comment désinfecter son pc après trojan [Résolu]

re,
bon travail,
fais ceci:

On va utiliser Ccleaner de Piriform Ltd.
Télécharger CCleaner sur le bureau:
Ne le télécharge pas si tu l'as déjà !


-->source ici
Une fois sur le bureau, clic sur l'install de CCleaner.
-Mais avant de cliquer > sur le bouton "installer", décoche toutes les "options supplémentaires".
Ensuite, clique sur "Options", "Avancé" et décoche la case--->
"Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".
-> Ensuite clique sur l'icone Registre, à droite, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées".

Accepte la sauvegarde, de la BDR (base de registre )qu'il propose .
Je te conseille de le repasser au moins deux fois,Refais le nettoyage de la base de registre, jusqu'à ce qu'il n'y ai plus aucune erreur de détectée.

--->aide visuelle, clic ici

Salut Winx!

Après une accalmie en ce qui concerne mes problèmes (et donc mon espoir de toucher à la solution :j'allais sur internet, et je cliquais sur un lien et tombais effectivement sur le lien demandé (bref que du bonheur!!!)), mon pc redélire totalement et à chaque lien que je clique, cela me renvoie comme avant sur des pages commerciales. :argh:

Je ne comprends plus rienensenoir:

J'ai pourtant fait attention à ne pas télécharger de fichier suspect ou autre.

J'ai fait je CCleaner et j'ai lancé un Hijackthis comme demandé.
Voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:58, on 27.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\trend micro\Magdalena.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 3692770265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3692745500
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5787 bytes
Help!!!!

re,
fais ceci:

Nous allons faire cette manipulation télécharger et renommer Combofix.exe.
regarde la manip expliquée sur ce lien :
http://forum.pcastuces.com/sujet.asp?f=25&s=37315
Il est nécessaire de renommer ComboFix.exe en Bibitte.exe ( un autre nom peut aussi fonctionner, mais tiens-toi en à l'exemple ) avant le téléchargement pour traiter cette infection.
Bagle cible tout fichier nommé ComboFix et lui saute dessus, ce qui vous donne un message d'erreur.
Le télécharger sur ce lien:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
*Double cliquer sur Bibitte.exe pour le lancer.
Si pour une raison quelconque, sous Vista par exemple, Bibitte.exeredémarrez en mode sans échec, choisissez le compte Administrateur, lancez Bibitte.exe

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
* Taper sur la touche 1 pour démarrer le scan.
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.
* Lorsque le scan sera terminé, cela pourrait prendre un certain temps,un rapport sera généré : postez en le contenu dans un prochain message.
* Si le rapport est trop long, postez le en deux fois.[/color]

ps:
cette manip est faite pour bagle, ce qui aprioris n'est pas ton cas, mais je voudrais voir si l'outil nous redonne accès au mode normal...

re,

ComboFix 10-02-27.03 - Magdalena 27.02.2010 18:59:46.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.666 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Magdalena\Desktop\Bibitte.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-3199622883-2618866062-1257210772-1003
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\spool\prtprocs\w32x86\0000788e.tmp
c:\windows\system32\SrchSTS.exe
c:\windows\system32\Thumbs.db
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-27 bis 2010-02-27 ))))))))))))))))))))))))))))))
.

2010-02-26 08:22 . 2010-02-26 08:22 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten
2010-02-26 08:22 . 2010-02-26 08:22 -------- d-----w- c:\dokumente und einstellungen\Besitzer
2010-02-25 07:02 . 2010-02-25 07:03 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp
2010-02-12 09:56 . 2010-02-12 09:56 -------- d-----w- c:\programme\CCleaner
2010-02-09 19:14 . 2010-02-09 19:14 -------- d-----w- C:\!KillBox
2010-02-04 13:27 . 2010-02-04 13:31 -------- d-----w- C:\ToolBar SD
2010-02-04 12:23 . 2010-02-04 12:23 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-02-01 10:08 . 2010-02-01 10:10 -------- d-----w- c:\dokumente und einstellungen\Magdalena\SmitfraudFix
2010-01-31 23:02 . 2010-02-27 10:57 -------- d-----w- c:\programme\trend micro
2010-01-31 23:02 . 2010-01-31 23:02 -------- d-----w- C:\rsit
2010-01-31 22:54 . 2010-02-26 08:03 -------- d-----w- c:\dokumente und einstellungen\Magdalena\Tracing
2010-01-30 23:07 . 2010-02-27 18:08 1824800 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-01-30 23:04 . 2010-01-30 23:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2010-01-30 23:04 . 2010-01-30 23:06 4212 ---h--w- c:\windows\system32\zllictbl.dat
2010-01-30 23:03 . 2008-07-09 08:05 42384 ----a-w- c:\windows\zllsputility_loc040c.dll
2010-01-30 23:03 . 2008-07-09 08:05 21904 ----a-w- c:\windows\system32\imsinstall_loc040c.dll
2010-01-30 23:02 . 2010-01-30 23:02 -------- d-----w- c:\programme\Zone Labs
2010-01-30 23:02 . 2010-02-27 17:28 -------- d-----w- c:\windows\Internet Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-27 02:33 . 2010-01-30 23:07 21848 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-02-24 13:55 . 2009-08-29 13:34 -------- d-----w- c:\dokumente und einstellungen\Magdalena\Anwendungsdaten\Skype
2010-02-24 13:55 . 2009-07-24 20:37 -------- d-----w- c:\dokumente und einstellungen\Magdalena\Anwendungsdaten\skypePM
2010-02-23 19:50 . 2009-09-10 11:33 -------- d-----w- c:\dokumente und einstellungen\Magdalena\Anwendungsdaten\vlc
2010-02-23 18:47 . 2009-09-11 14:04 -------- d-----w- c:\dokumente und einstellungen\Magdalena\Anwendungsdaten\dvdcss
2010-02-15 12:57 . 2009-02-05 07:02 85070 ----a-w- c:\windows\system32\perfc007.dat
2010-02-15 12:57 . 2009-02-05 07:02 459728 ----a-w- c:\windows\system32\perfh007.dat
2010-02-15 10:53 . 2009-11-18 13:04 -------- d-----w- c:\programme\Winamp
2010-02-15 10:51 . 2009-07-20 19:31 -------- d-----w- c:\programme\Google
2010-02-09 18:49 . 2009-09-26 08:52 -------- d-----w- c:\programme\pdfforge Toolbar
2010-02-05 21:36 . 2009-07-20 20:42 5806 ----a-w- c:\dokumente und einstellungen\Magdalena\Anwendungsdaten\wklnhst.dat
2010-01-30 23:35 . 2009-09-16 09:22 -------- d-----w- c:\programme\OpenOffice.org 3
2010-01-28 01:51 . 2010-01-28 01:51 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-25 14:46 . 2010-01-25 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-01-23 15:03 . 2010-01-23 14:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-01-23 14:58 . 2009-03-10 11:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-01-23 14:45 . 2010-01-23 14:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2010-01-17 02:40 . 2009-03-10 12:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-10 10:59 . 2009-08-25 09:25 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-09 12:37 . 2003-03-18 19:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-12-09 12:37 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2008-05-07 08:34 . 2009-03-10 11:42 15523560 ----a-w- c:\programme\U1 Setup.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Magdalena^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Magdalena\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Magdalena^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\Magdalena\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AsusACPIServer]
2008-12-17 18:59 622592 ----a-w- c:\programme\EeePC\ACPI\AsAcpiSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AsusEPCMonitor]
2008-05-21 00:56 94208 ----a-w- c:\programme\EeePC\ACPI\AsEPCMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AsusTray]
2008-12-04 12:38 114688 ----a-w- c:\programme\EeePC\ACPI\AsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ETDWare]
2009-01-23 07:49 416768 ----a-w- c:\programme\Elantech\ETDCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2007-12-19 15:08 159744 ----a-w- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2007-12-19 15:08 135168 ----a-w- c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52 1695232 ------w- c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2007-12-19 15:07 131072 ----a-w- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
2008-07-09 08:05 919016 ----a-w- c:\programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedAppl ications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPo rts\List]
"9294:TCP"= 9294:TCP:jvhtrvmm

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programme\Avira\AntiVir Desktop\sched.exe [25.08.2009 10:25 108289]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [10.03.2009 12:37 933504]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [28.01.2010 14:49 135664]
S2 zmqnmzou;Monitor Config;c:\windows\system32\svchost.exe -k netsvcs [05.02.2009 08:02 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
zmqnmzou
.
Inhalt des "geplante Tasks" Ordners

2010-01-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-28 13:49]

2010-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-28 13:49]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Magdalena\Anwendungsdaten\Mozilla\Firefox\Profiles\7t8rz2p8.default\
FF - prefs.js: browser.startup.homepage - http://www.gmer.net
Rootkit scan 2010-02-27 19:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys >>UNKNOWN [0x865008C8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75ccf28
\Driver\ACPI -> ACPI.sys @ 0xf745ecb8
\Driver\atapi -> atapi.sys @ 0xf7419b3a
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zmqnmzou]
"ServiceDll"="c:\windows\system32\zbjsv.dll"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(748)
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2010-02-27 19:11:36
ComboFix-quarantined-files.txt 2010-02-27 18:11

Vor Suchlauf: 9 Verzeichnis(se), 52.774.010.880 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 52.740.648.960 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - B9845DADEE9DA6A7ACADA0B550EA2D93

re,

joli travail de désinfection de Combofix

il y a un truc que j'aime pas trop...



fais ceci:

Rends toi sur ce lien : Virus Total
http://www.virustotal.com/


* Clique sur Parcourir
* Recherche alors notre cible à faire analyser :



Citation

c:\windows\system32\zbjsv.dll




* Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses.
En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur la petite icone bleue "Formaté" (écris en petit ! ) légèrement au dessus du titre "ANTIVIRUS" de la première colonne
* Une nouvelle fenêtre de ton navigateur va apparaître...
* Clique alors sur cette image :

* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

re,
Tant mieux!
Seul petit hic, j'ai beau cherché sur mon system 32 le fichier et même trifouiller pour faire apparaitre les fichiers cachés et ce fichier ne s'y trouve pas
Et bien entendu, pour changer, j'ai mes redirections de lien vers les douces pub d'internet qui viennent me taquiner toujours.

Télécharge OAD.exe de changelog.fr
http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau.

-Double clique sur le OAD pour le lancer
- nom de fichier à rechercher, ---->tape ou fais un copier coller de : zbjsv<---//attention ne pas rajouter d'espace à la fin ! \\
- Type de recherche : sélectionne l'option 6 puis valide [enter]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

re,
Voilà le new rapport:
28.02.2010 ---- 12:38:16,39

----------------------------------
§§§§§§ [zbjsv] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************


[HKEY_USERS\S-1-5-21-1809499029-782404625-1720978507-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="zbjsv.dll"

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

re,

fais ceci:

*ouvres ton Notepade.exe (bloc-note )
* Vas dans le menu "Format" décoche "Retour automatique à la ligne "
*copie/coller le texte contenu dans l'encadré, écrit en vert clair:



Code

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-1809499029-782404625-1720978507-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=-






*Enregistre le, sous le nom de fichier >> fix.reg, sur le bureau (pour ne pas chercher après ! )
*Clic droit dessus, choisis fusionner dans la liste déroulante.

ps:

Je ne trouve pas le bloc-note ?
Fais ceci:
Démarrer/exécuter/tape:
notepad.exe

Juste pour une petite demande de précision:
lorsque tu me demandes de copier/coller le texte en vert, dois-je copier :

Windows Registry Editor Version 5.00
[HKEY_USERS\S-1-5-21-1809499029-782404625-1720978507-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=-

ou simplement:

[HKEY_USERS\S-1-5-21-1809499029-782404625-1720978507-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=-
Merci d'avance

re,
tout ce qui est présent dans le cadre en vert...

Salut!

C'est bon, j'ai fait la fusion.

re,
refais la même manip que ici:
vsujet-311524.html#p311524

ps:

je suppose que la machine à déjà redémarré depuis ?
(si non, redémarre )

Salut Winx!

Voilà le nouveau rapport de OAD:

04.03.2010 ---- 15:52:38,70

----------------------------------
§§§§§§ [zbjsv] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

re,
ça semble correct...
te reste t'il des soucis avec cette machine ?