Trojans et Internet coupé dans pare-feu Bitdefender

[Jerem76]

Bonjour,

 

J'ai retrouvé internet en activant a chaque demarrage du pc, le partage internet dans le pare-feu Bitdefender.

Par contre j'ai toujours des trojan existant qui sont soit supprimés par bitdefender au demarrage, ou une demande de redemarrage.

J'ai vu un autre sujet, qui avait été résolu par l'aide de Pear pour un sujet identique, en utilisant Combofix.

Pour le moment je vous laisse les screens de Bitdefender.

 

Uploaded with ImageShack.us

[Apollo]

Bonjour,

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

[Jerem76]

voila le resultat present dans le fichier texte:

 

ComboFix 12-07-27.03 - Pepito 28/07/2012 13:52:56.1.4 - x86

Microsoft Windows 7 Édition Intégrale 6.1.7600.0.1252.33.1036.18.2047.1104 [GMT 2:00]

Lancé depuis: c:\users\Pepito\Desktop\ComboFix.exe

AV: Bitdefender Antivirus *Enabled/Updated* {50909708-FF80-02AF-F814-B28405891E92}

FW: Bitdefender Pare-feu *Enabled* {68AB162D-B5EF-03F7-D34B-1BB1FB5A59E9}

SP: Bitdefender Antispyware *Enabled/Updated* {EBF176EC-D9BA-0D21-C2A4-89F67E0E542F}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files\Web Assistant\ExTEnsion32.dll

c:\program files\WinPCap

c:\program files\WinPCap\daemon_mgm.exe

c:\program files\WinPCap\INSTALL.LOG

c:\program files\WinPCap\npf_mgm.exe

c:\program files\WinPCap\rpcapd.exe

c:\program files\WinPCap\Uninstall.exe

c:\programdata\1315331464.bdinstall.bin

c:\users\Pepito\AppData\Roaming\Adobe\plugs

c:\users\Pepito\AppData\Roaming\Adobe\shed

c:\users\Pepito\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 Recovery

c:\users\Pepito\AppData\Roaming\system32

c:\users\Pepito\AppData\Roaming\system32\klog.dat

c:\users\Pepito\AppData\Roaming\Win32

c:\windows\$NtUninstallKB14342$

c:\windows\$NtUninstallKB14342$\1993215289

c:\windows\isRS-000.tmp

c:\windows\security\Database\tmp.edb

c:\windows\system32\Packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\wpcap.dll

.

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_NPF

-------\Service_NPF

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-06-28 au 2012-07-28 ))))))))))))))))))))))))))))))))))))

.

.

2012-07-28 12:03 . 2012-07-28 12:07 -------- d-----w- c:\users\Pepito\AppData\Local\temp

2012-07-28 12:03 . 2012-07-28 12:03 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp

2012-07-28 12:03 . 2012-07-28 12:03 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-07-28 10:11 . 2012-07-28 11:56 -------- d-----w- c:\users\TEMP

2012-07-21 19:06 . 2012-07-21 19:06 -------- d-----w- c:\program files\Microsoft Visual Studio 8

2012-07-21 19:05 . 2012-07-21 19:05 -------- d-----w- c:\users\Pepito\AppData\Local\Microsoft Help

2012-07-21 19:05 . 2012-07-21 19:34 -------- d-----w- c:\programdata\Microsoft Help

2012-07-18 16:49 . 2012-07-18 16:49 -------- d-----w- c:\users\Pepito\AppData\Roaming\Iminent

2012-07-18 16:46 . 2009-11-25 19:47 49472 ----a-w- c:\windows\system32\netfxperf.dll

2012-07-18 16:46 . 2009-11-25 19:47 297808 ----a-w- c:\windows\system32\mscoree.dll

2012-07-18 16:46 . 2009-11-25 19:47 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll

2012-07-18 16:46 . 2009-11-25 19:47 295264 ----a-w- c:\windows\system32\PresentationHost.exe

2012-07-18 16:46 . 2009-11-25 19:47 1130824 ----a-w- c:\windows\system32\dfshim.dll

2012-07-18 13:20 . 2012-07-18 13:20 -------- d-----w- C:\$UPGRADE.~OS

2012-07-18 12:49 . 2009-05-22 20:52 167936 ----a-w- c:\windows\system32\drivers\Rt86win7.sys

2012-07-18 12:49 . 2009-03-05 12:54 73728 ----a-w- c:\windows\system32\RtNicProp32.dll

2012-07-18 12:49 . 2012-07-18 12:49 -------- d-----w- c:\program files\Realtek

2012-07-18 08:43 . 2012-07-28 10:10 -------- d-----w- c:\programdata\Babylon

2012-07-17 19:19 . 2012-05-24 08:47 21888 ----a-w- c:\windows\system32\RegistryDefragBootTime.exe

2012-07-16 16:53 . 2012-07-16 16:53 -------- d-----w- c:\programdata\bdch

2012-07-16 13:16 . 2012-07-16 13:16 -------- d-sh--w- c:\windows\system32\%APPDATA%

2012-06-29 20:37 . 2012-06-29 20:37 -------- d-----w- c:\users\Pepito\AppData\Local\2012

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-07-16 13:17 . 2012-03-29 18:32 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-07-16 13:17 . 2011-10-21 23:40 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-07-03 11:46 . 2012-03-29 18:11 22344 ------w- c:\windows\system32\drivers\mbam.sys

2012-06-24 10:09 . 2011-03-28 16:36 19736 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2012-06-10 14:41 . 2012-02-03 19:59 444952 ----a-w- c:\windows\system32\wrap_oal.dll

2012-06-10 14:41 . 2012-02-03 19:59 109080 ----a-w- c:\windows\system32\OpenAL32.dll

2012-05-29 18:46 . 2012-06-13 18:14 31584 ----a-w- c:\windows\system32\TURegOpt.exe

2012-05-29 18:46 . 2012-06-13 18:14 21344 ----a-w- c:\windows\system32\authuitu.dll

2012-05-03 02:54 . 2012-05-03 02:54 42392 ----a-w- c:\windows\system32\xfcodec.dll

2012-07-27 14:14 . 2012-05-11 13:12 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

2006-05-03 10:06 163328 --sh--r- c:\windows\System32\flvDX.dll

2007-02-21 11:47 31232 --sh--r- c:\windows\System32\msfDX.dll

2008-03-16 13:30 216064 --sh--r- c:\windows\System32\nbDX.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2009-07-14 01:14 . !HASH: COULD NOT OPEN FILE !!!!! . 259072 . . [------] . . c:\windows\System32\services.exe

[7] 2009-07-14 . 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 . 259072 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"Facebook Update"="c:\users\Pepito\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]

"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-11-02 1862456]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"USBToolTip"="c:\progra~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]

"Logitech Download Assistant"="c:\windows\System32\LogiLDA.dll" [2010-11-03 1246544]

"CamserviceHD"="c:\program files\Hercules\Dualpix HD\XtrCtrlEx.exe" [2011-09-07 3228968]

"BDAgent"="c:\program files\Bitdefender\Bitdefender 2012\bdagent.exe" [2012-07-11 1184128]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"Babylon Client"="c:\program files\Babylon\Babylon-Pro\Babylon.exe" [2010-08-10 3824056]

.

c:\users\Pepito\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Advanced SystemCare 5"="c:\program files\IObit\Advanced SystemCare 5\ASCTray.exe" /AutoStart

"Skype"="c:\program files\Skype\Phone\Skype.exe" /minimized /regrun

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"ExpressFiles"="c:\program files\ExpressFiles\ExpressFiles.exe" -tray

"LWS"=c:\program files\Logitech\LWS\Webcam Software\LWS.exe -hide

.

R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]

R3 APL531;Hercules Dualpix HD Webcam;c:\windows\system32\Drivers\HDvidv.sys [x]

R3 avckf;avckf;c:\windows\system32\DRIVERS\avckf.sys [x]

R3 bdsandbox;bdsandbox;c:\windows\system32\drivers\bdsandbox.sys [x]

R3 CompFilter;UVCCompositeFilter;c:\windows\system32\DRIVERS\lvbusflt.sys [x]

R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [x]

R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [x]

R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [x]

R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [x]

R3 hxctlflt;hxctlflt;c:\windows\system32\DRIVERS\hxctlflt.sys [x]

R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [x]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]

R3 qcusbser;Qualcomm USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\qcusbser.sys [x]

R3 Update Server;BitDefender Update Server v2;c:\program files\Common Files\Bitdefender\Bitdefender Arrakis Server\bin\arrakis3.exe [x]

R4 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]

S0 avc3;avc3;c:\windows\system32\DRIVERS\avc3.sys [x]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]

S1 BdfNdisf;BitDefender Firewall NDIS 6 Filter Driver;c:\program files\common files\bitdefender\bitdefender firewall\bdfndisf6.sys [x]

S1 bdfwfpf;bdfwfpf;c:\program files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [x]

S1 BDVEDISK;BDVEDISK;c:\windows\system32\DRIVERS\bdvedisk.sys [x]

S2 AdvancedSystemCareService5;Advanced SystemCare Service 5;c:\program files\IObit\Advanced SystemCare 5\ASCService.exe [x]

S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [x]

S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [x]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]

S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [x]

S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [x]

S2 UMVPFSrv;UMVPFSrv;c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [x]

S2 UPDATESRV;BitDefender Desktop Update Service;c:\program files\Bitdefender\Bitdefender 2012\updatesrv.exe [x]

S2 Web Assistant Updater;Web Assistant Updater;c:\program files\Web Assistant\ExtensionUpdaterService.exe [x]

S3 avchv;avchv Function Driver;c:\windows\system32\DRIVERS\avchv.sys [x]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]

S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [x]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [x]

.

.

Contenu du dossier 'Tâches planifiées'

.

2012-07-13 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-996121839-2802827057-752244196-1000Core.job

- c:\users\Pepito\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-03 08:19]

.

2012-07-16 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-996121839-2802827057-752244196-1000UA.job

- c:\users\Pepito\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-03 08:19]

.

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

mStart Page = about:blank

uInternet Settings,ProxyServer = http=;ftp=;https=;

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm

IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm

TCP: DhcpNameServer = 212.27.40.241 212.27.40.240

FF - ProfilePath - c:\users\Pepito\AppData\Roaming\Mozilla\Firefox\Profiles\v0if034a.default\

FF - prefs.js: browser.search.selectedEngine -

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: keyword.URL - hxxp://mystart.incredibar.com/mb165/?loc=IB_DS&a=6R8vz7kCN4&&i=26&search=

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

FF - user.js: extensions.incredibar_i.newTab - false

FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6R8vz7kCN4&loc=IB_TB&i=26&search=

FF - user.js: extensions.incredibar_i.id - ecf6dc44000000000000002215b7d9d2

FF - user.js: extensions.incredibar_i.instlDay - 15501

FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1412:23

FF - user.js: extensions.incredibar_i.prtnrId - Incredibar

FF - user.js: extensions.incredibar_i.prdct - incredibar

FF - user.js: extensions.incredibar_i.aflt - orgnl

FF - user.js: extensions.incredibar_i.smplGrp - none

FF - user.js: extensions.incredibar_i.tlbrId - base

FF - user.js: extensions.incredibar_i.instlRef -

FF - user.js: extensions.incredibar_i.dfltLng -

FF - user.js: extensions.incredibar_i.excTlbr - false

FF - user.js: extensions.incredibar_i.ms_url_id -

FF - user.js: extensions.incredibar_i.upn2 - 6R8vz7kCN4

FF - user.js: extensions.incredibar_i.upn2n - 92824510770732714

FF - user.js: extensions.incredibar_i.productid - 26

FF - user.js: extensions.incredibar_i.installerproductid - 26

FF - user.js: extensions.incredibar_i.did - 10665

FF - user.js: extensions.incredibar_i.ppd -

.

- - - - ORPHELINS SUPPRIMES - - - -

.

URLSearchHooks-{ce18769b-c7fa-42d2-860d-17c4662c70ad} - (no file)

Toolbar-{ce18769b-c7fa-42d2-860d-17c4662c70ad} - (no file)

WebBrowser-{CE18769B-C7FA-42D2-860D-17C4662C70AD} - (no file)

AddRemove-WinPcapInst - c:\program files\WinPcap\Uninstall.exe

.

.

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\.csc]

"ImagePath"="\?"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000001

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Bitdefender\Bitdefender 2012\vsserv.exe

c:\windows\system32\nvvsvc.exe

c:\program files\NVIDIA Corporation\Display\nvxdsync.exe

c:\windows\system32\nvvsvc.exe

c:\programdata\EPSON\EPW!3 SSRP\E_S40ST7.EXE

c:\programdata\EPSON\EPW!3 SSRP\E_S40RP7.EXE

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\sppsvc.exe

c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

c:\windows\system32\taskhost.exe

c:\program files\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe

c:\windows\system32\conhost.exe

c:\program files\NVIDIA Corporation\Display\nvtray.exe

c:\program files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

c:\windows\system32\NOTEPAD.EXE

c:\program files\Windows Media Player\wmpnetwk.exe

c:\windows\system32\DllHost.exe

c:\windows\system32\taskhost.exe

.

**************************************************************************

.

Heure de fin: 2012-07-28 14:11:14 - La machine a redémarré

ComboFix-quarantined-files.txt 2012-07-28 12:11

.

Avant-CF: 5 323 194 368 octets libres

Après-CF: 5 106 331 648 octets libres

.

- - End Of File - - D917D91193D22BBC50416E1C32467818

[Apollo]

Re,

 

Tu avais déjà passé Combofix avant que je le demande?

 

1) Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

2) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

Explications de Tigzy: [RogueKiller] V7 - Tutorial officiel (1/1)

 

Poste les rapports obtenus après chaque demande de manip stp.

 

 

Autres options:

 

- Suppression

- HostRAZ

- Proxyraz

- DNS Raz

- RaccourcisRaz (si les icônes ont disparu, uniquement).

- Rapport

 

@++

 

NB, si les rapports sont très longs, les heberger svp: Accueil de Cjoint.com

[Jerem76]

Re,

 

regarde la date et lheure du fichier texte, j'ai lancer Combofix apres que tu m'ai demandé,

Je viens donc de faire Adwcleaner.

 

Voici le rapport Adwcleaner , (je fais ensuite RogueKiller)

 

# AdwCleaner v1.703 - Rapport créé le 28/07/2012 à 19:54:42

# Mis à jour le 20/07/2012 par Xplode

# Système d'exploitation : Windows 7 Ultimate (32 bits)

# Nom d'utilisateur : Pepito - PEPITO-PC

# Exécuté depuis : C:\Users\Pepito\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

Arrêté & Supprimé : Web Assistant Updater

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\Pepito\AppData\Local\Babylon

Dossier Supprimé : C:\Users\Pepito\AppData\LocalLow\Conduit

Dossier Supprimé : C:\Users\Pepito\AppData\Roaming\Babylon

Dossier Supprimé : C:\Users\Pepito\AppData\Roaming\Iminent

Dossier Supprimé : C:\Users\Pepito\AppData\Roaming\pdfforge

Dossier Supprimé : C:\Users\Pepito\AppData\Roaming\Mozilla\Firefox\Profiles\v0if034a.default\Conduit

Dossier Supprimé : C:\ProgramData\Babylon

Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Babylon

Dossier Supprimé : C:\Program Files\Babylon

Dossier Supprimé : C:\Program Files\Conduit

Dossier Supprimé : C:\Program Files\Web Assistant

Fichier Supprimé : C:\Users\Pepito\AppData\Roaming\Mozilla\Firefox\Profiles\v0if034a.default\searchplugins\MyStart Search.xml

Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

 

***** [Registre] *****

 

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2720081

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit

Clé Supprimée : HKCU\Software\AppDataLow\Toolbar

Clé Supprimée : HKCU\Software\Babylon

Clé Supprimée : HKCU\Software\IM

Clé Supprimée : HKCU\Software\ImInstaller

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate this web page with Babylon

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate with Babylon

Clé Supprimée : HKCU\Software\Softonic

Clé Supprimée : HKLM\SOFTWARE\Babylon

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Extension.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\BabyDict

Clé Supprimée : HKLM\SOFTWARE\Classes\BabyGloss

Clé Supprimée : HKLM\SOFTWARE\Classes\BabyOptFile

Clé Supprimée : HKLM\SOFTWARE\Conduit

Clé Supprimée : HKLM\SOFTWARE\DT Soft

Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb

Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd

Clé Supprimée : HKLM\SOFTWARE\Iminent

Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Iminent_RASAPI32

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Iminent_RASMANCS

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\NEW_CORRECT_incredibar_install_RASAPI32

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\NEW_CORRECT_incredibar_install_RASMANCS

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Babylon.exe

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Babylon

Clé Supprimée : HKLM\SOFTWARE\Web Assistant

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [babylon Client]

Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [[email protected]]

 

***** [Registre - GUID] *****

 

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6AC0BB10-C922-45e2-857D-2A368FE749E5}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.7600.16385

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v14.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Users\Pepito\AppData\Roaming\Mozilla\Firefox\Profiles\v0if034a.default\prefs.js

 

C:\Users\Pepito\AppData\Roaming\Mozilla\Firefox\Profiles\v0if034a.default\user.js ... Supprimé !

 

Supprimée : user_pref("extensions.incredibar.actvtyRptTime", "1339949035850");

Supprimée : user_pref("extensions.incredibar.admin", false);

Supprimée : user_pref("extensions.incredibar.aflt", "orgnl");

Supprimée : user_pref("extensions.incredibar.afterInstallRpt", "sent");

Supprimée : user_pref("extensions.incredibar.cntry", "FR");

Supprimée : user_pref("extensions.incredibar.dfltLng", "EN");

Supprimée : user_pref("extensions.incredibar.dfltSrch", false);

Supprimée : user_pref("extensions.incredibar.dfltlng", "en");

Supprimée : user_pref("extensions.incredibar.dfltsrch", "false");

Supprimée : user_pref("extensions.incredibar.did", "10665");

Supprimée : user_pref("extensions.incredibar.envrmnt", "production");

Supprimée : user_pref("extensions.incredibar.excTlbr", false);

Supprimée : user_pref("extensions.incredibar.hdrMd5", "C0149C7F9DA0477F1A9CDB1E5A83D228");

Supprimée : user_pref("extensions.incredibar.hmpg", false);

Supprimée : user_pref("extensions.incredibar.hrdid", "0");

Supprimée : user_pref("extensions.incredibar.id", "ecf6dc44000000000000002215b7d9d2");

Supprimée : user_pref("extensions.incredibar.installerproductid", "26");

Supprimée : user_pref("extensions.incredibar.instlDay", "15501");

Supprimée : user_pref("extensions.incredibar.instlRef", "");

Supprimée : user_pref("extensions.incredibar.instlday", "15501");

Supprimée : user_pref("extensions.incredibar.instlref", "");

Supprimée : user_pref("extensions.incredibar.isDcmntCmplt", true);

Supprimée : user_pref("extensions.incredibar.isdcmntcmplt", true);

Supprimée : user_pref("extensions.incredibar.keywordurl", "");

Supprimée : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.1412:23:51");

Supprimée : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");

Supprimée : user_pref("extensions.incredibar.newTab", false);

Supprimée : user_pref("extensions.incredibar.newtab", "false");

Supprimée : user_pref("extensions.incredibar.newtaburl", "");

Supprimée : user_pref("extensions.incredibar.noFFXTlbr", false);

Supprimée : user_pref("extensions.incredibar.ppd", "");

Supprimée : user_pref("extensions.incredibar.prdct", "incredibar");

Supprimée : user_pref("extensions.incredibar.productid", "26");

Supprimée : user_pref("extensions.incredibar.propectorlck", 78509038);

Supprimée : user_pref("extensions.incredibar.prtkHmpg", 1);

Supprimée : user_pref("extensions.incredibar.prtnrId", "Incredibar");

Supprimée : user_pref("extensions.incredibar.prtnrid", "Incredibar");

Supprimée : user_pref("extensions.incredibar.sg", "none");

Supprimée : user_pref("extensions.incredibar.smplGrp", "none");

Supprimée : user_pref("extensions.incredibar.smplgrp", "none");

Supprimée : user_pref("extensions.incredibar.srch", "");

Supprimée : user_pref("extensions.incredibar.srchprvdr", "");

Supprimée : user_pref("extensions.incredibar.tlbrId", "base");

Supprimée : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6R8vz7kCN4&loc=IB_T[...]

Supprimée : user_pref("extensions.incredibar.tlbrid", "base");

Supprimée : user_pref("extensions.incredibar.tlbrsrchurl", "hxxp://mystart.Incredibar.com/?a=6R8vz7kCN4&loc=IB_T[...]

Supprimée : user_pref("extensions.incredibar.upn2", "6R8vz7kCN4");

Supprimée : user_pref("extensions.incredibar.upn2n", "92824510770732714");

Supprimée : user_pref("extensions.incredibar.vrsn", "1.5.11.14");

Supprimée : user_pref("extensions.incredibar.vrsnTs", "1.5.11.1412:23:51");

Supprimée : user_pref("extensions.incredibar.vrsni", "1.5.11.14");

Supprimée : user_pref("extensions.incredibar.vrsnts", "1.5.11.1412:23:51");

Supprimée : user_pref("extensions.incredibar_i.aflt", "orgnl");

Supprimée : user_pref("extensions.incredibar_i.dfltLng", "");

Supprimée : user_pref("extensions.incredibar_i.did", "10665");

Supprimée : user_pref("extensions.incredibar_i.excTlbr", false);

Supprimée : user_pref("extensions.incredibar_i.id", "ecf6dc44000000000000002215b7d9d2");

Supprimée : user_pref("extensions.incredibar_i.installerproductid", "26");

Supprimée : user_pref("extensions.incredibar_i.instlDay", "15501");

Supprimée : user_pref("extensions.incredibar_i.instlRef", "");

Supprimée : user_pref("extensions.incredibar_i.ms_url_id", "");

Supprimée : user_pref("extensions.incredibar_i.newTab", false);

Supprimée : user_pref("extensions.incredibar_i.ppd", "");

Supprimée : user_pref("extensions.incredibar_i.prdct", "incredibar");

Supprimée : user_pref("extensions.incredibar_i.productid", "26");

Supprimée : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");

Supprimée : user_pref("extensions.incredibar_i.smplGrp", "none");

Supprimée : user_pref("extensions.incredibar_i.tlbrId", "base");

Supprimée : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6R8vz7kCN4&loc=IB[...]

Supprimée : user_pref("extensions.incredibar_i.upn2", "6R8vz7kCN4");

Supprimée : user_pref("extensions.incredibar_i.upn2n", "92824510770732714");

Supprimée : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");

Supprimée : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1412:23:51");

Supprimée : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");

Supprimée : user_pref("keyword.URL", "hxxp://mystart.incredibar.com/mb165/?loc=IB_DS&a=6R8vz7kCN4&&i=26&search="[...]

Supprimée : user_pref("{336D0C35-8A85-403a-B9D2-65C292C39087}.ScriptData_WSG_referrer", "hxxp://us.yhs4.search.y[...]

Supprimée : user_pref("{336D0C35-8A85-403a-B9D2-65C292C39087}.ScriptData_WSG_whiteList", "{\"search.babylon.com\[...]

 

*************************

 

AdwCleaner[s1].txt - [11206 octets] - [28/07/2012 19:54:42]

 

########## EOF - C:\AdwCleaner[s1].txt - [11335 octets] ##########

[Apollo]

j'ai lancer Combofix apres que tu m'ai demandé

 

Ok mais pourquoi n'as-tu pas désactivé tes protections? Ca peut faire échouer CF.

 

Tu as toujours ces alertes du début?

[Jerem76]

jai desactiver antivirus, pare feu et antispam + mais apparemment bitdefender reste actif, meme dans le gestionnaire de tache, impossible de terminer le processus bitdefender.

Je viens de faire RogueKiller, voici le rapport :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version

Demarrage : Mode normal

Utilisateur: Pepito [Droits d'admin]

Mode: Recherche -- Date: 28/07/2012 20:26:48

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 6 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=;ftp=;hxxps= -> FOUND

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\n --> FOUND

[ZeroAccess][FILE] @ : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\@ --> FOUND

[ZeroAccess][FOLDER] U : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\U --> FOUND

[ZeroAccess][FOLDER] L : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\L --> FOUND

[ZeroAccess][FILE] @ : c:\users\pepito\appdata\local\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\@ --> FOUND

[ZeroAccess][FOLDER] U : c:\users\pepito\appdata\local\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\U --> FOUND

[ZeroAccess][FOLDER] L : c:\users\pepito\appdata\local\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\L --> FOUND

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: HDS722516VLSA80 ATA Device +++++

--- User ---

[MBR] d750dca9cccda3df40f3ff8c42926689

[bSP] c7f509617e4b990d4f0b0fce5de633e9 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 50461 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 103346145 | Size: 106603 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[Apollo]

Quand c'est comme ça, il faut passer ComboFix en mode sans échec, comme ça on est tranquille avec les antimachins divers

 

Relance Rogue Killer et clique sur Supprimer.

 

Clique ensuite sur ProxyRaz.

 

Poste les rapports stp.

 

---------------------------

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

@++

[Jerem76]

je vien de faire suppression sur ROGUEKILLER

 

voici le 1er rapport :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version

Demarrage : Mode normal

Utilisateur: Pepito [Droits d'admin]

Mode: Suppression -- Date: 28/07/2012 21:02:31

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 6 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=;ftp=;hxxps= -> NOT REMOVED, USE PROXYFIX

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FOLDER] n : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\n --> RAR ERROR

[ZeroAccess][FILE] @ : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\@ --> REMOVED

[ZeroAccess][FOLDER] U : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\U --> REMOVED

[Del.Parent][FILE] 00000004.@ : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\L\00000004.@ --> REMOVED

[Del.Parent][FILE] 1afb2d56 : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\L\1afb2d56 --> REMOVED

[Del.Parent][FILE] 201d3dde : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\L\201d3dde --> REMOVED

[ZeroAccess][FOLDER] L : c:\windows\installer\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\L --> REMOVED

[ZeroAccess][FILE] @ : c:\users\pepito\appdata\local\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\@ --> REMOVED

[ZeroAccess][FOLDER] U : c:\users\pepito\appdata\local\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\U --> REMOVED

[ZeroAccess][FOLDER] L : c:\users\pepito\appdata\local\{45a7ccb7-2a5d-421c-0fca-522c3bc731f8}\L --> REMOVED

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: HDS722516VLSA80 ATA Device +++++

--- User ---

[MBR] d750dca9cccda3df40f3ff8c42926689

[bSP] c7f509617e4b990d4f0b0fce5de633e9 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 50461 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 103346145 | Size: 106603 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

Voici le second rapport apres avoir cliquer ProxyRaz

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version

Demarrage : Mode normal

Utilisateur: Pepito [Droits d'admin]

Mode: Proxy RAZ -- Date: 28/07/2012 21:04:25

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=;ftp=;hxxps= -> DELETED

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

Je fais TDSSkiller ??

 

je fais TDSSkiller ?

[Apollo]

Oui passe quand-même TDSSkiller.