[ToolKit.Zero.Access - Fatale Infection !?]

Sujet identique il y a une semaine et même symptômes. Solution après plein d'essai => Formatage en règle

 

Cordialement

[Rootkit zeroaccess]

Bon pb réglé avec un bon formatage en règle. Merci du temps passé à m'aider.

Le sujet peut être clos.

 

Cordialement

[Rootkit zeroaccess]

Bonjour,

 

Alors quoi que je fasse, tout plante après un redémarrage, mon antivirus et MalwareBytes ont des fichiers corrompus après chaque reboot. J'ai donc décidé, à grands regrets, de lancer le formatage de mon PC.

Demain, je pense passer à l'acte, ceci après le transfert d'un certain nombre de fichiers importants qui vont être passés à la loupe par Antivir et MalwareBytes dans la nuit sur mon DDE.

Je vous tiens au courant si tout ce passe bien et ce sujet pourra être clos.

 

Je remercie encore sincèrement pear qui a pris le temps d'étudier mon cas !

 

Cordialement

 

 

[Rootkit zeroaccess]

Eh bien quoi que je fasse mon infection est toujours présente, peu importe le nombre de fois où je lance des tests online ou offline. Que puis-je faire de plus avant d'envisager un formatage préjudiciable ?

 

Cordialement

 

EDIT : si je branche ma ligne, oui j'accède aux sites malgré plusieurs rafraichissements des pages net nécessaires pour les afficher. Pour le PC comme je n'ai pas retenté de réinstaller spybot ou avira, je ne sais s'ils seront fonctionnels.

Je vais faire le test au plus vite.

[Rootkit zeroaccess]

Bonjour,

 

Pour ce qui est de la première commande à faire, j'ai fait une mauvaise manip' et je l'ai lancé à 2 reprises. Dans le premier fichier txt, il y avait toujours marqué cannot access à toutes les lignes pour le second rapport, voici le résultat :

Running from: C:\Users\Bureau\Desktop\win32kdiag.exe

 

Log file at : C:\Users\Bureau\Desktop\Win32kDiag.txt

 

Removing all found mount points.

 

Attempting to reset file permissions.

 

WARNING: Could not get backup privileges!

 

Searching 'C:\Windows'...

 

 

 

Found symbolic link : C:\Windows\$NtUninstallKB40387$

 

Found symlink destination : \Device\null\setup

 

Removing symbolic link : C:\Windows\$NtUninstallKB40387$

 

 

 

Finished!

 

Pour ce qui est du fichier en question, Jotti et virus total le trouve clean.

 

Pour le nom du rootkit, je l'ai su en lançant ComboFix, il y a une fenêtre qui s'ouvre, la voici :

 

Petit problème supplémentairement, depuis que j'ai lancé de nouveau ComboFix pour avoir cette image, il a voulu supprimer un fichier qui était apparement impossible de supprimer pour lui car par les droits suffisants, donc j'ai mis annuler ou ignorer et là ComboFix bloque sur la fenêtre bleu en disant" Compte rendu en cours de préparation - Ne lancez aucun programme tant que ComboFix n'est pas fini" mais bon ça fait déjà plus d'un 1/4 d'heure.

 

Merci de persévérer avec moi.

 

Que faire après et surtout dois-je faire un reset de ma machine ou pas ?!?!?!?

 

EDIT : je précise que mon bureau n'est plus accessible et que seul l'écran bleu et mon fond d'écran sont visibles.

 

EDIT 1 : j'ai fait un reset car rien n'était possible et ouf apparemment mon système démarre correctement

[Rootkit zeroaccess]

Bonjour,

 

Tout d'abord merci de prendre le temps de me répondre.

Je précise que depuis mes problèmes j'ai coupé internet sur le PC concerné et j'ai désinstallé SpyBot et Avira. Cela m'évite de choper encore de méchants virus et je poste d'un autre PC.

Je viens de lancer le petit programme Win32kDiag.exe et voici le résultat obtenu :

 

Running from: C:\Users\Bureau\Desktop\Win32kDiag.exe

 

Log file at : C:\Users\Bureau\Desktop\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\Windows'...

 

 

 

Found symbolic link : C:\Windows\$NtUninstallKB40387$

 

Found symlink destination : \Device\null\setup

 

Cannot access: C:\Windows\CSC\v2.0.6\pq

 

[1] 2011-02-02 09:25:19 64 C:\Windows\CSC\v2.0.6\pq ()

 

 

 

Cannot access: C:\Windows\CSC\v2.0.6\temp\ea-{0af968cf-2e52-11e0-bf2e-fc197a61c20c}

 

[1] 2011-02-02 09:25:19 0 C:\Windows\CSC\v2.0.6\temp\ea-{0af968cf-2e52-11e0-bf2e-fc197a61c20c} ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

 

[1] 2011-07-19 22:17:00 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl

 

[1] 2011-07-19 22:16:54 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl

 

[1] 2011-07-19 22:16:54 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl

 

[1] 2011-07-19 22:16:54 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl

 

[1] 2011-07-19 22:17:15 0 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl

 

[1] 2011-07-19 22:17:18 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl ()

 

 

 

Cannot access: C:\Windows\System32\MRT.exe

 

[1] 2011-07-14 11:03:46 49089992 C:\Windows\System32\MRT.exe ()

 

 

 

Cannot access: C:\Windows\System32\sppcomapi.dll

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\System32\sppcomapi.dll ()

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\winsxs\x86_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7600.16385_none_5b97f4df0025c6e9\sppcomapi.dll ()

 

 

 

Cannot access: C:\Windows\winsxs\x86_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7600.16385_none_5b97f4df0025c6e9\sppcomapi.dll

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\System32\sppcomapi.dll ()

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\winsxs\x86_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7600.16385_none_5b97f4df0025c6e9\sppcomapi.dll ()

 

 

 

 

 

Finished!

 

 

Je vous écoute pour la suite des festivités :=)

MErci encore

[Rootkit zeroaccess]

Bonjour,

 

Alors voilà mon assez gros problème, j'ai chopé un virus assez méchant à en voir la façon dont mes logiciels de sécurité se comportent. En effet depuis l'utilisation d'un petit fichier, tous mes logiciels de protection sont incapables de se lancer, juste le résident peut être actif. J'ai donc tenté des solutions en ligne reparant toutes des infections sauf qu'à chaque re-scan de nouveaux fichiers sont infectés par des infections différentes. Après avoir un peu visité des forums, j'ai vu qu'il était possible d'utiliser un utilitaire assez puissant nommé "ComboFix", je l'ai donc lancé ainsi que TDSSKIller. Pour ComboFix, il me dit que mon infection est assez vicieuse et que sont doux nom est le suivant : ROOTKIT ZEROACCESS. TDSSKILLER quant à lui ne trouve que des fichiers suspicieux mais pas d'infections à proprement parlé.

Ce rootkit fonctionne apparemment de la manière suivant, il sert de passerelle pour le téléchargement de tous les malwares qu'il peut chopé sur le net et installé sur votre bécane.

 

Voici ci-après mon rapport ComboFix

 

Je remercie d'avance tout ceux qui seront en mesure de m'aider dans ce moment assez agaçant.

 

Cordialement

 

Koku

 

Rapport :

ComboFix 11-07-17.03 - Bureau 19/07/2011 11:45:15.2.2 - x86

Microsoft Windows 7 Professionnel N 6.1.7600.0.1252.33.1036.18.3327.2386 [GMT 11:00]

Lancé depuis: c:\users\Bureau\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

FW: Avira FireWall *Disabled* {31341D0C-2EA1-6D37-1CC3-F0344A49C2CC}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\assembly\GAC_MSIL\desktop.ini

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-06-19 au 2011-07-19 ))))))))))))))))))))))))))))))))))))

.

.

2011-07-19 00:49 . 2011-07-19 00:50 -------- d-----w- c:\users\Bureau\AppData\Local\temp

2011-07-19 00:49 . 2011-07-19 00:49 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-07-17 19:05 . 2011-07-17 02:16 133208 ----a-w- c:\windows\system32\drivers\66596831.sys

2011-07-17 16:31 . 2011-07-17 16:31 258352 ----a-w- c:\windows\system32\unicows.dll

2011-07-17 10:49 . 2011-06-19 21:57 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{83A8D252-F54A-4356-91A2-C7F3139E21B1}\mpengine.dll

2011-07-17 10:49 . 2011-05-24 08:14 222080 ------w- c:\windows\system32\MpSigStub.exe

2011-07-17 10:31 . 2011-07-17 10:31 -------- d-----w- c:\programdata\Kaspersky Lab

2011-07-17 09:51 . 2011-07-17 09:51 388096 ----a-r- c:\users\Bureau\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-07-17 09:51 . 2011-07-17 09:51 -------- d-----w- c:\program files\Trend Micro

2011-07-17 09:22 . 2011-07-17 11:28 -------- d-----w- c:\windows\avxoscan

2011-07-17 09:04 . 2011-07-17 09:04 -------- d--h--w- c:\windows\PIF

2011-07-17 08:39 . 2009-06-29 23:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys

2011-07-17 08:39 . 2011-07-17 08:39 -------- d-----w- c:\program files\Panda Security

2011-07-17 08:23 . 2011-07-17 09:46 -------- d-----w- c:\windows\BDOSCAN8

2011-07-17 01:40 . 2011-07-18 07:33 -------- d-----w- c:\users\Bureau\AppData\Roaming\GetRightToGo

2011-07-09 02:23 . 2011-07-09 02:23 -------- d-----w- c:\program files\Flash Movie Player

2011-07-09 02:22 . 2011-07-09 02:23 -------- d-----w- c:\users\Bureau\AppData\Roaming\OpenWith.org Downloaded Setups

2011-07-09 02:12 . 2011-07-09 02:12 -------- d-----w- c:\program files\tamasoftware

2011-07-08 05:44 . 2011-07-08 05:44 -------- d-----w- c:\program files\Apple Software Update

2011-07-04 06:35 . 2011-07-13 14:41 -------- d-----w- c:\users\UpdatusUser

2011-07-03 08:17 . 2011-07-03 08:17 -------- d-----w- c:\users\Bureau\AppData\Local\Cooliris

2011-07-01 13:55 . 2011-07-14 23:14 -------- d-----w- C:\Mes Sites Web

2011-06-29 13:05 . 2011-06-29 13:05 -------- d-----w- c:\program files\MSI

2011-06-28 23:07 . 2011-05-24 10:35 294912 ----a-w- c:\windows\system32\umpnpmgr.dll

2011-06-26 11:03 . 2011-07-09 02:22 -------- d-----w- c:\users\Bureau\AppData\Roaming\OpenWith.org Cache

2011-06-26 11:02 . 2011-06-26 11:02 -------- d-----w- c:\program files\OpenWith.org Desktop Tool

2011-06-22 05:17 . 2011-06-22 05:17 2106216 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_43.dll

2011-06-22 05:17 . 2011-06-22 05:17 1998168 ----a-w- c:\program files\Mozilla Firefox\d3dx9_43.dll

2011-06-19 13:00 . 2011-06-19 13:00 -------- d-----w- c:\programdata\Boole & Partners

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-06-24 23:48 . 2011-05-21 23:12 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-06-07 23:53 . 2011-06-13 20:30 10915840 ----a-w- c:\windows\system32\libmfxhw32.dll

2011-06-07 23:53 . 2011-06-13 20:30 10833920 ----a-w- c:\windows\system32\libmfxsw32.dll

2011-06-07 06:20 . 2011-06-13 20:29 1700352 ----a-w- c:\windows\system32\GdiPlus.dll

2011-06-07 06:20 . 2011-06-13 20:29 974848 ----a-w- c:\windows\system32\mfc70.dll

2011-06-07 06:20 . 2011-06-13 20:29 487424 ----a-w- c:\windows\system32\msvcp70.dll

2011-06-07 06:20 . 2011-06-13 20:29 344064 ----a-w- c:\windows\system32\msvcr70.dll

2011-06-07 06:20 . 2011-06-13 20:29 24576 ----a-w- c:\windows\system32\msxml3a.dll

2011-05-20 19:01 . 2011-05-20 19:01 899688 ----a-w- c:\windows\system32\nvdispco3220150.dll

2011-05-20 19:01 . 2011-05-20 19:01 865896 ----a-w- c:\windows\system32\nvgenco322090.dll

2011-05-20 19:01 . 2011-05-20 19:01 57960 ----a-w- c:\windows\system32\OpenCL.dll

2011-05-20 19:01 . 2011-05-20 19:01 5301352 ----a-w- c:\windows\system32\nvcuda.dll

2011-05-20 19:01 . 2011-05-20 19:01 2804328 ----a-w- c:\windows\system32\nvcuvid.dll

2011-05-20 19:01 . 2011-05-20 19:01 2082408 ----a-w- c:\windows\system32\nvcuvenc.dll

2011-05-20 19:01 . 2011-05-20 19:01 16456296 ----a-w- c:\windows\system32\nvoglv32.dll

2011-05-20 19:01 . 2011-05-20 19:01 13011560 ----a-w- c:\windows\system32\nvcompiler.dll

2011-05-20 19:01 . 2011-05-20 19:01 12392 ----a-w- c:\windows\system32\drivers\nvBridge.kmd

2011-05-20 19:01 . 2011-05-20 19:01 10589800 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys

2011-05-20 19:01 . 2011-02-02 07:37 11992680 ----a-w- c:\windows\system32\nvd3dum.dll

2011-05-20 19:01 . 2011-01-07 10:06 543336 ----a-w- c:\windows\system32\easyUpdatusAPIU.dll

2011-05-20 19:01 . 2011-01-07 10:06 3693672 ----a-w- c:\windows\system32\nvcpl.dll

2011-05-20 19:01 . 2011-01-07 10:06 2557544 ----a-w- c:\windows\system32\nvsvc.dll

2011-05-20 19:01 . 2011-01-07 10:06 2560616 ----a-w- c:\windows\system32\nvsvcr.dll

2011-05-20 19:01 . 2011-01-07 10:06 111208 ----a-w- c:\windows\system32\nvmctray.dll

2011-05-20 19:01 . 2010-07-09 18:37 2335848 ----a-w- c:\windows\system32\nvapi.dll

2011-05-20 19:01 . 2010-07-09 05:37 66664 ----a-w- c:\windows\system32\nvshext.dll

2011-05-20 19:01 . 2009-07-13 22:09 6555240 ----a-w- c:\windows\system32\nvwgf2um.dll

2011-05-09 21:06 . 2011-05-09 21:06 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll

2011-05-09 21:06 . 2011-05-09 21:06 42496 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2011-05-04 02:43 . 2011-06-18 23:51 222720 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys

2011-05-04 02:43 . 2011-06-18 23:51 96256 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys

2011-05-04 02:43 . 2011-06-18 23:51 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2011-05-03 17:52 . 2011-02-01 12:47 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-05-03 04:50 . 2011-06-18 23:51 740864 ----a-w- c:\windows\system32\inetcomm.dll

2011-04-29 02:57 . 2011-06-18 23:51 311296 ----a-w- c:\windows\system32\drivers\srv.sys

2011-04-29 02:57 . 2011-06-18 23:51 309760 ----a-w- c:\windows\system32\drivers\srv2.sys

2011-04-29 02:57 . 2011-06-18 23:51 114176 ----a-w- c:\windows\system32\drivers\srvnet.sys

2011-04-27 02:33 . 2011-06-18 23:51 78336 ----a-w- c:\windows\system32\drivers\dfsc.sys

2011-04-25 04:56 . 2011-06-18 23:51 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys

2011-04-25 02:35 . 2011-06-18 23:51 338944 ----a-w- c:\windows\system32\drivers\afd.sys

2011-04-22 23:35 . 2011-06-19 00:01 1797632 ----a-w- c:\windows\system32\jscript9.dll

2011-04-22 23:25 . 2011-06-19 00:01 2382848 ----a-w- c:\windows\system32\mshtml.tlb

2003-03-21 02:45 . 2011-02-03 04:24 250544 ----a-w- c:\program files\Common Files\keyhelp.ocx

2011-06-22 05:17 . 2011-03-24 05:12 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2010-10-17 404200]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-05 281768]

"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-10-28 1352272]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-09-07 43608]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2009-06-05 1310720]

"MaxMenuMgr"="c:\program files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2009-05-01 185640]

"PDFHook"="c:\program files\Nuance\PDF Create 5\pdfcreate5hook.exe" [2009-04-09 1277952]

"PDF5 Registry Controller"="c:\program files\Nuance\PDF Create 5\RegistryController.exe" [2008-12-12 58656]

"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2011-06-13 273544]

.

c:\users\Bureau\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

_uninst_66596831.lnk - c:\users\Bureau\AppData\Local\Temp\_uninst_66596831.bat [N/A]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Secunia PSI Tray.lnk - c:\program files\Secunia\PSI\psi_tray.exe [2011-1-11 291896]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 0 (0x0)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2010-10-28 10:13 64592 ----a-w- c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ISUSPM"=c:\programdata\FLEXnet\Connect\11\ISUSPM.exe -scheduler

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun

"SuperCopier2.exe"=c:\program files\SuperCopier2\SuperCopier2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"

"agentantidote.exe"="c:\program files\Druide\Antidote 7\Programmes32\agentantidote.exe" /LancementSession

"BrMfcWnd"=c:\program files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

"ControlCenter3"=c:\program files\Brother\ControlCenter3\brctrcen.exe /autorun

"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"

"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" -osboot

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe"

"DNS7reminder"="c:\program files\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "c:\programdata\Nuance\NaturallySpeaking11\Ereg.ini

"Nuance OmniPage 17-reminder"="c:\program files\Nuance\OmniPage17\Ereg\Ereg.exe" -r "c:\programdata\ScanSoft\OmniPage 17\Ereg\Ereg.ini"

.

R2 AntiVirFirewallService;Avira FireWall;c:\program files\Avira\AntiVir Desktop\avfwsvc.exe [2011-07-17 539304]

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2011-07-17 339624]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [x]

R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2011-07-17 421032]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 DragonSvc;Dragon Service;c:\program files\Common Files\Nuance\dgnsvc.exe [x]

R2 FreeAgentGoNext Service;Seagate Service;c:\program files\Seagate\SeagateManager\Sync\FreeAgentService.exe [x]

R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2011-07-18 1154048]

R2 SCPDFReadSpool;SolidConverterPDFReadSpool;c:\windows\Installer\MSI4F7D.tmp [x]

R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]

R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2011-01-24 310640]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-24 30969208]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]

R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2010-09-01 15544]

R3 RTL8187;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\rtl8187.sys [2010-01-06 375808]

S0 66596831;66596831;c:\windows\system32\DRIVERS\66596831.sys [2011-07-17 133208]

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-29 28552]

S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]

S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2010-12-05 102856]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-20 2214504]

S2 Secunia PSI Agent;Secunia PSI Agent;c:\program files\Secunia\PSI\PSIA.exe [2011-07-18 989184]

S2 Secunia Update Agent;Secunia Update Agent;c:\program files\Secunia\PSI\sua.exe [2011-07-18 394752]

S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [2011-07-18 1513984]

S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2010-06-17 79432]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-03-21 362600]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [2010-10-07 10064]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2010-09-23 316192]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

.

------- Examen supplémentaire -------

.

uStart Page = my.daemon-search.com

uInternet Settings,ProxyOverride = *.local

IE: &Envoyer à OneNote - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105

IE: Ajouter au fichier PDF existant - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML

IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML

IE: Ajouter le contenu du lien à un fichier PDF existant - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML

IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Créer des fichiers PDF à partir des liens sélectionnés - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML

IE: Créer fichier PDF - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIECapture.HTML

IE: Créer un fichier PDF depuis le contenu du lien - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIECapture.HTML

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000

IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm

IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm

IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm

IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Bureau\AppData\Roaming\Mozilla\Firefox\Profiles\jek50ihv.default\

FF - prefs.js: browser.startup.homepage - hxxp://google.fr

FF - prefs.js: network.proxy.type - 0

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

.

------- Associations de fichier -------

.

.scr=AutoCADScriptFile

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SCPDFReadSpool]

"ImagePath"="c:\windows\Installer\MSI4F7D.tmp"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\*PNP37b1\0000]

@DACL=(02 0000)

"Service"="1296598278"

"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

"Class"="System"

"DeviceDesc"="PCI bus"

"Mfg"="Technologies Inc"

"LocationInformation"="on Microsoft ACPI-Compliant System"

"ConfigFlags"=dword:00000000

"Capabilities"=dword:00000000

"ContainerID"="{00000000-0000-0000-FFFF-FFFFFFFFFFFF}"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'lsass.exe'(532)

c:\windows\system32\mswsock.dll

mswsock.DLL 75580000 245760 \\?\globalroot\systemroot\system32\mswsock.DLL

.

Heure de fin: 2011-07-19 11:51:43

ComboFix-quarantined-files.txt 2011-07-19 00:51

ComboFix2.txt 2011-07-19 00:30

.

Avant-CF: 83 379 417 088 octets libres

Après-CF: 83 293 626 368 octets libres

.

- - End Of File - - 19DF008898D8F5E99C374869142C0987