Help Trojan.Heur.TP.Fm0@bmHhz6p dans winlogon

[Résolu/Fermé]
Signaler
-
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
-
BitDefender m'a trouvé 2 fichiers infectés par un trojan

pouvez-vous m'aider s'il vous plait
---------------------------------

C:\WINDOWS\system32\winlogon.exe --> Gen:Trojan.Heur.TP.Fm0@bmHhz6p
--> Processus winlogon.exe (852)

C:\WINDOWS\Explorer.EXE --> Gen:Trojan.Heur.TP.@q0@bCTCe3n
--> HKCR\Folder\shell\open\command\(default)
--> HKCR\folder\shell\open\command\(default)
--> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell"
--> Processus Explorer.EXE (1672)

20 réponses

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Bonjour,

Fais une recherche sur ton PC et vérifie si il n'existe pas d'autres Fichiers Winlogon.exe sur le PC (en particulier dans le répertoire i386) a des dates différentes.

Ensuite tu me le dis

Mais surtout ne supprime pas ou ne mets pas en quarantaine le fichier Winlogon infecté

Smart
j'ai un winlogon.ex_ dans mon i386
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Donc tu vas faire ceci.
Tu vas sur ce site : https://www.virustotal.com/gui/
Tu cliques sur parcourir et tu mets le fichier Winlogon.ex_ qui se trouve dans i386
Ensuite tu fais send file.
Ton fichier sera mis en file d'attente. Tu attends donc les différents scan et ensuite tu postes le rapport

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
fait: le rapport ne montre rien pour tous les antivirus, j'endéduis que ce fichier est clean, non?
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Tu peux poster le rapport STP

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
c'est un copy paste de ce qu'il y a sur la page de resultat:

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: WINLOGON.EX_
Submission date: 2010-08-15 11:22:32 (UTC)
Current status: finished
Result: 0/ 42 (0.0%)
VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.15.01 2010.08.15 -
AntiVir 8.2.4.34 2010.08.13 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.14 -
Avast 4.8.1351.0 2010.08.14 -
Avast5 5.0.332.0 2010.08.14 -
AVG 9.0.0.851 2010.08.15 -
BitDefender 7.2 2010.08.15 -
CAT-QuickHeal 11.00 2010.08.14 -
ClamAV 0.96.0.3-git 2010.08.15 -
Comodo 5747 2010.08.15 -
DrWeb 5.0.2.03300 2010.08.15 -
Emsisoft 5.0.0.37 2010.08.15 -
eSafe 7.0.17.0 2010.08.12 -
eTrust-Vet 36.1.7790 2010.08.13 -
F-Prot 4.6.1.107 2010.08.14 -
F-Secure 9.0.15370.0 2010.08.15 -
Fortinet 4.1.143.0 2010.08.15 -
GData 21 2010.08.15 -
Ikarus T3.1.1.88.0 2010.08.15 -
Jiangmin 13.0.900 2010.08.15 -
Kaspersky 7.0.0.125 2010.08.15 -
McAfee 5.400.0.1158 2010.08.15 -
McAfee-GW-Edition 2010.1 2010.08.14 -
Microsoft 1.6004 2010.08.15 -
NOD32 5367 2010.08.14 -
Norman 6.05.11 2010.08.14 -
nProtect 2010-08-15.01 2010.08.15 -
Panda 10.0.2.7 2010.08.15 -
PCTools 7.0.3.5 2010.08.15 -
Prevx 3.0 2010.08.15 -
Rising 22.60.06.04 2010.08.15 -
Sophos 4.56.0 2010.08.15 -
Sunbelt 6735 2010.08.15 -
SUPERAntiSpyware 4.40.0.1006 2010.08.15 -
Symantec 20101.1.1.7 2010.08.15 -
TheHacker 6.5.2.1.348 2010.08.14 -
TrendMicro 9.120.0.1004 2010.08.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.15 -
VBA32 3.12.14.0 2010.08.13 -
ViRobot 2010.8.9.3978 2010.08.14 -
VirusBuster 5.0.27.0 2010.08.14 -
Additional informationShow all
MD5 : 063ef1a46c58a731f78ae5af47070d65
SHA1 : 11950e9e11c1d94ac0b048130a7d28a9f4cf08e4
SHA256: c0c6a2908cfa5a636d0460abd2d36a68a44b1b20610f4d8a9ab19d8288f1c611
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
OK c'est bon
Peux-tu me donner le chemin exact du fichier Wilogon.ex_
Ce que j'appelle chemin c'est cela:
C:\i386\winlogon.ex_
Ceci est un exemple, il se peut que sur ton PC le chemein est différent.
Ensuite je pourrais te donner les manips à faire
Une questiion tu es sous Vista, W7 ou XP ?

Smart
oui c'est C:\i386\winlogon.ex_ et je suis sous win xp
(et merci pour l'aide ;-)
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Alors tu vas faire ceci

Tu cliques sur démarrer > Executer et tu tapes cmd puis entrée
Dans la fenêtre noire tu tapes laes commandes suivantes

REN C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\winlogon.old puis entrée
EXPAND C:\i386\winlogon.ex_ C:\windows\system32\winlogon.exe puis entrée


Tu fermes la fenêtre DOS

Et tu fais ceci:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
ren et expand sont fait, mawarebyte updated et tourne ... ça va durer...
je l'avais deja fait hier et il ne devrait plus trouver grand chose.. enfin espérons...
merci, je copierai le rapport des que fini
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
OK. On attend le rapport

Smart
voici le rapport mais je me rends compte que j'ai lancé le quickscan:
Bien sur le winlogon.old reapparait


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4432

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/08/2010 14:45:16
mbam-log-2010-08-15 (14-45-16).txt

Scan type: Quick scan
Objects scanned: 160990
Time elapsed: 13 minute(s), 39 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\OLDC3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogon.old (Trojan.Agent) -> Delete on reboot.
je redémarre mais j'imagine que je dois faire un scan complet...
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
RElance et MBAM vide la quarantaine et redémarre le PC
Ensuite on va faire un ddiagnostic de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
v oilà: http://www.cijoint.fr/cjlink.php?file=cj201008/cij4Dp2xQM.txt
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Tu as d'auttre infections et en particuleir un rootkit TDSServ
* Télécharge [https://www.sfr.fr/fermeture-des-pages-perso.html Load_tdsskiller (de Loup Blanc) sur ton Bureau
* Lance load_tdsskiller (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

Smart
voici le resultat
http://www.cijoint.fr/cjlink.php?file=cj201008/cijFm3MNBw.txt
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
C'est le rapport Tdsskiller dont j'ai besion et pas celui de ZHPDiag

Smart
sorry, erreur
http://www.cijoint.fr/cjlink.php?file=cj201008/cijryqSsTC.txt
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Redémarre ton PC et refais un scan ZHPDiad et poste le rapport

Smart
Bonjour, voici le nouveau rapport zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijx4WKvOg.txt
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
C'est toujours là.
Mais j'ai vu que tu as connecté un disque dur extene
Tout d'abord tu vas supprimer ce fichier:
C:\WINDOWS\System32\WINLOGON.EX_
Ensuite
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
HKCU\Software\JRMX9X1GML]
[HKLM\Software\Trad-FR]
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite tu fais ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

Cela te fait deux rapports à poster

Smart
Premier rapport:
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-16-08-2010-20-41-40.txt
Run by Christian Vanhenten at 16/08/2010 20:41:40
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\Trad-FR => Clé supprimée avec succès
HKCU\Software\?? ?? ???? ????? ??? ?? ???? => Clé absente

========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente

========== Autre ==========
HKCU\Software\JRMX9X1GML] => Format Non supporté


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Autre


End of the scan
et le deuxième:

############################## | UsbFix 7.020 | [Research]

User: Christian Vanhenten (Administrator) # ACER-ULTRABOOK [ ]
Updated 12/08/10 by El Desaparecido / C_XX
Started at 20:45:52 | 16/08/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Windows Firewall: Disabled /!\
Antivirus: ZoneAlarm Security Suite Antivirus 9.1.008.000 [Enabled | Updated]
Firewall: ZoneAlarm Security Suite Firewall 9.1.008.000 [Enabled]
RAM -> 1012 Mb
C:\ (%systemdrive%) -> Fixed drive # 144 Gb (100 Mb free - 70%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
P:\ -> Fixed drive # 297 Gb (80 Mb free - 27%) [My Passport] # NTFS

################## | Files # Infected Folders |

Found ! C:\WINDOWS\system32\autorun
Found ! C:\WINDOWS\system32\Autorun.ini
Found ! C:\WINDOWS\system32\drivers\bpbjvjm.sys.vir

################## | Registry |

Found ! HKCU\Software\JRMX9X1GML
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{034b052b-77f6-11df-a92d-00234e50f53d}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{034b0540-77f6-11df-a92d-00234e50f53d}
Shell\AutoRun\Command = F:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{14f5dd59-78ea-11de-a8ec-0011675ab1f4}
Shell\AutoRun\Command = G:\InstallTomTomHOME.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{70a46f76-f9e6-11de-a914-0011675ab1f4}
Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{7af9f484-01e1-11df-a916-0011675ab1f4}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{d7285ba8-cf0a-11de-a902-0011675ab1f4}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{e100d6f0-be2c-11dd-a880-00234e50f53d}
Shell\AutoRun\Command = "WD SmartWare.exe" autoplay=true


################## | Vaccin |

(!) This computer is not vaccinated!

################## | E.O.F |
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Smart
Bonjour, le rapport de usbfix: http://www.cijoint.fr/cjlink.php?file=cj201008/cijvrh2c5g.txt
et j'ai bien sur envoyé le zip à usbfix
Question: le disque usb est partagé avec un autre laptop, dois-prévoir des inspections et nettoyage de l'autre pc?
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
"Question: le disque usb est partagé avec un autre laptop, dois-prévoir des inspections et nettoyage de l'autre pc?"

Tout à fait il faut que tu refasse la même manip avec USBFix sur l'autre PC. Si tu veux on le fera quand on aura terminé avec ce PC.

Pour le moment fais, car il y a toujours une m**de que je n'arrive pas à enlever

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

- Télécharge ici : List_Kill'em
et enregistre le sur ton bureau

Si tu as XP => double clique
Si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

- Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search

- laisse travailler l'outil
Il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

- Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le fichier ci-dessus.
- Clique sur Ouvrir.
- Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
- Fais de même avec more.txt qui se trouve sur ton bureau

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Hello,
voici le rapport de kill'em: http://www.cijoint.fr/cjlink.php?file=cj201008/cijd2Fmoqw.txt
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Tu n'as pas poster le rapport more.txt. donc poste le et ensuite tu fais ceci:

- Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

- choisis l'Option Clean ton PC va redemarrer,

Laisse travailler l'outil. En fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

- colle le contenu dans ta reponse

Smart
bonsoir
voici le lien vers le more.txt: http://www.cijoint.fr/cjlink.php?file=cj201008/cijH7MFJA1.txt
entre temps le list kill'em / clean a tourné et le kill'em.txt est ici: http://www.cijoint.fr/cjlink.php?file=cj201008/cijxBa0WXW.txt
merci
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Peux-tu refaire un scan ZHPdiag et poster le . Je crois que l'on a presque terminé

Smart
et voilà: http://www.cijoint.fr/cjlink.php?file=cj201008/cijSWyYvxP.txt
quel marathon..
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
On a terminé. le mieux est que tu imprimes cette dernière réponse pour mieux suivre ce que tu vas faire

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified


----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse


Désinstalle Spybot Seatch & Destroy, il est inutile aujourd'hui et ne fait que ralentir ton PC ==>
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

Ensuite tu fais les mises à jour suivantes:
Mise à jour vers Adobe 9.3.3
lancer Adobe Reader (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe), de cliquer sur "Aide" puis sur "Rechercher les mises à jour" jusqu'à ce qu'il ne trouve plus de mises à jour.

Mise à jour flashplayer vers la version 10.1.82.76
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Mets à jour ADobe Air ==> https://get.adobe.com/air/?loc=fr

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Lance Hijackthis et fais un do scan only et coche les lignes suivantes:
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
O4 - HKLM\..\Run: [MMReminderService] . (.Mindjet - MindManager Topic Alerts.) -- C:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-3978539620-1697176933-1687786566-1006\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper Module.) -- C:\Program Files\iTunes\iTunesHelper.exe
O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\WINDOWS\System32\igfxdev.dll
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
Coche également toutes les lignes O16
Et ensuite tu fais un fix checked

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

- Par rapport au P2P : http://www.libellules.ch/...

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas.

Smart
rapport zpfix:

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-17-08-2010-23-35-38.txt
Run by Christian Vanhenten at 17/08/2010 23:35:38
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès


========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre


End of the scan
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
OK. fais la suite

Smart
voilà c'est fait , tout est ok
Pour moi c'est terminé sauf pour ce qui concerne l'autre pc (je synchronise les folders de documents avec le disque usb pour avoir les données à jour dans les 2 becanes
quel test je dois faire pour etre sur que tout est ok?
je cloture cette question et j'en rouvre une autre ou on continue sur celle-ci
en tout cas d'ores et deja merci infiniment
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 323
Oui on ferme cette discussion et ouvre en une autre
Et heureux de t'avoir aidé

Smart