGRA~1\INTERN~2\iw.exe min
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [ClockSync] "C:\Program Files\ClockSync\Sync.exe" /q
O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ebates - file://C:\Documents and Settings\clem\Application Data\Ebates__MoeMoney__Maker\ebmmt\ebmmC5.htm
O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Documents and Settings\clem\Application Data\Ebates__MoeMoney__Maker\ebmmt\ebmmC5.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {0D0F1A7D-E9E5-11D3-BCAB-0050044976E7} (PMPDiagIE Class) - http://images.goa.com/InstGoa/PMPAx/V1021/nppmpax.cab
O16 - DPF: {1671869C-25B3-4C80-9446-8AE6111F8765} (MaxisHotDateTeleX Control) - http://thesims.ea.com/teleport/hotdate/NPC/MaxisHotDateTeleX.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/fr/win/QuickTimeInstaller.exe
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproactauthmirror/internetwasherpro.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/261eb90b9c2ba8fae816/netzip/RdxIE601_fr.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - https://resources.flexera.com/web/installengine/engine/isetupml.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://geotoo.mkm-wpe.net/activex/AxisCamControl.ocx
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fphotos.msn.fr%2fr%2fneutral%2fcontrols%2fMsnPUpld.cab%3f5%2c0%2c1730%2c0
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} (NSUpdateLiteCtrl Class) - http://204.177.92.201/quickdl/proclaim/NSupd9x.cab
O16 - DPF: {EE5CA45C-BFAC-48E6-BE6C-3C607620FF43} (IMViewerControl Class) - http://companion.logitech.com/companion/logitech/ver1.3.0.2041/bin/imvid.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_regular_fr.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_5_0.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_fr/WinFixer2005ScannerInstallFRA.cab
O16 - DPF: {FC327B3F-377B-4CB7-8B61-27CD69816BC3} - http://www.clock-sync.com/ClockSyncAutoSYNC0010.cab
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: NNServ - Unknown owner - C:\Program Files\NewDotNet
nrun.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

ep44 · Answer

il faut faire MSNfix 

ton rapport est bien chargé en infection 
on va avoir du boulot
@+

Coline · Answer

Msn fix j'arrive pas à le faire je l'ai dans mes dossier mais ça marche (désolée d'être vraiment pas douée :s)

ep44 · Answer

supprime celui que tu as télécharger 

http://sosvirus.changelog.fr/MSNFix.zip
essaye avec ce lien

Coline · Answer

Je l'ai re téléchargé mais voilà ce qu'il me dise quand je clique droit : Ouvrir copier coller supprimer explorer propriétés supprimer.

ep44 · Answer

double clic dessus et suis les intructions

Coline · Answer

Voilà c'est bon j'ai reussi seulement je comprends pas l'histoire du N et du R que je dois taper :s

ep44 · Answer

tu commence par taper R ensuite il va te dire si tu es infectés si il y a infection tape sur N

ensuite il te demande d'afficher le rapport A 
une fois que tu as le rapport tu le poste
@+

Coline · Answer

MSNFix 1.604  
 
C:\Documents and Settings\clem\Bureau\MSNFix\MSNFix 
Fix exécuté le 09/12/2007 - 13:52:59,05 By clem 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\log.txt 

************************  MSNCHK ***** /!\ beta test /!\


 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\log.txt  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 09122007_13541075.zip
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 


Merci pour votre aide ;)

ep44 · Answer

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec 

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
@+

Coline · Answer

Merci pour tout je m'y met

Coline · Answer

J'ai le rapport mais lorsque je le copie colle ici et que je le valide et ben ça me fait buguer internet et y'a écrit : Le programme ne répond pas. Ca fait 4 fois que j'essaie ! :s

ep44 · Answer

relance hijack et coche ceci 
ensuite clic sur fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.drsnsrch.com/sidesearch.cgi?id=
	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.drsnsrch.com/sidesearch.cgi?id=
	R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = websearch.drsnsrch.com/q.cgi?q=
	R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
	O8 - Extra context menu item: Ebates - file://C:\Documents and Settings\clem\Application Data\Ebates__MoeMoney__Maker\ebmmt\ebmmC5.htm
	O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
	O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Documents and Settings\clem\Application Data\Ebates__MoeMoney__Maker\ebmmt\ebmmC5.htm (HKCU)
	O16 - DPF: {0D0F1A7D-E9E5-11D3-BCAB-0050044976E7} (PMPDiagIE Class) - http://images.goa.com/InstGoa/PMPAx/V1021/nppmpax.cab
	O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/
	O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/
	O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproactauthmirror/internetwasherpro.cab
	O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/GoogleNav.cab
	O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - https://resources.flexera.com/web/installengine/engine/isetupml.cab
	O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
	O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fphotos.msn.fr%2fr%2fneutral%2fcontrols%2fMsnPUpld.cab%3f5%2c0%2c1730%2c0
	O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
	O16 - DPF: {DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} (NSUpdateLiteCtrl Class) - http://204.177.92.201/quickdl/proclaim/NSupd9x.cab
	O16 - DPF: {EE5CA45C-BFAC-48E6-BE6C-3C607620FF43} (IMViewerControl Class) - http://companion.logitech.com/companion/logitech/ver1.3.0.2041/bin/imvid.cab
	O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_regular_fr.cab
	O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab
	O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/
	O16 - DPF: {FC327B3F-377B-4CB7-8B61-27CD69816BC3} - http://www.clock-sync.com/ClockSyncAutoSYNC0010.cab

ensuite redémarre ton pc et 
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix,
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

garde ton rapport de sdfix de côté 
quand tu pourras essaye de le posté 
@+

Coline · Answer

je coche quoi ?

ep44 · Answer

tu coche toute les lignes que je vient de t'indiquer

Coline · Answer

mais je relance Hijack mais je le met pas en marche ? je clique juste dessus mais je coche rien je clique juste sur les liens donnés ?

ep44 · Answer

quand tu lance hijack tu à un première fenêtre avec des casses qui s'ouvre
ensuite tu as une autre fenetre qui s'appelle bloc notes (celle que tu poste)
et bien celle-ci tu la ferme et tu arrive sur la fenêtre  avec les cases  qui s'appelle( trend micro hijackthis v2.0.2)
et à partir de la tu coche les caces indiquées 
@+

Coline · Answer

J'ai reussi à faire le truc que j'arrivais pas au début.

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	17:38:09 09/12/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016393.exe -> Adware.180Solutions : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016394.dll -> Adware.180Solutions : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016409.exe -> Adware.Altnet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016436.exe -> Adware.BetterInternet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016435.exe -> Adware.BiSpy : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016388.exe -> Adware.BlazeFind : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016389.dll -> Adware.BlazeFind : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016390.exe -> Adware.BlazeFind : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016391.exe -> Adware.BlazeFind : Aucune action entreprise.
C:\WINDOWS\system32\omniband.dll -> Adware.BlazeFind : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016402.dll -> Adware.BrilliantDigital : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016403.dll -> Adware.BrilliantDigital : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016404.dll -> Adware.BrilliantDigital : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016405.exe -> Adware.BrilliantDigital : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016407.dll -> Adware.BrilliantDigital : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016408.dll -> Adware.BrilliantDigital : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016432.exe -> Adware.Clipgenie : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016427.dll -> Adware.HotBar : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016428.exe -> Adware.Hotbar : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016433.DLL -> Adware.MediaPops : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016434.DLL -> Adware.MediaPops : Aucune action entreprise.
HKU\S-1-5-21-1417001333-688789844-839522115-1005\Software\Microsoft\Internet Explorer\MenuExt\Ebates -> Adware.MoneyMaker : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016413.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016414.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016415.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016416.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016417.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016418.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016419.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016420.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016421.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016422.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016423.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016424.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016425.exe -> Adware.NewDotNet : Aucune action entreprise.
C:\Documents and Settings\clem\Menu Démarrer\Programmes\Power Scan -> Adware.PowerScan : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016387.exe -> Adware.RK : Aucune action entreprise.
C:\WINDOWS\system32\mkls.dll -> Adware.RK : Aucune action entreprise.
HKU\S-1-5-21-1417001333-688789844-839522115-1005\Software\WhenU -> Adware.SaveNow : Aucune action entreprise.
HKU\S-1-5-21-1417001333-688789844-839522115-1005\Software\WhenU\ClockSync -> Adware.SaveNow : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016429.exe -> Adware.WebRebates : Aucune action entreprise.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016430.dll -> Adware.Winfixer : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016431.dll -> Adware.Winfixer : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016381.dll -> Downloader.Dyfuca : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016384.dll -> Downloader.Dyfuca.bb : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016382.dll -> Downloader.Dyfuca.bx : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016395.exe -> Downloader.Dyfuca.da : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016396.exe -> Downloader.Dyfuca.dk : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016397.exe -> Downloader.Dyfuca.ds : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016386.dll -> Downloader.Dyfuca.dt : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016380.exe -> Downloader.Dyfuca.du : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016398.exe -> Downloader.Dyfuca.du : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016399.exe -> Downloader.Dyfuca.dx : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016392.exe -> Downloader.Dyfuca.ei : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016400.exe -> Downloader.Dyfuca.ei : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016385.exe -> Dropper.Delf.z : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016383.sys -> Rootkit.Agent.af : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@advertising[1].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@m.webtrends[1].txt -> TrackingCookie.Webtrends : Aucune action entreprise.
C:\Documents and Settings\clem\Cookies\clem@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
C:\System Volume Information\_restore{EEE955C9-D72C-4EC7-9E9C-D6A5240C6802}\RP199\A0016401.exe -> Trojan.Small.cy : Aucune action entreprise.


Fin du rapport

Coline · Answer

Je ne comprends pas je suis sur la fenetre Trend Micro HijackThis - v2.0.2 je n'arrive pas à faire ce que vous demandez : relance hijack et coche ceci 
ensuite clic sur fix checked 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.drsnsrch.com/sidesearch.cgi?id= 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.drsnsrch.com/sidesearch.cgi?id= 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = websearch.drsnsrch.com/q.cgi?q= 
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) 
O8 - Extra context menu item: Ebates - file://C:\Documents and Settings\clem\Application Data\Ebates__MoeMoney__Maker\ebmmt\ebmmC5.htm 
O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing) 
O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Documents and Settings\clem\Application Data\Ebates__MoeMoney__Maker\ebmmt\ebmmC5.htm (HKCU) 
O16 - DPF: {0D0F1A7D-E9E5-11D3-BCAB-0050044976E7} (PMPDiagIE Class) - http://images.goa.com/InstGoa/PMPAx/V1021/nppmpax.cab 
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/ 
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/ 
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproactauthmirror/internetwasherpro.cab 
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/GoogleNav.cab 
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - https://resources.flexera.com/web/installengine/engine/isetupml.cab 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab 
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fphotos.msn.fr%2fr%2fneutral%2fcontrols%2fMsnPUpld.cab%3f5%2c0%2c1730%2c0 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab 
O16 - DPF: {DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} (NSUpdateLiteCtrl Class) - http://204.177.92.201/quickdl/proclaim/NSupd9x.cab 
O16 - DPF: {EE5CA45C-BFAC-48E6-BE6C-3C607620FF43} (IMViewerControl Class) - http://companion.logitech.com/companion/logitech/ver1.3.0.2041/bin/imvid.cab 
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_regular_fr.cab 
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab 
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/ 
O16 - DPF: {FC327B3F-377B-4CB7-8B61-27CD69816BC3} - http://www.clock-sync.com/ClockSyncAutoSYNC0010.cab 

ensuite redémarre ton pc et 
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
et sauvegarde le sur ton bureau et pas ailleurs! 

Je ne comprend vraiment pas désolée :$

ep44 · Answer

pour avg très bien mais regarde ton rapport Aucune action entreprise. 

il faut effectuer le nettoyage 

pour hijack quand tu as la fenêtre Trend Micro HijackThis - v2.0.2 tu as bien des cases devant les lignes ?
et bien tu clic sur les cases pour les cocher 
@+

Coline · Answer

Nettoyage avec AVG = supprimer les fichiers infectés ou les mettre en quarantaine ?

ep44 · Answer

supprime

Coline · Answer

J'ai supprimé les fichiers contaminés je relance AVG et je posterai le rapport une fois qu'il sera fini.
Pour HijackThis lorsque je clique sur la fenêtre il n'y a pas de cases devant les lignes. Tout de suite apparait  :
What would you like to do ?
Do a system scan and save a logfile
Do a system scan only
View the list of backups 
Open the Misc Tools section
Open online hijackYhis QuickStart
[...]

Je ne vois absolument pas de petites case

ep44 · Answer

clic sur Do a system scan and save a logfile 
tu as deux fenetres qui s'ouvrent 
hijack bloc notes et trend micro hijack
les cases sont dans trend micro hijack

Svchost infecté par le virus w32.mubla

31 réponses

Discussions similaires