Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Rapport HijackThis

Samsa

Par Samsa
dans Analyses et éradication malwares

 Partager

Messages recommandés

Samsa Junior Member

Samsa

Posté(e)
Posté(e) (modifié)

Bonjour,

 

J'ai nettoyé mon pc (plateforme Vista).

Désinstallé Mc Afee qui ne sert à rien pour l'instant,

et installé à la place antivir.

 

Je souhaiterais savoir si j'ai encore des sales bêtes.

Je pense que oui, car j'ai un dossier " 'C " qui apparait toujours dans mon C:Utilisateur.

Voici deux rapports d'antivir d'abord puis de HijackThis :

Maintenant je ne touche à rien tant que je n'ai pas d'instructions de vous.

 

 

 

AntiVir PersonalEdition Classic

Report file date: 24 février 2008 19:20

 

Scanning for 1121406 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows Vista

Windows version: (plain) [6.0.6000]

Username: SYSTEM

Computer name: VAL

 

Version information:

BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 19:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 18:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 21:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 18:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 20:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 23:04:07

ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 2008-02-24 23:04:07

ANTIVIR3.VDF : 7.0.2.182 2048 Bytes 2008-02-24 23:04:07

AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 2008-02-24 23:04:08

AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 16:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 13:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 19:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-02-24 23:04:08

AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 13:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 18:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 13:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 17:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 18:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 18:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 15:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: D:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Use file extension list

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: 24 février 2008 19:20

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'KHALMNPR.exe' - '1' Module(s) have been scanned

Scan process 'unsecapp.exe' - '1' Module(s) have been scanned

Scan process 'SynToshiba.exe' - '1' Module(s) have been scanned

Scan process 'ehmsas.exe' - '1' Module(s) have been scanned

Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned

Scan process 'SetPoint.exe' - '1' Module(s) have been scanned

Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned

Scan process 'ehtray.exe' - '1' Module(s) have been scanned

Scan process 'Gestionnaire Antidote.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'igfxpers.exe' - '1' Module(s) have been scanned

Scan process 'hkcmd.exe' - '1' Module(s) have been scanned

Scan process 'M3SRCHMN.EXE' - '1' Module(s) have been scanned

Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned

Scan process 'TCrdMain.exe' - '1' Module(s) have been scanned

Scan process 'SmoothView.exe' - '1' Module(s) have been scanned

Scan process 'TPwrMain.exe' - '1' Module(s) have been scanned

Scan process 'VolControl.exe' - '1' Module(s) have been scanned

Scan process 'dwm.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'taskeng.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'PresentationFontCache.exe' - '1' Module(s) have been scanned

Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned

Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned

Scan process 'taskeng.exe' - '1' Module(s) have been scanned

Scan process 'SearchIndexer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'ULCDRSvr.exe' - '1' Module(s) have been scanned

Scan process 'TosCoSrv.exe' - '1' Module(s) have been scanned

Scan process 'TODDSrv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'MWSSVC.EXE' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'CFSvcs.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'SLsvc.exe' - '1' Module(s) have been scanned

Scan process 'audiodg.exe' - '0' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsm.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'wininit.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

59 processes with 59 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '16' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <S3A5070D001>

C:\pagefile.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\'

 

 

End of the scan: 24 février 2008 20:28

Used time: 1:07:38 min

 

The scan has been done completely.

 

13667 Scanning directories

320387 Files were scanned

0 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

320387 Files not concerned

2304 Archives were scanned

1 Warnings

31 Notes

 

et celui de Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:34:53, on 2008-02-24

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\TOSHIBA\Utilities\VolControl.exe

C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe

C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Synaptics\SynTP\SynToshiba.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.shoptoshiba.ca/welcome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shoptoshiba.ca/welcome

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\about.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"

O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe

O4 - HKLM\..\Run: [smoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)

O13 - Gopher Prefix:

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...225/mcfscan.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 8073 bytes

 

 

 

Merci de regarder ça,

comme je sais que c'est la nuit pour vous, alors bonne nuit. :P

 

Grand merci d'avance.

Modifié par Samsa

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut et bienvenue :P

 

Rien de méchant à première vue! Juste la présence d'un adware nommé MyWebSearch qui affiche des pubs entre autres.

 

Commence par désactiver l'UAC temporairement le temps de faire les manipluations qui vont suivre. C'est détaillé ici >

http://www.google.fr/url?sa=t&client=p...NIWfJdETjpNsBvg

 

Passe par le Panneau de Configuration > Ajouter/Supprimer des Programmes et désinstalle ce programme > MyWebSearch

 

Une fois ceci fait, procède ainsi >

 

1) Démarre Hijackthis, clique sur "Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\about.htm

 

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)

 

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

 

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

 

O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0

 

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

 

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Note: il est possible que certaines lignes ne soient plus présentes.

 

2) Elimine ce dossier si tu trouves >

 

C:\Program Files\MyWebSearch

 

3) Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

  • Il faut choisir Full Scan (et pas QuickScan) > bhlg5aym1p.gif
  • Poste le rapport qu'il t'affichera à la fin.
  • information.pngNote 1: Attention!! Panda et Antivir entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de scan après avoir sauvegardé le rapport .information.png
     
  • Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
     
  • Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809

4) Fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste qui se déroule.

Renomme le Samsa, puis refais un nouveau scan.

 

Poste les deux rapports.

Samsa Junior Member

Samsa

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir,

 

Merci beaucoup pour votre aide :P

 

J'ai tout fait comme vous me l'avez mentionné, cependant, le programme mywebsearch n'existait plus.

En revanche, j'ai trouvé le dossier sur C. Mais avec vista... grrrr... on me disait que je n'avais pas les droits pour le supprimer. Et pourtant, jâ€avais bien désélectionné UAC de mon compte utilisateur.

Alors, je l'ai coupé et collé sur le bureau.

Il n'apparaissait pas sur le bureau.

J'ai donc redémarré et là, ohhhh miracle il était visible.

Je l'ai donc mis dans la corbeille et vidé la corbeille.

 

"Vista est un vrai bonheur".

 

Ceci dit, je ne comprends pas pourquoi j'ai toujours ce dossier - ' - dans mon dossier utilisateur.

Lorsque je le supprime, il réapparait sans cesse.

Et lorsque je fais des recherches, il me fait apparaitre 870 fichiers zip inexistants dans ce soi-disant dossier vide.

 

 

Voici les rapports :

 

Celui de Panda

 

ANALYSIS: 2008-02-25 21:21:21

PROTECTIONS: 3

MALWARE: 1

SUSPECTS: 2

;*******************************************************************************

 

PROTECTIONS

Description Version Active Updated

;===============================================================================

 

Avira AntiVir PersonalEdition 7.0.2.189

No Yes

Norton AntiVirus 15.0.0.58 Yes Yes

Spyware Doctor with AntiVirus 4.4.2 Yes Yes

;===============================================================================

 

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===============================================================================

 

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\Val\AppData\Roaming\Microsoft\Windows\Cookies\val@atdmt[1].txt

;===============================================================================

 

Location

;===============================================================================

 

C:\PROGRAM FILES\INTERNET EXPLORER\MSIMG32.DLL

C:\PROGRAM FILES\MSN MESSENGER\MSIMG32.DLL

;===============================================================================

 

 

 

et celui de Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:40:33, on 2008-02-25

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\TOSHIBA\Utilities\VolControl.exe

C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe

C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

C:\Program Files\Synaptics\SynTP\SynToshiba.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.shoptoshiba.ca/welcome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shoptoshiba.ca/welcome

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\about.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"

O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe

O4 - HKLM\..\Run: [smoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O13 - Gopher Prefix:

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...225/mcfscan.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 6913 bytes

Modifié par Samsa
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Voilà ce que tu vas faire pour éliminer les restes de l'infection >

 

1) On stoppe le service >

 

Clique sur Démarrer > Executer et tu tapes : services.msc puis valide avec le bouton OK.

 

Cherche le service suivant > My Web Search Service et double-clique dessus.

Dans le champs "Status du service" sélectionne "arrêté"

Dans le champs "Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok"

Quitte les Services.

 

2) On élimine le service avec hijackthis >

 

Ouvre Hijackthis et clique sur "Open the misc tools section"=> puis "Delete an NT service".

  • la fenêtre "Delete a Windows NT service" va s'ouvrir
  • Dans la fenêtre qui s'ouvre, copie/colle ceci => MyWebSearchService

    Note : assure-toi de ne pas mettre d'espace avant le nom du service que tu as copié/collé dans le champs.

     
  • clique sur OK
  • Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  • Cliquer sur YES

3) Le pc a redémarré : retente d'éliminer le dossier suivant >

 

C:\Program Files\MyWebSearch

 

Dis moi si ca fonctionne!

 

4) Rend toi à cette adresse => http://www.virustotal.com/

 

On va faire analyser deux fichiers >

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier MSIMG32.DLL que tu trouveras en allant dans le dossier C:\PROGRAM FILES\INTERNET EXPLORER

 

Tu cliques une fois sur le fichier MSIMG32.DLL (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

Il est possible qu'on te dise que le fichier a déjà été analysé > analyse le de nouveau > clique sur le bouton Reanalyse le fichier maintenant

Poste moi le rapport stp pour voir de quoi il s'agit.

Poste avec ca un dernier rapport hijackthis pour vérification :P

 

Fais de même avec celui là > C:\PROGRAM FILES\MSN MESSENGER\MSIMG32.DLL

 

Poste les rapports suivants >

 

- le rapport du scan des fichiers en ligne

- un nouveau rapport hijackthis

 

@++

Samsa Junior Member

Samsa

Posté(e)
  • Auteur
Posté(e) (modifié)

Après avoir suivi la série d'instructions, je ne retrouve plus le fichier MyWebsearch. :P

Voici le premier rapport pour le msimg32.dll

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

FileAdvisor - - -

Fortinet - - -

F-Prot - - -

F-Secure - - -

Ikarus - - -

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32v2 - - -

Norman - - -

Panda - - -

Prevx1 - - -

Rising - - -

Sophos - - MyWebSearch

Sunbelt - - -

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - -

Webwasher-Gateway - - Adware.Win32.Malware.gen!80 (suspicious)

Information additionnelle

MD5: a7ba66e3312cfa92b4125396ec15158d

SHA1: 303c6536b01f83cfebe09482e22c8479d6cb8ff4

SHA256: 8d26298def22d16c7177cc7593b6abdc9c3eac73dd161aaa1f1b848ca6b3d79e

SHA512: c48ecc9f8a863438fb70042e54a0d9abed09bc17c50a63b5f77986f1844f1b9a 1ae664e5ef1ef068766133ac99c1a86a021e980e4002781d8d5439f3f3535901

 

-------------------------------------------------------------------------------------------------------------------------------------

Le deuxième Ah... tu ne m'as pas donné son nom. :P

 

En attendant, voici le nouveau rapport HiijackThis

-------------------------------------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:20:33, on 2008-02-26

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\TOSHIBA\Utilities\VolControl.exe

C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe

C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Synaptics\SynTP\SynToshiba.exe

C:\Windows\system32\igfxsrvc.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.shoptoshiba.ca/welcome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shoptoshiba.ca/welcome

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\about.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"

O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe

O4 - HKLM\..\Run: [smoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O13 - Gopher Prefix:

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...225/mcfscan.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 6779 bytes

 

 

-------------------------------------------------------------------------------------------------------------------------------------

Ah vi, et puis mon cher Thanos. je n'ai pas pu m'empêcher de fouiller dans ce site fantastique, et j'ai trouvé une procédure pour nettoyer MSN. J'espère ne pas avoir agraver les choses, mais j'ai tendance à faire confiance à vos procédures.

 

J'ai donc téléchargé MSN FIX et voici le rapport.

-------------------------------------------------------------------------------------------------------------------------------------

MSNFix 1.671

 

C:\Users\Val\Desktop\MSNFix\MSNFix

Fix exécuté le 2008-02-26 - 15:42:10,59 By Val

mode normal

 

************************ Recherche les fichiers présents

 

... C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\Microsoft Office.lnk

... C:\Users\Val\????????.exe

 

************************ Recherche les dossiers présents

 

... C:\Users\Val\AppData\Local\TEMP\

 

 

 

 

************************ Suppression des fichiers

 

.. OK ... C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\Microsoft Office.lnk

.. OK ... C:\Users\Val\????????.exe

 

 

************************ Suppression des dossiers

 

/!\ ... C:\Users\Val\AppData\Local\TEMP\

 

 

************************ Nettoyage du registre

 

 

 

************************ Fichiers suspects

 

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

 

[C:\Windows\system32\SDPExe.zip] 59808EF3D6DC78039FEF92C3F3E0C7F3

[C:\Windows\system32\SDPSig.zip] 4ECF955CDC27AF5E25613CED2753BE2D

 

==> SVP merci d'envoyer le fichier C:\Users\Val\Desktop\Upload_Me.zip sur http://upload.changelog.fr

 

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 2008-02-26_16121845.zip

 

 

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

 

 

 

 

J'ai pas fait de bêtises, j'espère. :P

Modifié par Samsa
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

Après avoir suivi la série d'instructions, je ne retrouve plus le fichier MyWebsearch.

Tu veux dire le dossier C:\Program Files\MyWebSearch ? tant mieux :P

 

Le deuxième Ah... tu ne m'as pas donné son nom.

Si! regarde bien, il s'agit du même nom de fichier, mais il est placé dans un autre dossier >

 

- le premier >> C:\PROGRAM FILES\INTERNET EXPLORER\MSIMG32.DLL

 

- le second >> C:\PROGRAM FILES\MSN MESSENGER\MSIMG32.DLL

 

Le service installé par MyWebSearch a bien été éliminé :P

 

Pour ce qui est de MSN FIX, il a trouvé et éliminé un fichier. Il a aussi trouvé deux fichiers qu'il faut que tu expédies à l'auteur pour analyse > ils sont zippés dans le fichier Upload_Me.zip qui se trouve sur le bureau

 

Rend toi sur cette page > http://upload.changelog.fr/

Dans la case Pseudo met ton pseudo (Samsa)

A droite de URL de référence met l'adresse de ton topic > http://forum.zebulon.fr/index.php?showtopic=139868

A droite de Sélectionnez le fichier à envoyer clique sur le bouton Parcourir

Tu vas pouvoir naviguer sur ton disque dur: sélectionne le fichier Upload_Me.zip qui se trouve sur le bureau, puis clique sur Ouvrir.

Clique enfin sur le bouton Envoyer en bas de page pour l'expédier.

C'est important car ca permet de mettre la main sur de nouvelles variantes, et ainsi contribuer à rendre l'outil plus efficace. Ca ne prend que quelques secondes :P

 

Poste stp le rapport de scan du second fichier MSIMG32.DLL > celui qui se trouve dans le répertoire > C:\PROGRAM FILES\MSN MESSENGER

 

Note par rapport aux outils utilisés: certains outils sont puissants et il peuvent s'avérer dangereux si mal utilisés. Ce n'est pas le cas ici je te rassure, mais n'hésite pas à demander avant, on ne sait jamais :P

 

Est ce que tu as encore des pubs lors de tes surfs ?

@+

Modifié par Thanos
Samsa Junior Member

Samsa

Posté(e)
  • Auteur
Posté(e) (modifié)

Désolée, je suis vraiment une sale môme qui ne sait pas lire correctement... :P

 

Voici le deuxième rapport.

 

Fichier msimg32.dll reçu le 2007.08.19 10:26:47 (CET)

Situation actuelle: terminé

Résultat: 2/32 (6.25%)

Formaté Formaté

Impression des résultats Impression des résultats

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

FileAdvisor - - -

Fortinet - - -

F-Prot - - -

F-Secure - - -

Ikarus - - -

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32v2 - - -

Norman - - -

Panda - - -

Prevx1 - - -

Rising - - -

Sophos - - MyWebSearch

Sunbelt - - -

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - -

Webwasher-Gateway - - Adware.Win32.Malware.gen!80 (suspicious)

Information additionnelle

MD5: a7ba66e3312cfa92b4125396ec15158d

SHA1: 303c6536b01f83cfebe09482e22c8479d6cb8ff4

SHA256: 8d26298def22d16c7177cc7593b6abdc9c3eac73dd161aaa1f1b848ca6b3d79e

SHA512: c48ecc9f8a863438fb70042e54a0d9abed09bc17c50a63b5f77986f1844f1b9a 1ae664e5ef1ef068766133ac99c1a86a021e980e4002781d8d5439f3f3535901

 

 

 

Je n'ai plus de pub en revanche je continue à recevoir des liens de certains de mes contacts et là je ne VAIS PAS VOIR ce que c'est, et les ai prévenus qu'ils devaient avoir un virus.

Mon dernier contact est une petite fille de 10 ans de Québec anglophone, il va falloir que je l'aide, ses parents n'y connaissent rien. Mais elle est intelligente alors je pourrais lui expliquer de venir vous voir et l'épauler dans ses démarches lorsque je pourrais aller la voir. Seulement elle habite à 400 km de chez moi, donc j'attendrai d'avoir des vacances. Et ici au Canada, c'est pas 5 semaines mais 1 semaine la première année et ensuite 15 jours pdt des siecles..... :P avant d'en avoir plus.

 

Voici par exemple ce que je reçois d'elle ;

 

A m ii e a dit :

http://www.offermanage.com/

 

Et ce à chaque fois qu'elle est hors ligne.

 

 

 

Ceci dit, je vous trouve vraiment fantastiques de vous occuper comme ça d'andouilles comme nous.

Que pouvons-nous faire pour vous remercier ?

Modifié par Samsa
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)
Désolée, je suis vraiment une sale môme qui ne sait pas lire correctement...

:P pas grave!! On va utiliser un programme pour nettoyer les restes >

  • Télécharge BTFix de Bibi26.
  • Dézippe l'archive sur ton Bureau.
  • Ouvre le dossier BTFix.
  • Double clique sur BTFix.exe.
  • Clique sur Rechercher.
  • Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

Mon dernier contact est une petite fille de 10 ans de Québec, il va falloir que je l'aide, ses parents n'y connaissent rien. Mais elle est intelligente alors je pourrais lui expliquer de venir vous voir et l'épauler dans ses démarches lorsque je pourrais aller la voir.

Ca sera avec plaisir :P si ce n'est pas moi, un autre membre de l'equipe Sécurité s'occupera d'elle.

 

Ceci dit, je vous trouve vraiment fantastiques de vous occuper comme ça d'andouilles comme nous.

Que pouvons-nous faire pour vous remercier ?

Faire en sorte de ne pas infecter le pc sera un bon remerciement :P Je te laisserai quelques liens à consulter pour comprendre les dangers liés à l'utilisation de l'internet.

Samsa Junior Member

Samsa

Posté(e)
  • Auteur
Posté(e)

Bon là j'ai été sage, je n'ai pas fait nettoyé, j'attends

 

Oh que les touches j'attouille parfois !

 

Voici le rapport.

 

Seul, firefox était mon programme actif.

 

 

 

 

BTFix 1.080 (par bibi26) - 26/02/2008 17:31:39 - Analyse

Lancé depuis C:\Users\Val\Desktop\BTFix\BTFix\BTFix.exe

 

---> Fichiers/Dossiers trouvés

 

- C:\Windows\system32\bitsprx4.dll

- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll

- C:\Program Files\Internet Explorer\msimg32.dll

- C:\Program Files\MSN Messenger\RICHED20.dll

 

---> Analyse terminée

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...