Infecté par trojan
Résolu
M@RISS@
Messages postés
221
Statut
Membre
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
bonsoir
j'ai fait un scan hijackthis;je pense que je suis infecté par trojan
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:55, on 13/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.comodo.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
j'ai fait un scan hijackthis;je pense que je suis infecté par trojan
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:55, on 13/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.comodo.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
A voir également:
- Infecté par trojan
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan sms-par google - Accueil - Virus
- Google Messages va mieux vous protéger des liens dangereux - Accueil - Messagerie instantanée
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan b901 system32 win config 34 ✓ - Forum Virus
12 réponses
si oui;dois-je fixer ces ligne??
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
merci d'avance pour votre aide
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
merci d'avance pour votre aide
salut en effet y a ask bar et my web search
Télécharges BTFix 1.017 (de bibi26) :
ici http://www.clubic.com/lancer-le-telechargement-52616-0-btfix.html
Déconnectes toi et fermes toute tes applications en cours.
* Décompresse l'archive sur ton Bureau (Clique-Droit/Extraire tout).
* Ouvre le dossier BTFix
* Double clique sur BTFix.exe
* Clique sur Rechercher
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse .
Tuto (aide):
https://leblogdeclaude.blogspot.com/2007/10/procdure-btfix.html
Télécharges BTFix 1.017 (de bibi26) :
ici http://www.clubic.com/lancer-le-telechargement-52616-0-btfix.html
Déconnectes toi et fermes toute tes applications en cours.
* Décompresse l'archive sur ton Bureau (Clique-Droit/Extraire tout).
* Ouvre le dossier BTFix
* Double clique sur BTFix.exe
* Clique sur Rechercher
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse .
Tuto (aide):
https://leblogdeclaude.blogspot.com/2007/10/procdure-btfix.html
slt
ahhhhhhhhhh j'ai un grand probleme j'ai perdu mon arrière-plan,que c'est-il passé???????????
et
voici le resultat du scan
BTFix 1.060 (par bibi26) - 13/06/2008 17:28:32 - Analyse
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe
---> Fichiers/Dossiers trouvés
- C:\WINDOWS\system32\f3PSSavr.scr
- C:\Program Files\MyWebSearch
- C:\Program Files\FunWebProducts
- C:\Program Files\AskSBar
- C:\Program Files\Mozilla Firefox\chrome\m3ffxtbr.manifest
- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
- C:\Program Files\Internet Explorer\msimg32.dll
---> Analyse terminée
@+
ahhhhhhhhhh j'ai un grand probleme j'ai perdu mon arrière-plan,que c'est-il passé???????????
et
voici le resultat du scan
BTFix 1.060 (par bibi26) - 13/06/2008 17:28:32 - Analyse
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe
---> Fichiers/Dossiers trouvés
- C:\WINDOWS\system32\f3PSSavr.scr
- C:\Program Files\MyWebSearch
- C:\Program Files\FunWebProducts
- C:\Program Files\AskSBar
- C:\Program Files\Mozilla Firefox\chrome\m3ffxtbr.manifest
- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
- C:\Program Files\Internet Explorer\msimg32.dll
---> Analyse terminée
@+
Démarrer en mode sans echec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)
* Ouvres le dossier BTFix
* Doubles clique sur BTFix.exe
* Cliques sur nettoyer
* Un rapport va apparaître : sauvegardes le de façon à le retrouver .
---> Redémarres ton PC ( retour mode normale )
postes le dernier rapport BTFix
ensuite :
Telecharge malwarebytes
-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
ps : les rapport sont aussi rangé dans l onglet rapport/log
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)
* Ouvres le dossier BTFix
* Doubles clique sur BTFix.exe
* Cliques sur nettoyer
* Un rapport va apparaître : sauvegardes le de façon à le retrouver .
---> Redémarres ton PC ( retour mode normale )
postes le dernier rapport BTFix
ensuite :
Telecharge malwarebytes
-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
ps : les rapport sont aussi rangé dans l onglet rapport/log
bonsoir
ça y est je suis de retour!j'étais un peu occupée
voici le rapport BTFix
BTFix 1.060 (par bibi26) - 15/06/2008 19:18:08 - Nettoyage - Mode sans échec
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe
---> Fichiers/dossiers supprimés
- Fichiers temporaires effacés
- C:\WINDOWS\system32\f3PSSavr.scr
- C:\Program Files\MyWebSearch
- C:\Program Files\FunWebProducts
- C:\Program Files\AskSBar
- C:\Program Files\Mozilla Firefox\chrome\m3ffxtbr.manifest
- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
- C:\Program Files\Internet Explorer\msimg32.dll
---> Nettoyage terminé
@
++
ça y est je suis de retour!j'étais un peu occupée
voici le rapport BTFix
BTFix 1.060 (par bibi26) - 15/06/2008 19:18:08 - Nettoyage - Mode sans échec
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe
---> Fichiers/dossiers supprimés
- Fichiers temporaires effacés
- C:\WINDOWS\system32\f3PSSavr.scr
- C:\Program Files\MyWebSearch
- C:\Program Files\FunWebProducts
- C:\Program Files\AskSBar
- C:\Program Files\Mozilla Firefox\chrome\m3ffxtbr.manifest
- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
- C:\Program Files\Internet Explorer\msimg32.dll
---> Nettoyage terminé
@
++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le rapport:
Malwarebytes' Anti-Malware 1.17
Version de la base de données: 857
20:07:53 15/06/2008
mbam-log-6-15-2008 (20-07-53).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|H:\|)
Eléments examinés: 66592
Temps écoulé: 17 minute(s), 55 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP40\A0015121.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0017927.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018083.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018098.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018100.SCR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018133.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.17
Version de la base de données: 857
20:07:53 15/06/2008
mbam-log-6-15-2008 (20-07-53).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|H:\|)
Eléments examinés: 66592
Temps écoulé: 17 minute(s), 55 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP40\A0015121.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0017927.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018083.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018098.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018100.SCR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018133.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
réouvre malewarebyte
va sur quarantaine
supprime tout
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
va sur quarantaine
supprime tout
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
voici le resultat:
ComboFix 08-06-12.2 - Administrateur 2008-06-15 21:04:13.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.27 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Administrateur\Application Data\FunWebProducts
C:\Documents and Settings\Administrateur\Application Data\FunWebProducts\Data\Administrateur\avatar.dat
C:\Documents and Settings\Administrateur\Application Data\FunWebProducts\Data\Administrateur\register.dat
C:\install\install.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-15 to 2008-06-15 ))))))))))))))))))))))))))))))))))))
.
2008-06-15 19:41 . 2008-06-15 19:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-15 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-15 19:39 . 2008-06-15 19:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 19:39 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 18:30 . 2008-06-13 12:15 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll
2008-06-13 18:21 . 2008-06-13 12:14 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-06-13 18:21 . 2008-06-13 18:20 143,104 --a------ C:\WINDOWS\system32\guard32(2)(2).dll
2008-06-13 17:38 . 2008-06-13 17:38 <REP> d--hs---- C:\FOUND.001
2008-06-13 15:25 . 2008-06-13 15:25 <REP> d-------- C:\Program Files\Trend Micro
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Program Files\COMODO
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\comodo
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Comodo
2008-06-13 12:14 . 2008-06-13 12:14 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-06-13 12:14 . 2008-06-13 12:14 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-06-13 02:31 . 2008-06-13 02:31 <REP> d--hs---- C:\FOUND.000
2008-06-12 12:20 . 2008-06-12 12:20 <REP> d-------- C:\Program Files\Foxit Software
2008-06-10 11:04 . 2008-06-10 11:04 <REP> d-------- C:\Program Files\Avira
2008-06-10 08:46 . 2008-06-10 08:46 <REP> d-------- C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
2008-06-10 08:46 . 2008-06-10 08:46 203,264 --a------ C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
2008-06-09 22:06 . 2008-06-09 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2008-06-09 21:39 . 2008-06-09 21:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-09 20:31 . 2008-06-09 20:31 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData
2008-06-06 20:43 . 2008-06-06 20:43 <REP> dr-h----- C:\$VAULT$.AVG
2008-06-06 20:29 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-04 17:40 . 1997-12-17 19:33 304,128 --a------ C:\WINDOWS\IsUninst.exe
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\houari-dauphin
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\Conduit
2008-05-28 14:23 . 2008-05-28 14:23 <REP> d-------- C:\Program Files\Mattel Interactive
2008-05-23 10:22 . 2003-05-20 19:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-05-23 10:22 . 2000-06-06 18:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-05-23 10:17 . 2008-05-23 10:22 16,785 --a------ C:\WINDOWS\EPSTPLOG.BAK
2008-05-23 09:30 . 2008-06-13 11:12 385 --a------ C:\WINDOWS\ODBC.INI
2008-05-23 09:29 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-23 09:24 . 2008-05-23 09:24 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-05-22 14:03 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-05-22 13:38 . 2008-05-22 13:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Yahoo!
2008-05-21 12:44 . 2008-05-21 12:44 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-05-20 13:46 . 2008-05-20 13:46 1,160 --a------ C:\WINDOWS\mozver.dat
2008-05-20 08:35 . 2008-05-20 08:35 <REP> d-------- C:\Program Files\SpywareGuard
2008-05-20 08:29 . 2008-05-20 08:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-05-20 08:28 . 2003-07-02 01:00 131,072 -ra------ C:\WINDOWS\system32\Epcmlib.dll
2008-05-20 08:26 . 2003-09-25 18:12 76,045 --------- C:\WINDOWS\system32\EBPMON24.DLL
2008-05-20 08:26 . 2003-07-16 06:14 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-05-20 08:26 . 2001-09-03 19:04 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-20 08:24 . 2008-05-20 08:24 <REP> d-------- C:\Program Files\EPSON
2008-05-20 08:23 . 2008-05-20 08:23 25 --a------ C:\WINDOWS\CDEC66SeriesEuro.ini
2008-05-20 00:26 . 2008-05-20 00:26 48 --a------ C:\WINDOWS\HELP.INI
2008-05-20 00:24 . 2008-05-20 00:24 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-05-19 22:18 . 2008-06-10 19:11 1,632 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-05-19 21:37 . 2008-05-19 21:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-19 19:22 . 2008-05-19 19:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\COWON
2008-05-19 18:18 . 2008-05-19 18:18 <REP> d--hs---- C:\Recycled
2008-05-19 16:35 . 2008-05-19 16:35 <REP> d-------- C:\Program Files\Yahoo!
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Google
2008-05-19 16:17 . 2001-08-24 16:00 103,424 --a------ C:\WINDOWS\system32\dllcache\eqnclass.dll
2008-05-19 16:17 . 2001-08-24 16:00 86,044 --a------ C:\WINDOWS\system32\dllcache\dgsetup.dll
2008-05-19 16:17 . 2004-08-04 02:54 8,704 --a------ C:\WINDOWS\system32\dllcache\batt.dll
2008-05-19 16:14 . 2008-05-19 16:14 <REP> d-------- C:\Program Files\Webshots
2008-05-19 16:14 . 2003-10-30 13:51 1,957,888 --a------ C:\WINDOWS\webshots.scr
2008-05-19 16:14 . 2008-06-15 20:52 1,440,054 --a------ C:\WINDOWS\Webshots for Administrateur.bmp
2008-05-19 16:14 . 2003-10-30 13:50 32,768 --a------ C:\WINDOWS\system32\WSVersionATX.ocx
2008-05-19 16:10 . 2008-05-19 16:10 <REP> d-------- C:\Program Files\LifeGlobe
2008-05-19 16:02 . 2008-05-19 16:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-05-19 16:02 . 2008-05-19 16:02 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-05-19 16:01 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\JetAudio
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\Fichiers communs\COWON
2008-05-19 15:59 . 2008-05-19 15:59 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 12:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-19 12:28 --------- d-----w C:\Program Files\Services en ligne
.
------- Sigcheck -------
2004-08-18 09:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys
2004-08-22 22:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\ypager.exe" [2005-08-19 19:34 3084288]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:32 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:31 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"MyWebSearch Plugin"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL" [ ]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"COMODO SafeSurf"="C:\Program Files\COMODO\SafeSurf\cssurf.exe" [2008-06-13 12:15 278264]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-06-13 12:14 1655552]
C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Webshots.lnk - C:\Program Files\Webshots\Launcher.exe [2008-05-19 16:14:12 45056]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-06-13 12:14]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-06-13 12:14]
R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-17 20:51]
S2 MyWebSearchService;My Web Search Service;C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 21:06:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cachés ...
Balayage caché autostart entries ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus C66 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"???????/????(??=????????????????h?wZ???????????????`?V???V??????????????h?w??V?`?V?????;???8???????????-??w??V?`?V????????w`?V???V?????)??|???????
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\guard32.dll
.
Temps d'accomplissement: 2008-06-15 21:07:43
ComboFix-quarantined-files.txt 2008-06-15 19:07:38
Pre-Run: 1,275,449,344 octets libres
Post-Run: 1,353,179,136 octets libres
167
merci bcp
ComboFix 08-06-12.2 - Administrateur 2008-06-15 21:04:13.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.27 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Administrateur\Application Data\FunWebProducts
C:\Documents and Settings\Administrateur\Application Data\FunWebProducts\Data\Administrateur\avatar.dat
C:\Documents and Settings\Administrateur\Application Data\FunWebProducts\Data\Administrateur\register.dat
C:\install\install.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-15 to 2008-06-15 ))))))))))))))))))))))))))))))))))))
.
2008-06-15 19:41 . 2008-06-15 19:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-15 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-15 19:39 . 2008-06-15 19:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 19:39 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 18:30 . 2008-06-13 12:15 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll
2008-06-13 18:21 . 2008-06-13 12:14 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-06-13 18:21 . 2008-06-13 18:20 143,104 --a------ C:\WINDOWS\system32\guard32(2)(2).dll
2008-06-13 17:38 . 2008-06-13 17:38 <REP> d--hs---- C:\FOUND.001
2008-06-13 15:25 . 2008-06-13 15:25 <REP> d-------- C:\Program Files\Trend Micro
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Program Files\COMODO
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\comodo
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Comodo
2008-06-13 12:14 . 2008-06-13 12:14 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-06-13 12:14 . 2008-06-13 12:14 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-06-13 02:31 . 2008-06-13 02:31 <REP> d--hs---- C:\FOUND.000
2008-06-12 12:20 . 2008-06-12 12:20 <REP> d-------- C:\Program Files\Foxit Software
2008-06-10 11:04 . 2008-06-10 11:04 <REP> d-------- C:\Program Files\Avira
2008-06-10 08:46 . 2008-06-10 08:46 <REP> d-------- C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
2008-06-10 08:46 . 2008-06-10 08:46 203,264 --a------ C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
2008-06-09 22:06 . 2008-06-09 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2008-06-09 21:39 . 2008-06-09 21:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-09 20:31 . 2008-06-09 20:31 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData
2008-06-06 20:43 . 2008-06-06 20:43 <REP> dr-h----- C:\$VAULT$.AVG
2008-06-06 20:29 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-04 17:40 . 1997-12-17 19:33 304,128 --a------ C:\WINDOWS\IsUninst.exe
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\houari-dauphin
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\Conduit
2008-05-28 14:23 . 2008-05-28 14:23 <REP> d-------- C:\Program Files\Mattel Interactive
2008-05-23 10:22 . 2003-05-20 19:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-05-23 10:22 . 2000-06-06 18:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-05-23 10:17 . 2008-05-23 10:22 16,785 --a------ C:\WINDOWS\EPSTPLOG.BAK
2008-05-23 09:30 . 2008-06-13 11:12 385 --a------ C:\WINDOWS\ODBC.INI
2008-05-23 09:29 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-23 09:24 . 2008-05-23 09:24 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-05-22 14:03 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-05-22 13:38 . 2008-05-22 13:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Yahoo!
2008-05-21 12:44 . 2008-05-21 12:44 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-05-20 13:46 . 2008-05-20 13:46 1,160 --a------ C:\WINDOWS\mozver.dat
2008-05-20 08:35 . 2008-05-20 08:35 <REP> d-------- C:\Program Files\SpywareGuard
2008-05-20 08:29 . 2008-05-20 08:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-05-20 08:28 . 2003-07-02 01:00 131,072 -ra------ C:\WINDOWS\system32\Epcmlib.dll
2008-05-20 08:26 . 2003-09-25 18:12 76,045 --------- C:\WINDOWS\system32\EBPMON24.DLL
2008-05-20 08:26 . 2003-07-16 06:14 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-05-20 08:26 . 2001-09-03 19:04 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-20 08:24 . 2008-05-20 08:24 <REP> d-------- C:\Program Files\EPSON
2008-05-20 08:23 . 2008-05-20 08:23 25 --a------ C:\WINDOWS\CDEC66SeriesEuro.ini
2008-05-20 00:26 . 2008-05-20 00:26 48 --a------ C:\WINDOWS\HELP.INI
2008-05-20 00:24 . 2008-05-20 00:24 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-05-19 22:18 . 2008-06-10 19:11 1,632 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-05-19 21:37 . 2008-05-19 21:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-19 19:22 . 2008-05-19 19:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\COWON
2008-05-19 18:18 . 2008-05-19 18:18 <REP> d--hs---- C:\Recycled
2008-05-19 16:35 . 2008-05-19 16:35 <REP> d-------- C:\Program Files\Yahoo!
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Google
2008-05-19 16:17 . 2001-08-24 16:00 103,424 --a------ C:\WINDOWS\system32\dllcache\eqnclass.dll
2008-05-19 16:17 . 2001-08-24 16:00 86,044 --a------ C:\WINDOWS\system32\dllcache\dgsetup.dll
2008-05-19 16:17 . 2004-08-04 02:54 8,704 --a------ C:\WINDOWS\system32\dllcache\batt.dll
2008-05-19 16:14 . 2008-05-19 16:14 <REP> d-------- C:\Program Files\Webshots
2008-05-19 16:14 . 2003-10-30 13:51 1,957,888 --a------ C:\WINDOWS\webshots.scr
2008-05-19 16:14 . 2008-06-15 20:52 1,440,054 --a------ C:\WINDOWS\Webshots for Administrateur.bmp
2008-05-19 16:14 . 2003-10-30 13:50 32,768 --a------ C:\WINDOWS\system32\WSVersionATX.ocx
2008-05-19 16:10 . 2008-05-19 16:10 <REP> d-------- C:\Program Files\LifeGlobe
2008-05-19 16:02 . 2008-05-19 16:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-05-19 16:02 . 2008-05-19 16:02 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-05-19 16:01 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\JetAudio
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\Fichiers communs\COWON
2008-05-19 15:59 . 2008-05-19 15:59 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 12:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-19 12:28 --------- d-----w C:\Program Files\Services en ligne
.
------- Sigcheck -------
2004-08-18 09:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys
2004-08-22 22:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\ypager.exe" [2005-08-19 19:34 3084288]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:32 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:31 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"MyWebSearch Plugin"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL" [ ]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"COMODO SafeSurf"="C:\Program Files\COMODO\SafeSurf\cssurf.exe" [2008-06-13 12:15 278264]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-06-13 12:14 1655552]
C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Webshots.lnk - C:\Program Files\Webshots\Launcher.exe [2008-05-19 16:14:12 45056]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-06-13 12:14]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-06-13 12:14]
R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-17 20:51]
S2 MyWebSearchService;My Web Search Service;C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 21:06:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cachés ...
Balayage caché autostart entries ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus C66 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"???????/????(??=????????????????h?wZ???????????????`?V???V??????????????h?w??V?`?V?????;???8???????????-??w??V?`?V????????w`?V???V?????)??|???????
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\guard32.dll
.
Temps d'accomplissement: 2008-06-15 21:07:43
ComboFix-quarantined-files.txt 2008-06-15 19:07:38
Pre-Run: 1,275,449,344 octets libres
Post-Run: 1,353,179,136 octets libres
167
merci bcp
voila le log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40, on 15/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\webshots.scr
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40, on 15/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\webshots.scr
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
Copie le texte ci-dessous :
File::
C:\WINDOWS\system32\cssdll32.dll
C:\FOUND.001
C:\FOUND.000
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
C:\$VAULT$.AVG
C:\WINDOWS\IsUn040c.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL
Folder::
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MyWebSearch Plugin"=-
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
File::
C:\WINDOWS\system32\cssdll32.dll
C:\FOUND.001
C:\FOUND.000
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
C:\$VAULT$.AVG
C:\WINDOWS\IsUn040c.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL
Folder::
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MyWebSearch Plugin"=-
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
resultat du scan COMBOFIX
ComboFix 08-06-12.2 - Administrateur 2008-06-15 22:06:09.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.16 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Mes documents\Mes images\CFScript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\$VAULT$.AVG
C:\FOUND.000
C:\FOUND.001
C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL
C:\WINDOWS\IsUn040c.exe
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
C:\WINDOWS\system32\cssdll32.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\IsUn040c.exe
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\B7_S1.swf
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\expire.scf
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\ping.txt
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver.dat
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver1.dll
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver2.dll
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
C:\WINDOWS\system32\cssdll32.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-15 to 2008-06-15 ))))))))))))))))))))))))))))))))))))
.
2008-06-15 19:41 . 2008-06-15 19:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-15 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-15 19:39 . 2008-06-15 19:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 19:39 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 18:21 . 2008-06-13 12:14 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-06-13 18:21 . 2008-06-13 18:20 143,104 --a------ C:\WINDOWS\system32\guard32(2)(2).dll
2008-06-13 17:38 . 2008-06-13 17:38 <REP> d--hs---- C:\FOUND.001
2008-06-13 15:25 . 2008-06-13 15:25 <REP> d-------- C:\Program Files\Trend Micro
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Program Files\COMODO
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\comodo
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Comodo
2008-06-13 12:14 . 2008-06-13 12:14 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-06-13 12:14 . 2008-06-13 12:14 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-06-13 02:31 . 2008-06-13 02:31 <REP> d--hs---- C:\FOUND.000
2008-06-12 12:20 . 2008-06-12 12:20 <REP> d-------- C:\Program Files\Foxit Software
2008-06-10 11:04 . 2008-06-10 11:04 <REP> d-------- C:\Program Files\Avira
2008-06-09 22:06 . 2008-06-09 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2008-06-09 21:39 . 2008-06-09 21:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-09 20:31 . 2008-06-09 20:31 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData
2008-06-06 20:43 . 2008-06-06 20:43 <REP> dr-h----- C:\$VAULT$.AVG
2008-06-06 20:29 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-04 17:40 . 1997-12-17 19:33 304,128 --a------ C:\WINDOWS\IsUninst.exe
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\houari-dauphin
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\Conduit
2008-05-28 14:23 . 2008-05-28 14:23 <REP> d-------- C:\Program Files\Mattel Interactive
2008-05-23 10:22 . 2003-05-20 19:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-05-23 10:22 . 2000-06-06 18:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-05-23 10:17 . 2008-05-23 10:22 16,785 --a------ C:\WINDOWS\EPSTPLOG.BAK
2008-05-23 09:30 . 2008-06-13 11:12 385 --a------ C:\WINDOWS\ODBC.INI
2008-05-23 09:29 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-23 09:24 . 2008-05-23 09:24 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-05-22 13:38 . 2008-05-22 13:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Yahoo!
2008-05-21 12:44 . 2008-05-21 12:44 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-05-20 13:46 . 2008-05-20 13:46 1,160 --a------ C:\WINDOWS\mozver.dat
2008-05-20 08:35 . 2008-05-20 08:35 <REP> d-------- C:\Program Files\SpywareGuard
2008-05-20 08:29 . 2008-05-20 08:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-05-20 08:28 . 2003-07-02 01:00 131,072 -ra------ C:\WINDOWS\system32\Epcmlib.dll
2008-05-20 08:26 . 2003-09-25 18:12 76,045 --------- C:\WINDOWS\system32\EBPMON24.DLL
2008-05-20 08:26 . 2003-07-16 06:14 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-05-20 08:26 . 2001-09-03 19:04 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-20 08:24 . 2008-05-20 08:24 <REP> d-------- C:\Program Files\EPSON
2008-05-20 08:23 . 2008-05-20 08:23 25 --a------ C:\WINDOWS\CDEC66SeriesEuro.ini
2008-05-20 00:26 . 2008-05-20 00:26 48 --a------ C:\WINDOWS\HELP.INI
2008-05-20 00:24 . 2008-05-20 00:24 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-05-19 22:18 . 2008-06-10 19:11 1,632 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-05-19 21:37 . 2008-05-19 21:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-19 19:22 . 2008-05-19 19:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\COWON
2008-05-19 18:18 . 2008-05-19 18:18 <REP> d--hs---- C:\Recycled
2008-05-19 16:35 . 2008-05-19 16:35 <REP> d-------- C:\Program Files\Yahoo!
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Google
2008-05-19 16:17 . 2001-08-24 16:00 103,424 --a------ C:\WINDOWS\system32\dllcache\eqnclass.dll
2008-05-19 16:17 . 2001-08-24 16:00 86,044 --a------ C:\WINDOWS\system32\dllcache\dgsetup.dll
2008-05-19 16:17 . 2004-08-04 02:54 8,704 --a------ C:\WINDOWS\system32\dllcache\batt.dll
2008-05-19 16:14 . 2008-05-19 16:14 <REP> d-------- C:\Program Files\Webshots
2008-05-19 16:14 . 2003-10-30 13:51 1,957,888 --a------ C:\WINDOWS\webshots.scr
2008-05-19 16:14 . 2008-06-15 21:53 1,440,054 --a------ C:\WINDOWS\Webshots for Administrateur.bmp
2008-05-19 16:14 . 2003-10-30 13:50 32,768 --a------ C:\WINDOWS\system32\WSVersionATX.ocx
2008-05-19 16:10 . 2008-05-19 16:10 <REP> d-------- C:\Program Files\LifeGlobe
2008-05-19 16:02 . 2008-05-19 16:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-05-19 16:02 . 2008-05-19 16:02 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-05-19 16:01 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\JetAudio
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\Fichiers communs\COWON
2008-05-19 15:59 . 2008-05-19 15:59 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 12:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-19 12:28 --------- d-----w C:\Program Files\Services en ligne
.
------- Sigcheck -------
2004-08-18 09:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys
2004-08-22 22:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-15_21.07.15,03 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-15 18:10:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-15 20:11:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\ypager.exe" [2005-08-19 19:34 3084288]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:32 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:31 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"COMODO SafeSurf"="C:\Program Files\COMODO\SafeSurf\cssurf.exe" [2008-06-13 12:15 278264]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-06-13 12:14 1655552]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-06-13 12:14]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-06-13 12:14]
R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-17 20:51]
S2 MyWebSearchService;My Web Search Service;C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 22:11:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\WINDOWS\webshots.scr
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-15 22:17:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-15 20:17:30
ComboFix2.txt 2008-06-15 19:07:46
Pre-Run: 1,637,584,896 octets libres
Post-Run: 1,626,353,664 octets libres
181
LOG HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:22, on 15/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
RE merci pour votre tolerance
ComboFix 08-06-12.2 - Administrateur 2008-06-15 22:06:09.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.16 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Mes documents\Mes images\CFScript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\$VAULT$.AVG
C:\FOUND.000
C:\FOUND.001
C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL
C:\WINDOWS\IsUn040c.exe
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
C:\WINDOWS\system32\cssdll32.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\IsUn040c.exe
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\B7_S1.swf
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\expire.scf
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\ping.txt
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver.dat
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver1.dll
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver2.dll
C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
C:\WINDOWS\system32\cssdll32.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-15 to 2008-06-15 ))))))))))))))))))))))))))))))))))))
.
2008-06-15 19:41 . 2008-06-15 19:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-15 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-15 19:40 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-15 19:39 . 2008-06-15 19:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 19:39 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 18:21 . 2008-06-13 12:14 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-06-13 18:21 . 2008-06-13 18:20 143,104 --a------ C:\WINDOWS\system32\guard32(2)(2).dll
2008-06-13 17:38 . 2008-06-13 17:38 <REP> d--hs---- C:\FOUND.001
2008-06-13 15:25 . 2008-06-13 15:25 <REP> d-------- C:\Program Files\Trend Micro
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Program Files\COMODO
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\comodo
2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Comodo
2008-06-13 12:14 . 2008-06-13 12:14 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-06-13 12:14 . 2008-06-13 12:14 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-06-13 02:31 . 2008-06-13 02:31 <REP> d--hs---- C:\FOUND.000
2008-06-12 12:20 . 2008-06-12 12:20 <REP> d-------- C:\Program Files\Foxit Software
2008-06-10 11:04 . 2008-06-10 11:04 <REP> d-------- C:\Program Files\Avira
2008-06-09 22:06 . 2008-06-09 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2008-06-09 21:39 . 2008-06-09 21:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-09 20:31 . 2008-06-09 20:31 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData
2008-06-06 20:43 . 2008-06-06 20:43 <REP> dr-h----- C:\$VAULT$.AVG
2008-06-06 20:29 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-04 17:40 . 1997-12-17 19:33 304,128 --a------ C:\WINDOWS\IsUninst.exe
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\houari-dauphin
2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\Conduit
2008-05-28 14:23 . 2008-05-28 14:23 <REP> d-------- C:\Program Files\Mattel Interactive
2008-05-23 10:22 . 2003-05-20 19:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-05-23 10:22 . 2000-06-06 18:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-05-23 10:17 . 2008-05-23 10:22 16,785 --a------ C:\WINDOWS\EPSTPLOG.BAK
2008-05-23 09:30 . 2008-06-13 11:12 385 --a------ C:\WINDOWS\ODBC.INI
2008-05-23 09:29 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-23 09:24 . 2008-05-23 09:24 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-05-22 13:38 . 2008-05-22 13:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Yahoo!
2008-05-21 12:44 . 2008-05-21 12:44 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-05-20 13:46 . 2008-05-20 13:46 1,160 --a------ C:\WINDOWS\mozver.dat
2008-05-20 08:35 . 2008-05-20 08:35 <REP> d-------- C:\Program Files\SpywareGuard
2008-05-20 08:29 . 2008-05-20 08:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-05-20 08:28 . 2003-07-02 01:00 131,072 -ra------ C:\WINDOWS\system32\Epcmlib.dll
2008-05-20 08:26 . 2003-09-25 18:12 76,045 --------- C:\WINDOWS\system32\EBPMON24.DLL
2008-05-20 08:26 . 2003-07-16 06:14 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-05-20 08:26 . 2001-09-03 19:04 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-20 08:24 . 2008-05-20 08:24 <REP> d-------- C:\Program Files\EPSON
2008-05-20 08:23 . 2008-05-20 08:23 25 --a------ C:\WINDOWS\CDEC66SeriesEuro.ini
2008-05-20 00:26 . 2008-05-20 00:26 48 --a------ C:\WINDOWS\HELP.INI
2008-05-20 00:24 . 2008-05-20 00:24 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-05-19 22:18 . 2008-06-10 19:11 1,632 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-05-19 21:37 . 2008-05-19 21:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-19 19:22 . 2008-05-19 19:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\COWON
2008-05-19 18:18 . 2008-05-19 18:18 <REP> d--hs---- C:\Recycled
2008-05-19 16:35 . 2008-05-19 16:35 <REP> d-------- C:\Program Files\Yahoo!
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Skype
2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Google
2008-05-19 16:17 . 2001-08-24 16:00 103,424 --a------ C:\WINDOWS\system32\dllcache\eqnclass.dll
2008-05-19 16:17 . 2001-08-24 16:00 86,044 --a------ C:\WINDOWS\system32\dllcache\dgsetup.dll
2008-05-19 16:17 . 2004-08-04 02:54 8,704 --a------ C:\WINDOWS\system32\dllcache\batt.dll
2008-05-19 16:14 . 2008-05-19 16:14 <REP> d-------- C:\Program Files\Webshots
2008-05-19 16:14 . 2003-10-30 13:51 1,957,888 --a------ C:\WINDOWS\webshots.scr
2008-05-19 16:14 . 2008-06-15 21:53 1,440,054 --a------ C:\WINDOWS\Webshots for Administrateur.bmp
2008-05-19 16:14 . 2003-10-30 13:50 32,768 --a------ C:\WINDOWS\system32\WSVersionATX.ocx
2008-05-19 16:10 . 2008-05-19 16:10 <REP> d-------- C:\Program Files\LifeGlobe
2008-05-19 16:02 . 2008-05-19 16:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-05-19 16:02 . 2008-05-19 16:02 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-05-19 16:01 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\JetAudio
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\Fichiers communs\COWON
2008-05-19 15:59 . 2008-05-19 15:59 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 12:32 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-19 12:28 --------- d-----w C:\Program Files\Services en ligne
.
------- Sigcheck -------
2004-08-18 09:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys
2004-08-22 22:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-15_21.07.15,03 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-15 18:10:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-15 20:11:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\ypager.exe" [2005-08-19 19:34 3084288]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:32 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:31 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"COMODO SafeSurf"="C:\Program Files\COMODO\SafeSurf\cssurf.exe" [2008-06-13 12:15 278264]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-06-13 12:14 1655552]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-06-13 12:14]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-06-13 12:14]
R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-17 20:51]
S2 MyWebSearchService;My Web Search Service;C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 22:11:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\WINDOWS\webshots.scr
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-15 22:17:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-15 20:17:30
ComboFix2.txt 2008-06-15 19:07:46
Pre-Run: 1,637,584,896 octets libres
Post-Run: 1,626,353,664 octets libres
181
LOG HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:22, on 15/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
RE merci pour votre tolerance
de rien
on termine fais ceci :
Démarrer > executer > ' services.msc ' ,
- Clic droit sur le service cité - My Web Search Service
- propriétés
- et dans "type de démarrage" et mets le sur « désactivé ».
- Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté »
Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html
ensuite :
-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
-> L´installer.
-> Une fois installé et lancé :
Dans la colonne de gauche, click sur :
->"registre" :
Coches toutes les cases sous"l´integrité du registre", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.
ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.
->"nettoyeur"
quitte ton navigateur avant de le lancer, dans les propriétés du nettoyeur de l´onglet "windows" et "applications"décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.
-> Tutoriel en image :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
-> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et pour finir :
* pour supprimer les outils/fix utilisés :
Télécharge ToolsCleaner sur ton bureau.
-->
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
on termine fais ceci :
Démarrer > executer > ' services.msc ' ,
- Clic droit sur le service cité - My Web Search Service
- propriétés
- et dans "type de démarrage" et mets le sur « désactivé ».
- Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté »
Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html
ensuite :
-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
-> L´installer.
-> Une fois installé et lancé :
Dans la colonne de gauche, click sur :
->"registre" :
Coches toutes les cases sous"l´integrité du registre", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.
ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.
->"nettoyeur"
quitte ton navigateur avant de le lancer, dans les propriétés du nettoyeur de l´onglet "windows" et "applications"décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.
-> Tutoriel en image :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
-> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et pour finir :
* pour supprimer les outils/fix utilisés :
Télécharge ToolsCleaner sur ton bureau.
-->
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
et maintenant qu'on pense tu? c'est bon?
-->- Recherche:
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Btfix: trouvé !
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe: supprimé !
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Btfix: supprimé !
-->- Recherche:
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Btfix: trouvé !
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe: supprimé !
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Btfix: supprimé !
pas forcement les memes etapes mais malewarebyte est inevitable
d ailleurs garde le et fais des scan de temps en temps
ciao @++
d ailleurs garde le et fais des scan de temps en temps
ciao @++
Salut Chiquitine29,
1)- Ceci:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe
C'est une infection de sa clé USB, non ?
2)- Avais-tu pu collecter une information sur ce DLL en O20 :
C:\WINDOWS\system32\cssdll32.dll ?
Merci à toi
Al.
1)- Ceci:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe
C'est une infection de sa clé USB, non ?
2)- Avais-tu pu collecter une information sur ce DLL en O20 :
C:\WINDOWS\system32\cssdll32.dll ?
Merci à toi
Al.
