Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] ZAccess et multi-infection Security Tools et autres


greve

Messages recommandés

Merci encore !

j'ai procédé exactement comme demandé

malware bytes a tourné sans probleme et a mis en quarantaine les fichiers infectés

le rapport est ci-dessous

mais lorsque j'ai fait tourner combofix celui ci m'a dit que ZAccess etait là !!!

je l'ai laissé faire et il a fait toutes les étapes, et m'a édité le rapport que je poste ci-dessous aussi

donc j'attends le verdict avec angoisse ...

en attendant j'ai sauvegarder toutes mes dernieres données sur D

Par contre je n'ai jamais pu faire de sauvegarde vista ou des pilotes du fujitsu siemens car mon lecteur CD/DVD n'a jamais fonctionné correctement !

donc reformater sera difficile avec vista !!

rapport malewarebytes :

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Database version: 7683

 

Windows 6.0.6000

Internet Explorer 7.0.6000.16851

 

09/09/2011 16:41:31

mbam-log-2011-09-09 (16-41-31).txt

 

Scan type: Full scan (C:\|D:\|E:\|F:\|)

Objects scanned: 376339

Time elapsed: 1 hour(s), 21 minute(s), 35 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 2

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

c:\Qoobox\quarantine\C\Windows\assembly\GAC_MSIL\desktop.ini.vir (Backdoor.0Access) -> Quarantined and deleted successfully.

c:\Windows\assembly\GAC_MSIL\Desktop.ini (Backdoor.0Access) -> Quarantined and deleted successfully.

 

et rapport combofix :

ComboFix 11-09-09.03 - Administrateur 09/09/2011 17:12:17.1.2 - x86

Lancé depuis: c:\users\Administrateur\Desktop\ComboFix.exe

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files\pdfforge Toolbar\SeARchsettings.dll

c:\program files\pdfforge Toolbar\WiDGitoolbarie.dll

c:\programdata\hpeB84E.dll

c:\users\nathalie\cjrX6100FR.exe

c:\users\nathalie\Navilog1.exe

c:\users\Photoshop CS\AdobeLM.dll

c:\windows\$NtUninstallKB28586$

c:\windows\$NtUninstallKB28586$\565333492

c:\windows\$NtUninstallKB28586$\650819231\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

c:\windows\$NtUninstallKB28586$\650819231\L\qnbwvoto

c:\windows\system32\CddbCdda.dll

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-08-09 au 2011-09-09 ))))))))))))))))))))))))))))))))))))

.

.

2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\users\Administrateur\AppData\Local\temp

2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp

2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\users\nathalie\AppData\Local\temp

2011-09-09 15:26 . 2011-09-09 15:26 -------- d-----w- c:\users\Gabriel\AppData\Local\temp

2011-09-07 23:40 . 2011-09-08 21:41 -------- d-----w- c:\windows\Standalone System Sweeper

2011-09-06 19:19 . 2011-09-06 19:48 -------- d-----w- C:\Kitty

2011-09-05 09:35 . 2011-09-05 09:35 -------- d-----w- c:\users\Administrateur\AppData\Local\Mozilla

2011-09-05 09:34 . 2011-09-05 09:34 -------- d-----w- C:\tdsskiller

2011-09-05 09:23 . 2011-09-05 09:52 -------- d-----w- C:\ZHP

2011-09-05 09:22 . 2011-09-05 09:52 -------- d-----w- c:\program files\ZHPDiag

2011-09-03 10:36 . 2011-09-05 09:50 -------- d-----w- C:\$Recycle(82).Bin

2011-09-03 10:15 . 2011-09-03 10:31 -------- d-----w- c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}

2011-09-02 17:36 . 2011-09-02 17:36 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}

2011-09-02 17:09 . 2011-09-02 17:09 -------- d-----w- c:\users\nathalie\AppData\Local\PackageAware

2011-09-02 16:19 . 2011-09-04 16:47 -------- d-----w- c:\programdata\AVAST Software

2011-09-02 16:19 . 2011-09-02 16:19 -------- d-----w- c:\program files\AVAST Software

2011-09-02 09:26 . 2011-09-02 09:26 -------- d-----w- C:\MyHosts

2011-09-02 09:23 . 2011-09-02 09:23 -------- d-----w- c:\program files\Loaris

2011-09-02 05:57 . 2011-09-02 05:57 -------- d-----w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}

2011-09-02 05:43 . 2011-09-02 05:43 -------- d-----w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}

2011-08-31 16:44 . 2011-08-31 16:44 4194304 ----a-w- c:\windows\system32\qnbwvoto.dll

2011-08-31 13:33 . 2011-08-31 13:33 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple Computer

2011-08-31 12:33 . 2006-11-02 09:45 163840 ----a-w- c:\users\nathalie\taskmgr.exe

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-09-08 11:19 . 2008-03-09 22:26 54784 ----a-w- c:\windows\system32\drivers\i8042prt.sys

2011-08-15 08:02 . 2011-05-25 07:54 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe

2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll

2011-07-12 09:20 . 2011-07-12 09:20 178536 ----a-w- c:\windows\system32\dnssdX.dll

2011-07-06 17:52 . 2010-01-28 07:55 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-07-06 17:52 . 2010-01-28 07:55 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk

backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2011-01-31 08:44 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-07-19 16:29 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]

2009-09-18 16:48 2412032 ----a-w- c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]

c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

c:\program files\Picasa2\PicasaMediaDetector.exe [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\recinfo199]

2007-10-23 12:52 2764800 ----a-w- c:\recinfo\RecInfo.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2009-04-21 12:39 24264488 ----a-r- c:\program files\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2011-04-30 18:48 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

2008-05-06 08:42 202088 ----a-w- c:\program files\TomTom HOME 2\HOMERunner.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

2008-01-10 03:23 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 130140]

R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-09-18 8716]

R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-07-23 112128]

R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-07-23 100736]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2009-03-25 86824]

R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2009-03-25 15016]

R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2009-03-25 114728]

R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2009-03-25 106208]

R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2009-03-25 26024]

R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2009-03-25 104744]

R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2009-03-25 109864]

R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 151648]

R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-08 92008]

S2 EPSON_EB_RPCV4_04;EPSON V5 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [2009-09-14 153600]

S2 EPSON_PM_RPCV4_04;EPSON V3 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [2009-09-14 121856]

S2 eStantLaunchService;BboxUpdate;c:\program files\BboxUpdate\eSRunService.exe [2008-04-29 17512]

S2 lxbf_device;lxbf_device;c:\windows\system32\lxbfcoms.exe [2007-04-24 529208]

S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]

S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs REG_MULTI_SZ BthServ

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

.

Contenu du dossier 'Tâches planifiées'

.

2011-09-09 c:\windows\Tasks\User_Feed_Synchronization-{D41319F3-B4BE-4A01-8CD2-41F0D487C58C}.job

- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

LSP: c:\windows\system32\wpclsp.dll

TCP: DhcpNameServer = 192.168.1.254

FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\4gdr2410.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

.

- - - - ORPHELINS SUPPRIMES - - - -

.

SafeBoot-18165165.sys

SafeBoot-61673917.sys

AddRemove-{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-09-09 17:26

Windows 6.0.6000 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Heure de fin: 2011-09-09 17:30:24

ComboFix-quarantined-files.txt 2011-09-09 15:30

ComboFix2.txt 2011-09-03 10:41

.

Avant-CF: 36 803 178 496 octets libres

Après-CF: 37 005 938 688 octets libres

.

- - End Of File - - CC84263427781FCF521EBAAAF70DE110

 

 

merci encore !!

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Je vois sur votre machine Avast, McAfee, Symantec et Antivir.

Je vous rappelle qu'il ne faut qu'un seul antivirus actif.

Je vous rappelle aussi que je serai absent toute la semaine.

Désolé de ne pas avoir pu en terminer.

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

DirLook::

c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}

c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}

c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}

c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}

 

File::

c:\windows\system32\qnbwvoto.dll

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

CFScriptB-4.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Merci encore pour ce super travail ! et excellentes vacances !

je poste à tout hasard le nouveau rapport combofix

ComboFix 11-09-09.03 - Administrateur 09/09/2011 19:28:51.2.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3070.2007 [GMT 2:00]

Lancé depuis: c:\users\Administrateur\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\Administrateur\Desktop\CFScript.txt

.

FILE ::

"c:\windows\system32\qnbwvoto.dll"

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-08-09 au 2011-09-09 ))))))))))))))))))))))))))))))))))))

.

.

2011-09-09 17:40 . 2011-09-09 17:58 -------- d-----w- c:\users\Administrateur\AppData\Local\temp

2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp

2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\users\nathalie\AppData\Local\temp

2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\users\Gabriel\AppData\Local\temp

2011-09-09 17:40 . 2011-09-09 17:40 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-09-09 15:02 . 2011-09-09 15:02 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple

2011-09-07 23:40 . 2011-09-08 21:41 -------- d-----w- c:\windows\Standalone System Sweeper

2011-09-06 19:19 . 2011-09-06 19:48 -------- d-----w- C:\Kitty

2011-09-05 09:35 . 2011-09-05 09:35 -------- d-----w- c:\users\Administrateur\AppData\Local\Mozilla

2011-09-05 09:34 . 2011-09-05 09:34 -------- d-----w- C:\tdsskiller

2011-09-05 09:23 . 2011-09-05 09:52 -------- d-----w- C:\ZHP

2011-09-05 09:22 . 2011-09-05 09:52 -------- d-----w- c:\program files\ZHPDiag

2011-09-03 10:36 . 2011-09-05 09:50 -------- d-----w- C:\$Recycle(82).Bin

2011-09-03 10:15 . 2011-09-03 10:31 -------- d-----w- c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}

2011-09-02 17:36 . 2011-09-02 17:36 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}

2011-09-02 17:09 . 2011-09-02 17:09 -------- d-----w- c:\users\nathalie\AppData\Local\PackageAware

2011-09-02 16:19 . 2011-09-04 16:47 -------- d-----w- c:\programdata\AVAST Software

2011-09-02 16:19 . 2011-09-02 16:19 -------- d-----w- c:\program files\AVAST Software

2011-09-02 09:26 . 2011-09-02 09:26 -------- d-----w- C:\MyHosts

2011-09-02 09:23 . 2011-09-02 09:23 -------- d-----w- c:\program files\Loaris

2011-09-02 05:57 . 2011-09-02 05:57 -------- d-----w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}

2011-09-02 05:43 . 2011-09-02 05:43 -------- d-----w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}

2011-08-31 16:44 . 2011-08-31 16:44 4194304 ----a-w- c:\windows\system32\qnbwvoto.dll

2011-08-31 13:33 . 2011-08-31 13:33 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple Computer

2011-08-31 12:33 . 2006-11-02 09:45 163840 ----a-w- c:\users\nathalie\taskmgr.exe

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-09-08 11:19 . 2008-03-09 22:26 54784 ----a-w- c:\windows\system32\drivers\i8042prt.sys

2011-08-15 08:02 . 2011-05-25 07:54 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe

2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll

2011-07-12 09:20 . 2011-07-12 09:20 178536 ----a-w- c:\windows\system32\dnssdX.dll

2011-07-06 17:52 . 2010-01-28 07:55 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-07-06 17:52 . 2010-01-28 07:55 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

.

.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Directory of c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42} ----

.

2011-09-02 17:36 . 2011-09-02 17:36 693 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.bitness.log

2011-09-02 17:36 . 2011-09-02 17:36 586 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.weight.log

2011-09-02 17:36 . 2011-09-02 17:36 8039 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.data.log

2011-09-02 17:36 . 2011-09-02 17:36 1367 ----a-w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA}.native.elements.log

.

---- Directory of c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e} ----

.

2011-08-29 04:12 . 2011-08-29 04:12 12113 ----a-w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}\sa0102usb86.cat

2011-05-31 07:16 . 2011-05-31 07:16 7219 ----a-w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}\sa0102adb.inf

.

---- Directory of c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc} ----

.

2011-08-29 04:12 . 2011-08-29 04:12 12113 ----a-w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}\sa0102usb86.cat

2011-05-31 07:16 . 2011-05-31 07:16 7219 ----a-w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}\sa0102adb.inf

.

---- Directory of c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb} ----

.

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk

backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2011-01-31 08:44 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-07-19 16:29 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]

2009-09-18 16:48 2412032 ----a-w- c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]

c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

c:\program files\Picasa2\PicasaMediaDetector.exe [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\recinfo199]

2007-10-23 12:52 2764800 ----a-w- c:\recinfo\RecInfo.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2009-04-21 12:39 24264488 ----a-r- c:\program files\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2011-04-30 18:48 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

2008-05-06 08:42 202088 ----a-w- c:\program files\TomTom HOME 2\HOMERunner.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

2008-01-10 03:23 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 130140]

R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-09-18 8716]

R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-07-23 112128]

R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-07-23 100736]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2009-03-25 86824]

R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2009-03-25 15016]

R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2009-03-25 114728]

R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2009-03-25 106208]

R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2009-03-25 26024]

R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2009-03-25 104744]

R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2009-03-25 109864]

R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 151648]

R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-08 92008]

S2 EPSON_EB_RPCV4_04;EPSON V5 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [2009-09-14 153600]

S2 EPSON_PM_RPCV4_04;EPSON V3 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [2009-09-14 121856]

S2 eStantLaunchService;BboxUpdate;c:\program files\BboxUpdate\eSRunService.exe [2008-04-29 17512]

S2 lxbf_device;lxbf_device;c:\windows\system32\lxbfcoms.exe [2007-04-24 529208]

S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]

S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs REG_MULTI_SZ BthServ

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

.

Contenu du dossier 'Tâches planifiées'

.

2011-09-09 c:\windows\Tasks\User_Feed_Synchronization-{D41319F3-B4BE-4A01-8CD2-41F0D487C58C}.job

- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

LSP: c:\windows\system32\wpclsp.dll

TCP: DhcpNameServer = 192.168.1.254

FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\4gdr2410.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-09-09 19:57

Windows 6.0.6000 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'Explorer.exe'(2924)

c:\windows\system32\BsLangInDepRes.dll

c:\windows\system32\Bs2Res.dll

c:\program files\palmOne\PqiIcon.dll

c:\program files\palmOne\UserData.dll

c:\program files\Nokia\Nokia PC Suite 7\phonebrowser.dll

c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL

c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr

c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Common Files\EPSON\EBAPI\eEBSVC.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\windows\system32\SAgent4.exe

c:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\servicing\TrustedInstaller.exe

c:\windows\system32\conime.exe

c:\windows\ehome\mcupdate.EXE

.

**************************************************************************

.

Heure de fin: 2011-09-09 20:10:25 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-09-09 18:10

ComboFix2.txt 2011-09-09 15:30

ComboFix3.txt 2011-09-03 10:41

.

Avant-CF: 38 781 300 736 octets libres

Après-CF: 38 727 430 144 octets libres

.

- - End Of File - - A8AF74CAC195E7E0A55E256D46359449

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Un reste:

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

c:\recinfo\RecInfo.exe

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\recinfo199]

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

CFScriptB-4.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

Faites le point sur les antivirus présents et Java.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour !

Je vous suis infiniment reconnaissante d'avoir fait des prolongations hier soir !

Combofix a tourné très vite, le rapport est ci-après, j'ai l'impression que le virus est définitivement éliminé ! J'avais perdu espoir car je lisais partout qu'il était quasi invincible et qu'il fallait tout reformater (donc des heures et des heures de réinstallation, reparamétrages, plus le risque pour moi de ne pas pouvoir réinstaller Vista du fait de mon lecteur CD/DVD défaillant) !

Après avoir résolu le problème du mot de passe, j'ai suivi à la lettre vos instructions et je vous remercie pour ces petits programmes écrits spécialement pour moi !

Pour les antivirus, j'avais installé avast pensant que avira etait défaillant (impossible d'ouvrir le webguard) mais c'est ZAccess qui l'avait mis KO ! Mc Caffee etait livré directement avec vista et je n'ai jamais réussi à le désinstaller ! Je vais donc essayer de tout bien nettoyer pour n'en laisser qu'un seul ! Quant à Java, je n'ai jamais compris à quoi cela servait! Que pensez vous de l'antivirus gratuit de windows ? la version beta sur clé bootable m'a rendu un fier service pour débloquer la situation !

Je vous souhaite donc d'excellentes vacances ...

Et encore un gros MERCI pour tout

Nathalie

 

Je pense qu'il faut encourager des sites tels que le vôtre par des dons réguliers, ils sont le seul rempart pour nous simples novices, face au hackers qui développent de tel virus comme ZAccess ! cependant je n'arrive pas à trouver le lien pour les dons ? est ce possible ?

 

Voici le rapport combofix

ComboFix 11-09-09.03 - Administrateur 10/09/2011 7:35.3.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.3070.2233 [GMT 2:00]

Lancé depuis: c:\users\Administrateur\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\Administrateur\Desktop\CFScript.txt

.

FILE ::

"c:\recinfo\RecInfo.exe"

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\recinfo\RecInfo.exe

c:\users\nathalie\Taskmgr.exe

c:\users\Public\Desktop\Security Protection.lnk

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-08-10 au 2011-09-10 ))))))))))))))))))))))))))))))))))))

.

.

2011-09-10 05:41 . 2011-09-10 05:42 -------- d-----w- c:\users\Administrateur\AppData\Local\temp

2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp

2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\users\nathalie\AppData\Local\temp

2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\users\Gabriel\AppData\Local\temp

2011-09-10 05:41 . 2011-09-10 05:41 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-09-09 15:02 . 2011-09-09 15:02 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple

2011-09-07 23:40 . 2011-09-08 21:41 -------- d-----w- c:\windows\Standalone System Sweeper

2011-09-06 19:19 . 2011-09-06 19:48 -------- d-----w- C:\Kitty

2011-09-05 09:35 . 2011-09-05 09:35 -------- d-----w- c:\users\Administrateur\AppData\Local\Mozilla

2011-09-05 09:34 . 2011-09-05 09:34 -------- d-----w- C:\tdsskiller

2011-09-05 09:23 . 2011-09-05 09:52 -------- d-----w- C:\ZHP

2011-09-05 09:22 . 2011-09-05 09:52 -------- d-----w- c:\program files\ZHPDiag

2011-09-03 10:36 . 2011-09-05 09:50 -------- d-----w- C:\$Recycle(82).Bin

2011-09-03 10:15 . 2011-09-03 10:31 -------- d-----w- c:\windows\system32\config\systemprofile\{e8552a0d-7fad-4a3a-994c-806df934aafb}

2011-09-02 17:36 . 2011-09-02 17:36 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}

2011-09-02 17:09 . 2011-09-02 17:09 -------- d-----w- c:\users\nathalie\AppData\Local\PackageAware

2011-09-02 16:19 . 2011-09-04 16:47 -------- d-----w- c:\programdata\AVAST Software

2011-09-02 16:19 . 2011-09-02 16:19 -------- d-----w- c:\program files\AVAST Software

2011-09-02 09:26 . 2011-09-02 09:26 -------- d-----w- C:\MyHosts

2011-09-02 09:23 . 2011-09-02 09:23 -------- d-----w- c:\program files\Loaris

2011-09-02 05:57 . 2011-09-02 05:57 -------- d-----w- c:\windows\system32\config\systemprofile\{1f784383-03b4-4a15-af47-d1cfcd749d5e}

2011-09-02 05:43 . 2011-09-02 05:43 -------- d-----w- c:\windows\system32\config\systemprofile\{b9b3436c-1d1a-44fd-a84a-f1a4276e05fc}

2011-08-31 16:44 . 2011-08-31 16:44 4194304 ----a-w- c:\windows\system32\qnbwvoto.dll

2011-08-31 13:33 . 2011-08-31 13:33 -------- d-----w- c:\users\Administrateur\AppData\Local\Apple Computer

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-09-08 11:19 . 2008-03-09 22:26 54784 ----a-w- c:\windows\system32\drivers\i8042prt.sys

2011-08-15 08:02 . 2011-05-25 07:54 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\system32\dns-sd.exe

2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\system32\dnssd.dll

2011-07-12 09:20 . 2011-07-12 09:20 178536 ----a-w- c:\windows\system32\dnssdX.dll

2011-07-06 17:52 . 2010-01-28 07:55 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-07-06 17:52 . 2010-01-28 07:55 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk

backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2011-01-31 08:44 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-07-19 16:29 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]

2009-09-18 16:48 2412032 ----a-w- c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]

c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

c:\program files\Picasa2\PicasaMediaDetector.exe [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2009-04-21 12:39 24264488 ----a-r- c:\program files\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2011-04-30 18:48 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

2008-05-06 08:42 202088 ----a-w- c:\program files\TomTom HOME 2\HOMERunner.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

2008-01-10 03:23 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 130140]

R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-09-18 8716]

R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-07-23 112128]

R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-07-23 100736]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2009-03-25 86824]

R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2009-03-25 15016]

R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2009-03-25 114728]

R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2009-03-25 106208]

R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2009-03-25 26024]

R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2009-03-25 104744]

R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2009-03-25 109864]

R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 151648]

R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-08 92008]

S2 EPSON_EB_RPCV4_04;EPSON V5 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [2009-09-14 153600]

S2 EPSON_PM_RPCV4_04;EPSON V3 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [2009-09-14 121856]

S2 eStantLaunchService;BboxUpdate;c:\program files\BboxUpdate\eSRunService.exe [2008-04-29 17512]

S2 lxbf_device;lxbf_device;c:\windows\system32\lxbfcoms.exe [2007-04-24 529208]

S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]

S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs REG_MULTI_SZ BthServ

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

.

Contenu du dossier 'Tâches planifiées'

.

2011-09-10 c:\windows\Tasks\User_Feed_Synchronization-{D41319F3-B4BE-4A01-8CD2-41F0D487C58C}.job

- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

LSP: c:\windows\system32\wpclsp.dll

TCP: DhcpNameServer = 192.168.1.254

FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\4gdr2410.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-09-10 07:43

Windows 6.0.6000 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0011\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0012\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0013\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'Explorer.exe'(3932)

c:\windows\system32\BsLangInDepRes.dll

c:\windows\system32\Bs2Res.dll

c:\program files\palmOne\PqiIcon.dll

c:\program files\palmOne\UserData.dll

c:\program files\Nokia\Nokia PC Suite 7\phonebrowser.dll

c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL

c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr

c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Common Files\EPSON\EBAPI\eEBSVC.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\windows\system32\SAgent4.exe

c:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\system32\conime.exe

c:\\?\c:\windows\system32\wbem\WMIADAP.EXE

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2011-09-10 07:49:04 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-09-10 05:49

ComboFix2.txt 2011-09-09 18:10

ComboFix3.txt 2011-09-09 15:30

ComboFix4.txt 2011-09-03 10:41

.

Avant-CF: 39 137 320 960 octets libres

Après-CF: 39 178 608 640 octets libres

.

- - End Of File - - 2E2E555FDEAFD8AFD4974F3C880510A5

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Curieux que rien n'ait bougé depuis le 11/09 .

 

 

 

Spybot, totalement obsolète va être désinstallé.Vous pourrez utiliser Mbam pour le remplacer.

Auparavant, vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

 

Cliquer sur l'icône Zhpfix qui est sur votre bureau

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

 

EmptyTemp

 

[HKCU\Software\2712425CD298393FE7BDC288EAA7E90D] => Infection Rogue (Rogue.Multiple)

[HKCU\Software\AppDataLow\Software\pdfforge] => Infection BT (PUP.Dealio)

[HKCU\Software\Search Settings] => Infection PUP (PUP.Dealio)

[HKLM\Software\Search Settings] => Infection PUP (PUP.Dealio)

[HKLM\Software\pdfforge] => Infection BT (PUP.Dealio)

[HKCU\Software\Microsoft\Internet Explorer\lowregistry\search settings] => Infection BT (PUP.Dealio)

[HKLM\Software\Classes\Toolbar.CT1460988] => Infection BT (Adware.Agent)

[HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}] => Infection BT (Adware.BHO)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] => Infection PUP (PUP.Dealio)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:Security Protection => Infection Rogue (Rogue.Multiple)

[HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit

[HKLM\Software\Conduit] => Toolbar.Conduit

[HKLM\Software\Classes\toolband.easyhidebtn] => Toolbar.Agent

[HKLM\Software\Classes\toolband.easyhidebtn.1] => Toolbar.Agent

[HKLM\Software\Classes\toolband.skypeiehelper] => Toolbar.Agent

[HKLM\Software\Classes\toolband.skypeiehelper.1] => Toolbar.Agent

[HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}] => Toolbar.Agent

[HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit

[HKLM\Software\Conduit] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit

 

C:\Program Files\Loaris => Infection Rogue (Rogue.Loaris)

C:\Program Files\pdfforge Toolbar => Infection BT (Adware.WidgiToolbar)

C:\Program Files\Mozilla Firefox\Extensions\search@searchsettings.com => Infection BT (PUP.Dealio)

C:\Program Files\Conduit => Toolbar.Conduit

C:\Users\nathalie\AppData\LocalLow\Conduit => Toolbar.Conduit

C:\Users\nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\v05zoday.default\Conduit => Toolbar.Conduit

[MD5.046FDFBED237C989A01394AC4DE3416C] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [381760] [PID.]

 

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (...) (No version) -- (.not file.) => Infection PUP (PUP.Dealio)

O4 - HKCU\..\Run: [security Protection] C:\ProgramData\defender.exe (.not file.) => Infection Rogue (Rogue.SecurityEssentials)

O4 - HKUS\S-1-5-21-3041534539-887769141-2093020280-1000\..\Run: [security Protection] C:\ProgramData\defender.exe (.not file.) => Infection Rogue (Rogue.SecurityEssentials)

O4 - HKCU\..\Run: [Trujeqoharus] C:\Users\nathalie\AppData\Local\sthernt.dll (.not file.) => Fichier absent

O4 - HKUS\S-1-5-21-3041534539-887769141-2093020280-1000\..\Run: [Trujeqoharus] C:\Users\nathalie\AppData\Local\sthernt.dll (.not file.) => Fichier absent

O4 - Global Startup: C:\Users\nathalie\Desktop\Informations en ligne sur Windows Live - Raccourci.lnk - Clé orpheline => Orphean Key not necessary

O4 - Global Startup: C:\Users\nathalie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\hjt.exe - Raccourci.lnk . (...) -- C:\HijackThis\hjt.exe (.not file.) => Fichier absent

O4 - Global Startup: C:\Users\nathalie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet - Raccourci (2).lnk - Clé orpheline => Orphean Key not necessary

O4 - Global Startup: C:\Users\nathalie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet - Raccourci.lnk - Clé orpheline => Orphean Key not necessary

[MD5.00000000000000000000000000000000] [APT] [126ae580] (...) -- C:\Users\nathalie\AppData\Local\Temp\setup4257722752.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [d3b6cd58] (...) -- C:\Users\nathalie\AppData\Local\Temp\setup2859492696.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [eddd2c00] (...) -- C:\Users\nathalie\AppData\Local\Temp\setup1573894912.exe (.not file.) => Fichier absent

[MD5.92F80407F8BF51E26543D373EEDE3143] [APT] [{E7A426D3-5948-446A-997C-15155EFE46EF}] (...) -- C:\Program Files\Spybot - Search & Destroy\unins001.exe

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D

O43 - CFD: 02/09/2011 - 11:23:26 - [6164161] ----D- C:\Program Files\Loaris => Infection Rogue (Rogue.Loaris)

O43 - CFD: 09/09/2011 - 17:25:40 - [109127] ----D- C:\Program Files\pdfforge Toolbar => Infection BT (Adware.WidgiToolbar)

O43 - CFD: 10/09/2011 - 23:19:28 - [21817041] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 10/09/2011 - 23:19:28 - [37235] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 09/06/2010 - 13:09:02 - [529408] ----D- C:\Program Files\Conduit => Toolbar.Conduit

O51 - MPSK:{049fc7e8-0d3b-11e0-aac7-00030d8967ef}\AutoRun\command. (...) -- F:\setup_vmc_lite.exe (.not file.) => Fichier absent

O51 - MPSK:{23b92f0f-0c3f-11e0-bad5-00030d8967ef}\AutoRun\command. (...) -- F:\setup_vmc_lite.exe (.not file.) => Fichier absent

O51 - MPSK:{23b92f27-0c3f-11e0-bad5-00030d8967ef}\AutoRun\command. (...) -- F:\setup_vmc_lite.exe (.not file.) => Fichier absent

O69 - SBI: prefs.js [nathalie - v05zoday.default] user_pref("CT1460988.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1460988 => Toolbar.Conduit

O69 - SBI: prefs.js [nathalie - v05zoday.default] user_pref("CT1460988.ct1670222.SearchEngine", "Recherche||http://search.conduit.com/Results.aspx? => Toolbar.Conduit

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O87 - FAEL: "TCP Query User{147B60EC-120D-4D89-9266-8D41F40BDE87}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)

O87 - FAEL: "UDP Query User{A2821550-0926-4863-9A94-B45A3F743F31}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)

O87 - FAEL: "TCP Query User{328F6276-1DE3-418B-A86B-99046C20D468}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)

O87 - FAEL: "UDP Query User{6ADDBD6F-8EEE-404E-8EAD-3BD18C7B69EE}C:\program files\pdfforge toolbar\searchsettings.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\pdfforge toolbar\searchsettings.exe (.not file.) => Infection PUP (PUP.Dealio)

O87 - FAEL: "TCP Query User{59432E05-835B-4287-B23F-70C5EAC97EA6}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent

O87 - FAEL: "UDP Query User{900C70D9-335B-41B7-9FEA-E433684FAF64}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent

O87 - FAEL: "{4D4536F1-3C76-4690-A2DB-AEA25CAF8484}" |In - Public - P6 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent

O87 - FAEL: "{169B8712-EE2E-4637-B7CD-EEE0FDBA90B3}" |In - Public - P17 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent

O87 - FAEL: "{37DDEEEE-4B6A-489E-8C06-399DA4B08F10}" |In - Private - P6 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent

O87 - FAEL: "{2BE97901-2ABB-419C-9459-11CE130F80DB}" |In - Private - P17 - TRUE | .(...) -- E:\eSKernel.exe (.not file.) => Fichier absent

O87 - FAEL: "TCP Query User{4C37DEE0-983B-4D55-A2AA-7858B40E6F5E}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent

O87 - FAEL: "UDP Query User{F0A36B57-C097-49A8-A415-A7E925E534C2}C:\program files\sjlabs\sjphone\sjphone.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\sjlabs\sjphone\sjphone.exe (.not file.) => Fichier absent

M2 - MFEP: prefs.js [nathalie - v05zoday.default\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}] [babylon] myBabylon English Toolbar v2.6.0.15 (.Conduit Ltd..) => myBabylon English Toolbar

O87 - FAEL: "{5DD8C959-44FD-48D6-BFEC-A4F3BE609EFC}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{B0105895-D551-4039-B82B-1367C0123E0A}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{19E9B644-2AA5-4DCD-BA57-93A69E63763B}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{12964DD8-A09B-40A8-B2FD-A8F84286F591}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

 

Cliquez ensuite sur le H- PanelHelper.jpg

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

110515101159971677.jpg

Cliquer sur "Tous" puis sur "Nettoyer" .

Acceptez de Redémarrer pour achever le nettoyage.

Un rapport apparait:

Capture1Rapport.JPG

Si le rapport n'apparait pas,cliquer surPanelRapport.jpg

Copier-coller le rapport de suppression dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci pour vos indications !

En fait j'ai été réorienté sur Tigzy qui a terminé la désinfection. Je pense que maintenant tout est OK, voir le lien juste au dessus

Merci encore à tous ! vous m'avez libéré d'un sacré pétrin ! ce virus Zaccess est vraiment une horreur !

Lien vers le commentaire
Partager sur d’autres sites

TOUT EST OK MAINTENANT !! MON ORDINATEUR SEMBLE PARFAITEMENT NETTOYé DE TOUS SES VIRUS !

MERCI ENCORE A PEAR sur Zebulon.fr et TIGZY surlatoile.com ! merci à vous deux pour vos relais sans faille dans la solution de ce problème malgré mes cafouillages de l'un à l'autre site !! bravo

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...