Forums Zebulon.fr: Infection System Check - Forums Zebulon.fr

Bonjour,
j'ai été infecté par system check, j'ai utilisé roguekiller mais j'ai encore beaucoup de soucis d'affichages.
Je vous joins un rapport ZHP pour avoir une aide d'urgence car je dois être encore bien infecté.
Dans l'attente de votre aide,
merci

Voici le lien : http://cjoint.com/?BAEvps3tdVD

Ce message a été modifié par Tonton - 30 janvier 2012 - 09:16 .
Raison de l'édition : Hébergement du rapport

Bonjour,

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Ctrl+v pour inscrire le texte dans le Document
Vous ne verrez rien avant d'avoir Cliqué sur le H-


PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)
[MD5.FDAB999FFA0A1B1682A8AEF47783181F] [SPRF][06/01/2012] (...) -- C:\Documents and Settings\Administrateur\Bureau\winlogon.exe [776704] => Infection Diverse (Rootkit.Dropper)
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}] => Infection PUP (Spyware.Soft2PC)

PROCESSUS SUPERFLU DU SYSTEME
O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D
O42 - Logiciel: Spybot - Search & Destroy 1.5.2.20 - (.Safer Networking Ltd..) [HKLM] -- Spybot - Search & Destroy_is1 => Spybot Search & Destroy
O43 - CFD: 27/09/2009 - 08:01:30 - [95,350] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy
O44 - LFC:[MD5.57559EB1F406828FF017D0CE925B795A] - 30/01/2012 - 14:12:14 ---A- . (...) -- C:\WINDOWS\system32\tmp.reg [3776]
O44 - LFC:[MD5.2E06D16680CF9478ACD123DEDC666E43] - 27/01/2012 - 22:10:07 -SHA- . (...) -- C:\WINDOWS\system32\Thumbs.db [7168]
O62 - ADS:Alternate Data Stream File - C:\WINDOWS\system32\Thumbs.db:encryptable => Microsoft Windows Picture Miniature Cache

TOOLBAR INUTILE (Navigateur internet)
O43 - CFD: 23/01/2012 - 18:37:50 - [0,609] ----D- C:\Program Files\Conduit => Toolbar.Conduit
C:\Program Files\Conduit => Toolbar.Conduit



EmptyFlash
EmptyTemp
FirewallRaz




Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .
Redémarrer pour achever le nettoyage.
Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur
Copier-coller le rapport de suppression dans la prochaine réponse.

Bonjour gilles95 (bonjour pear ),

Ton Post # 1 : Merci de ne pas poster de rapports aussi longs sur le forum, car tu risques te provoquer un plantage et de n'avoir ainsi plus accès à ton sujet.
Je l'ai hébergé sur cjoint.com.

Bonne continuation à vous deux,
Tonton

Bonsoir,
Je reviens vers vous car je pensais avoir réussi à supprimer system check mais j'ai de nouveau eu les alertes et les fenêtres d'attaques qui s'ouvrent comme des folles. Antivir a réagi et bloqué, depuis j'ai nettoyé avec Roguekiller et tdss mais j'avais déjà fait ces manips.
Je suis en train de finir un scan avec spybot.
Je vous joins ensuite le rapport de ZHP en pièce jointe, j'ai bien compris, excusez moi encore.
Merci par avance pour votre aide.
gilles

Pour info, j'ai renettoyé avec combofix cette après midi suite à la nouvelle attaque, combo m'a signalé le root zero access sur la pile tcp/ip.
je vous joint le rapport :


Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre :
Run by GL at 31/01/2012 19:00:06
Windows XP Professional Service Pack 3 (Build 2600)
Web site : ZHPFix Fix de rapport
Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

========== Logiciel(s) ==========
SUPPRIME Spybot - Search & Destroy
ABSENT Software Key: Spybot - Search & Destroy_is1

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

========== Valeur(s) du Registre ==========
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Program Files\Spybot - Search & Destroy
ABSENT C:\Program Files\Conduit
SUPPRIME Flash Cookies: 2
SUPPRIME Temporaires Windows: : 71

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\administrateur\bureau\winlogon.exe
ABSENT File: c:\windows\system32\tmp.reg
ABSENT File: c:\windows\system32\thumbs.db
ABSENT File: c:\windows\system32\thumbs.db:encryptable
ABSENT Folder/File: c:\program files\conduit
SUPPRIME Flash Cookies: 1
SUPPRIME Temporaires Windows: : 16

========== Autre ==========
NON TRAITE PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)
NON TRAITE PROCESSUS SUPERFLU DU SYSTEME
NON TRAITE TOOLBAR INUTILE (Navigateur internet)


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
4 : Dossier(s)
7 : Fichier(s)
2 : Logiciel(s)
3 : Autre


End of clean in 00mn 36s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 31/01/2012 14:23:20 [576]
C:\ZHP\ZHPFix[R2].txt - 31/01/2012 19:00:06 [1733]

J'ai oublié le rapport ZHP de cette après midi.
Lien CJoint.com 3AFtnGzwIDv

Postez le rapport Combofix, svp.
Sauvegardez vos données sur un support externe.
Lancez cet outil:
Remove "Rootkit.Win32.ZAccess

Bonsoir,
Je ne retrouve pas le rapport combofix, je crois qu'il a été supprimé, désolé.
J'ai appliqué l'outil dr web cureit maintenant je n'ai plus antivir mais dr web.
Est ce normal ?
Le virus est il parti ?

Par avance, merci pour votre aide.

J'ajoute comme info que le PC est beaucoup plus lent qu'avant.