Help Trojan.Heur.TP.Fm0@bmHhz6p dans winlogon

Résolu
chris-vh -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
BitDefender m'a trouvé 2 fichiers infectés par un trojan

pouvez-vous m'aider s'il vous plait
---------------------------------

C:\WINDOWS\system32\winlogon.exe --> Gen:Trojan.Heur.TP.Fm0@bmHhz6p
--> Processus winlogon.exe (852)

C:\WINDOWS\Explorer.EXE --> Gen:Trojan.Heur.TP.@q0@bCTCe3n
--> HKCR\Folder\shell\open\command\(default)
--> HKCR\folder\shell\open\command\(default)
--> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell"
--> Processus Explorer.EXE (1672)

20 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Fais une recherche sur ton PC et vérifie si il n'existe pas d'autres Fichiers Winlogon.exe sur le PC (en particulier dans le répertoire i386) a des dates différentes.

    Ensuite tu me le dis

    Mais surtout ne supprime pas ou ne mets pas en quarantaine le fichier Winlogon infecté

    Smart
    0
    1. chris-vh
       
      j'ai un winlogon.ex_ dans mon i386
      0
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Donc tu vas faire ceci.
    Tu vas sur ce site : https://www.virustotal.com/gui/
    Tu cliques sur parcourir et tu mets le fichier Winlogon.ex_ qui se trouve dans i386
    Ensuite tu fais send file.
    Ton fichier sera mis en file d'attente. Tu attends donc les différents scan et ensuite tu postes le rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. chris-vh
       
      fait: le rapport ne montre rien pour tous les antivirus, j'endéduis que ce fichier est clean, non?
      0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu peux poster le rapport STP

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  4. chris
     
    c'est un copy paste de ce qu'il y a sur la page de resultat:

    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: WINLOGON.EX_
    Submission date: 2010-08-15 11:22:32 (UTC)
    Current status: finished
    Result: 0/ 42 (0.0%)
    VT Community

    not reviewed
    Safety score: -
    Compact
    Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2010.08.15.01 2010.08.15 -
    AntiVir 8.2.4.34 2010.08.13 -
    Antiy-AVL 2.0.3.7 2010.08.11 -
    Authentium 5.2.0.5 2010.08.14 -
    Avast 4.8.1351.0 2010.08.14 -
    Avast5 5.0.332.0 2010.08.14 -
    AVG 9.0.0.851 2010.08.15 -
    BitDefender 7.2 2010.08.15 -
    CAT-QuickHeal 11.00 2010.08.14 -
    ClamAV 0.96.0.3-git 2010.08.15 -
    Comodo 5747 2010.08.15 -
    DrWeb 5.0.2.03300 2010.08.15 -
    Emsisoft 5.0.0.37 2010.08.15 -
    eSafe 7.0.17.0 2010.08.12 -
    eTrust-Vet 36.1.7790 2010.08.13 -
    F-Prot 4.6.1.107 2010.08.14 -
    F-Secure 9.0.15370.0 2010.08.15 -
    Fortinet 4.1.143.0 2010.08.15 -
    GData 21 2010.08.15 -
    Ikarus T3.1.1.88.0 2010.08.15 -
    Jiangmin 13.0.900 2010.08.15 -
    Kaspersky 7.0.0.125 2010.08.15 -
    McAfee 5.400.0.1158 2010.08.15 -
    McAfee-GW-Edition 2010.1 2010.08.14 -
    Microsoft 1.6004 2010.08.15 -
    NOD32 5367 2010.08.14 -
    Norman 6.05.11 2010.08.14 -
    nProtect 2010-08-15.01 2010.08.15 -
    Panda 10.0.2.7 2010.08.15 -
    PCTools 7.0.3.5 2010.08.15 -
    Prevx 3.0 2010.08.15 -
    Rising 22.60.06.04 2010.08.15 -
    Sophos 4.56.0 2010.08.15 -
    Sunbelt 6735 2010.08.15 -
    SUPERAntiSpyware 4.40.0.1006 2010.08.15 -
    Symantec 20101.1.1.7 2010.08.15 -
    TheHacker 6.5.2.1.348 2010.08.14 -
    TrendMicro 9.120.0.1004 2010.08.15 -
    TrendMicro-HouseCall 9.120.0.1004 2010.08.15 -
    VBA32 3.12.14.0 2010.08.13 -
    ViRobot 2010.8.9.3978 2010.08.14 -
    VirusBuster 5.0.27.0 2010.08.14 -
    Additional informationShow all
    MD5 : 063ef1a46c58a731f78ae5af47070d65
    SHA1 : 11950e9e11c1d94ac0b048130a7d28a9f4cf08e4
    SHA256: c0c6a2908cfa5a636d0460abd2d36a68a44b1b20610f4d8a9ab19d8288f1c611
    VT Community
    This file has never been reviewed by any VT Community member. Be the first one to comment on it!
    VirusTotal Team
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK c'est bon
    Peux-tu me donner le chemin exact du fichier Wilogon.ex_
    Ce que j'appelle chemin c'est cela:
    C:\i386\winlogon.ex_
    Ceci est un exemple, il se peut que sur ton PC le chemein est différent.
    Ensuite je pourrais te donner les manips à faire
    Une questiion tu es sous Vista, W7 ou XP ?

    Smart
    0
    1. chris-vh
       
      oui c'est C:\i386\winlogon.ex_ et je suis sous win xp
      (et merci pour l'aide ;-)
      0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Alors tu vas faire ceci

    Tu cliques sur démarrer > Executer et tu tapes cmd puis entrée
    Dans la fenêtre noire tu tapes laes commandes suivantes

    REN C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\winlogon.old puis entrée
    EXPAND C:\i386\winlogon.ex_ C:\windows\system32\winlogon.exe puis entrée


    Tu fermes la fenêtre DOS

    Et tu fais ceci:
    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    0
    1. chris-vh
       
      ren et expand sont fait, mawarebyte updated et tourne ... ça va durer...
      je l'avais deja fait hier et il ne devrait plus trouver grand chose.. enfin espérons...
      merci, je copierai le rapport des que fini
      0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On attend le rapport

    Smart
    0
    1. chris
       
      voici le rapport mais je me rends compte que j'ai lancé le quickscan:
      Bien sur le winlogon.old reapparait


      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Database version: 4432

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      15/08/2010 14:45:16
      mbam-log-2010-08-15 (14-45-16).txt

      Scan type: Quick scan
      Objects scanned: 160990
      Time elapsed: 13 minute(s), 39 second(s)

      Memory Processes Infected: 0
      Memory Modules Infected: 0
      Registry Keys Infected: 0
      Registry Values Infected: 0
      Registry Data Items Infected: 0
      Folders Infected: 0
      Files Infected: 2

      Memory Processes Infected:
      (No malicious items detected)

      Memory Modules Infected:
      (No malicious items detected)

      Registry Keys Infected:
      (No malicious items detected)

      Registry Values Infected:
      (No malicious items detected)

      Registry Data Items Infected:
      (No malicious items detected)

      Folders Infected:
      (No malicious items detected)

      Files Infected:
      C:\WINDOWS\system32\OLDC3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\winlogon.old (Trojan.Agent) -> Delete on reboot.
      0
    2. chris
       
      je redémarre mais j'imagine que je dois faire un scan complet...
      0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    RElance et MBAM vide la quarantaine et redémarre le PC
    Ensuite on va faire un ddiagnostic de ton PC:
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
    1. chris-vh
       
      v oilà: http://www.cijoint.fr/cjlink.php?file=cj201008/cij4Dp2xQM.txt
      0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as d'auttre infections et en particuleir un rootkit TDSServ
    * Télécharge [https://www.sfr.fr/fermeture-des-pages-perso.html Load_tdsskiller (de Loup Blanc) sur ton Bureau
    * Lance load_tdsskiller (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
    * L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
    * A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

    Smart
    0
  11. chris
     
    voici le resultat
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijFm3MNBw.txt
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    C'est le rapport Tdsskiller dont j'ai besion et pas celui de ZHPDiag

    Smart
    0
    1. chris
       
      sorry, erreur
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijryqSsTC.txt
      0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redémarre ton PC et refais un scan ZHPDiad et poste le rapport

    Smart
    0
    1. chris-vh
       
      Bonjour, voici le nouveau rapport zhpdiag:
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijx4WKvOg.txt
      0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    C'est toujours là.
    Mais j'ai vu que tu as connecté un disque dur extene
    Tout d'abord tu vas supprimer ce fichier:
    C:\WINDOWS\System32\WINLOGON.EX_
    Ensuite
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    HKCU\Software\JRMX9X1GML]
    [HKLM\Software\Trad-FR]
    O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    [HKCU\Software\?? ?? ???? ????? ??? ?? ????]
    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite tu fais ceci:
    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"

    Cela te fait deux rapports à poster

    Smart
    0
    1. chris
       
      Premier rapport:
      Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
      Fichier d'export Registre : C:\ZHPExportRegistry-16-08-2010-20-41-40.txt
      Run by Christian Vanhenten at 16/08/2010 20:41:40
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Clé(s) du Registre ==========
      HKLM\Software\Trad-FR => Clé supprimée avec succès
      HKCU\Software\?? ?? ???? ????? ??? ?? ???? => Clé absente

      ========== Valeur(s) du Registre ==========
      O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente

      ========== Autre ==========
      HKCU\Software\JRMX9X1GML] => Format Non supporté


      ========== Récapitulatif ==========
      2 : Clé(s) du Registre
      1 : Valeur(s) du Registre
      1 : Autre


      End of the scan
      0
    2. chris
       
      et le deuxième:

      ############################## | UsbFix 7.020 | [Research]

      User: Christian Vanhenten (Administrator) # ACER-ULTRABOOK [ ]
      Updated 12/08/10 by El Desaparecido / C_XX
      Started at 20:45:52 | 16/08/2010
      Website: http://pagesperso-orange.fr/NosTools/index.html
      Contact: FindyKill.Contact@gmail.com

      CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
      CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
      Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702

      Windows Firewall: Disabled /!\
      Antivirus: ZoneAlarm Security Suite Antivirus 9.1.008.000 [Enabled | Updated]
      Firewall: ZoneAlarm Security Suite Firewall 9.1.008.000 [Enabled]
      RAM -> 1012 Mb
      C:\ (%systemdrive%) -> Fixed drive # 144 Gb (100 Mb free - 70%) [ACER] # NTFS
      D:\ -> CD-ROM
      E:\ -> CD-ROM
      P:\ -> Fixed drive # 297 Gb (80 Mb free - 27%) [My Passport] # NTFS

      ################## | Files # Infected Folders |

      Found ! C:\WINDOWS\system32\autorun
      Found ! C:\WINDOWS\system32\Autorun.ini
      Found ! C:\WINDOWS\system32\drivers\bpbjvjm.sys.vir

      ################## | Registry |

      Found ! HKCU\Software\JRMX9X1GML
      Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
      Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
      Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

      ################## | Mountpoints2 |

      HKCU\.\.\.\.\Explorer\MountPoints2\{034b052b-77f6-11df-a92d-00234e50f53d}
      Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

      HKCU\.\.\.\.\Explorer\MountPoints2\{034b0540-77f6-11df-a92d-00234e50f53d}
      Shell\AutoRun\Command = F:\AutoRun.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{14f5dd59-78ea-11de-a8ec-0011675ab1f4}
      Shell\AutoRun\Command = G:\InstallTomTomHOME.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{70a46f76-f9e6-11de-a914-0011675ab1f4}
      Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true

      HKCU\.\.\.\.\Explorer\MountPoints2\{7af9f484-01e1-11df-a916-0011675ab1f4}
      Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

      HKCU\.\.\.\.\Explorer\MountPoints2\{d7285ba8-cf0a-11de-a902-0011675ab1f4}
      Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

      HKCU\.\.\.\.\Explorer\MountPoints2\{e100d6f0-be2c-11dd-a880-00234e50f53d}
      Shell\AutoRun\Command = "WD SmartWare.exe" autoplay=true


      ################## | Vaccin |

      (!) This computer is not vaccinated!

      ################## | E.O.F |
      0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    0
    1. chris-vh
       
      Bonjour, le rapport de usbfix: http://www.cijoint.fr/cjlink.php?file=cj201008/cijvrh2c5g.txt
      0
    2. chris-vh
       
      et j'ai bien sur envoyé le zip à usbfix
      Question: le disque usb est partagé avec un autre laptop, dois-prévoir des inspections et nettoyage de l'autre pc?
      0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    "Question: le disque usb est partagé avec un autre laptop, dois-prévoir des inspections et nettoyage de l'autre pc?"

    Tout à fait il faut que tu refasse la même manip avec USBFix sur l'autre PC. Si tu veux on le fera quand on aura terminé avec ce PC.

    Pour le moment fais, car il y a toujours une m**de que je n'arrive pas à enlever

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    - Télécharge ici : List_Kill'em
    et enregistre le sur ton bureau

    Si tu as XP => double clique
    Si tu as Vista ou windows 7 => clic droit "executer en tant que...."
    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    - Executer List_Kill'em
    une fois terminée , clic sur "terminer" et le programme se lancera seul
    choisis l'option Search

    - laisse travailler l'outil
    Il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    - Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le fichier ci-dessus.
    - Clique sur Ouvrir.
    - Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :
    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.
    - Fais de même avec more.txt qui se trouve sur ton bureau

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. chris-vh
       
      Hello,
      voici le rapport de kill'em: http://www.cijoint.fr/cjlink.php?file=cj201008/cijd2Fmoqw.txt
      0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu n'as pas poster le rapport more.txt. donc poste le et ensuite tu fais ceci:

    - Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    - choisis l'Option Clean ton PC va redemarrer,

    Laisse travailler l'outil. En fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    - colle le contenu dans ta reponse

    Smart
    0
    1. chris-vh
       
      bonsoir
      voici le lien vers le more.txt: http://www.cijoint.fr/cjlink.php?file=cj201008/cijH7MFJA1.txt
      entre temps le list kill'em / clean a tourné et le kill'em.txt est ici: http://www.cijoint.fr/cjlink.php?file=cj201008/cijxBa0WXW.txt
      merci
      0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Peux-tu refaire un scan ZHPdiag et poster le . Je crois que l'on a presque terminé

    Smart
    0
    1. chris-vh
       
      et voilà: http://www.cijoint.fr/cjlink.php?file=cj201008/cijSWyYvxP.txt
      quel marathon..
      0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On a terminé. le mieux est que tu imprimes cette dernière réponse pour mieux suivre ce que tu vas faire

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified


    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Désinstalle Spybot Seatch & Destroy, il est inutile aujourd'hui et ne fait que ralentir ton PC ==>
    https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

    Ensuite tu fais les mises à jour suivantes:
    Mise à jour vers Adobe 9.3.3
    lancer Adobe Reader (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe), de cliquer sur "Aide" puis sur "Rechercher les mises à jour" jusqu'à ce qu'il ne trouve plus de mises à jour.

    Mise à jour flashplayer vers la version 10.1.82.76
    * Ferme tous tes navigateurs
    * A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
    * Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

    Mets à jour ADobe Air ==> https://get.adobe.com/air/?loc=fr

    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    et lis ceci: Pourquoi tenir ses programmes a jour

    Lance Hijackthis et fais un do scan only et coche les lignes suivantes:
    O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
    O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
    O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
    O4 - HKLM\..\Run: [MMReminderService] . (.Mindjet - MindManager Topic Alerts.) -- C:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
    O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
    O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-21-3978539620-1697176933-1687786566-1006\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper Module.) -- C:\Program Files\iTunes\iTunesHelper.exe
    O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\WINDOWS\System32\igfxdev.dll
    O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
    Coche également toutes les lignes O16
    Et ensuite tu fais un fix checked

    1. Désinstallation des outils

    Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
    Tutoriel pour t'aide

    2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
    - Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    - Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    - Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

    3. Désactiver la restauration système et céer un point de restauration
    Dans la barre des tâches de Windows, clique sur Démarrer.
    Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
    Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
    Clique sur Appliquer.
    Ensuite décoche "Désactiver la restauration du systeme"
    Clique sur appliquer puis ok
    Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

    Quelques conseils de Prévention

    - Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

    - Par rapport au P2P : http://www.libellules.ch/...

    - Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    Prévention et Protection

    Sois plus vigilant(e) sur Internet à l'avenir

    Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas.

    Smart
    0
    1. chris-vh
       
      rapport zpfix:

      Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
      Fichier d'export Registre : C:\ZHPExportRegistry-17-08-2010-23-35-38.txt
      Run by Christian Vanhenten at 17/08/2010 23:35:38
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Elément(s) de donnée du Registre ==========
      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
      [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès


      ========== Récapitulatif ==========
      2 : Elément(s) de donnée du Registre


      End of the scan
      0
  20. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. fais la suite

    Smart
    0
    1. chris-vh
       
      voilà c'est fait , tout est ok
      Pour moi c'est terminé sauf pour ce qui concerne l'autre pc (je synchronise les folders de documents avec le disque usb pour avoir les données à jour dans les 2 becanes
      quel test je dois faire pour etre sur que tout est ok?
      je cloture cette question et j'en rouvre une autre ou on continue sur celle-ci
      en tout cas d'ores et deja merci infiniment
      0
  21. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Oui on ferme cette discussion et ouvre en une autre
    Et heureux de t'avoir aidé

    Smart
    0