Impossible supprimer ainslot.a Fermé

Question

Bonjour, 

Je ne comprends pas bien ce qui s'est passé.
Je suis sous Windows 7 avec son pare feu et microsoft security essential.
A la mise en route de mon PC ce soir, MSE a détecte un ver: "Worm:Win32/Ainslot.a".
Dès que je demande la mise en quarantaine ou la suppression, le PC bascule sur bluescreen et s'arrete...
Je ne peux utiliser mon PC qu'en autorisant ce ver !!!!

J'ai donc telechargé MalwareBytes, je l'ai mis a jour, fait une analyse mais dès que je demande à mettre en quarantaine ou supprimer, idem qu'avec MSE, bluescreen et PC redémarre !!!!

Comment puis je m'en sortir?

Merci d'avance.


Configuration: Windows 7 / Firefox 3.6.16

Lyonnais92 · Answer

Bonsoir,

poste le rapport de MBAM (avant tentative de suppression).

===

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Nathray · Answer

Merci pour ton aide.

Je viens de faire la manip, ci joint le lien demandé avec ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijQQsDhvd.txt

J'en ai fait de meme avec MBAM:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijcOb6PGz.txt

Merci encore en attendant la suite.

Lyonnais92 · Answer

Bonsoir,

est ce que ceci va fonctionner :

 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[MD5.9380B1407F1982D1D5C49F8746CE128E] - (.Pas de propriétaire - Application.) -- C:\Users\INFANTINO\AppData\Roaming\winlogon.exe   [516096]
O4 - HKLM\..\Run: [PLD_FrameworkRun] c:\windows\system32\oem\setEvent.exe (.not file.)
O4 - HKCU\..\Run: [NetAppel] C:\Program Files (x86)\NetAppel.com\NetAppel\NetAppel.exe (.not file.)
O4 - HKCU\..\Run: [Winstart] . (.Pas de propriétaire - Application.) -- C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
O4 - HKCU\..\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKLM\..\Wow6432Node\Run: [Winstart] . (.Pas de propriétaire - Application.) -- C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKLM\..\policies\Explorer\Run: [Winstart] . (.Pas de propriétaire - Application.) -- C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
O4 - HKLM\..\policies\Explorer\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKUS\S-1-5-21-3310878373-3176219421-4128722970-1000\..\Run: [NetAppel] C:\Program Files (x86)\NetAppel.com\NetAppel\NetAppel.exe (.not file.)
O4 - HKUS\S-1-5-21-3310878373-3176219421-4128722970-1000\..\Run: [Winstart] . (.Pas de propriétaire - Application.) -- C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
O4 - HKUS\S-1-5-21-3310878373-3176219421-4128722970-1000\..\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (.not file.)
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (.not file.)
O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM][64Bits] -- AutocompletePro3_is1
[HKCU\Software\AutocompleteProBHO]
[HKLM\Software\PopCap]
O43 - CFD: 02/06/2010 - 02:09:06 - [881686] ----D- C:\Program Files (x86)\AutocompletePro
O44 - LFC:[MD5.4D13FC5F6835AAB8FB3A5AFA77C80DB2] - 03/04/2011 - 22:26:55 ---A- . (...) -- C:\Windows\grwin.ini   [30]
O47 - AAKE:Key Export SP - "C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe" [Enabled] .(.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O47 - AAKE:Key Export SP - "C:\Users\INFANT~1\AppData\Local\Temp\IXP000.TMP\pokerleduel.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Users\INFANT~1\AppData\Local\Temp\IXP000.TMP\pokerleduel.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Users\INFANTINO\AppData\Roaming\winlogon.exe" [Enabled] .(.Pas de propriétaire - Application.) -- C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
O47 - AAKE:Key Export SP - "C:\Users\INFANT~1\AppData\Local\Temp\88306.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Users\INFANT~1\AppData\Local\Temp\88306.exe (.not file.)
[MD5.9380B1407F1982D1D5C49F8746CE128E] [SPRF] (.Pas de propriétaire - Application.) -- C:\Users\INFANTINO\AppData\Roaming\winlogon.exe   [516096]
[MD5.D354CE9E014F9AEBD744377669755F29] [SPRF] (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe   [296448]
[HKCR\AppID\{11C27351-716B-4052-9361-E3B0A3F8221C}]
[HKCR\AppID\AutocompletePro.DLL]   =>Adware.PredictAd
[HKCR\CLSID\{0fb6a909-6086-458f-bd92-1f8ee10042a0}]
[HKCR\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]
[HKCR
ctaudiofile2.audiofile2
[HKCR
ctaudiofile2.audiofile2.2]
[HKCR
ctaudiofile2.audiofile2lameenc]
[HKCR
ctaudiofile2.audiofile2lameenc.1]
[HKCR\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae}]
[HKLM\Software\Classes\AppID\{11c27351-716b-4052-9361-e3b0a3f8221c}]
[HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]
[HKLM\Software\Classes\AppID\autocompletepro.dll]
[HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]
[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho]
[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1]
[HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a078f691-9c07-4af2-bf43-35e79eecf8b7}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\ext\preapproved\{69725738-cd68-4f36-8d02-8c43722ee5da}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\ext\preapproved\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\autocompletepro3_is1]
C:\Program Files (x86)\AutocompletePro

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

voir · Answer

Bonsoir,
Merci encore pour tion aide.
J'ai fais la manip scrupuleusement mais rien à faire, une fois que l'outil commence à travailler, après avoir cliqué sur "nettoyé", dès qu'il atteint le virus, ecran bleu et le PC redémarre....

J'espère que l'on va pouvoir me proposer autre chose car mon DD fait 1To et il est plein comme un oeuf, je ne me vois pas le formater et reprendre tout à zéro....

Ce virus a envoyé sous mon nom à tout mon carnet d'adresse un mail du style "coucou, j'ai trouvé un site ou télécharger de la musique gratuitement, clique sur ce lien www.megaupload.XXXXXX" J'ai prévenu tout le monde en espérant que ce ne soit pas trop tard pour eux....


Merci encore pour ton aide.

Nathray · Answer

Ca fait 3 messages que je poste ici et il ne sont pas pris en compte!!!!
Est ce un tour de pass pass du virus?

Lyonnais92 · Answer

Bonsoir,

pas forcément.

Je peux avoir le nom du fichier infecté ?

Nathray · Answer

Pardon, je devais faire une fausse manip!!!

Je ne sais aps dans quel fichier se trouve ce virus.
Il a été détécté par MSE et MBAM.

Dans le rapport de MBAM, je lis entre autre:
c:\user\"Mon nom"\AppData\Roaming\yo9qc9k2ts.exe
c:\programdata\2aca5cc3-0f83-453d-a079-1076fe1a8b65

Puis toute une liste de HKEY

Merci.

Lyonnais92 · Answer

Re,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Users\INFANTINO\AppData\Roaming\winlogon.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

===

Tu fais de même avec ;

C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe

Nathray · Answer

Pour le 1er:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijgvFd4PH.txt

Pour le second:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijIO7icvq.txt

Merci

Lyonnais92 · Answer

Re,

je vais remettre les liens vers les scans VT :

http://www.virustotal.com/file-scan/report.html?id=a61e6e0034731df472a5a03a354d80ddef56ca4305660285a6cb298e8a9b0019-1302810285

http://www.virustotal.com/file-scan/report.html?id=682fe450c2221a1c176c3fbf6005ec784f5bc90374494960ebe1baf57bad5975-1302810691

===

J'ai une idée sur le pourquoi du redémarrage quand on touche ce winlogon.exe

On commence par relancer ZHPFix avec ces lignes :

O4 - HKLM\..\Run: [PLD_FrameworkRun] c:\windows\system32\oem\setEvent.exe (.not file.)
O4 - HKCU\..\Run: [NetAppel] C:\Program Files (x86)\NetAppel.com\NetAppel\NetAppel.exe (.not file.)
O4 - HKCU\..\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKLM\..\policies\Explorer\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKUS\S-1-5-21-3310878373-3176219421-4128722970-1000\..\Run: [NetAppel] C:\Program Files (x86)\NetAppel.com\NetAppel\NetAppel.exe (.not file.)
O4 - HKUS\S-1-5-21-3310878373-3176219421-4128722970-1000\..\Run: [Windows Defender] . (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (.not file.)
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (.not file.)
O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM][64Bits] -- AutocompletePro3_is1
[HKCU\Software\AutocompleteProBHO]
[HKLM\Software\PopCap]
O43 - CFD: 02/06/2010 - 02:09:06 - [881686] ----D- C:\Program Files (x86)\AutocompletePro
O44 - LFC:[MD5.4D13FC5F6835AAB8FB3A5AFA77C80DB2] - 03/04/2011 - 22:26:55 ---A- . (...) -- C:\Windows\grwin.ini   [30]
O47 - AAKE:Key Export SP - "C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe" [Enabled] .(.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe
O47 - AAKE:Key Export SP - "C:\Users\INFANT~1\AppData\Local\Temp\IXP000.TMP\pokerleduel.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Users\INFANT~1\AppData\Local\Temp\IXP000.TMP\pokerleduel.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Users\INFANT~1\AppData\Local\Temp\88306.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Users\INFANT~1\AppData\Local\Temp\88306.exe (.not file.)
[MD5.D354CE9E014F9AEBD744377669755F29] [SPRF] (.Pas de propriétaire - poker duel.) -- C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe   [296448]
[HKCR\AppID\{11C27351-716B-4052-9361-E3B0A3F8221C}]
[HKCR\AppID\AutocompletePro.DLL]
[HKCR\CLSID\{0fb6a909-6086-458f-bd92-1f8ee10042a0}]
[HKCR\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]
[HKCR
ctaudiofile2.audiofile2
[HKCR
ctaudiofile2.audiofile2.2]
[HKCR
ctaudiofile2.audiofile2lameenc]
[HKCR
ctaudiofile2.audiofile2lameenc.1]
[HKCR\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae}]
[HKLM\Software\Classes\AppID\{11c27351-716b-4052-9361-e3b0a3f8221c}]
[HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]
[HKLM\Software\Classes\AppID\autocompletepro.dll]
[HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]
[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho]
[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1]
[HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a078f691-9c07-4af2-bf43-35e79eecf8b7}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\ext\preapproved\{69725738-cd68-4f36-8d02-8c43722ee5da}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\ext\preapproved\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\autocompletepro3_is1]
C:\Program Files (x86)\AutocompletePro


===

Tu relances ZHPDiag, tu cliques sur les jumelles pour ouvrir ZHPSearch.

Tu tapes winlogon.exe dans la fenêtre et tu coches toutes les case dans Mode de recherche.

Tu cliques sur la loupe et tu postes le rapport obtenu.

Nathray · Answer

C'est en cours, mais dois je cliquer sur nettoyer dans ZHPFix?

Lyonnais92 · Answer

Re,

oui, comme pour la première fois :

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Nathray · Answer

En attendant, voila le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijmFabdn9.txt
Merci

Nathray · Answer

Cette fois, je n'ai pas eu l'écran bleu avec ZHPFix, j'ai collé le résumé dans le bloc note et voilà le résultat:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijwntvPa9.txt

Merci.

Lyonnais92 · Answer

Re,

ça semble confirmer mon intuition, le malware a "pris la place" d'un fichier légitime et quand on veut le stopper Windows, qui n'a rien vu, croit que on veut supprimer un fichier vital et réagit en fermant tout pour "éviter des dégâts".

===

J'ai besoin de ça :

Tu relances ZHPDiag, tu cliques sur les jumelles pour ouvrir ZHPSearch.

Tu tapes winlogon.exe dans la fenêtre et tu coches toutes les case dans Mode de recherche.

Tu cliques sur la loupe et tu postes le rapport obtenu.

Nathray · Answer

Je l'ai déjà fait, j'ai mis les rapport dans mes précédentes réponses.

Mais s'il le faut, je recommence.

Lyonnais92 · Answer

Re,

tu n'as pas fait ce que je demande : tu n'as pas cliqué sur les jumelles pour lancer ZHPsearch.

Nathray · Answer

Voilà le lien:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijusxK6vG.txt

Il me semblait que c'était ce que j'avais fait et posté à 23h08 mais qu'importe.

A+

Lyonnais92 · Answer

Re,

il se trouve qu'un de mes ordis a exactement le même OS. Ca me permet de voir ce qui est normal du reste.

Les éléments communs :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\ReflectionApplications\winlogon.exe]

[MD5.132328DF455B0028F13BF0ABEE51A63A] - (.Microsoft Corporation.) 14/07/2009 02:39:52 | ---A- | -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe [389120]   => Fichier sain
[MD5.DA3E2A6FA9660CC75B471530CE88453A] - (.Microsoft Corporation.) 28/10/2009 07:24:40 | ---A- | -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe [389632]   => Fichier sain
[MD5.A93D41A4D4B0D91C072D11DD8AF266DE] - (.Microsoft Corporation.) 28/10/2009 08:01:57 | ---A- | -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe [389632]   => Fichier sain
[MD5.DA3E2A6FA9660CC75B471530CE88453A] - (.Microsoft Corporation.) 10/05/2010 05:55:58 | ---A- | -- C:\Windows\winsxs\Backup\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad_winlogon.exe_ac37d0c5 [389632

===

Le reste n'a rien de légitime sur W7. Mais une partie est bien protégé.

Est ce que ceci se supprime sans problème avec ZHPFix :

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]:C:\Users\INFANTINO\AppData\Roaming\winlogon.exe="C:\Users\INFANTINO\AppData\Roaming\winlogon.exe:*:Enabled:Windows Messanger"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]:C:\Users\INFANTINO\AppData\Roaming\winlogon.exe="C:\Users\INFANTINO\AppData\Roaming\winlogon.exe:*:Enabled:Windows Messanger"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]C:\Users\INFANTINO\AppData\Roaming\winlogon.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]:C:\Users\INFANTINO\AppData\Roaming\winlogon.exe="C:\Users\INFANTINO\AppData\Roaming\winlogon.exe:*:Enabled:Windows Messanger"

Nathray · Answer

Bonjour, je viens de faire la manip, voilà le résultat avec ZHPFix:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijHfPLLad.txt

Je reviendrai ce soir.
Bonne journée.

Nathray · Answer

Sans avoir redémarrer après ZHPFix, j'ai fais une recherche avec MBAM, voilà le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijMrFk8t0.txt

Lyonnais92 · Answer

Bonjour,

il faut que je comprenne le mécanisme qui fait redémarrer l'ordi.

Pour ça, je vais te faire éditer quelques clés.

Tu posteras le fichier txt créé (pas besoin de lien Cijoint, ce sont de petits fichiers)

Tu fais Démarrer, Tous les programmes, Accessoires, Exécuter.

Tu copies ceci dans la zone :

regedit.exe /e c:\clsid.txt "HKEY_CLASSES_ROOT\CLSID\{C1BEDEDE-9CCD-7BD1-6CEB-EBCCE1DBDB2A"

Tu cliques sur OK

Tu recommences avec 

regedit.exe /e c:\installed.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C1BEDEDE-9CCD-7BD1-6CEB-EBCCE1DBDB2A"

puis avec

regedit.exe /e c:\winstart1.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winstart"

et enfin avec :

regedit.exe /e c:\winstart2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Winstart"

Tu postes les 4 fichiers

clsid, installed, winstart1 et winstart2.

===

Est ce que c:\Users\infantino\AppData\Roaming\data.dat est lisible avec le Bloc-notes ?

Nathray · Answer

Bonjour,
Je ne comprends pas la manip avec "Démarrer, Tous les programmes, Accessoires, Exécuter. "
Quand je clique sur OK après avoir  copie tes demandes, rien ne se passe.

Je ne trouve pas les 4 fichiers à poster

Par contre, j'ai réussi à ouvrir data avec le bloc note, voilà le fichier:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijFaRUbpS.txt

Lyonnais92 · Answer

Re,

le fichier enregistre tes frappes au clavier (au moins une partie).

===

Je ne t'ai pas donné la bonne manip.

Quand tu as tapé executer, tu écris cmd et OK

Une fenêtre noire s'ouvre (du DOS)

tu fais clic droit et Coller pour recopier les instructions regedit .... (il faut que tu les ais copié avant (surbrillance et CTRL C)

Tu autorises le programme et tu enchaînes avec la commande suivante.

Tu tapes Exit puis Enter pour fermer la fenêtre DOS.

Nathray · Answer

OK, je viens de le faire, mais ou dois je trouver  les 4 fichiers:

clsid, installed, winstart1 et winstart2

Je reste au pc ce soir.
merci pour ton aide.

Lyonnais92 · Answer

Bonsoir,

ils sont sous C:\

Nathray · Answer

Désolé, mais j'ai fais une recherche sur chacun sous : et il n'y a pas ces fichiers???
Y a t il une manip que je n'aurai pas fait correctement?

Lyonnais92 · Answer

Re,

tu ne trouves pas 

C:\winstart1.txt (par exemple)

Nathray · Answer

Affirmatif !

Lyonnais92 · Answer

Re,

alors tu as bien tapé cmd ?

Ca a ouvert une fenêtre sur fond noir

Tu y as copié (par clic droit et Coller) 

regedit.exe /e c:\winstart2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Winstart"  (par exempel)

(tu as vu la ligne ?)

Tu as tapé sur Entrée ?

On a demandé si tu autorises .... et tu as cliqué sur Oui ?

La fenêtre  à fond noir est revenue au premier plan .?

Si oui, tu dois avoir C:\winstart2.txt

Nathray · Answer

Alors:
"Re,

alors tu as bien tapé cmd ? OUI

Ca a ouvert une fenêtre sur fond noir OUI

Tu y as copié (par clic droit et Coller) OUI

regedit.exe /e c:\winstart2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Winstart" (par exempel)

(tu as vu la ligne ?) OUI

Tu as tapé sur Entrée ? OUI

On a demandé si tu autorises PAS VU.... et tu as cliqué sur Oui ? NON CA PASSE A LA LIGNE TOUT SEUL

La fenêtre à fond noir est revenue au premier plan .? ELLE Y RESTE JUSQU A CE QUE JE TAPE EXIT

Si oui, tu dois avoir C:\winstart2.txt

Lyonnais92 · Answer

Re,

on essaye comme ça :

    Ouvre le registre (
démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.) et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Winstart

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (winstart2 par exemple). Tu le mets sous C:

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

Nathray · Answer

Là c'est OK:


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Winstart"="C:\Users\INFANTINO\AppData\Roaming\winlogon.exe"
"Windows Defender"="C:\Users\INFANTINO\AppData\Roaming\YO9QC9K2TS.exe"

Lyonnais92 · Answer

Bonjour,

oui, c'est ça.

Il me faut aussi :

HKEY_CLASSES_ROOT\CLSID\{C1BEDEDE-9CCD-7BD1-6CEB-EBCCE1DBDB2
et
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C1BEDEDE-9CCD-7BD1-6CEB-EBCCE1DBDB2A

(l'autre clé run, ce n'est pas la peine).

===

Si tu "killes" le processus winlogon.exe par le Gestionnaire des tâches, l'ordi redémarre ou pas ?

Nathray · Answer

Bonjour,
 je n'ai ni un ni l'autre dans mon registre....
A+

Nathray · Answer

Incroyable!

Je ne sais ni pourquoi, ni comment mais en relancant MSE, il a redecouvert ainslot.a mais cette fois ci, lorsque j'ai fait supprimer, cela a fonctionné !!!

A priori mon pc est maintenant clean.

Merci beaucoup pour ton aide et soutien, je n'hésiterai pas à revenir si toiutefois mon pc s'infecte à nouveau.

Merci encore.

Lyonnais92 · Answer

Re,

un rapport ZHPDiag de vérification, posté dans un lien Cijoint ?

nathray · Answer

Bonjour,
En fait je viens d erecevoir mes extraits de compte bancaire et ce "pu..." de "virus" ne s'est pas limité a bloquer mon PC!!!!

J'ai été piraté et on a utilisé ma carte bleue sur amazon...

Enquete policière en cours, plainte déposée etc etc etc....

C'est hallucinant.