Infecté par trojan

Résolu
M@RISS@ Messages postés 221 Statut Membre -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
bonsoir
j'ai fait un scan hijackthis;je pense que je suis infecté par trojan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:55, on 13/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.comodo.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe

--
End of file - 5983 bytes

--
Le vrai sage est celui qui apprend de tout le monde

12 réponses

  1. M@RISS@ Messages postés 221 Statut Membre 2
     
    si oui;dois-je fixer ces ligne??

    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
    R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
    O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

    merci d'avance pour votre aide
    0
  2. Utilisateur anonyme
     
    salut en effet y a ask bar et my web search

    Télécharges BTFix 1.017 (de bibi26) :
    ici http://www.clubic.com/lancer-le-telechargement-52616-0-btfix.html

    Déconnectes toi et fermes toute tes applications en cours.

    * Décompresse l'archive sur ton Bureau (Clique-Droit/Extraire tout).
    * Ouvre le dossier BTFix
    * Double clique sur BTFix.exe
    * Clique sur Rechercher
    * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse .

    Tuto (aide):
    https://leblogdeclaude.blogspot.com/2007/10/procdure-btfix.html

    0
  3. Utilisateur anonyme
     
    ne fixe rien pour le moment
    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      slt
      ahhhhhhhhhh j'ai un grand probleme j'ai perdu mon arrière-plan,que c'est-il passé???????????

      et
      voici le resultat du scan

      BTFix 1.060 (par bibi26) - 13/06/2008 17:28:32 - Analyse
      Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe

      ---> Fichiers/Dossiers trouvés

      - C:\WINDOWS\system32\f3PSSavr.scr
      - C:\Program Files\MyWebSearch
      - C:\Program Files\FunWebProducts
      - C:\Program Files\AskSBar
      - C:\Program Files\Mozilla Firefox\chrome\m3ffxtbr.manifest
      - C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
      - C:\Program Files\Internet Explorer\msimg32.dll

      ---> Analyse terminée
      @+
      0
  4. Utilisateur anonyme
     
    Démarrer en mode sans echec :
    Comment aller en Mode sans échec
    1) Redémarres ton ordi
    2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
    (attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)

    * Ouvres le dossier BTFix
    * Doubles clique sur BTFix.exe
    * Cliques sur nettoyer
    * Un rapport va apparaître : sauvegardes le de façon à le retrouver .

    ---> Redémarres ton PC ( retour mode normale )
    postes le dernier rapport BTFix

    ensuite :

    Telecharge malwarebytes

    -> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    ps : les rapport sont aussi rangé dans l onglet rapport/log
    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      bonsoir
      ça y est je suis de retour!j'étais un peu occupée

      voici le rapport BTFix

      BTFix 1.060 (par bibi26) - 15/06/2008 19:18:08 - Nettoyage - Mode sans échec
      Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe

      ---> Fichiers/dossiers supprimés

      - Fichiers temporaires effacés
      - C:\WINDOWS\system32\f3PSSavr.scr
      - C:\Program Files\MyWebSearch
      - C:\Program Files\FunWebProducts
      - C:\Program Files\AskSBar
      - C:\Program Files\Mozilla Firefox\chrome\m3ffxtbr.manifest
      - C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
      - C:\Program Files\Internet Explorer\msimg32.dll

      ---> Nettoyage terminé
      @
      ++
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    ok pas de soucis passe a malewarebyte maintenant
    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      voici le rapport:

      Malwarebytes' Anti-Malware 1.17
      Version de la base de données: 857

      20:07:53 15/06/2008
      mbam-log-6-15-2008 (20-07-53).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|F:\|H:\|)
      Eléments examinés: 66592
      Temps écoulé: 17 minute(s), 55 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 12
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 6

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP40\A0015121.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0017927.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018083.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018098.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018100.SCR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{0530A790-267A-4235-B481-3E2A5F7E0315}\RP42\A0018133.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      0
  7. Utilisateur anonyme
     
    réouvre malewarebyte
    va sur quarantaine
    supprime tout

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      voici le resultat:

      ComboFix 08-06-12.2 - Administrateur 2008-06-15 21:04:13.1 - [color=red][b]FAT32[/b][/color]x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.27 [GMT 2:00]
      Endroit: C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Documents and Settings\Administrateur\Application Data\FunWebProducts
      C:\Documents and Settings\Administrateur\Application Data\FunWebProducts\Data\Administrateur\avatar.dat
      C:\Documents and Settings\Administrateur\Application Data\FunWebProducts\Data\Administrateur\register.dat
      C:\install\install.exe

      .
      ((((((((((((((((((((((((((((( Fichiers créés 2008-05-15 to 2008-06-15 ))))))))))))))))))))))))))))))))))))
      .

      2008-06-15 19:41 . 2008-06-15 19:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
      2008-06-15 19:40 . 2008-06-15 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2008-06-15 19:40 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
      2008-06-15 19:39 . 2008-06-15 19:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-06-15 19:39 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
      2008-06-13 18:30 . 2008-06-13 12:15 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll
      2008-06-13 18:21 . 2008-06-13 12:14 143,104 --a------ C:\WINDOWS\system32\guard32.dll
      2008-06-13 18:21 . 2008-06-13 18:20 143,104 --a------ C:\WINDOWS\system32\guard32(2)(2).dll
      2008-06-13 17:38 . 2008-06-13 17:38 <REP> d--hs---- C:\FOUND.001
      2008-06-13 15:25 . 2008-06-13 15:25 <REP> d-------- C:\Program Files\Trend Micro
      2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Program Files\COMODO
      2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\comodo
      2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Comodo
      2008-06-13 12:14 . 2008-06-13 12:14 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
      2008-06-13 12:14 . 2008-06-13 12:14 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
      2008-06-13 02:31 . 2008-06-13 02:31 <REP> d--hs---- C:\FOUND.000
      2008-06-12 12:20 . 2008-06-12 12:20 <REP> d-------- C:\Program Files\Foxit Software
      2008-06-10 11:04 . 2008-06-10 11:04 <REP> d-------- C:\Program Files\Avira
      2008-06-10 08:46 . 2008-06-10 08:46 <REP> d-------- C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
      2008-06-10 08:46 . 2008-06-10 08:46 203,264 --a------ C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
      2008-06-09 22:06 . 2008-06-09 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
      2008-06-09 21:39 . 2008-06-09 21:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
      2008-06-09 20:31 . 2008-06-09 20:31 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData
      2008-06-06 20:43 . 2008-06-06 20:43 <REP> dr-h----- C:\$VAULT$.AVG
      2008-06-06 20:29 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
      2008-06-04 17:40 . 1997-12-17 19:33 304,128 --a------ C:\WINDOWS\IsUninst.exe
      2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\houari-dauphin
      2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\Conduit
      2008-05-28 14:23 . 2008-05-28 14:23 <REP> d-------- C:\Program Files\Mattel Interactive
      2008-05-23 10:22 . 2003-05-20 19:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
      2008-05-23 10:22 . 2000-06-06 18:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
      2008-05-23 10:17 . 2008-05-23 10:22 16,785 --a------ C:\WINDOWS\EPSTPLOG.BAK
      2008-05-23 09:30 . 2008-06-13 11:12 385 --a------ C:\WINDOWS\ODBC.INI
      2008-05-23 09:29 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
      2008-05-23 09:24 . 2008-05-23 09:24 <REP> d-------- C:\WINDOWS\SHELLNEW
      2008-05-22 14:03 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
      2008-05-22 13:38 . 2008-05-22 13:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Yahoo!
      2008-05-21 12:44 . 2008-05-21 12:44 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
      2008-05-20 13:46 . 2008-05-20 13:46 1,160 --a------ C:\WINDOWS\mozver.dat
      2008-05-20 08:35 . 2008-05-20 08:35 <REP> d-------- C:\Program Files\SpywareGuard
      2008-05-20 08:29 . 2008-05-20 08:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
      2008-05-20 08:28 . 2003-07-02 01:00 131,072 -ra------ C:\WINDOWS\system32\Epcmlib.dll
      2008-05-20 08:26 . 2003-09-25 18:12 76,045 --------- C:\WINDOWS\system32\EBPMON24.DLL
      2008-05-20 08:26 . 2003-07-16 06:14 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL
      2008-05-20 08:26 . 2001-09-03 19:04 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT
      2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
      2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
      2008-05-20 08:24 . 2008-05-20 08:24 <REP> d-------- C:\Program Files\EPSON
      2008-05-20 08:23 . 2008-05-20 08:23 25 --a------ C:\WINDOWS\CDEC66SeriesEuro.ini
      2008-05-20 00:26 . 2008-05-20 00:26 48 --a------ C:\WINDOWS\HELP.INI
      2008-05-20 00:24 . 2008-05-20 00:24 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
      2008-05-19 22:18 . 2008-06-10 19:11 1,632 --a------ C:\WINDOWS\system32\d3d8caps.dat
      2008-05-19 21:37 . 2008-05-19 21:37 0 --a------ C:\WINDOWS\nsreg.dat
      2008-05-19 19:22 . 2008-05-19 19:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\COWON
      2008-05-19 18:18 . 2008-05-19 18:18 <REP> d--hs---- C:\Recycled
      2008-05-19 16:35 . 2008-05-19 16:35 <REP> d-------- C:\Program Files\Yahoo!
      2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Program Files\Fichiers communs\Skype
      2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
      2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Skype
      2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Skype
      2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Google
      2008-05-19 16:17 . 2001-08-24 16:00 103,424 --a------ C:\WINDOWS\system32\dllcache\eqnclass.dll
      2008-05-19 16:17 . 2001-08-24 16:00 86,044 --a------ C:\WINDOWS\system32\dllcache\dgsetup.dll
      2008-05-19 16:17 . 2004-08-04 02:54 8,704 --a------ C:\WINDOWS\system32\dllcache\batt.dll
      2008-05-19 16:14 . 2008-05-19 16:14 <REP> d-------- C:\Program Files\Webshots
      2008-05-19 16:14 . 2003-10-30 13:51 1,957,888 --a------ C:\WINDOWS\webshots.scr
      2008-05-19 16:14 . 2008-06-15 20:52 1,440,054 --a------ C:\WINDOWS\Webshots for Administrateur.bmp
      2008-05-19 16:14 . 2003-10-30 13:50 32,768 --a------ C:\WINDOWS\system32\WSVersionATX.ocx
      2008-05-19 16:10 . 2008-05-19 16:10 <REP> d-------- C:\Program Files\LifeGlobe
      2008-05-19 16:02 . 2008-05-19 16:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
      2008-05-19 16:02 . 2008-05-19 16:02 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
      2008-05-19 16:01 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
      2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\JetAudio
      2008-05-19 16:00 . 2008-05-19 16:00 <REP> d--h----- C:\Program Files\InstallShield Installation Information
      2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\Fichiers communs\COWON
      2008-05-19 15:59 . 2008-05-19 15:59 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-05-19 12:32 --------- d-----w C:\Program Files\microsoft frontpage
      2008-05-19 12:28 --------- d-----w C:\Program Files\Services en ligne
      .

      ------- Sigcheck -------

      2004-08-18 09:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys

      2004-08-22 22:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\ypager.exe" [2005-08-19 19:34 3084288]
      "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
      "EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:32 208952]
      "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:31 59392]
      "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
      "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
      "MyWebSearch Plugin"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL" [ ]
      "EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
      "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
      "COMODO SafeSurf"="C:\Program Files\COMODO\SafeSurf\cssurf.exe" [2008-06-13 12:15 278264]
      "COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-06-13 12:14 1655552]

      C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
      Webshots.lnk - C:\Program Files\Webshots\Launcher.exe [2008-05-19 16:14:12 45056]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "FirewallOverride"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

      R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-06-13 12:14]
      R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-06-13 12:14]
      R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-17 20:51]
      S2 MyWebSearchService;My Web Search Service;C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe []

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
      \Shell\AutoRun\command - H:\RavMon.exe
      \Shell\explore\Command - H:\RavMon.exe -e
      \Shell\open\Command - H:\RavMon.exe

      *Newly Created Service* - CATCHME
      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-06-15 21:06:43
      Windows 5.1.2600 Service Pack 2 FAT NTAPI

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      EPSON Stylus C66 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"???????/????(??=????????????????h?wZ???????????????`?V???V??????????????h?w??V?`?V?????;???8???????????-??w??V?`?V????????w`?V???V?????)??|???????

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs a chargé sous des processus courants ---------------------

      PROCESS: C:\WINDOWS\system32\winlogon.exe
      -> C:\WINDOWS\system32\guard32.dll

      PROCESS: C:\WINDOWS\system32\lsass.exe
      -> C:\WINDOWS\system32\guard32.dll
      .
      Temps d'accomplissement: 2008-06-15 21:07:43
      ComboFix-quarantined-files.txt 2008-06-15 19:07:38

      Pre-Run: 1,275,449,344 octets libres
      Post-Run: 1,353,179,136 octets libres

      167


      merci bcp
      0
  8. Utilisateur anonyme
     
    ok refais un scan hijackthis et post le rapport stp
    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      voila le log:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 21:40, on 15/06/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\COMODO\Firewall\cmdagent.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\COMODO\SafeSurf\cssurf.exe
      C:\Program Files\COMODO\Firewall\cfp.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\webshots.scr
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
      O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
      O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
      O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
      O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
      O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
      O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
      O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
      0
  9. Utilisateur anonyme
     
    Copie le texte ci-dessous :

    File::
    C:\WINDOWS\system32\cssdll32.dll
    C:\FOUND.001
    C:\FOUND.000
    C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
    C:\$VAULT$.AVG
    C:\WINDOWS\IsUn040c.exe
    C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL

    Folder::
    C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MyWebSearch Plugin"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      resultat du scan COMBOFIX

      ComboFix 08-06-12.2 - Administrateur 2008-06-15 22:06:09.2 - [color=red][b]FAT32[/b][/color]x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.16 [GMT 2:00]
      Endroit: C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe
      Command switches used :: C:\Documents and Settings\Administrateur\Mes documents\Mes images\CFScript.txt
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

      FILE ::
      C:\$VAULT$.AVG
      C:\FOUND.000
      C:\FOUND.001
      C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL
      C:\WINDOWS\IsUn040c.exe
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
      C:\WINDOWS\system32\cssdll32.dll
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\WINDOWS\IsUn040c.exe
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\B7_S1.swf
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\expire.scf
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\ping.txt
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver.dat
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver1.dll
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1 dir\saver2.dll
      C:\WINDOWS\system32\Barbie(tm) as Island Princess 1.scr
      C:\WINDOWS\system32\cssdll32.dll

      .
      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-15 to 2008-06-15 ))))))))))))))))))))))))))))))))))))
      .

      2008-06-15 19:41 . 2008-06-15 19:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
      2008-06-15 19:40 . 2008-06-15 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2008-06-15 19:40 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
      2008-06-15 19:39 . 2008-06-15 19:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-06-15 19:39 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
      2008-06-13 18:21 . 2008-06-13 12:14 143,104 --a------ C:\WINDOWS\system32\guard32.dll
      2008-06-13 18:21 . 2008-06-13 18:20 143,104 --a------ C:\WINDOWS\system32\guard32(2)(2).dll
      2008-06-13 17:38 . 2008-06-13 17:38 <REP> d--hs---- C:\FOUND.001
      2008-06-13 15:25 . 2008-06-13 15:25 <REP> d-------- C:\Program Files\Trend Micro
      2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Program Files\COMODO
      2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\comodo
      2008-06-13 12:14 . 2008-06-13 12:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Comodo
      2008-06-13 12:14 . 2008-06-13 12:14 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
      2008-06-13 12:14 . 2008-06-13 12:14 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
      2008-06-13 02:31 . 2008-06-13 02:31 <REP> d--hs---- C:\FOUND.000
      2008-06-12 12:20 . 2008-06-12 12:20 <REP> d-------- C:\Program Files\Foxit Software
      2008-06-10 11:04 . 2008-06-10 11:04 <REP> d-------- C:\Program Files\Avira
      2008-06-09 22:06 . 2008-06-09 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
      2008-06-09 21:39 . 2008-06-09 21:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
      2008-06-09 20:31 . 2008-06-09 20:31 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData
      2008-06-06 20:43 . 2008-06-06 20:43 <REP> dr-h----- C:\$VAULT$.AVG
      2008-06-06 20:29 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
      2008-06-04 17:40 . 1997-12-17 19:33 304,128 --a------ C:\WINDOWS\IsUninst.exe
      2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\houari-dauphin
      2008-05-28 21:05 . 2008-05-28 21:05 <REP> d-------- C:\Program Files\Conduit
      2008-05-28 14:23 . 2008-05-28 14:23 <REP> d-------- C:\Program Files\Mattel Interactive
      2008-05-23 10:22 . 2003-05-20 19:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
      2008-05-23 10:22 . 2000-06-06 18:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
      2008-05-23 10:17 . 2008-05-23 10:22 16,785 --a------ C:\WINDOWS\EPSTPLOG.BAK
      2008-05-23 09:30 . 2008-06-13 11:12 385 --a------ C:\WINDOWS\ODBC.INI
      2008-05-23 09:29 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
      2008-05-23 09:24 . 2008-05-23 09:24 <REP> d-------- C:\WINDOWS\SHELLNEW
      2008-05-22 13:38 . 2008-05-22 13:38 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Yahoo!
      2008-05-21 12:44 . 2008-05-21 12:44 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
      2008-05-20 13:46 . 2008-05-20 13:46 1,160 --a------ C:\WINDOWS\mozver.dat
      2008-05-20 08:35 . 2008-05-20 08:35 <REP> d-------- C:\Program Files\SpywareGuard
      2008-05-20 08:29 . 2008-05-20 08:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
      2008-05-20 08:28 . 2003-07-02 01:00 131,072 -ra------ C:\WINDOWS\system32\Epcmlib.dll
      2008-05-20 08:26 . 2003-09-25 18:12 76,045 --------- C:\WINDOWS\system32\EBPMON24.DLL
      2008-05-20 08:26 . 2003-07-16 06:14 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL
      2008-05-20 08:26 . 2001-09-03 19:04 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT
      2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
      2008-05-20 08:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
      2008-05-20 08:24 . 2008-05-20 08:24 <REP> d-------- C:\Program Files\EPSON
      2008-05-20 08:23 . 2008-05-20 08:23 25 --a------ C:\WINDOWS\CDEC66SeriesEuro.ini
      2008-05-20 00:26 . 2008-05-20 00:26 48 --a------ C:\WINDOWS\HELP.INI
      2008-05-20 00:24 . 2008-05-20 00:24 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
      2008-05-19 22:18 . 2008-06-10 19:11 1,632 --a------ C:\WINDOWS\system32\d3d8caps.dat
      2008-05-19 21:37 . 2008-05-19 21:37 0 --a------ C:\WINDOWS\nsreg.dat
      2008-05-19 19:22 . 2008-05-19 19:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\COWON
      2008-05-19 18:18 . 2008-05-19 18:18 <REP> d--hs---- C:\Recycled
      2008-05-19 16:35 . 2008-05-19 16:35 <REP> d-------- C:\Program Files\Yahoo!
      2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Program Files\Fichiers communs\Skype
      2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
      2008-05-19 16:26 . 2008-05-19 16:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Skype
      2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Skype
      2008-05-19 16:25 . 2008-05-19 16:25 <REP> d-------- C:\Program Files\Google
      2008-05-19 16:17 . 2001-08-24 16:00 103,424 --a------ C:\WINDOWS\system32\dllcache\eqnclass.dll
      2008-05-19 16:17 . 2001-08-24 16:00 86,044 --a------ C:\WINDOWS\system32\dllcache\dgsetup.dll
      2008-05-19 16:17 . 2004-08-04 02:54 8,704 --a------ C:\WINDOWS\system32\dllcache\batt.dll
      2008-05-19 16:14 . 2008-05-19 16:14 <REP> d-------- C:\Program Files\Webshots
      2008-05-19 16:14 . 2003-10-30 13:51 1,957,888 --a------ C:\WINDOWS\webshots.scr
      2008-05-19 16:14 . 2008-06-15 21:53 1,440,054 --a------ C:\WINDOWS\Webshots for Administrateur.bmp
      2008-05-19 16:14 . 2003-10-30 13:50 32,768 --a------ C:\WINDOWS\system32\WSVersionATX.ocx
      2008-05-19 16:10 . 2008-05-19 16:10 <REP> d-------- C:\Program Files\LifeGlobe
      2008-05-19 16:02 . 2008-05-19 16:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
      2008-05-19 16:02 . 2008-05-19 16:02 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
      2008-05-19 16:01 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
      2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\JetAudio
      2008-05-19 16:00 . 2008-05-19 16:00 <REP> d--h----- C:\Program Files\InstallShield Installation Information
      2008-05-19 16:00 . 2008-05-19 16:00 <REP> d-------- C:\Program Files\Fichiers communs\COWON
      2008-05-19 15:59 . 2008-05-19 15:59 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-05-19 12:32 --------- d-----w C:\Program Files\microsoft frontpage
      2008-05-19 12:28 --------- d-----w C:\Program Files\Services en ligne
      .

      ------- Sigcheck -------

      2004-08-18 09:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys

      2004-08-22 22:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
      .
      ((((((((((((((((((((((((((((( snapshot@2008-06-15_21.07.15,03 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-06-15 18:10:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2008-06-15 20:11:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\ypager.exe" [2005-08-19 19:34 3084288]
      "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
      "EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:32 208952]
      "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:31 59392]
      "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
      "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:32 455168]
      "EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 20:00 99840]
      "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
      "COMODO SafeSurf"="C:\Program Files\COMODO\SafeSurf\cssurf.exe" [2008-06-13 12:15 278264]
      "COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-06-13 12:14 1655552]

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "FirewallOverride"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

      R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-06-13 12:14]
      R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-06-13 12:14]
      R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-17 20:51]
      S2 MyWebSearchService;My Web Search Service;C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe []

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a06-33f6-11dd-b213-0010dc379fd5}]
      \Shell\AutoRun\command - H:\RavMon.exe
      \Shell\explore\Command - H:\RavMon.exe -e
      \Shell\open\Command - H:\RavMon.exe

      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-06-15 22:11:53
      Windows 5.1.2600 Service Pack 2 FAT NTAPI

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...

      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
      C:\WINDOWS\webshots.scr
      C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
      C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
      C:\Program Files\COMODO\Firewall\cmdagent.exe
      C:\WINDOWS\system32\wscntfy.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-06-15 22:17:52 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-06-15 20:17:30
      ComboFix2.txt 2008-06-15 19:07:46

      Pre-Run: 1,637,584,896 octets libres
      Post-Run: 1,626,353,664 octets libres

      181

      LOG HIJACKTHIS
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:22, on 15/06/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\COMODO\SafeSurf\cssurf.exe
      C:\Program Files\COMODO\Firewall\cfp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\webshots.scr
      C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\COMODO\Firewall\cmdagent.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
      O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
      O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
      O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
      O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AF039ACA-F681-476F-BAB9-B6A7F923BD92}: NameServer = 41.221.20.4 208.67.222.222
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
      O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)


      RE merci pour votre tolerance
      0
  10. Utilisateur anonyme
     
    de rien

    on termine fais ceci :

    Démarrer > executer > ' services.msc ' ,

    - Clic droit sur le service cité - My Web Search Service
    - propriétés
    - et dans "type de démarrage" et mets le sur « désactivé ».
    - Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté »

    Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html

    ensuite :

    -> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):

    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

    -> L´installer.

    -> Une fois installé et lancé :

    Dans la colonne de gauche, click sur :

    ->"registre" :

    Coches toutes les cases sous"l´integrité du registre", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.

    ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.

    ->"nettoyeur"

    quitte ton navigateur avant de le lancer, dans les propriétés du nettoyeur de l´onglet "windows" et "applications"décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

    -> Tutoriel en image :

    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    -> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :

    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    et pour finir :

    * pour supprimer les outils/fix utilisés :

    Télécharge ToolsCleaner sur ton bureau.
    -->
    http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
    http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

    # Clique sur Recherche et laisse le scan agir ...
    # Clique sur Suppression pour finaliser.
    # Tu peux, si tu le souhaites, te servir des Options facultatives.
    # Clique sur Quitter pour obtenir le rapport.
    # Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      et maintenant qu'on pense tu? c'est bon?

      -->- Recherche:

      C:\Qoobox: trouvé !
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
      C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe: trouvé !
      C:\Documents and Settings\Administrateur\Bureau\Btfix: trouvé !
      C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe: trouvé !

      ---------------------------------
      -->- Suppression:

      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
      C:\Documents and Settings\Administrateur\Mes documents\Mes images\ComboFix.exe: supprimé !
      C:\Program Files\Trend Micro\ccml.exe\HijackThis.exe: supprimé !
      C:\Qoobox: supprimé !
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
      C:\Documents and Settings\Administrateur\Bureau\Btfix: supprimé !
      0
  11. Utilisateur anonyme
     
    ou c bon c fini

    si t as + de soucis change le statut du sujet en resolu stp
    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      oui bien sure
      enfin je te remercie bcp bcp... pour ton aide

      une derniere question- je pense_ a chaque fois que j'aurai cette infection,dois-je suivre les mm étapes pour désinfecter?
      0
  12. Utilisateur anonyme
     
    pas forcement les memes etapes mais malewarebyte est inevitable

    d ailleurs garde le et fais des scan de temps en temps

    ciao @++
    0
    1. M@RISS@ Messages postés 221 Statut Membre 2
       
      merci
      bonne suite et bonne nuit
      @++
      0
  13. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut Chiquitine29,

    1)- Ceci:
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86317a­06-33f6-11dd-b213-0010dc379fd5}]
    \Shell\AutoRun\command - H:\RavMon.exe
    \Shell\explore\Command - H:\RavMon.exe -e
    \Shell\open\Command - H:\RavMon.exe
    C'est une infection de sa clé USB, non ?

    2)- Avais-tu pu collecter une information sur ce DLL en O20 :
    C:\WINDOWS\system32\cssdll32.dll ?

    Merci à toi
    Al.
    0