Forums Zebulon.fr: [Résolu] Virus TR/ATRAPS.Gen2 - BDS/ZAccess.wjr - Forums Zebulon.fr

Bonjour à tous,

Je suis déja venu vers vous il y a déja quelques années et vous m'avez bien sorti de l'ornière ; ce que je vous en remercie.

Je viens vous demander de l'aide de nouveau pour mon pc qui a été infecté. (Il ne faut surtout partir en vacances et laisser le pc à ses enfants !!)

Voici donc mon problème. Avira m'a détecté les virus indiqués dans le rapport ci-dessous.
Dans le même temps, j'ai remarqué que la sauvegarde automatique du pc ne se fait plus, que le firwall windows ne veut plus démarrer, que la configuration du bureau
n'est pas conservé lorsqu'on redémarre le pc (icones grandes tailles et positionnés sur la grille alors qu'ils devraient être petites icones et positionnées manuellement).

Pour info, j'ai fait tourner également MalwareByte's dont le rapport n'a pas détecté de virus.
J'espère ne pas découvrir d'autres surprises.
Pouvez-vous m'aider ?
Je vous en remercie d'avance.

Recherche débutant dans 'C:\'
C:\Users\juju\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCSCKC1V\soft3[1].exe
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZAccess.wjr
C:\Users\juju\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E25HM0VK\soft4[1].exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.EB.25
C:\Users\juju\AppData\Local\{777f4aa7-7e5f-69c3-470e-c5116e4fc397}\U\80000000.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen
C:\Users\juju\AppData\Local\{777f4aa7-7e5f-69c3-470e-c5116e4fc397}\U\800000cb.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
C:\Users\juju\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\568d3654-38cbf49b
[RESULTAT] Contient le cheval de Troie TR/Buzy.EB
Recherche débutant dans 'E:\' <Nouveau nom>
Recherche débutant dans 'K:\' <FreeAgent Drive>

Début de la désinfection :
C:\Users\juju\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\568d3654-38cbf49b
[RESULTAT] Contient le cheval de Troie TR/Buzy.EB
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5877dd00.qua' !
C:\Users\juju\AppData\Local\{777f4aa7-7e5f-69c3-470e-c5116e4fc397}\U\800000cb.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '40f8f2a1.qua' !
C:\Users\juju\AppData\Local\{777f4aa7-7e5f-69c3-470e-c5116e4fc397}\U\80000000.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '12a7a849.qua' !
C:\Users\juju\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E25HM0VK\soft4[1].exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.EB.25
[REMARQUE] Impossible de déplacer le fichier dans le répertoire de quarantaine !
[REMARQUE] Le fichier n'existe pas !
C:\Users\juju\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCSCKC1V\soft3[1].exe
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZAccess.wjr
[REMARQUE] Impossible de déplacer le fichier dans le répertoire de quarantaine !
[REMARQUE] Le fichier n'existe pas !

Ce message a été modifié par hoch - 08 août 2012 - 08:27 .

Bonsoir,



Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de sUBs
et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimeretc..

Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Double cliquer sur combofix.exe pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, combofix ne se lançait pas,
Sous Vista, désactivez l'UAC
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix
Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:
Patientez au moins 30 minutes pendant l'analyse.
Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt

Bonjour Pear et merci de t'occuper de moi.

Suite à tes instructions, j'ai désactivé antivir par msconfig. Lorsque j'ai lancé combofix, il m'a indiqué que antivir était toujours actif mais il s'est lancé quand même et je n'ai pas pu choisir le choix 1 pour faire un scan car il a démarré immédiatement par la création d'un point de restauration et a fait la procédure jusqu'au bout en supprimant des fichiers comme tu peux le voir dans le rapport ci-dessous.
Je n'ai pas voulu l'arrêter. La prodécure a été jusqu'au bout puis le pc a redémarré et le rapport s'est créé.

Pour ton info, maintenant que cette procédure a été effectuée, le pare feu windows s'est remis en place et mes icones sur le bureau sont redevenus petits comme ils devraient l'être.

Dois je refaire tourner combofix en mode sans échec ?


ComboFix 12-08-05.02 - juju 07/08/2012 9:59.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4087.2736 [GMT 2:00]
Lancé depuis: c:\users\juju\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\OfferBox
c:\program files (x86)\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
c:\users\juju\AppData\Local\Temp\{7899EDA8-A2C7-49CD-A95A-8E89F4F736AF}\fpb.tmp
c:\users\juju\AppData\Roaming\mIRC\logs\status.log
c:\users\juju\AppData\Roaming\OfferBox
c:\users\juju\AppData\Roaming\OfferBox\config.dat
c:\users\juju\AppData\Roaming\OfferBox\config.xml
c:\windows\Instaler Setup Log.txt
c:\windows\Installer\{777f4aa7-7e5f-69c3-470e-c5116e4fc397}\@
c:\windows\Installer\{777f4aa7-7e5f-69c3-470e-c5116e4fc397}\U\00000001.@
E:\install.exe
c:\windows\TEMP\logishrd\LVPrcInj01.dll . . . . impossible à supprimer
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-07 au 2012-08-07 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-06 12:50 . 2012-08-06 12:50 -------- d-----w- c:\program files\iPod
2012-08-06 12:50 . 2012-08-06 12:50 -------- d-----w- c:\program files\iTunes
2012-08-06 12:50 . 2012-08-06 12:50 -------- d-----w- c:\program files (x86)\iTunes
2012-08-02 22:35 . 2012-08-02 22:35 -------- d-----w- c:\users\juju\AppData\Roaming\OpenOffice.org
2012-08-02 18:57 . 2012-08-02 18:58 8281168 ----a-w- c:\programdata\Microsoft\BingBar\BBSvc\7.1.391.0oemBingBarSetup-Partner.EXE
2012-07-29 21:10 . 2012-08-02 19:09 -------- d-----w- c:\programdata\7531CC8B000C0F7E02AD15AEF875F002
2012-07-27 18:07 . 2012-06-29 10:04 9133488 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{07CF810A-5AF0-4F0C-93D5-0013937C306F}\mpengine.dll
2012-07-11 21:23 . 2012-06-12 03:08 3148800 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-02 22:39 . 2012-05-02 18:05 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-08-02 22:39 . 2011-07-18 18:12 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-29 21:09 . 2009-07-13 23:19 328704 ----a-w- c:\windows\system32\services.exe
2012-07-11 21:22 . 2010-12-10 17:22 59701280 ----a-w- c:\windows\system32\MRT.exe
2012-07-03 11:46 . 2011-07-24 17:07 24904 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-02 22:19 . 2012-06-21 18:30 38424 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 18:30 2428952 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-21 18:30 57880 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 18:30 44056 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 18:30 701976 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:15 . 2012-06-21 18:30 2622464 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-21 18:30 99840 ----a-w- c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-21 18:29 186752 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-02 13:15 . 2012-06-21 18:29 36864 ----a-w- c:\windows\system32\wuapp.exe
2012-05-31 10:25 . 2010-12-10 14:44 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-05-15 04:01 . 2012-06-14 18:31 1188864 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 03:59 . 2012-06-14 18:31 64512 ----a-w- c:\windows\system32\jsproxy.dll
2012-05-15 03:03 . 2012-06-14 18:31 981504 ----a-w- c:\windows\SysWow64\wininet.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-07-13 17418928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" [2009-07-24 2245120]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"TurboV EVO"="c:\program files\ASUS\TurboV EVO\TurboV_EVO.exe" [2009-09-10 7322624]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-02 250056]
R3 AllShare;SAMSUNG AllShare Service;c:\samsung pc share manager\WiselinkPro.exe [2010-07-16 6638080]
R3 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\7.1.391.0\SeaPort.exe [2012-06-11 240208]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-20 113120]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-02-15 52736]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-12-10 1255736]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-29 136360]
S2 AsSysCtrlService;ASUS System Control Service;c:\program files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe [2009-08-19 90112]
S2 BBSvc;BingBar Service;c:\program files (x86)\Microsoft\BingBar\7.1.391.0\BBSvc.exe [2012-06-11 193616]
S2 DvmMDES;DeviceVM Meta Data Export Service;c:\asus.sys\config\DVMExportService.exe [2009-07-17 319488]
S2 LVPrcS64;Process Monitor;c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe [2009-10-07 191000]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
S3 LVPr2M64;Logitech LVPr2M64 Driver;c:\windows\system32\DRIVERS\LVPr2M64.sys [2009-10-07 30232]
S3 LVRS64;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs64.sys [2009-10-07 327704]
S3 LVUVC64;Logitech QuickCam E3500(UVC);c:\windows\system32\DRIVERS\lvuvc64.sys [2009-10-07 6379288]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2011-07-07 174184]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-05-22 215040]
S3 RTL85n64;Pilote du périphérique sans fil Realtek 8180/8185 Extensible 802.11;c:\windows\system32\DRIVERS\RTL85n64.sys [2009-06-10 378368]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-07-10 1222144]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-02 22:39]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
TCP: Interfaces\{D97D2CC6-6DDD-425C-9528-22F7A5E8B1AB}: NameServer = 80.10.246.2,80.10.246.129
FF - ProfilePath - c:\users\juju\AppData\Roaming\Mozilla\Firefox\Profiles\ggki18zy.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Wow6432Node-HKLM-Run-EoWeather - (no file)
AddRemove-Battlelog Web Plugins - c:\program files (x86)\Battlelog Web Plugins\uninstall.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-464746298-556870524-2526659788-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-464746298-556870524-2526659788-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_270_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_270_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Common Files\LogiShrd\LVMVFM\LVPrS64H.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files\ASUS\Six Engine\SixEngine.exe
c:\program files\ASUS\TurboV EVO\TurboVHELP.exe
.
**************************************************************************
.
Heure de fin: 2012-08-07 10:15:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-07 08:15
.
Avant-CF: 409 317 044 224 octets libres
Après-CF: 414 528 630 784 octets libres
.
- - End Of File - - FE19DBD88926C9B38FFF80D3C8BA3CC9

Lancez cet outil de diagnostic:

Zhpdiag 1.31

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônes


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur



Cliquez sur le bouton en haut, à droite et choisissez Tous
Pour éviter un blocage, décochez 045 et 061

Clic sur la Loupe en haut, à gauche pour lancer le scan
Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports
Cliquez sur ce bouton en haut, à droite
Appuyez sur Parcourir et chercher le rapport ,
Cliquer sur Envoyer [b]
>> dans la page suivante -->
Cliquer [b]Pjjoint Uploader ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Voici le lien du rapport zhpDiag :

Rapport zhg diag

Ce message a été modifié par hoch - 07 août 2012 - 10:36 .

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Ctrl+v pour inscrire le texte dans le Document
Vous ne verrez rien avant d'avoir Cliqué sur le H-


[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}] => Infection PUP (PUP.Eorezo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}] => Infection PUP (PUP.Eorezo)
[HKLM\Software\WOW6432Node\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom] => Infection PUP (PUP.OfferBox)
O4 - Global Startup: C:\Users\user\Desktop\The Settlers II - 10e Anniversaire - Éditeur de carte.lnk . (...) -- C:\Funatics\The Settlers II - 10e Anniversaire\bin\S2DNGEditor.exe (.not file.) => Fichier absent
O4 - Global Startup: C:\Users\user\Desktop\The Settlers II - 10e Anniversaire.lnk . (...) -- C:\Funatics\The Settlers II - 10e Anniversaire\bin\S2DNG.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{7DA4FBDB-F078-49EF-879C-2CD6EA3D732F}] (...) -- C:\Die Siedler - Aufbruch der Kulturen\bin\SADK.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{FF8DA1D3-A787-4FC8-9D63-F5733A16EFF4}] (...) -- C:\Die Siedler - Aufbruch der Kulturen\bin\SADK.exe (.not file.) => Fichier absent
SysRestore
EmptyFlash
EmptyTemp
FirewallRaz
Proxyfix
Hostfix




Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .
Redémarrer pour achever le nettoyage.
Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur
Copier-coller le rapport de suppression dans la prochaine réponse.


Télécharger SFT.exe de Pierre13.sur le BUREAU!
'il est impératif d'enregistrer le fichier SFT.exe sur le bureau avant de le lancer...
sinon s'expose à des soucis du genre Nettoyage complet du dossier Program Files...

Double clic (xp) sur SFT.exe.
Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
Patienter le temps du nettoyage...


Le rapport (SFT.txt)se trouvera sur le bureau
l'héberger sur Cjoint
Appuyez sur Parcourir et chercher le rapport ,
Cliquer sur Envoyer
>> dans la page suivante -->
CliquerPjjoint Uploader ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Ci dessous se trouve le rapport de ZHPFix. Pour info, les écrans ne sont plus exactement les mêmes. Après le nettoyage, le rapport a été créé (voir ci dessous), puis j'ai redemarré le pc.

Concernant SFT.exe, j'ai lancé le programme en tant qu'administrateur. Une fenêtre s'est affichée pour m'indiquer que la suppression des fichiers temporaires avait commencée. Puis au bout de quelques temps, windows m'a indiqué que le programme "Suppression fichiers temporaires a cessé de fonctionner".
Je n'ai donc pas de rapport.


Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre :
Run by juju at 07/08/2012 13:26:41
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : ZHPFix Fix de rapport
Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIME ProxyServer Value
SUPPRIME ProxyEnable Value
SUPPRIME EnableHttp1_1 Value
SUPPRIME ProxyHttp1.1 Value
SUPPRIME ProxyOverride Value

========== Dossier(s) ==========
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File: c:\users\user\desktop\the settlers ii - 10e anniversaire - Éditeur de carte.lnk
ABSENT File: c:\funatics\the settlers ii - 10e anniversaire\bin\s2dngeditor.exe
SUPPRIME File: c:\users\user\desktop\the settlers ii - 10e anniversaire.lnk
ABSENT File: c:\funatics\the settlers ii - 10e anniversaire\bin\s2dng.exe
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {7DA4FBDB-F078-49EF-879C-2CD6EA3D732F}
SUPPRIME Task: {FF8DA1D3-A787-4FC8-9D63-F5733A16EFF4}

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
14 : Valeur(s) du Registre
2 : Dossier(s)
6 : Fichier(s)
2 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 19s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 07/08/2012 13:26:41 [2355]

Ce message a été modifié par hoch - 07 août 2012 - 12:45 .

Citation

Je ne me l'explique pas.
Peut-être est-ce parce que Zhpfix avait fait une partie du travail !

Comment va la machine ?

Excellente. Merci. Y a t il encore des choses à faire ? Est ce que je peux désinstaller les outils que tu m'as fait installé ?

Ce logiciel peut désinstaller les outils utilisés pour la désinfection:
Télécharger DelFix de Xplode

Lancez-le.
Cliquez [Recherche]
puis [Suppression]

Un rapport va s'ouvrir à la fin, à coller dans la réponse

Enfin cliquer [Désinstallation]