Virus "Winlogon.exe" [Fermé]

Signaler
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011
-
 roberts -
Bonjour à tous,

J'ai un problème assez gênant concernant un processus se nommant "winlogon.exe" qui n'est pas présent lorsque je suis en mode sans échec mais présent lors d'une session normale (en faite il y a deux winlogon.exe, un signé par Microsoft et l'autre qui semble être un virus).
J'ai déjà fait quelques recherches mais je ne comprends pas très bien les résultat que j'ai eu alors je me tourne vers vous.

Merci d'avance.

16 réponses

Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Bonjour,

n'en supprime aucun de crainte de planter ton PC,
Fait une recherche avec SEAF :

¤ Télécharge SEAF (de C_XX) sur ton Bureau et lance le.
¤ Dans les options, règler "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
¤ Tape winlogon.exe dans le champs de recherche, cliquer sur "Lancer la recherche" et patienter.
¤ Poster dans la prochaine réponse le rapport qui apparait à la fin de la recherche.

et un diagnostic ;) :

¤ Télécharge ZHPDiag (de Nicolas Coolman).
¤ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
¤ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¤ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¤ Rend toi sur Cijoint et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
¤ Un lien se ra généré, copie colle le dans ta prochaine réponse.

Suit la désinfection même si les symptômes d'infection ont disparu

Bonne chance @+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 57542 internautes nous ont dit merci ce mois-ci

Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Voilà le lien de Cijoint: http://www.cijoint.fr/cjlink.php?file=cj201010/cijUc5FLHZ.txt

Et le rapport de Seaf:
1. ========================= SEAF 1.0.0.8 - C_XX
2.
3. Commencé à: 14:02:59 le 08/10/2010
4.
5. Valeur(s) recherchée(s):
6. winlogon.exe
7.
8. (!) --- Calcul du Hash "MD5"
9. (!) --- Informations supplémentaires
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14.
15. "C:\Windows\Prefetch\WINLOGON.EXE-DEDDC9B6.pf" [ ----A---- | 34 Ko ]
16. TC: 08/10/2010,11:37:34 | TM: 08/10/2010,12:07:41 | DA: 08/10/2010,11:37:34
17.
18. Hash MD5: 7EF3E17225861C0E86A68D46B82F567D
19.
20.
21. =========================
22.
23.
24. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_c970561510c080e8\winlogon.exe.mui" [ ----A---- | 28 Ko ]
25. TC: 10/10/2007,22:57:24 | TM: 10/10/2007,22:57:24 | DA: 10/10/2007,22:57:24
26.
27. Hash MD5: 68C6896712FE8D99035449EDEB07A998
28.
29. CompanyName: Microsoft Corporation
30. ProductName: Système d'exploitation Microsoft® Windows®
31. InternalName: winlogon
32. OriginalFileName: WINLOGON.EXE.MUI
33. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
34. ProductVersion: 6.1.7600.16385
35. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
36.
37. =========================
38.
39.
40. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe" [ ----A---- | 389 Ko ]
41. TC: 14/07/2009,01:52:48 | TM: 14/07/2009,03:39:52 | DA: 14/07/2009,01:52:48
42.
43. Hash MD5: 132328DF455B0028F13BF0ABEE51A63A
44.
45. CompanyName: Microsoft Corporation
46. ProductName: Système d'exploitation Microsoft® Windows®
47. InternalName: winlogon
48. OriginalFileName: WINLOGON.EXE.MUI
49. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
50. ProductVersion: 6.1.7600.16385
51. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
52.
53. =========================
54.
55.
56. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe" [ ----A---- | 390 Ko ]
57. TC: 27/01/2010,14:59:40 | TM: 28/10/2009,08:24:40 | DA: 27/01/2010,14:59:40
58.
59. Hash MD5: DA3E2A6FA9660CC75B471530CE88453A
60.
61. CompanyName: Microsoft Corporation
62. ProductName: Système d'exploitation Microsoft® Windows®
63. InternalName: winlogon
64. OriginalFileName: WINLOGON.EXE.MUI
65. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
66. ProductVersion: 6.1.7600.16385
67. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
68.
69. =========================
70.
71.
72. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe" [ ----A---- | 390 Ko ]
73. TC: 27/01/2010,14:59:40 | TM: 28/10/2009,09:01:57 | DA: 27/01/2010,14:59:40
74.
75. Hash MD5: A93D41A4D4B0D91C072D11DD8AF266DE
76.
77. CompanyName: Microsoft Corporation
78. ProductName: Système d'exploitation Microsoft® Windows®
79. InternalName: winlogon
80. OriginalFileName: WINLOGON.EXE.MUI
81. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
82. ProductVersion: 6.1.7600.16385
83. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
84.
85. =========================
86.
87.
88. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-winlogon.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_c970561510c080e8_winlogon.exe.mui_3280fc46" [ ----A---- | 28 Ko ]
89. TC: 10/10/2007,22:58:26 | TM: 10/10/2007,22:58:12 | DA: 10/10/2007,22:58:12
90.
91. Hash MD5: 68C6896712FE8D99035449EDEB07A998
92.
93. CompanyName: Microsoft Corporation
94. ProductName: Système d'exploitation Microsoft® Windows®
95. InternalName: winlogon
96. OriginalFileName: WINLOGON.EXE.MUI
97. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
98. ProductVersion: 6.1.7600.16385
99. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
100.
101. =========================
102.
103.
104. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad_winlogon.exe_ac37d0c5" [ ----A---- | 390 Ko ]
105. TC: 28/01/2010,04:12:13 | TM: 28/01/2010,04:00:55 | DA: 28/01/2010,04:00:55
106.
107. Hash MD5: DA3E2A6FA9660CC75B471530CE88453A
108.
109. CompanyName: Microsoft Corporation
110. ProductName: Système d'exploitation Microsoft® Windows®
111. InternalName: winlogon
112. OriginalFileName: WINLOGON.EXE.MUI
113. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
114. ProductVersion: 6.1.7600.16385
115. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
116.
117. =========================
118.
119.
120. "D:\temp\winlogon.exe.exe" [ ----AH---- | 169 Ko ]
121. TC: 08/10/2010,13:23:30 | TM: 06/06/2010,23:20:49 | DA: 08/10/2010,13:23:30
122.
123. Hash MD5: 3CC52F2353E6A64FFFC98BC93839C95A
124.
125. LegalCopyright: Microsoft
126. ProductVersion: 8.31.1.7
127. FileVersion: 8.31.1.7
128.
129. =========================
130.
131.
132.
133. ====== Entrée(s) du registre ======
134.
135.
136. [HKLM\Software\Microsoft\FTH]
137. "ExclusionList"="smss.exe
138. csrss.exe
139. wininit.exe
140. services.exe
141. lsass.exe
142. lsm.exe
143. svchost.exe
144. winlogon.exe
145. SLsvc.exe
146. spoolsv.exe
147. taskhost.exe"
148.
149. [HKLM\Software\Microsoft\RADAR\HeapLeakDetection\ReflectionApplications\winlogon.exe]
150.
151. [HKLM\System\ControlSet001\services\eventlog\Application\Winlogon]
152. "EventMessageFile"="%SystemRoot%\System32\winlogon.exe"
153.
154. [HKLM\System\ControlSet001\services\eventlog\Application\Wlclntfy]
155. "EventMessageFile"="%SystemRoot%\System32\winlogon.exe"
156.
157. [HKLM\System\ControlSet001\services\eventlog\System\Microsoft-Windows-Winlogon]
158. "EventMessageFile"="%SystemRoot%\system32\winlogon.exe"
159.
160. [HKLM\System\ControlSet002\services\eventlog\Application\Winlogon]
161. "EventMessageFile"="%SystemRoot%\System32\winlogon.exe"
162.
163. [HKLM\System\ControlSet002\services\eventlog\Application\Wlclntfy]
164. "EventMessageFile"="%SystemRoot%\System32\winlogon.exe"
165.
166. [HKLM\System\ControlSet002\services\eventlog\System\Microsoft-Windows-Winlogon]
167. "EventMessageFile"="%SystemRoot%\system32\winlogon.exe"
168.
169. [HKLM\System\CurrentControlSet\services\eventlog\Application\Winlogon]
170. "EventMessageFile"="%SystemRoot%\System32\winlogon.exe"
171.
172. [HKLM\System\CurrentControlSet\services\eventlog\Application\Wlclntfy]
173. "EventMessageFile"="%SystemRoot%\System32\winlogon.exe"
174.
175. [HKLM\System\CurrentControlSet\services\eventlog\System\Microsoft-Windows-Winlogon]
176. "EventMessageFile"="%SystemRoot%\system32\winlogon.exe"
177.
178. [HKU\S-1-5-21-4237792292-1423558253-815711722-1001\Software\Microsoft\Windows\CurrentVersion\Run]
179. "HKLM"="C:\WINDOWS\system32\explorer\winlogon.exe"
180.
181. [HKU\S-1-5-21-4237792292-1423558253-815711722-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
182. "C:\Windows\System32\explorer\winlogon.exe"=" "
183.
184. [HKU\S-1-5-21-4237792292-1423558253-815711722-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
185. "C:\Windows\System32\explorer\winlogon.exe"=" "
186.
187. =========================
188.
189. Fin à: 14:04:58 le 08/10/2010 ( E.O.F )
190.
191. =========================
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Salut,

Tu as une vraie fourmilière d'ad wares, au nettoyage :

¤ Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
¤ Double-clique sur l'icône AD-Remover
¤ Au menu principal, clique sur "Nettoyer"
¤ Confirme le lancement de l'analyse et laisse l'outil travailler
¤ Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Ensuite :

¤ Télécharge Malwarebytes Antimalware
¤¤¤> Tutoriel MBAM
¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
¤ L'analyse peut durer un bon moment.....
¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

¤¤¤ Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


Et enfin, vide les fichiers temporaires :

¤ Télécharge CCleaner version slim.
¤ Installe le puis lance le.
¤ Clique sur Nettoyeur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.

Bonne chance @+
Utilisateur anonyme
Bonjour
"D:\temp\winlogon.exe.exe"
Bizarre celui là
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
surement une infection...ca partira avec le temporaire
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Voilà j'ai fait ce qui était indiqué mais le fichier "D:\temp\winlogon.exe.exe" n'a pas été supprimé (j'ai ce fichier sur chaque disque (amovible ou non) sauf sur celui ou Windows 7 est installé (le C:).

Enfin, voici mon rapport de AD-Remover:
======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:40:33 le 08/10/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 3 (X64)
jonathan@JONATHAN-PC (Acer Aspire X3812)

============== ACTION(S) ==============


0,Fichier supprimé: C:\Users\jonathan\AppData\Roaming\Mozilla\FireFox\Profiles\rnkvprcu.default\prefs.js.ask.bak
0,Dossier supprimé: C:\Program Files (x86)\Conduit
3,Fichier supprimé: C:\Windows\Installer\6d06e.msi

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2471026
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2552113
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Grand Virtual
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Users\jonathan\AppData\Roaming\Mozilla\FireFox\Profiles\rnkvprcu.default\Prefs.js --
browser.download.dir, C:\\Users\\jonathan\\Desktop
browser.download.lastDir, D:
browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 08/10/2010 (4093 Octet(s))

Fin à: 14:43:53, 08/10/2010

============== E.O.F ==============
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Re,

Et le rapport MBAM ? poste le STP
Ensuite :

¤ Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
¤ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
¤ Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
¤ Clique sur "Recherche"
¤ Laisse travailler l'outil
¤ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

Bonne chance @+
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Re,

Alors pour commencer le rapport MBAM:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4777

Windows 6.1.7600 Service Pack 3
Internet Explorer 8.0.7600.16385

08/10/2010 16:31:29
mbam-log-2010-10-08 (16-31-29).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|O:\|)
Elément(s) analysé(s): 541210
Temps écoulé: 1 heure(s), 41 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{n3d7n161-jk2f-5b57-7ehb-w6n84822h213} (Generic.Bot.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\ProgramData\Start Menu\Programs\Startup\windosw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\IELOGIN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.

et ensuite le rapport USBFix:
############################## | UsbFix 7.029 | [Recherche]

Utilisateur: jonathan (Administrateur) # JONATHAN-PC [Acer Aspire X3812]
Mis à jour le 07/10/10 par El Desaparecido / C_XX
Lancé à 00:32:49 | 09/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com

CPU: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
CPU 2: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) # Service Pack 3
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 4095 Mo
C:\ (%systemdrive%) -> Disque fixe # 459 Go (22 Go libre(s) - 5%) [Acer] # NTFS
D:\ -> Disque fixe # 454 Go (139 Go libre(s) - 31%) [DATA] # NTFS
E:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> CD-ROM
I:\ -> Disque amovible # 2 Go (192 Mo libre(s) - 10%) [MP3] # FAT32
K:\ -> Disque amovible # 4 Go (460 Mo libre(s) - 12%) [] # FAT32

################## | Éléments infectieux |


Présent! C:\Users\jonathan\AppData\Roaming\logs.dat
Présent! C:\Users\jonathan\AppData\Local\Temp\MSN.abc
Présent! C:\Users\jonathan\AppData\Local\Temp\UuU.uUu
Présent! C:\Users\jonathan\AppData\Local\Temp\XxX.xXx
Présent! C:\Users\jonathan\AppData\Local\Temp\xxxyyyzzz.dat

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Salut,

Utilise ZHPfix :

¤ Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag) (Sous Vista/Seven, clique droit "Executer en tant qu'administrateur")
¤ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¤ Copie/colle les lignes suivantes et place les dans ZHPFix :

______________________________________________
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files (x86)\Messenger_Plus_Live_France\tbMess.dll
R3 - URLSearchHook: Setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\Setuprog\tbSetu.dll
R3 - URLSearchHook: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\hAqX0ne\tbhAqX.dll
O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Messenger_Plus_Live_France\tbMess.dll
O2 - BHO: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\hAqX0ne\tbhAqX.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: Setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Setuprog\tbSetu.dll
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Messenger_Plus_Live_France\tbMess.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O3 - Toolbar: Setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Setuprog\tbSetu.dll
O3 - Toolbar: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\hAqX0ne\tbhAqX.dll
O4 - HKCU\..\Run: [HKLM] C:\WINDOWS\system32\explorer\winlogon.exe (.not file.)
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
O4 - HKUS\S-1-5-21-4237792292-1423558253-815711722-1001\..\Run: [HKLM] C:\WINDOWS\system32\explorer\winlogon.exe (.not file.)
O40 - ASIC: (no name) - {N3D7N161-JK2F-5B57-7EHB-W6N84822H213} . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
O42 - Logiciel: Messenger_Plus_Live_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_France Toolbar
O42 - Logiciel: hAqX0ne Toolbar - (.Pas de propriétaire.) [HKLM] -- hAqX0ne Toolbar
[HKCU\Software\AppDataLow\Software\Setuprog]
[HKCU\Software\AppDataLow\Software\hAqX0ne]
[HKCU\Software\AppDataLow\Software\settings]
[HKCU\Software\AppDataLow\Toolbar]
[HKLM\Software\Conduit]
[HKLM\Software\Messenger_Plus_Live_France]
[HKLM\Software\Setuprog]
[HKLM\Software\hAqX0ne]
O43 - CFD:Common File Directory ----D- C:\ProgramData\Documents
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Conduit
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\hAqX0neO43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Messenger_Plus_Live_France
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Setuprog

______________________________________________


¤ Clique sur « Tous », puis sur « Nettoyer »
¤ Copie/colle la totalité du rapport dans ta prochaine réponse

En plus de ce rapport, poste un nouveau ZHPDiag (après avoir utilisé ZHPfix) que tu mettra sur cijoint comme tu l'as fait au début ;-)

Bonne chance @+

bonjour
################## | Éléments infectieux |


Présent! C:\Users\jonathan\AppData\Roaming\logs.dat
Présent! C:\Users\jonathan\AppData\Local\Temp\MSN.abc
Présent! C:\Users\jonathan\AppData\Local\Temp\UuU.uUu
Présent! C:\Users\jonathan\AppData\Local\Temp\XxX.xXx
Présent! C:\Users\jonathan\AppData\Local\Temp\xxxyyyzzz.dat


Et la suppression avec USBFix ?
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
MBAM a déjà liquidé ca :

C:\Users\jonathan\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\IELOGIN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Voici le rapport de ZHPFix:
Rapport de ZHPFix 1.12.3206 par Nicolas Coolman, Update du 04/10/2010
Fichier d'export Registre :
Run by jonathan at 09/10/2010 15:51:31
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}] => Clé supprimée avec succès
[HKCR\CLSID\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}] => Clé supprimée avec succès
O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Messenger_Plus_Live_France\tbMess.dll => Clé absente
O2 - BHO: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\hAqX0ne\tbhAqX.dll => Clé absente
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé absente
O2 - BHO: Setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Setuprog\tbSetu.dll => Clé supprimée avec succès
O40 - ASIC: (no name) - {N3D7N161-JK2F-5B57-7EHB-W6N84822H213} . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Setuprog => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\hAqX0ne => Clé absente
HKCU\Software\AppDataLow\Software\settings => Clé supprimée avec succès
HKCU\Software\AppDataLow\Toolbar => Clé supprimée avec succès
HKLM\Software\Conduit => Clé absente
HKLM\Software\Messenger_Plus_Live_France => Clé absente
HKLM\Software\Setuprog => Clé supprimée avec succès
HKLM\Software\hAqX0ne => Clé absente

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files (x86)\Messenger_Plus_Live_France\tbMess.dll => Valeur absente
R3 - URLSearchHook: Setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\Setuprog\tbSetu.dll => Valeur supprimée avec succès
R3 - URLSearchHook: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\hAqX0ne\tbhAqX.dll => Valeur absente
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Messenger_Plus_Live_France\tbMess.dll => Valeur absente
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente
O3 - Toolbar: Setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Setuprog\tbSetu.dll => Valeur supprimée avec succès
O3 - Toolbar: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\hAqX0ne\tbhAqX.dll => Valeur absente
O4 - HKCU\..\Run: [HKLM] C:\WINDOWS\system32\explorer\winlogon.exe (.not file.) => Valeur supprimée avec succès
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe => Valeur supprimée avec succès
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-4237792292-1423558253-815711722-1001\..\Run: [HKLM] C:\WINDOWS\system32\explorer\winlogon.exe (.not file.) => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\Documents => Supprimé et mis en quarantaine
C:\Program Files (x86)\Conduit => Dossier absent
C:\Program Files (x86)\hAqX0neO43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Messenger_Plus_Live_France => Dossier absent
C:\Program Files (x86)\Setuprog => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files (x86)\messenger_plus_live_france\tbmess.dll => Supprimé et mis en quarantaine
c:\windows\system32\explorer\winlogon.exe => Supprimé et mis en quarantaine
c:\documents and settings\all users\start menu\programs\startup\windosw.exe => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Messenger_Plus_Live_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_France Toolbar => Logiciel supprimé avec succès
O42 - Logiciel: hAqX0ne Toolbar - (.Pas de propriétaire.) [HKLM] -- hAqX0ne Toolbar => Logiciel supprimé avec succès


========== Récapitulatif ==========
15 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
4 : Dossier(s)
3 : Fichier(s)
2 : Logiciel(s)


End of the scan

ET enfin le rapport de ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijOev5ERc.txt
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Salut,

¤ Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau
¤ Double-clique sur OTM.exe pour le lancer.
¤ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.


______________________________________________
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
______________________________________________

¤ Clique sur MoveIt! puis ferme OTM.
¤ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
¤ Accepte en cliquant sur YES.
¤ Poste le rapport situé dans C:\_OTM\MovedFiles.
¤ Le nom du rapport correspond au moment de sa création : date_heure.log

Ensuite, nettoie le registre :

¤ Télécharge CCleaner version slim.
¤ Installe le puis lance le.
¤ Clique sur Registre > corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).


Après avoir fait ceci, dit moi comment va ton PC ?
@+
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Voici le log de OTM:
Error: Unable to interpret <C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe > in the current context!

OTM by OldTimer - Version 3.1.16.1 log created on 10102010_195135
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Ok laisse tomber OTM, Combine les touches Win + R
Dans la nouvelle fenêtre, tape cmd et appui sur Entrée
Dans la fenêtre noire, tape : del C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
Et n'oublie pas CCleaner ;-)
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Ccleaner c'est fait mais le fichier que tu veux que je supprime n'existe pas (je suis sous windows 7 donc Document and Settings ça n'existe plus)
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Salut,

ok cherche ce fichier avec SEAF :

¤ Télécharge SEAF (de C_XX) sur ton Bureau et lance le.
¤ Dans les options, règler "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
¤ Tape windosw.exe dans le champs de recherche, cliquer sur "Lancer la recherche" et patienter.
¤ Poster dans la prochaine réponse le rapport qui apparait à la fin de la recherche.

@+
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Voici le rapport de Seaf:

1. ========================= SEAF 1.0.0.8 - C_XX
2.
3. Commencé à: 19:09:48 le 11/10/2010
4.
5. Valeur(s) recherchée(s):
6. windosw.exe
7.
8. (!) --- Calcul du Hash "MD5"
9. (!) --- Informations supplémentaires
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14.
15. "C:\Program Files (x86)\ZHPDiag\Quarantine\windosw.exe.VIR" [ ----RASH---- | 447 Ko ]
16. TC: 03/10/2010,17:38:20 | TM: 09/10/2010,14:50:25 | DA: 09/10/2010,14:50:25
17.
18. Hash MD5: B91BC01AC04D1AF190ED3985E072BB19
19.
20. CompanyName: cd
21. ProductName: kl
22. InternalName: bong
23. OriginalFileName: bong.exe
24. LegalCopyright: gh
25. LegalTrademarks: ij
26. ProductVersion: 1.00
27. FileVersion: 1.00
28.
29. =========================
30.
31.
32. "C:\ProgramData\Start Menu\Programs\Startup\windosw.exe" [ ----RSH---- | 447 Ko ]
33. TC: 03/10/2010,17:38:20 | TM: 09/10/2010,15:48:56 | DA: 09/10/2010,15:48:56
34.
35. Hash MD5: B91BC01AC04D1AF190ED3985E072BB19
36.
37. CompanyName: cd
38. ProductName: kl
39. InternalName: bong
40. OriginalFileName: bong.exe
41. LegalCopyright: gh
42. LegalTrademarks: ij
43. ProductVersion: 1.00
44. FileVersion: 1.00
45.
46. =========================
47.
48.
49. "C:\Users\All Users\Start Menu\Programs\Startup\windosw.exe" [ ----RSH---- | 447 Ko ]
50. TC: 03/10/2010,17:38:20 | TM: 09/10/2010,15:48:56 | DA: 09/10/2010,15:48:56
51.
52. Hash MD5: B91BC01AC04D1AF190ED3985E072BB19
53.
54. CompanyName: cd
55. ProductName: kl
56. InternalName: bong
57. OriginalFileName: bong.exe
58. LegalCopyright: gh
59. LegalTrademarks: ij
60. ProductVersion: 1.00
61. FileVersion: 1.00
62.
63. =========================
64.
65.
66.
67. ====== Entrée(s) du registre ======
68.
69.
70. [HKLM\Software\Microsoft\Active Setup\Installed Components\{N3D7N161-JK2F-5B57-7EHB-W6N84822H213}]
71. "StubPath"="C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe"
72.
73. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
74. "Policies"="C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe"
75.
76. [HKU\S-1-5-21-4237792292-1423558253-815711722-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
77. "Policies"="C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe"
78.
79. =========================
80.
81. Fin à: 19:12:55 le 11/10/2010 ( E.O.F )
82.
83. =========================
Messages postés
709
Date d'inscription
mardi 11 mai 2010
Statut
Contributeur
Dernière intervention
2 octobre 2019
55
Ok, il n'y a visiblement pas de problème ...
Nettoie les lignes avec ZHPfix :

¤ Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag) (Sous Vista/Seven, clique droit "Executer en tant qu'administrateur")
¤ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¤ Copie/colle les lignes suivantes et place les dans ZHPFix :

______________________________________________
R3 - URLSearchHook: (no name) - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} Clé orpheline
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
O40 - ASIC: (no name) - {N3D7N161-JK2F-5B57-7EHB-W6N84822H213} . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe
______________________________________________


¤ Clique sur « Tous », puis sur « Nettoyer »
¤ Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite :

<|> Utilise MBAM pour bien tout nettoyer :

¤ Télécharge Malwarebytes Antimalware

¤¤¤> Tutoriel MBAM

¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

¤ L'analyse peut durer un bon moment.....

¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

<|> Pour supprimer tout les outils :

- DelFix - Option Recherche

¤ Télécharge DelFix (d'Xplode) sur ton bureau.

¤ Lance le puis sélectionne Recherche

¤ Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSearch.txt )

<|> Un petit coup de Ccleaner :

Utilise ce programme pour optimiser ton ordinateur :

¤ Télécharge CCleaner Slim.
¤ Installe le puis lance le.
¤ Clique sur Nettoyeur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
¤ Enfin, clique sur Registre > corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

<|> La restauration du système a peut être été touchée, le mieux est de la purger (la désactiver et la réactiver) :

¤ Sous XP :

o Aller au menu démarrer et cliquer droit sur "Poste de travail" et sélectionner "Propriétés"
o Dans l'onglet "Restauration du système", cocher "Désactiver la restauration du système sur tout les lecteurs"
o Cliquer sur appliquer et confirmer (tout les points de restauration sont supprimés).
o Décocher la case "Désactiver la restauration du système sur tout les lecteurs" et cliquer sur Appliquer pour réactiver la restauration du système.

¤ Sous Vista/Seven :

o Aller au menu démarrer et cliquer droit sur "Ordinateur" puis sélectionner "Propriétés"
o Cliquer sur "Protection du système"
o Décocher la case du ou des disques pour lesquels on veut désactiver la restauration du système
o Cliquer sur OK et confirmer (tout les points de restauration sont supprimés).
o Recocher la case des disques pour lesquels on veut réactiver la restauration du système et valider.

Créer un point de restauration propre pour finir :

¤ Sous XP :

o Aller au menu demarrer
o Dans "Tous les programmes"
o Dans "Accessoires"
o Dans "outils système"
o Cliquer sur "restauration du système"
o Cocher "Créer un point de restauration" et cliquer sur "Suivant"
o Entrer une description n'importe du point de restauration puis cliquer sur "Créer"
o Le point se crée, cliquer sur fermer pour quitter la restauration du système

¤ Sous Vista :

o Dans le menu démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Centre de sauvegarde et de restauration"
o Puis sur le volet de gauche, cliquer sur "Créer un point de restauration ou modifier les paramètres"
o L'onglet Protection du système s'ouvre, vérifier que votre disque soit bien coché, puis cliquer sur "Créer"
o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur Créer
o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres.

¤ Sous Seven :

o Dans Démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Créer un point de restauration"
o L'onglet Protection du système s'ouvre, vérifier que la protection sur votre disque soit bien activée, puis cliquer sur "Créer"
o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur "Créer"
o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres.

<|> Pour garder un PC propre, il faut tout d'abord installer une protection, ce qui veut dire, installer un antivirus, un antispyware et un pare feu, voila quelques conseils :
Antivirus payant -> Kaspersky, Antivirus gratuit -> Avira antivir / Avast
Antispyware payant -> Malwarebytes Antimalware, Antispyware gratuit -> SuperAntispyware
Pare feu payant -> ZoneAlarm, Pare feu gratuit -> COMODO.>>> Tuto COMODO
Toute fois, on est jamais assez prudent, il faut faire attention à son comportement sur le net, les cracks les keygens la P2P sont tous à bannir.
Une autre précaution à prendre, les mises à jour, celles ci sont contrairement à ce que la plupart des gens pensent très très importantes, les application les plus importantes à mettre à jour sont : Adobe Reader, Java, Flash player et les mises à jour windows (mise à jour du navigateur incluse, que ce soit Internet Explorer, Firefox, Opera, Safari ou autre ...), voilà un logiciel très léger et utile pour les mises à jour (éviter les bêtas) > File Hippo Update Cheker

Si vous utilisez Firefox (ce que je conseil vu qu'il protège bien contre les attaques malware) il y a quelques extensions utiles, tel que WOT pour identifier les sites dangereux, AD BlockPlus qui bloque les publicités intempestives et aussi NoScript qui protège contre les scripts malware.

Voilà aussi quelques liens utiles
Les mises à jour Windows
Les mises de Adobe Reader et Java et Flash player
Le danger des cracks
Les toolbars
Comparatif Antivirus
Comparatif Antivirus
Les infections USB

Bon surf ;-)
@+
Messages postés
10
Date d'inscription
vendredi 8 octobre 2010
Statut
Membre
Dernière intervention
1 juin 2011

Voila le rapport ZHPFix:
Rapport de ZHPFix 1.12.3206 par Nicolas Coolman, Update du 04/10/2010
Fichier d'export Registre :
Run by jonathan at 12/10/2010 13:11:13
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {N3D7N161-JK2F-5B57-7EHB-W6N84822H213} . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} Clé orpheline => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe => Valeur supprimée avec succès
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.cd - ef.) -- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\all users\start menu\programs\startup\windosw.exe => Fichier supprimé au reboot


========== Récapitulatif ==========
1 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan

Puis celui de MBAM:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4799

Windows 6.1.7600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.7600.16385

12/10/2010 14:22:28
mbam-log-2010-10-12 (14-22-28).txt

Type d'examen: Examen complet (C:\|D:\|E:\|I:\|J:\|)
Elément(s) analysé(s): 531371
Temps écoulé: 1 heure(s), 7 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{n3d7n161-jk2f-5b57-7ehb-w6n84822h213} (Generic.Bot.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\windosw.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Program Files (x86)\ZHPDiag\Quarantine\windosw.exe.VIR (Trojan.Agent) -> Quarantined and deleted successfully.
C:\ProgramData\Start Menu\Programs\Startup\windosw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\IELOGIN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\jonathan\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.

Et enfin, DelFix:
Rapport DelFix v5.7 - 12/10/2010 à 14:28,38
Mis à jour le 08/10/10 à 18h40 par Xplode
Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
Navigateur : Google Chrome [Navigateur par défaut]
Processeur : Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
Mémoire vive totale : 3,99 Go
Nom d'utilisateur : jonathan - JONATHAN-PC (Administrateur)
Exécuté depuis : C:\Users\jonathan\Desktop\DelFix.exe


~~~~~~ Dossiers ~~~~~~

Présent: C:\USBFix
Présent: C:\Program Files (x86)\Ad-Remover
Présent: C:\Program Files (x86)\ZHPDiag
Présent: C:\Program Files (x86)\SEAF
Présent: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichiers ~~~~~~

Présent: C:\UsbFix.txt
Présent: C:\UsbFix_Upload_Me_JONATHAN-PC.zip
Présent: C:\VundoFix.txt
Présent: C:\Users\jonathan\Desktop\ZHPFixReport.txt

~~~~~~ Registre ~~~~~~

Clé Présente: HKCU\SOFTWARE\Ad-Remover
Clé Présente: HKCU\SOFTWARE\USBFix
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Présente: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Présente: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Présente: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\USBFix


########## EOF - "C:\DelFixSearch.txt" - [1661 octets] ##########
bonjour, allez à cette page afin que vous pouvez restaurer vos processus, il https://www.fichier.net/processus/winlogon.exe.html