Sujet Précédent Sujet Suivant

Zone alarme s'affole

arnosco Messages postés 98 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Depuis quelques jours mon pc se comporte bizarrement.
Récemment Zone Alarm s'est affolé en me demandant d'accepter ou de refuser l'accès à mon ordinateur de quantités de programmes inconnus, alors qu'habituellement il ne le fait pas sauf quand j'installe et démarre un nouveau logiciel. Je les ai évidement tous refusé, enfin presque...
Suite a ça mon pc m'indique une nouvelle mise a jours Windows. Je click sur l'icône jaune, et puis ça charge mais rien ne se passe, l'icône disparait.
Enfin, j'ai beaucoup plus qu'à l'habitude de pages internet publicitaires qui popent sans prévenir??

Ça sent le spyware. J'ai donc fait une analyse avec Malwarebyte's Anti-Malware.
Il a effectivement détecté des trucs que j'ai supprimé, mais ça ne tourne toujours pas rond.

Quelqu'un aurait il une petite idée de comment faire le ménage à fond?

Merci d'avance pour votre aide, toujours précieuse.

Cordialement.

A voir également:

9 réponses

Réponse 1 / 9
Utilisateur anonyme
 
Bonsoir,

Pour un diagnostic du pc:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

0
Réponse 2 / 9
arnosco Messages postés 98 Statut Membre 1
 
Bonjour et merci pour ta réponse,

Le site que tu proposehttp://www.cijoint.fr/ pour heberger mon rapport ne fonctionne pas, il indique "Erreur interne 500"... Puis je copier/coller le rapport dans ma réponse directement?

Merci
0
Réponse 3 / 9
arnosco Messages postés 98 Statut Membre 1
 
Ça y est ça fonctionne :-)

Voici le lien avec le rapport

http://www.cijoint.fr/cjlink.php?file=cj201012/cijFDUvJba.txt
0
Réponse 4 / 9
Utilisateur anonyme
 
Un rootkit tres certainement !!!!

Télécharge ComboFix à partir de ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Enregistre le sur le bureau (Important)

Avant d'utiliser ComboFix :

Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

Copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
arnosco Messages postés 98 Statut Membre 1
 
Voici le rapport,

Merci pour le temps que tu m'accordes :

ComboFix 10-12-16.05 - sco 17/12/2010 21:51:48.2.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1650 [GMT 1:00]
Lancé depuis: c:\documents and settings\sco\Bureau\ComboFix.exe
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\E88D4.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT

((((((((((((((((((((((((((((( Fichiers créés du 2010-11-17 au 2010-12-17 ))))))))))))))))))))))))))))))))))))
.

2010-12-17 18:56 . 2010-12-17 18:57 -------- d-----w- c:\program files\ZHPDiag
2010-12-17 17:31 . 2010-12-17 17:31 -------- d-----w- c:\program files\Fichiers communs\DirectX
2010-12-17 15:42 . 2010-12-17 15:42 -------- d-----w- c:\windows\B83FC356B7C0441F8A4DD71E088E7974.TMP
2010-12-17 12:21 . 2010-12-17 15:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Solidshield
2010-12-16 07:45 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-16 07:44 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-10 08:11 . 2010-12-10 08:11 -------- d-----w- c:\documents and settings\sco\Local Settings\Application Data\ColdBuy
2010-12-10 08:04 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-12-10 05:36 . 2010-12-10 05:36 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-12-10 05:36 . 2010-12-10 05:36 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-12-09 10:10 . 2010-12-09 10:10 -------- d-----w- c:\windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
2010-12-09 10:10 . 2010-12-17 15:42 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-12-09 09:47 . 2010-12-09 10:10 -------- d-----w- c:\program files\Fichiers communs\BioWare
2010-12-09 07:16 . 2010-12-09 07:16 -------- d-----w- c:\program files\Traction Software
2010-12-07 07:47 . 2010-12-07 07:47 -------- d-----w- c:\documents and settings\sco\Local Settings\Application Data\2K Games
2010-12-07 07:40 . 2010-12-07 07:40 -------- d-----w- c:\program files\NVIDIA Corporation
2010-12-06 16:30 . 2010-12-06 16:30 -------- d-----w- c:\documents and settings\sco\Local Settings\Application Data\My Games
2010-12-06 16:13 . 2009-09-04 16:44 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2010-12-06 16:13 . 2009-09-04 16:44 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2010-12-06 16:13 . 2009-09-04 16:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2010-12-06 16:13 . 2009-09-04 16:29 235344 ----a-w- c:\windows\system32\d3dx11_42.dll
2010-12-06 16:13 . 2009-09-04 16:29 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll
2010-12-06 14:32 . 2010-12-17 18:21 -------- d-----w- c:\documents and settings\sco\Application Data\Azureus
2010-12-06 14:32 . 2010-12-06 15:53 -------- d-----w- c:\documents and settings\sco\Local Settings\Application Data\ConduitEngine
2010-12-06 14:32 . 2010-12-06 14:32 -------- d-----w- c:\program files\ConduitEngine
2010-12-06 13:07 . 2010-12-06 13:07 -------- d-----w- c:\documents and settings\sco\Local Settings\Application Data\PunkBuster
2010-12-06 12:43 . 2010-12-06 12:43 -------- d-----w- c:\documents and settings\sco\Application Data\id Software
2010-12-06 12:43 . 2010-12-06 12:43 -------- d-----w- c:\documents and settings\All Users\Application Data\id Software
2010-12-06 07:53 . 2010-12-06 07:53 -------- d--h--w- c:\windows\msdownld.tmp
2010-12-06 07:50 . 2010-12-06 07:51 -------- dc-h--w- c:\windows\ie8
2010-11-22 14:50 . 2010-12-16 10:43 -------- d-----w- c:\documents and settings\sco\Tracing
2010-11-19 19:45 . 2010-11-19 19:45 -------- d-----w- C:\Digidesign Databases
2010-11-19 10:03 . 2010-11-19 10:03 -------- d-----w- c:\program files\iPod
2010-11-19 10:03 . 2010-12-06 14:33 -------- d-----w- c:\program files\iTunes
2010-11-19 09:58 . 2010-11-19 09:58 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Protection_ZoneAlarm
2010-11-18 20:20 . 2010-11-18 20:20 -------- d-----w- c:\documents and settings\sco\Application Data\Structure
2010-11-18 20:10 . 2010-11-18 20:10 -------- d-----w- c:\program files\InterLok
2010-11-18 20:07 . 2008-12-03 22:13 15872 ----a-w- c:\windows\system32\digicoin.dll
2010-11-18 20:07 . 2006-12-08 21:21 90112 ----a-w- c:\windows\system32\WinMMFix.dll
2010-11-18 20:07 . 2001-06-27 08:13 217088 ----a-w- c:\windows\system32\qtmlClient.dll
2010-11-18 20:07 . 2008-12-04 02:01 24080 ----a-w- c:\windows\system32\drivers\dgfwboot.sys
2010-11-18 20:07 . 2008-12-03 23:36 2554655 ----a-w- c:\windows\system32\dgfwdio.dll
2010-11-18 20:07 . 2008-12-03 22:11 176128 ----a-w- c:\windows\system32\Diomidi.DLL
2010-11-18 20:07 . 2008-12-03 22:11 196608 ----a-w- c:\windows\system32\Digi32.dll
2010-11-18 20:07 . 2008-12-03 22:10 364544 ----a-w- c:\windows\system32\digiasio.dll
2010-11-18 20:07 . 2010-11-18 20:12 -------- d-----w- c:\program files\Digidesign
2010-11-18 19:49 . 2010-11-18 20:20 -------- d-----w- c:\program files\Fichiers communs\Digidesign
2010-11-18 19:42 . 2010-11-18 19:42 -------- d-----w- c:\program files\icons
2010-11-18 18:12 . 2010-11-18 18:12 86016 -c----w- c:\windows\system32\dllcache\isign32.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2008-04-13 18:40 . !HASH: COULD NOT OPEN FILE !!!!! . 96512 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-08-05 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-06 2735200]

[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-29 14:26 3908192 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
2010-12-06 07:58 2735200 ----a-w- c:\program files\Protection_ZoneAlarm\tbPro1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-06 2735200]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-29 3908192]

[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-06 2735200]

[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-14 18702336]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-02-25 221184]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-04 98304]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2010-09-28 738808]
"DigidesignMMERefresh"="c:\program files\Digidesign\Drivers\MMERefresh.exe" [2008-12-03 77824]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-11-17 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\sco\Menu D'marrer\Programmes\D'marrage\
kill.bat [2010-12-10 42]

c:\documents and settings\sco\Menu D'marrer\Programmes\D'marrage\
kill.bat [2010-12-10 42]

c:\documents and settings\sco\Menu D'marrer\Programmes\D'marrage\
kill.bat [2010-12-10 42]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2010-3-19 113664]

c:\documents and settings\sco\Menu D'marrer\Programmes\D'marrage\
kill.bat [2010-12-10 42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave6"=Digi32.dll
"MIDI3"=diomidi.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech SetPoint.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST]
m'|\ü [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DigidesignMMERefresh]
2008-12-03 22:12 77824 ----a-w- c:\program files\Digidesign\Drivers\MMERefresh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2008-12-08 13:50 54576 ----a-w- c:\program files\HP\HP Software Update\hpwuschd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISW]
2010-09-28 10:59 738808 ----a-w- c:\program files\CheckPoint\ZAForceField\ForceField.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-11-17 19:59 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
2004-02-25 16:15 454656 ----a-w- c:\program files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
2004-02-25 16:06 212992 ----a-w- c:\program files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WebDriveService"=2 (0x2)
"vsmon"=2 (0x2)
"TomTomHOMEService"=2 (0x2)
"Nero BackItUp Scheduler 4.0"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"IswSvc"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"h:\\eMule\\eMule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"e:\\jeux\\Mass Effect 2\\Binaries\\MassEffect2.exe"=
"e:\\jeux\\Mass Effect 2\\MassEffect2Launcher.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"e:\\jeux\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=

R0 odksrml;odksrml; [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
R3 RkHit;RkHit;c:\windows\system32\drivers\RKHit.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 RFNP32;WebDrive Provider; [x]
S0 a347bus;a347bus;c:\windows\system32\DRIVERS\a347bus.sys [2004-04-30 160640]
S0 a347scsi;a347scsi;c:\windows\System32\Drivers\a347scsi.sys [2004-04-30 5248]
S2 DigiNet;Digidesign Ethernet Support;c:\windows\system32\DRIVERS\diginet.sys [2008-12-04 16400]
S2 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\EnergySaver\GSvr.exe [2008-07-11 80392]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2010-09-28 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2010-09-28 493048]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2010-08-24 92008]
S2 WebDriveFSD;WebDrive File System Driver;c:\program files\NetDrive\rffsd.sys [2002-11-27 67032]
S3 dalwdmservice;dal service;c:\windows\system32\drivers\dalwdm.sys [2008-12-04 97808]
S3 MBX2DFU;MBX2DFU;c:\windows\system32\DRIVERS\MBX2DFU.sys [2008-12-04 21648]
S3 MBX2MIDK;Digidesign Mbox 2 Midi Driver;c:\windows\system32\drivers\mbx2midk.sys [2008-12-04 21904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
.
Contenu du dossier 'Tâches planifiées'

2010-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\sco\Application Data\Mozilla\Firefox\Profiles\mez9x9dr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google Powered Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {B13721C7-F507-4982-B2E5-502A71474FED} - c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-17 21:56
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1547161642-527237240-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:87,9b,63,99,f3,07,93,a7,8b,68,d7,f0,6e,9b,e0,23,be,70,9b,79,c4,92,de,
6f,21,e4,3c,53,f3,83,ec,0e,88,9f,a6,79,86,f2,f7,49,ec,7c,4a,fa,d3,04,cf,04,\
"??"=hex:45,f0,eb,75,1a,51,6d,44,ee,55,22,23,95,cf,a1,1e

[HKEY_USERS\S-1-5-21-1547161642-527237240-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:d9,18,20,e7,1b,04,8f,3e,ec,f8,de,36,7a,09,89,9a,81,30,61,33,ce,
7f,ea,98,79,53,22,d0,d4,42,84,b3,f8,dc,31,62,58,a4,a4,e4,3a,32,71,cc,5b,4e,\
"rkeysecu"=hex:14,ca,54,e8,05,cf,ff,f5,f0,19,3c,2c,c5,6d,0f,8c
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(584)
c:\windows\system32\Ati2evxx.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(640)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'explorer.exe'(2224)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-12-17 21:59:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-12-17 20:59

Avant-CF: 22 651 666 432 octets libres
Après-CF: 22 888 570 880 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 63752816D8B5F15817D3C8A456C5EC93
0
Réponse 6 / 9
arnosco Messages postés 98 Statut Membre 1
 
Y'a un truc un peu louche,

Lorsque j'ai lancé Combofix, il m'a signalé qu'il manquait un fichier de "restauration windows" (ou un truc du genre) pour que l'application fonctionne correctement. Il m'a donc proposé de le télécharger et de l'installer. Je me suis donc reconnecté sur internet et j'ai mis OK. Il a téléchargé un truc et ComboFix s'est exécuté normalement. (j'aurai peut être pas du?!)

Au redémarrage du PC mon menu démarrer avait un peu changé (habituellement je n'affiche pas les dossiers musique, documents etc...) comme s'il s'était réinitialisé. Et en plus internet explorer était sur mon bureau (alors que je ne l'utilise jamais) et Firefox n'était plus le navigateur par défaut.

De plus l'ordinateur rame un peu maintenant, surtout au niveau des affichages. Lorsque je ferme une fenêtre (par exemple firefox), il fait disparaitre la fenêtre doucement, par un balayage du haut vers le bas.

J'ai relancé une analyse rapide de Malwarebyte's Anti-Malware et, alors que j'en avais faite une il y a 3 jours et que j'avais supprimé tous les fichiers Trojan etc... il en retrouve 3 dont 2 en rapport avec Internet Explorer.

Voici le rapport :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5342

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17/12/2010 22:41:12
mbam-log-2010-12-17 (22-41-12).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135233
Temps écoulé: 2 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit (Rogue.SpywareCease) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 7 / 9
Utilisateur anonyme
 
Fais un nouveau ZHPdiag stp...
0
Réponse 8 / 9
arnosco Messages postés 98 Statut Membre 1
 
Bonjour archet9,

Étant donné que ça faisait plusieurs mois que c'était le bordel sur mon pc en plus de ce satané rootkit, j'ai décidé ce matin (une fois n'est pas coutume) de réinstaller windows et de formater tous mes disques.
Bon du coup ça marche vachement mieux, mais peut être me conseilles tu de vérifier s'il ne reste rien?

Sinon je te remercie pour ton aide.
0
Réponse 9 / 9
Utilisateur anonyme
 
Ds ce cas un nouveau ZHPdiag alors.....

"contributeur sécurité".....o°ô"
0

Discussions similaires

détail facture sfr data ?
BONO -
f76 -

9 réponses
Erreur F-41 Alarme Tike Securité
Hugo -
jeannets -

1 réponse
Mes appels audio What's app seront ils marqués sur ma facture sf
Mama2502 -
Afrikarnak -

7 réponses
Erreur la zone de données passée à un appel système est insu
Vincent -
Panth33ra -

5 réponses