Forums Zebulon.fr: [Résolu] ZAccess et multi-infection Security Tools et autres - Forums Zebulon.fr

Merci encore !
j'ai procédé exactement comme demandé
malware bytes a tourné sans probleme et a mis en quarantaine les fichiers infectés
le rapport est ci-dessous
mais lorsque j'ai fait tourner combofix celui ci m'a dit que ZAccess etait là !!!
je l'ai laissé faire et il a fait toutes les étapes, et m'a édité le rapport que je poste ci-dessous aussi
donc j'attends le verdict avec angoisse ...
en attendant j'ai sauvegarder toutes mes dernieres données sur D
Par contre je n'ai jamais pu faire de sauvegarde vista ou des pilotes du fujitsu siemens car mon lecteur CD/DVD n'a jamais fonctionné correctement !
donc reformater sera difficile avec vista !!
rapport malewarebytes :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Database version: 7683

Windows 6.0.6000
Internet Explorer 7.0.6000.16851

09/09/2011 16:41:31
mbam-log-2011-09-09 (16-41-31).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|)
Objects scanned: 376339
Time elapsed: 1 hour(s), 21 minute(s), 35 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Qoobox\quarantine\C\Windows\assembly\GAC_MSIL\desktop.ini.vir (Backdoor.0Access) -> Quarantined and deleted successfully.
c:\Windows\assembly\GAC_MSIL\Desktop.ini (Backdoor.0Access) -> Quarantined and deleted successfully.

et rapport combofix :
ComboFix 11-09-09.03 - Administrateur 09/09/2011 17:12:17.1.2 - x86
Lancé depuis: c:\users\Administrateur\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\pdfforge Toolbar\SeARchsettings.dll
c:\program files\pdfforge Toolbar\WiDGitoolbarie.dll
c:\programdata\hpeB84E.dll
c:\users\nathalie\cjrX6100FR.exe
c:\users\nathalie\Navilog1.exe
c:\users\Photoshop CS\AdobeLM.dll
c:\windows\$NtUninstallKB28586$
c:\windows\$NtUninstallKB28586$\565333492
c:\windows\$NtUninstallKB28586$\650819231\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
c:\windows\$NtUninstallKB28586$\650819231\L\qnbwvoto
c:\windows\system32\CddbCdda.dll
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-08-09 au 2011-09-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\users\Administrateur\AppData\Local\temp
2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\users\nathalie\AppData\Local\temp
2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\users\Gabriel\AppData\Local\temp
2011-09-07 23:40 . 2011-09-08 21:41 -------- d-----w- c:\windows\Standalone System Sweeper
2011-09-06 19:19 . 2011-09-06 19:48 -------- d-----w- C:\Kitty
2011-09-05 09:35 . 2011-09-05 09:35 -------- d-----w- c:\users\Administrateur\AppData\Local\Mozilla
2011-09-05 09:34 . 2011-09-05 09:34 -------- d-----w- C:\tdsskiller
2011-09-05 09:23 . 2011-09-05 09:52 -------- d-----w- C:\ZHP
2011-09-05 09:22 . 2011-09-05 09:52 -------- d-----w- c:\program files\ZHPDiag
2011-09-03 10:36 . 2011-09-05 09:50 -------- d-----w- C:\$Recycle(82).Bin
2011-09-03 10:15 . 2011-09-03 10:31 -------- d-----w- c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}
2011-09-02 17:36 . 2011-09-02 17:36 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
2011-09-02 17:09 . 2011-09-02 17:09 -------- d-----w- c:\users\nathalie\AppData\Local\PackageAware
2011-09-02 16:19 . 2011-09-04 16:47 -------- d-----w- c:\programdata\AVAST Software
2011-09-02 16:19 . 2011-09-02 16:19 -------- d-----w- c:\program files\AVAST Software
2011-09-02 09:26 . 2011-09-02 09:26 -------- d-----w- C:\MyHosts
2011-09-02 09:23 . 2011-09-02 09:23 -------- d-----w- c:\program files\Loaris
2011-09-02 05:57 . 2011-09-02 05:57 -------- d-----w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}
2011-09-02 05:43 . 2011-09-02 05:43 -------- d-----w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}
2011-08-31 16:44 . 2011-08-31 16:44 4194304 ----a-w- c:\windows\system32\qnbwvoto.dll
2011-08-31 13:33 . 2011-08-31 13:33 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple Computer
2011-08-31 12:33 . 2006-11-02 09:45 163840 ----a-w- c:\users\nathalie\taskmgr.exe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-08 11:19 . 2008-03-09 22:26 54784 ----a-w- c:\windows\system32\drivers\i8042prt.sys
2011-08-15 08:02 . 2011-05-25 07:54 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-07-12 09:20 . 2011-07-12 09:20 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-07-06 17:52 . 2010-01-28 07:55 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2010-01-28 07:55 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-07-19 16:29 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2009-09-18 16:48 2412032 ----a-w- c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
c:\program files\Picasa2\PicasaMediaDetector.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\recinfo199]
2007-10-23 12:52 2764800 ----a-w- c:\recinfo\RecInfo.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-04-21 12:39 24264488 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2011-04-30 18:48 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2008-05-06 08:42 202088 ----a-w- c:\program files\TomTom HOME 2\HOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-10 03:23 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 130140]
R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-09-18 8716]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-07-23 112128]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-07-23 100736]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2009-03-25 86824]
R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2009-03-25 15016]
R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2009-03-25 114728]
R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2009-03-25 106208]
R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2009-03-25 26024]
R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2009-03-25 104744]
R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2009-03-25 109864]
R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 151648]
R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-08 92008]
S2 EPSON_EB_RPCV4_04;EPSON V5 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [2009-09-14 153600]
S2 EPSON_PM_RPCV4_04;EPSON V3 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [2009-09-14 121856]
S2 eStantLaunchService;BboxUpdate;c:\program files\BboxUpdate\eSRunService.exe [2008-04-29 17512]
S2 lxbf_device;lxbf_device;c:\windows\system32\lxbfcoms.exe [2007-04-24 529208]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]
S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-09 c:\windows\Tasks\User_Feed_Synchronization-{D41319F3-B4BE-4A01-8CD2-41F0D487C58C}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\4gdr2410.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-18165165.sys
SafeBoot-61673917.sys
AddRemove-{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-09-09 17:26
Windows 6.0.6000 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-09-09 17:30:24
ComboFix-quarantined-files.txt 2011-09-09 15:30
ComboFix2.txt 2011-09-03 10:41
.
Avant-CF: 36 803 178 496 octets libres
Après-CF: 37 005 938 688 octets libres
.
- - End Of File - - CC84263427781FCF521EBAAAF70DE110


merci encore !!

Bonsoir,

Je vois sur votre machine Avast, McAfee, Symantec et Antivir.
Je vous rappelle qu'il ne faut qu'un seul antivirus actif.
Je vous rappelle aussi que je serai absent toute la semaine.
Désolé de ne pas avoir pu en terminer.

Combo, Nettoyage
Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Dans certaines circonstances , le Mode sans échec peut être nécessaire
Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

# Dans le bloc-note ,copiez-collez ces lignes :
KillAll::
DirLook::
c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}
c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}
c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}
c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}

File::
c:\windows\system32\qnbwvoto.dll

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
Enregistrez-le en lui donnant le nom CFScript.txt
Ouvrez Combofix
* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe


* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.
* Patienter le temps du scan.
Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.

Le rapport de ComboFix ne s'affichera qu'à la fin
Poster son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Ce message a été modifié par pear - 09 septembre 2011 - 05:48 .

Merci encore pour ce super travail ! et excellentes vacances !
je poste à tout hasard le nouveau rapport combofix
ComboFix 11-09-09.03 - Administrateur 09/09/2011 19:28:51.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3070.2007 [GMT 2:00]
Lancé depuis: c:\users\Administrateur\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Administrateur\Desktop\CFScript.txt
.
FILE ::
"c:\windows\system32\qnbwvoto.dll"
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-08-09 au 2011-09-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-09 17:40 . 2011-09-09 17:58 -------- d-----w- c:\users\Administrateur\AppData\Local\temp
2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\users\nathalie\AppData\Local\temp
2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\users\Gabriel\AppData\Local\temp
2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-09 15:02 . 2011-09-09 15:02 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple
2011-09-07 23:40 . 2011-09-08 21:41 -------- d-----w- c:\windows\Standalone System Sweeper
2011-09-06 19:19 . 2011-09-06 19:48 -------- d-----w- C:\Kitty
2011-09-05 09:35 . 2011-09-05 09:35 -------- d-----w- c:\users\Administrateur\AppData\Local\Mozilla
2011-09-05 09:34 . 2011-09-05 09:34 -------- d-----w- C:\tdsskiller
2011-09-05 09:23 . 2011-09-05 09:52 -------- d-----w- C:\ZHP
2011-09-05 09:22 . 2011-09-05 09:52 -------- d-----w- c:\program files\ZHPDiag
2011-09-03 10:36 . 2011-09-05 09:50 -------- d-----w- C:\$Recycle(82).Bin
2011-09-03 10:15 . 2011-09-03 10:31 -------- d-----w- c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}
2011-09-02 17:36 . 2011-09-02 17:36 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
2011-09-02 17:09 . 2011-09-02 17:09 -------- d-----w- c:\users\nathalie\AppData\Local\PackageAware
2011-09-02 16:19 . 2011-09-04 16:47 -------- d-----w- c:\programdata\AVAST Software
2011-09-02 16:19 . 2011-09-02 16:19 -------- d-----w- c:\program files\AVAST Software
2011-09-02 09:26 . 2011-09-02 09:26 -------- d-----w- C:\MyHosts
2011-09-02 09:23 . 2011-09-02 09:23 -------- d-----w- c:\program files\Loaris
2011-09-02 05:57 . 2011-09-02 05:57 -------- d-----w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}
2011-09-02 05:43 . 2011-09-02 05:43 -------- d-----w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}
2011-08-31 16:44 . 2011-08-31 16:44 4194304 ----a-w- c:\windows\system32\qnbwvoto.dll
2011-08-31 13:33 . 2011-08-31 13:33 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple Computer
2011-08-31 12:33 . 2006-11-02 09:45 163840 ----a-w- c:\users\nathalie\taskmgr.exe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-08 11:19 . 2008-03-09 22:26 54784 ----a-w- c:\windows\system32\drivers\i8042prt.sys
2011-08-15 08:02 . 2011-05-25 07:54 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-07-12 09:20 . 2011-07-12 09:20 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-07-06 17:52 . 2010-01-28 07:55 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2010-01-28 07:55 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42} ----
.
2011-09-02 17:36 . 2011-09-02 17:36 693 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.bitness.log
2011-09-02 17:36 . 2011-09-02 17:36 586 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.weight.log
2011-09-02 17:36 . 2011-09-02 17:36 8039 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.data.log
2011-09-02 17:36 . 2011-09-02 17:36 1367 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.elements.log
.
---- Directory of c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e} ----
.
2011-08-29 04:12 . 2011-08-29 04:12 12113 ----a-w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}\sa0102usb86.cat
2011-05-31 07:16 . 2011-05-31 07:16 7219 ----a-w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}\sa0102adb.inf
.
---- Directory of c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc} ----
.
2011-08-29 04:12 . 2011-08-29 04:12 12113 ----a-w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}\sa0102usb86.cat
2011-05-31 07:16 . 2011-05-31 07:16 7219 ----a-w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}\sa0102adb.inf
.
---- Directory of c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb} ----
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-07-19 16:29 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2009-09-18 16:48 2412032 ----a-w- c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
c:\program files\Picasa2\PicasaMediaDetector.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\recinfo199]
2007-10-23 12:52 2764800 ----a-w- c:\recinfo\RecInfo.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-04-21 12:39 24264488 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2011-04-30 18:48 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2008-05-06 08:42 202088 ----a-w- c:\program files\TomTom HOME 2\HOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-10 03:23 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 130140]
R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-09-18 8716]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-07-23 112128]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-07-23 100736]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2009-03-25 86824]
R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2009-03-25 15016]
R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2009-03-25 114728]
R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2009-03-25 106208]
R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2009-03-25 26024]
R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2009-03-25 104744]
R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2009-03-25 109864]
R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 151648]
R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-08 92008]
S2 EPSON_EB_RPCV4_04;EPSON V5 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [2009-09-14 153600]
S2 EPSON_PM_RPCV4_04;EPSON V3 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [2009-09-14 121856]
S2 eStantLaunchService;BboxUpdate;c:\program files\BboxUpdate\eSRunService.exe [2008-04-29 17512]
S2 lxbf_device;lxbf_device;c:\windows\system32\lxbfcoms.exe [2007-04-24 529208]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]
S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-09 c:\windows\Tasks\User_Feed_Synchronization-{D41319F3-B4BE-4A01-8CD2-41F0D487C58C}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\4gdr2410.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-09-09 19:57
Windows 6.0.6000 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(2924)
c:\windows\system32\BsLangInDepRes.dll
c:\windows\system32\Bs2Res.dll
c:\program files\palmOne\PqiIcon.dll
c:\program files\palmOne\UserData.dll
c:\program files\Nokia\Nokia PC Suite 7\phonebrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Common Files\EPSON\EBAPI\eEBSVC.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\SAgent4.exe
c:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conime.exe
c:\windows\ehome\mcupdate.EXE
.
**************************************************************************
.
Heure de fin: 2011-09-09 20:10:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-09-09 18:10
ComboFix2.txt 2011-09-09 15:30
ComboFix3.txt 2011-09-03 10:41
.
Avant-CF: 38 781 300 736 octets libres
Après-CF: 38 727 430 144 octets libres
.
- - End Of File - - A8AF74CAC195E7E0A55E256D46359449

Bonsoir,

Un reste:

Combo, Nettoyage
Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Dans certaines circonstances , le Mode sans échec peut être nécessaire
Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

# Dans le bloc-note ,copiez-collez ces lignes :
KillAll::
File::
c:\recinfo\RecInfo.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\recinfo199]


* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
Enregistrez-le en lui donnant le nom CFScript.txt
Ouvrez Combofix
* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe


* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.
* Patienter le temps du scan.
Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.

Le rapport de ComboFix ne s'affichera qu'à la fin
Poster son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt



Faites le point sur les antivirus présents et Java.

Bonjour !
Je vous suis infiniment reconnaissante d'avoir fait des prolongations hier soir !
Combofix a tourné très vite, le rapport est ci-après, j'ai l'impression que le virus est définitivement éliminé ! J'avais perdu espoir car je lisais partout qu'il était quasi invincible et qu'il fallait tout reformater (donc des heures et des heures de réinstallation, reparamétrages, plus le risque pour moi de ne pas pouvoir réinstaller Vista du fait de mon lecteur CD/DVD défaillant) !
Après avoir résolu le problème du mot de passe, j'ai suivi à la lettre vos instructions et je vous remercie pour ces petits programmes écrits spécialement pour moi !
Pour les antivirus, j'avais installé avast pensant que avira etait défaillant (impossible d'ouvrir le webguard) mais c'est ZAccess qui l'avait mis KO ! Mc Caffee etait livré directement avec vista et je n'ai jamais réussi à le désinstaller ! Je vais donc essayer de tout bien nettoyer pour n'en laisser qu'un seul ! Quant à Java, je n'ai jamais compris à quoi cela servait! Que pensez vous de l'antivirus gratuit de windows ? la version beta sur clé bootable m'a rendu un fier service pour débloquer la situation !
Je vous souhaite donc d'excellentes vacances ...
Et encore un gros MERCI pour tout
Nathalie

Je pense qu'il faut encourager des sites tels que le vôtre par des dons réguliers, ils sont le seul rempart pour nous simples novices, face au hackers qui développent de tel virus comme ZAccess ! cependant je n'arrive pas à trouver le lien pour les dons ? est ce possible ?

Voici le rapport combofix
ComboFix 11-09-09.03 - Administrateur 10/09/2011 7:35.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3070.2233 [GMT 2:00]
Lancé depuis: c:\users\Administrateur\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Administrateur\Desktop\CFScript.txt
.
FILE ::
"c:\recinfo\RecInfo.exe"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\recinfo\RecInfo.exe
c:\users\nathalie\Taskmgr.exe
c:\users\Public\Desktop\Security Protection.lnk
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-08-10 au 2011-09-10 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-10 05:41 . 2011-09-10 05:42 -------- d-----w- c:\users\Administrateur\AppData\Local\temp
2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\users\nathalie\AppData\Local\temp
2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\users\Gabriel\AppData\Local\temp
2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-09 15:02 . 2011-09-09 15:02 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple
2011-09-07 23:40 . 2011-09-08 21:41 -------- d-----w- c:\windows\Standalone System Sweeper
2011-09-06 19:19 . 2011-09-06 19:48 -------- d-----w- C:\Kitty
2011-09-05 09:35 . 2011-09-05 09:35 -------- d-----w- c:\users\Administrateur\AppData\Local\Mozilla
2011-09-05 09:34 . 2011-09-05 09:34 -------- d-----w- C:\tdsskiller
2011-09-05 09:23 . 2011-09-05 09:52 -------- d-----w- C:\ZHP
2011-09-05 09:22 . 2011-09-05 09:52 -------- d-----w- c:\program files\ZHPDiag
2011-09-03 10:36 . 2011-09-05 09:50 -------- d-----w- C:\$Recycle(82).Bin
2011-09-03 10:15 . 2011-09-03 10:31 -------- d-----w- c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}
2011-09-02 17:36 . 2011-09-02 17:36 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
2011-09-02 17:09 . 2011-09-02 17:09 -------- d-----w- c:\users\nathalie\AppData\Local\PackageAware
2011-09-02 16:19 . 2011-09-04 16:47 -------- d-----w- c:\programdata\AVAST Software
2011-09-02 16:19 . 2011-09-02 16:19 -------- d-----w- c:\program files\AVAST Software
2011-09-02 09:26 . 2011-09-02 09:26 -------- d-----w- C:\MyHosts
2011-09-02 09:23 . 2011-09-02 09:23 -------- d-----w- c:\program files\Loaris
2011-09-02 05:57 . 2011-09-02 05:57 -------- d-----w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}
2011-09-02 05:43 . 2011-09-02 05:43 -------- d-----w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}
2011-08-31 16:44 . 2011-08-31 16:44 4194304 ----a-w- c:\windows\system32\qnbwvoto.dll
2011-08-31 13:33 . 2011-08-31 13:33 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple Computer
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-08 11:19 . 2008-03-09 22:26 54784 ----a-w- c:\windows\system32\drivers\i8042prt.sys
2011-08-15 08:02 . 2011-05-25 07:54 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-07-12 09:20 . 2011-07-12 09:20 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-07-06 17:52 . 2010-01-28 07:55 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2010-01-28 07:55 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-07-19 16:29 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2009-09-18 16:48 2412032 ----a-w- c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
c:\program files\Picasa2\PicasaMediaDetector.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-04-21 12:39 24264488 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2011-04-30 18:48 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2008-05-06 08:42 202088 ----a-w- c:\program files\TomTom HOME 2\HOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-10 03:23 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 130140]
R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-09-18 8716]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-07-23 112128]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-07-23 100736]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2009-03-25 86824]
R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2009-03-25 15016]
R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2009-03-25 114728]
R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2009-03-25 106208]
R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2009-03-25 26024]
R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2009-03-25 104744]
R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2009-03-25 109864]
R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 151648]
R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-08 92008]
S2 EPSON_EB_RPCV4_04;EPSON V5 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [2009-09-14 153600]
S2 EPSON_PM_RPCV4_04;EPSON V3 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [2009-09-14 121856]
S2 eStantLaunchService;BboxUpdate;c:\program files\BboxUpdate\eSRunService.exe [2008-04-29 17512]
S2 lxbf_device;lxbf_device;c:\windows\system32\lxbfcoms.exe [2007-04-24 529208]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]
S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-10 c:\windows\Tasks\User_Feed_Synchronization-{D41319F3-B4BE-4A01-8CD2-41F0D487C58C}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\4gdr2410.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-09-10 07:43
Windows 6.0.6000 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(3932)
c:\windows\system32\BsLangInDepRes.dll
c:\windows\system32\Bs2Res.dll
c:\program files\palmOne\PqiIcon.dll
c:\program files\palmOne\UserData.dll
c:\program files\Nokia\Nokia PC Suite 7\phonebrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Common Files\EPSON\EBAPI\eEBSVC.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\SAgent4.exe
c:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\conime.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2011-09-10 07:49:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-09-10 05:49
ComboFix2.txt 2011-09-09 18:10
ComboFix3.txt 2011-09-09 15:30
ComboFix4.txt 2011-09-03 10:41
.
Avant-CF: 39 137 320 960 octets libres
Après-CF: 39 178 608 640 octets libres
.
- - End Of File - - 2E2E555FDEAFD8AFD4974F3C880510A5

Sujet en stand-by.
Autre action en cours là-bas.

Bonjour,

Curieux que rien n'ait bougé depuis le 11/09 .



Spybot, totalement obsolète va être désinstallé.Vous pourrez utiliser Mbam pour le remplacer.
Auparavant, vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots



Cliquer sur l'icône Zhpfix qui est sur votre bureau
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:

EmptyTemp

[HKCU\Software\2712425CD298393FE7BDC288EAA7E90D] => Infection Rogue (Rogue.Multiple)
[HKCU\Software\AppDataLow\Software\pdfforge] => Infection BT (PUP.Dealio)
[HKCU\Software\Search Settings] => Infection PUP (PUP.Dealio)
[HKLM\Software\Search Settings] => Infection PUP (PUP.Dealio)
[HKLM\Software\pdfforge] => Infection BT (PUP.Dealio)
[HKCU\Software\Microsoft\Internet Explorer\lowregistry\search settings] => Infection BT (PUP.Dealio)
[HKLM\Software\Classes\Toolbar.CT1460988] => Infection BT (Adware.Agent)
[HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}] => Infection BT (Adware.BHO)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] => Infection PUP (PUP.Dealio)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:Security Protection => Infection Rogue (Rogue.Multiple)
[HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit
[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit
[HKLM\Software\Conduit] => Toolbar.Conduit
[HKLM\Software\Classes\toolband.easyhidebtn] => Toolbar.Agent
[HKLM\Software\Classes\toolband.easyhidebtn.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.skypeiehelper] => Toolbar.Agent
[HKLM\Software\Classes\toolband.skypeiehelper.1] => Toolbar.Agent
[HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}] => Toolbar.Agent
[HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit
[HKLM\Software\Conduit] => Toolbar.Conduit
[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit

C:\Program Files\Loaris => Infection Rogue (Rogue.Loaris)
C:\Program Files\pdfforge Toolbar => Infection BT (Adware.WidgiToolbar)
C:\Program Files\Mozilla Firefox\Extensions\search@searchsettings.com => Infection BT (PUP.Dealio)
C:\Program Files\Conduit => Toolbar.Conduit
C:\Users\nathalie\AppData\LocalLow\Conduit => Toolbar.Conduit
C:\Users\nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\v05zoday.default\Conduit => Toolbar.Conduit
[MD5.046FDFBED237C989A01394AC4DE3416C] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [381760] [PID.]

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (...) (No version) -- (.not file.) => Infection PUP (PUP.Dealio)
O4 - HKCU\..\Run: [Security Protection] C:\ProgramData\defender.exe (.not file.) => Infection Rogue (Rogue.SecurityEssentials)
O4 - HKUS\S-1-5-21-3041534539-887769141-2093020280-1000\..\Run: [Security Protection] C:\ProgramData\defender.exe (.not file.) => Infection Rogue (Rogue.SecurityEssentials)
O4 - HKCU\..\Run: [Trujeqoharus] C:\Users\nathalie\AppData\Local\sthernt.dll (.not file.) => Fichier absent
O4 - HKUS\S-1-5-21-3041534539-887769141-2093020280-1000\..\Run: [Trujeqoharus] C:\Users\nathalie\AppData\Local\sthernt.dll (.not file.) => Fichier absent
O4 - Global Startup: C:\Users\nathalie\Desktop\Informations en ligne sur Windows Live - Raccourci.lnk - Clé orpheline => Orphean Key not necessary
O4 - Global Startup: C:\Users\nathalie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\hjt.exe - Raccourci.lnk . (...) -- C:\HijackThis\hjt.exe (.not file.) => Fichier absent
O4 - Global Startup: C:\Users\nathalie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet - Raccourci (2).lnk - Clé orpheline => Orphean Key not necessary
O4 - Global Startup: C:\Users\nathalie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet - Raccourci.lnk - Clé orpheline => Orphean Key not necessary
[MD5.00000000000000000000000000000000] [APT] [126ae580] (...) -- C:\Users\nathalie\AppData\Local\Temp\setup4257722752.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [d3b6cd58] (...) -- C:\Users\nathalie\AppData\Local\Temp\setup2859492696.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [eddd2c00] (...) -- C:\Users\nathalie\AppData\Local\Temp\setup1573894912.exe (.not file.) => Fichier absent
[MD5.92F80407F8BF51E26543D373EEDE3143] [APT] [{E7A426D3-5948-446A-997C-15155EFE46EF}] (...) -- C:\Program Files\Spybot - Search & Destroy\unins001.exe
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D
O43 - CFD: 02/09/2011 - 11:23:26 - [6164161] ----D- C:\Program Files\Loaris => Infection Rogue (Rogue.Loaris)
O43 - CFD: 09/09/2011 - 17:25:40 - [109127] ----D- C:\Program Files\pdfforge Toolbar => Infection BT (Adware.WidgiToolbar)
O43 - CFD: 10/09/2011 - 23:19:28 - [21817041] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 10/09/2011 - 23:19:28 - [37235] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 09/06/2010 - 13:09:02 - [529408] ----D- C:\Program Files\Conduit => Toolbar.Conduit
O51 - MPSK:{049fc7e8-0d3b-11e0-aac7-00030d8967ef}\AutoRun\command. (...) -- F:\setup_vmc_lite.exe (.not file.) => Fichier absent
O51 - MPSK:{23b92f0f-0c3f-11e0-bad5-00030d8967ef}\AutoRun\command. (...) -- F:\setup_vmc_lite.exe (.not file.) => Fichier absent
O51 - MPSK:{23b92f27-0c3f-11e0-bad5-00030d8967ef}\AutoRun\command. (...) -- F:\setup_vmc_lite.exe (.not file.) => Fichier absent
O69 - SBI: prefs.js [nathalie - v05zoday.default] user_pref("CT1460988.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1460988 => Toolbar.Conduit
O69 - SBI: prefs.js [nathalie - v05zoday.default] user_pref("CT1460988.ct1670222.SearchEngine", "Recherche||http://search.conduit.com/Results.aspx? => Toolbar.Conduit
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)
O87 - FAEL: "TCP Query User{147B60EC-120D-4D89-9266-8D41F40BDE87}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)
O87 - FAEL: "UDP Query User{A2821550-0926-4863-9A94-B45A3F743F31}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)
O87 - FAEL: "TCP Query User{328F6276-1DE3-418B-A86B-99046C20D468}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)
O87 - FAEL: "UDP Query User{6ADDBD6F-8EEE-404E-8EAD-3BD18C7B69EE}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)
O87 - FAEL: "TCP Query User{59432E05-835B-4287-B23F-70C5EAC97EA6}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{900C70D9-335B-41B7-9FEA-E433684FAF64}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent
O87 - FAEL: "{4D4536F1-3C76-4690-A2DB-AEA25CAF8484}" |In - Public - P6 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent
O87 - FAEL: "{169B8712-EE2E-4637-B7CD-EEE0FDBA90B3}" |In - Public - P17 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent
O87 - FAEL: "{37DDEEEE-4B6A-489E-8C06-399DA4B08F10}" |In - Private - P6 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent
O87 - FAEL: "{2BE97901-2ABB-419C-9459-11CE130F80DB}" |In - Private - P17 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{4C37DEE0-983B-4D55-A2AA-7858B40E6F5E}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{F0A36B57-C097-49A8-A415-A7E925E534C2}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent
M2 - MFEP: prefs.js [nathalie - v05zoday.default\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}] [babylon] myBabylon English Toolbar v2.6.0.15 (.Conduit Ltd..) => myBabylon English Toolbar
O87 - FAEL: "{5DD8C959-44FD-48D6-BFEC-A4F3BE609EFC}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{B0105895-D551-4039-B82B-1367C0123E0A}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{19E9B644-2AA5-4DCD-BA57-93A69E63763B}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{12964DD8-A09B-40A8-B2FD-A8F84286F591}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe


Cliquez ensuite sur le H-
Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .
Acceptez de Redémarrer pour achever le nettoyage.
Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur
Copier-coller le rapport de suppression dans la prochaine réponse.

Bonjour et merci pour vos indications !
En fait j'ai été réorienté sur Tigzy qui a terminé la désinfection. Je pense que maintenant tout est OK, voir le lien juste au dessus
Merci encore à tous ! vous m'avez libéré d'un sacré pétrin ! ce virus Zaccess est vraiment une horreur !

Bonjour Greve, salut Pear (content de te revoir) !

Si tu considères la question réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet. Pour ce faire, je te suggère de consulter ce tutoriel de Thorgal…

@+
Dylav

TOUT EST OK MAINTENANT !! MON ORDINATEUR SEMBLE PARFAITEMENT NETTOYé DE TOUS SES VIRUS !
MERCI ENCORE A PEAR sur Zebulon.fr et TIGZY surlatoile.com ! merci à vous deux pour vos relais sans faille dans la solution de ce problème malgré mes cafouillages de l'un à l'autre site !! bravo