Infection Trojan.Downloader et XGen Fermé

Question

Bonjour,

Voila, j'ai été infecté pas Trojan.Downloader et Spyware.passeword.XGgen  

J'ai donc fais un scanne avec Malwarebytes, sauf que je n'arrive qu'en même pas à m'en débarrasser, à chaque nouveau scanne ils reviennent, et ça me fait planter Internet explorer je suis donc obligée d'écrire ce message via G.Chrome.

Je ne sais vraiment plus quoi essayer pour me débarrasser de ces spyware, j'espere que quelqu'un pourra m'aider....

Merci d'avance.

Anais.B

Mon scanne:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7212

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

21/07/2011 10:59:22
mbam-log-2011-07-21 (10-59-22).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 171925
Temps écoulé: 3 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\Users\Anamat\lload98.dll (Spyware.Passwords.XGen) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDaemonTool (Spyware.Passwords.XGen) -> Value: NvCplDaemonTool -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Anamat\lload98.dll (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Anamat\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scanpdiskt97.dll (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Anamat\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.

Valuu · Answer

Hello,
On va voir ça ;) MBAM doit oublier un fichier qui fait réinstaller l'infection à chaque fois.

--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

atlantisfannew1 · Answer

Merci pour ton aide, c'est très gentil.

voici le lien:
https://pjjoint.malekal.com/files.php?id=1f3b19a145p6f15y9y13x7o15y9v9i5o5o15m6

Valuu · Answer

De rien :)

--------------------------------------------------------------------------------------
* Télécharge AD-Remover(de la TeamXscript) sur ton Bureau. 
Déconnecte toi et ferme toutes les applications en cours 
* Double-clique sur l'icône AD-Remover 
* Au menu principal, clique sur Scanner
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) 

--------------------------------------------------------------------------------------
* Rends-toi sur VirusTotal
* Clique sur Parcourir, et va chercher le(s) fichier(s) en gras ci dessous :

C:\Windows\system32\Winlogon.exe 

*Si tu ne le trouves pas, affiche les fichiers cachés
* Clique sur Send File, si cela t'es demandé, clique sur Reanalyse.
* Colle-moi l'adresse internet dans ta prochaine réponse

Fais de même avec les fichiers suivants :

C:\Windows\system32\drivers\atapi.sys
C:\Windows\system32\drivers
tfs.sys

atlantisfannew1 · Answer

Alors voici mon scanne pour AD-Remove:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:41:35 le 21/07/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Anamat@ANAMAT-VAIO (Sony Corporation VPCJ11M1E) 
 
============== RECHERCHE ==============



============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://www.google.com/webhp?hl=fr
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{0BA94124-9F31-4501-B83D-F76647929DE5} - "Zinio" (hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices)
HKCU_SearchScopes\{73012CAB-A45E-49C9-8A8E-D01B190C588E} - "eBay" (hxxp://rover.ebay.com/rover/1/709-42536-16445-8/4?sa{searchTerms})
HKCU_SearchScopes\{7EF5768B-3804-49AE-B98D-BC23D5B6F3E6} - "Nouveaux Exemplaires - Zinio.url" (hxxp://www.zinio.com/new-issues.jsp?rf=sonyslices)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{64DA00B7-88FE-49a8-8515-68A5C8C305DB} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A39C536A-A41F-492f-B784-08D5A6DCF091} - C:\Program Files (x86)\Evernote\Evernote3.5\Evernote.exe (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041)
HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files (x86)\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{E6856B61-272B-4e4f-AADE-1D73054BCAD1} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{ED4ABFF1-2CA0-4476-98EB-E9208D434752} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{F3CD2902-C553-4d6a-B139-934BED1FAADF} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{F3D86ACD-0298-4626-B81E-056653067D8E} - C:\Program Files (x86)\Dassault Systemes\Virtual Earth - 3DVIA\intel_a\code\bin\VirtualEarth3DVIA.exe (x)
HKLM_ElevationPolicy\{F7897EF1-FE28-4f1a-9615-E45744D29F15} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "Envoyer à Bluetooth" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{E0B8C461-F8FB-49b4-8373-FE32E92528A6} - "Add to Evernote" (C:\Program Files (x86)\Evernote\Evernote3.5\enbar.dll,1001)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 11 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 08/06/2011 15:54:06 (6736 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 08/06/2011 15:58:11 (4228 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 21/07/2011 11:42:24 (4125 Octet(s)) 

Fin à: 11:43:14, 21/07/2011 
 
============== E.O.F ============== 

Par contre je trouve pas les fichiers en gras, même en les affichant =/

Valuu · Answer

Okay... pas bon signe ça ^^

--------------------------------------------------------------------------------------
    * Télécharge SEAF (de C_XX) sur ton Bureau.
    * Lance SEAF
    * Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires"
    * Tape C:\Windows\system32\Winlogon.exe   dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
    * Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
Fais de même avec :

C:\Windows\system32\drivers\atapi.sys
C:\Windows\system32\drivers
tfs.sys

atlantisfannew1 · Answer

LOL ....tu as une solution pour tout dit moi. ;)

alors pour C:\Windows\system32\Winlogon.exe

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 12:02:32 le 21/07/2011
4. 
5. Valeur(s) recherchée(s):
6. C:\Windows\system32\Winlogon.exe
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. 
13. ====== Fichier(s) ======
14. 
15. Aucun fichier trouvé
16. 
17. =========================
18. 
19. Fin à: 12:02:47 le 21/07/2011
20. 474061 Éléments analysés
21. 
22. =========================
23. E.O.F

pour C:\Windows\system32\drivers\atapi.sys

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 12:05:00 le 21/07/2011
4. 
5. Valeur(s) recherchée(s):
6. C:\Windows\system32\drivers\atapi.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. 
13. ====== Fichier(s) ======
14. 
15. Aucun fichier trouvé
16. 
17. =========================
18. 
19. Fin à: 12:05:15 le 21/07/2011
20. 474059 Éléments analysés
21. 
22. =========================
23. E.O.F

pour C:\Windows\system32\drivers
tfs.sys

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 12:06:13 le 21/07/2011
4. 
5. Valeur(s) recherchée(s):
6. C:\Windows\system32\drivers
tfs.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. 
13. ====== Fichier(s) ======
14. 
15. Aucun fichier trouvé
16. 
17. =========================
18. 
19. Fin à: 12:06:28 le 21/07/2011
20. 474059 Éléments analysés
21. 
22. =========================
23. E.O.F

..c'est grave docteur? ;)

Valuu · Answer

Essaye d'appuyer sur Alt+Shift ;)
ton clavier a du passer en querty.

--------------------------------------------------------------------------------------
    * Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
    * Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
    * Clique sur [Start Scan] pour démarrer l'analyse.
    * Si des éléments sont trouvés, clique sur [Cure/Delete] puis sur [Reboot Now]
    * Un rapport s'ouvrira au redémarrage de l'ordinateur.
    * Copie/colle son contenu dans ta prochaine réponse.
    Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

atlantisfannew1 · Answer

Merci pour le clavier ;)

par contre ça veux pas me le mettre en administrateur...y'a un bouclier jaune et bleu devant, ça veux dire quoi?

atlantisfannew1 · Answer

Bonjour :) donc voila je n'es mit que le nom du fichier et voila le résultat:

Winlogon.exe:

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 13:22:19 le 21/07/2011
4. 
5. Valeur(s) recherchée(s):
6. Winlogon.exe
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. 
13. ====== Fichier(s) ======
14. 
15. 
16. "C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\amd64_microsoft-windows-winlogon.resources_31bf3856ad364e35_6.1.7601.17514_fr-fr_cba169dd0daf0482\winlogon.exe.mui" [ ARCHIVE | 28 Ko ]
17. TC: 21/06/2011,10:03:08 | TM: 20/11/2010,15:02:57 | DA: 21/06/2011,10:03:08
18. 
19. Hash MD5: E5268B2DABC4EBABC3314C90C7590C1C
20. 
21. CompanyName: Microsoft Corporation
22. ProductName: Système d'exploitation Microsoft® Windows®
23. InternalName: winlogon
24. OriginalFileName: WINLOGON.EXE.MUI
25. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
26. ProductVersion: 6.1.7601.17514
27. FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
28. 
29. =========================
30. 
31. 
32. "C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe" [ ARCHIVE | 391 Ko ]
33. TC: 21/06/2011,10:04:59 | TM: 20/11/2010,15:25:30 | DA: 21/06/2011,10:04:59
34. 
35. Hash MD5: 1151B1BAA6F350B1DB6598E0FEA7C457
36. 
37. CompanyName: Microsoft Corporation
38. ProductName: Microsoft® Windows® Operating System
39. InternalName: winlogon
40. OriginalFileName: WINLOGON.EXE
41. LegalCopyright: © Microsoft Corporation. All rights reserved.
42. ProductVersion: 6.1.7601.17514
43. FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
44. 
45. =========================
46. 
47. 
48. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_c970561510c080e8\winlogon.exe.mui" [ ARCHIVE | 28 Ko ]
49. TC: 13/05/2010,15:58:16 | TM: 13/05/2010,15:58:16 | DA: 13/05/2010,15:58:16
50. 
51. Hash MD5: 68C6896712FE8D99035449EDEB07A998
52. 
53. CompanyName: Microsoft Corporation
54. ProductName: Système d'exploitation Microsoft® Windows®
55. InternalName: winlogon
56. OriginalFileName: WINLOGON.EXE.MUI
57. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
58. ProductVersion: 6.1.7600.16385
59. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
60. 
61. =========================
62. 
63. 
64. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe" [ ARCHIVE | 389 Ko ]
65. TC: 14/07/2009,01:52:48 | TM: 14/07/2009,03:39:52 | DA: 13/05/2010,16:51:15
66. 
67. Hash MD5: 132328DF455B0028F13BF0ABEE51A63A
68. 
69. CompanyName: Microsoft Corporation
70. ProductName: Système d'exploitation Microsoft® Windows®
71. InternalName: winlogon
72. OriginalFileName: WINLOGON.EXE.MUI
73. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
74. ProductVersion: 6.1.7600.16385
75. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
76. 
77. =========================
78. 
79. 
80. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe" [ ARCHIVE | 390 Ko ]
81. TC: 31/03/2010,21:28:18 | TM: 28/10/2009,08:24:40 | DA: 13/05/2010,16:47:55
82. 
83. Hash MD5: DA3E2A6FA9660CC75B471530CE88453A
84. 
85. CompanyName: Microsoft Corporation
86. ProductName: Système d'exploitation Microsoft® Windows®
87. InternalName: winlogon
88. OriginalFileName: WINLOGON.EXE.MUI
89. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
90. ProductVersion: 6.1.7600.16385
91. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
92. 
93. =========================
94. 
95. 
96. "C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe" [ ARCHIVE | 390 Ko ]
97. TC: 31/03/2010,21:28:18 | TM: 28/10/2009,09:01:57 | DA: 13/05/2010,16:51:15
98. 
99. Hash MD5: A93D41A4D4B0D91C072D11DD8AF266DE
100. 
101. CompanyName: Microsoft Corporation
102. ProductName: Système d'exploitation Microsoft® Windows®
103. InternalName: winlogon
104. OriginalFileName: WINLOGON.EXE.MUI
105. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
106. ProductVersion: 6.1.7600.16385
107. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
108. 
109. =========================
110. 
111. 
112. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-winlogon.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_c970561510c080e8_winlogon.exe.mui_3280fc46" [ ARCHIVE | 28 Ko ]
113. TC: 13/05/2010,15:59:06 | TM: 13/05/2010,15:58:56 | DA: 13/05/2010,15:58:56
114. 
115. Hash MD5: 68C6896712FE8D99035449EDEB07A998
116. 
117. CompanyName: Microsoft Corporation
118. ProductName: Système d'exploitation Microsoft® Windows®
119. InternalName: winlogon
120. OriginalFileName: WINLOGON.EXE.MUI
121. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
122. ProductVersion: 6.1.7600.16385
123. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
124. 
125. =========================
126. 
127. 
128. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad_winlogon.exe_ac37d0c5" [ ARCHIVE | 390 Ko ]
129. TC: 31/03/2010,21:31:00 | TM: 31/03/2010,21:28:21 | DA: 13/05/2010,16:52:11
130. 
131. Hash MD5: DA3E2A6FA9660CC75B471530CE88453A
132. 
133. CompanyName: Microsoft Corporation
134. ProductName: Système d'exploitation Microsoft® Windows®
135. InternalName: winlogon
136. OriginalFileName: WINLOGON.EXE.MUI
137. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
138. ProductVersion: 6.1.7600.16385
139. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
140. 
141. =========================
142. 
143. 
144. =========================
145. 
146. Fin à: 13:22:34 le 21/07/2011
147. 474413 Éléments analysés
148. 
149. =========================
150. E.O.F



atapi.sys: 

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 13:24:37 le 21/07/2011
4. 
5. Valeur(s) recherchée(s):
6. atapi.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. 
13. ====== Fichier(s) ======
14. 
15. 
16. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_amd64_neutral_a69a58a4286f0b22\atapi.sys" [ ARCHIVE | 24 Ko ]
17. TC: 14/07/2009,01:19:47 | TM: 14/07/2009,03:52:21 | DA: 13/05/2010,16:51:22
18. 
19. Hash MD5: 02062C0B390B7729EDC9E69C680A6F3C
20. 
21. CompanyName: Microsoft Corporation
22. ProductName: Microsoft® Windows® Operating System
23. InternalName: atapi.sys
24. OriginalFileName: atapi.sys
25. LegalCopyright: © Microsoft Corporation. All rights reserved.
26. ProductVersion: 6.1.7600.16385
27. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
28. 
29. =========================
30. 
31. 
32. "C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys" [ ARCHIVE | 24 Ko ]
33. TC: 14/07/2009,01:19:47 | TM: 14/07/2009,03:52:21 | DA: 13/05/2010,16:51:22
34. 
35. Hash MD5: 02062C0B390B7729EDC9E69C680A6F3C
36. 
37. CompanyName: Microsoft Corporation
38. ProductName: Microsoft® Windows® Operating System
39. InternalName: atapi.sys
40. OriginalFileName: atapi.sys
41. LegalCopyright: © Microsoft Corporation. All rights reserved.
42. ProductVersion: 6.1.7600.16385
43. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
44. 
45. =========================
46. 
47. 
48. "C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_3b5e2d89382958dd\atapi.sys" [ ARCHIVE | 24 Ko ]
49. TC: 14/07/2009,01:19:47 | TM: 14/07/2009,03:52:21 | DA: 13/05/2010,16:51:22
50. 
51. Hash MD5: 02062C0B390B7729EDC9E69C680A6F3C
52. 
53. CompanyName: Microsoft Corporation
54. ProductName: Microsoft® Windows® Operating System
55. InternalName: atapi.sys
56. OriginalFileName: atapi.sys
57. LegalCopyright: © Microsoft Corporation. All rights reserved.
58. ProductVersion: 6.1.7600.16385
59. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
60. 
61. =========================
62. 
63. 
64. =========================
65. 
66. Fin à: 13:24:52 le 21/07/2011
67. 474413 Éléments analysés
68. 
69. =========================
70. E.O.F

ntfs.sys:

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 13:26:28 le 21/07/2011
4. 
5. Valeur(s) recherchée(s):
6. ntfs.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. 
13. ====== Fichier(s) ======
14. 
15. 
16. "C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7601.17514_none_04972f2c338b23d4
tfs.sys" [ ARCHIVE | 1660 Ko ]
17. TC: 21/06/2011,10:05:20 | TM: 20/11/2010,15:33:46 | DA: 21/06/2011,10:05:20
18. 
19. Hash MD5: 05D78AA5CB5F3F5C31160BDB955D0B7C
20. 
21. CompanyName: Microsoft Corporation
22. ProductName: Microsoft® Windows® Operating System
23. InternalName: ntfs.sys
24. OriginalFileName: ntfs.sys
25. LegalCopyright: © Microsoft Corporation. All rights reserved.
26. ProductVersion: 6.1.7601.17514
27. FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
28. 
29. =========================
30. 
31. 
32. "C:\Windows\winsxs\amd64_microsoft-windows-ntfs.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_e32a01076adf4ec2
tfs.sys.mui" [ ARCHIVE | 73 Ko ]
33. TC: 13/05/2010,15:58:20 | TM: 13/05/2010,15:58:20 | DA: 13/05/2010,15:58:20
34. 
35. Hash MD5: CEE661520B81EC6140432391A45431EB
36. 
37. CompanyName: Microsoft Corporation
38. ProductName: Système d'exploitation Microsoft® Windows®
39. InternalName: ntfs.sys
40. OriginalFileName: ntfs.sys.mui
41. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
42. ProductVersion: 6.1.7600.16385
43. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
44. 
45. =========================
46. 
47. 
48. "C:\Windows\winsxs\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7600.16385_none_02661b64369ca03a
tfs.sys" [ ARCHIVE | 1660 Ko ]
49. TC: 14/07/2009,01:20:57 | TM: 14/07/2009,03:48:27 | DA: 13/05/2010,16:48:04
50. 
51. Hash MD5: 356698A13C4630D5B31C37378D469196
52. 
53. CompanyName: Microsoft Corporation
54. ProductName: Microsoft® Windows® Operating System
55. InternalName: ntfs.sys
56. OriginalFileName: ntfs.sys
57. LegalCopyright: © Microsoft Corporation. All rights reserved.
58. ProductVersion: 6.1.7600.16385
59. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
60. 
61. =========================
62. 
63. 
64. "C:\Windows\winsxs\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7600.16778_none_0273f3c63691c4ea
tfs.sys" [ ARCHIVE | 1657 Ko ]
65. TC: 26/04/2011,22:48:46 | TM: 11/03/2011,08:23:06 | DA: 26/04/2011,22:48:46
66. 
67. Hash MD5: 378E0E0DFEA67D98AE6EA53ADBBD76BC
68. 
69. CompanyName: Microsoft Corporation
70. ProductName: Microsoft® Windows® Operating System
71. InternalName: ntfs.sys
72. OriginalFileName: ntfs.sys
73. LegalCopyright: © Microsoft Corporation. All rights reserved.
74. ProductVersion: 6.1.7600.16778
75. FileVersion: 6.1.7600.16778 (win7_gdr.110310-1506)
76. 
77. =========================
78. 
79. 
80. "C:\Windows\winsxs\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7600.20921_none_032ca00d4f8d24c5
tfs.sys" [ ARCHIVE | 1686 Ko ]
81. TC: 26/04/2011,22:48:46 | TM: 11/03/2011,08:25:53 | DA: 26/04/2011,22:48:46
82. 
83. Hash MD5: 867C1395F0100CBE9ACD73B1C2741149
84. 
85. CompanyName: Microsoft Corporation
86. ProductName: Microsoft® Windows® Operating System
87. InternalName: ntfs.sys
88. OriginalFileName: ntfs.sys
89. LegalCopyright: © Microsoft Corporation. All rights reserved.
90. ProductVersion: 6.1.7600.20921
91. FileVersion: 6.1.7600.20921 (win7_ldr.110310-1504)
92. 
93. =========================
94. 
95. 
96. "C:\Windows\winsxs\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7601.17577_none_0459508233b9177f
tfs.sys" [ ARCHIVE | 1660 Ko ]
97. TC: 26/04/2011,22:48:46 | TM: 11/03/2011,08:41:34 | DA: 26/04/2011,22:48:46
98. 
99. Hash MD5: A2F74975097F52A00745F9637451FDD8
100. 
101. CompanyName: Microsoft Corporation
102. ProductName: Microsoft® Windows® Operating System
103. InternalName: ntfs.sys
104. OriginalFileName: ntfs.sys
105. LegalCopyright: © Microsoft Corporation. All rights reserved.
106. ProductVersion: 6.1.7601.17577
107. FileVersion: 6.1.7601.17577 (win7sp1_gdr.110310-1504)
108. 
109. =========================
110. 
111. 
112. "C:\Windows\winsxs\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7601.21680_none_04d11b5b4ce521d9
tfs.sys" [ ARCHIVE | 1660 Ko ]
113. TC: 26/04/2011,22:48:46 | TM: 11/03/2011,08:19:20 | DA: 26/04/2011,22:48:46
114. 
115. Hash MD5: 87B104128D4D3BA3C13098BAEBF38082
116. 
117. CompanyName: Microsoft Corporation
118. ProductName: Microsoft® Windows® Operating System
119. InternalName: ntfs.sys
120. OriginalFileName: ntfs.sys
121. LegalCopyright: © Microsoft Corporation. All rights reserved.
122. ProductVersion: 6.1.7601.21680
123. FileVersion: 6.1.7601.21680 (win7sp1_ldr.110310-1503)
124. 
125. =========================
126. 
127. 
128. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7600.16778_none_0273f3c63691c4ea_ntfs.sys_e80dca04" [ ARCHIVE | 1657 Ko ]
129. TC: 27/04/2011,08:32:26 | TM: 26/04/2011,23:31:40 | DA: 26/04/2011,23:31:40
130. 
131. Hash MD5: 378E0E0DFEA67D98AE6EA53ADBBD76BC
132. 
133. CompanyName: Microsoft Corporation
134. ProductName: Microsoft® Windows® Operating System
135. InternalName: ntfs.sys
136. OriginalFileName: ntfs.sys
137. LegalCopyright: © Microsoft Corporation. All rights reserved.
138. ProductVersion: 6.1.7600.16778
139. FileVersion: 6.1.7600.16778 (win7_gdr.110310-1506)
140. 
141. =========================
142. 
143. 
144. =========================
145. 
146. Fin à: 13:26:44 le 21/07/2011
147. 474421 Éléments analysés
148. 
149. =========================
150. E.O.F

Alors ....? lol

atlantisfannew1 · Answer

Je dois faire quoi ensuite? :)

Valuu · Answer

Télécharge ça : http://sd-1.archive-host.com/membres/up/17959594961240255/winlogon.exe
et met le dans : C:\Windows\system32\

ensuite, télécharge ça :
https://www.cjoint.com/?AGvsxBikMYI

Exécute le, une fenêtre noire va s'ouvrir et se fermer immédiatement.

Refais une analyse avec ZHPDiag ensuite.

atlantisfannew1 · Answer

Voila le résultat de l'analyse:

https://pjjoint.malekal.com/files.php?id=689e3a3ab6i7w8f15m5e6p5x5j513t15q8t5

Valuu · Answer

bon ça a pas marché :)
supprime le fichier.bat et télécharge celui là :
https://www.cjoint.com/?AGvsZa7WTqB

recommence stp ^^

où as-tu mis le winlogon ?

Valuu · Answer

https://www.cjoint.com/?AGvsZa7WTqB --> ça tu le télécharges, tu cliques sur le lien et tu prends le fichier.bat (avec une série de lettres/chiffres devant).
Ensuite tu l'exécute.

En fait il te manque des fichiers systèmes, Donc on essaie de rétablir :)

Valuu · Answer

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
P2 - FPN: [HKLM] [@microsoft.com/VirtualEarth3D,version=4.0] - (...) --  (.not file.) 
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1     
O4 - HKCU\..\Run: [NvCplDaemonTool] . (.?????????? ?????????? - Removable Storage UI Layer.) -- C:\Users\Anamat\lload98.dll 
O4 - HKUS\S-1-5-21-3312430332-2728295475-3419361310-1001\..\Run: [NvCplDaemonTool] . (.?????????? ?????????? - Removable Storage UI Layer.) -- C:\Users\Anamat\lload98.dll 
OPT:O4 - Global Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk . (...)  -- C:\Program Files (x86)\WIDCOMM\Bluetooth Software\BTTray.exe (.not file.)     
O4 - Global Startup: C:\Users\Anamat\Desktop\Avira AntiVir Personal - Raccourci.lnk - Clé orpheline 
OPT:O4 - Global Startup: C:\Users\Anamat\Desktop\iGoogle.lnk . (...)  -- C:\Program Files (x86)\Sony\MFU\iGoogle.exe (.not file.) 
O4 - Global Startup: C:\Users\Anamat\Desktop\Ordinateur.lnk - Clé orpheline 
OPT:O4 - Global Startup: C:\Users\Anamat\Desktop\Windows 7 Restore.lnk . (...)  -- C:\ProgramData\39116536.exe (.not file.) 
O4 - Global Startup: C:\Users\Anamat\Desktop\Windows Defender - Raccourci.lnk - Clé orpheline 
O23 - Service: VAIO Care Performance Service (SampleCollector) - Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [ESTsoft RunAsStdUser 5876292Task] (...) -- C:\Program Files (x86)\ESTsoft\ALZip\ALZip.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)     
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0     
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0     
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1     
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF] 
C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar     
---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

Valuu · Answer

Je préfère :)

--------------------------------------------------------------------------------------
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  
tutoriel combofix 

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt

atlantisfannew1 · Answer

Voila le résultat du scan...


https://pjjoint.malekal.com/files.php?id=fcf081f114m6g5q12n13k11q8p12r10r10c14m12p8


...alors c'est bon?

Valuu · Answer

Pfff... on est plusieurs à se pencher sur ton soucis et à vrai dire on comprend pas vraiment x)

--------------------------------------------------------------------------------------
Télécharge WinChk sur ton bureau.
Lance le et appuie sur le bouton [Exécuter]
Un rapport s'ouvrira. Il sera également enregistré sous C:\WinChk.txt
Rends toi sur pjjoint.
Clique sur [Parcourir] , navigue jusqu'au fichier C:\WinChk.txt puis clique sur [OK]
Clique enfin sur [Envoyer le fichier] puis copie/colle dans ta prochaine réponse le lien créé qui apparaitra à l'écran.

atlantisfannew1 · Answer

voila: https://pjjoint.malekal.com/files.php?id=777802bd2em13h12s10r6y13f5t11h11u5x11m15o6

Valuu · Answer

--------------------------------------------------------------------------------------
Fais un tour sur Windows Update pour mettre ton système à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr
Suis les indications et télécharge les mises à jour "Importantes" ou "Prioritaires"
Tu peux aussi installer les facultatives, mais comme leur nom l'indique elle sont "facultatives".

atlantisfannew1 · Answer

C'est bon, c'est mis à jour :)!

Valuu · Answer

Ah !
Refait moi un ZHPDiag voir !
Croisons les doigts :D

atlantisfannew1 · Answer

J'ai réussi, voila::

https://pjjoint.malekal.com/files.php?id=85a4743de5c8k8v12q12o12c6i12q14c7r11j12l7

alors...='(?

atlantisfannew1 · Answer

Et si je fait ça : https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

ça pourrait éviter aux spyware qu'ils reviennent à chaque fois que je l'ai supprime non?

Valuu · Answer

On le fera mais à la fin ça.

Lance MBAM, met le à jour puis fais un scan rapide avec, ensuite :

(copie ça dans un bloc note, ou imprime le car ça va se dérouler mode sans échec, tu n'auras pas internet)
    Téléchargez le scanner portable AVPTool sur votre Bureau : http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
    Redémarrer en mode sans échec :
        Redémarrez ton PC.
        Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
        Dans le menu d'options avancées, choisissez Mode sans échec.
        Choisissez votre session habituelle. 
    Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
    Répondez Oui à la question Do you want to continue installation ?.
    Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
    L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
    Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
    A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
    Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
    Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
    Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
    Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
    Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
    Postez le rapport dans votre prochaine réponse

atlantisfannew1 · Answer

Bah la il m avait trouver un truc, il m a donc demander de redemarer c ce que j'ai fait sauf que ça été pire, tout c mît a buger , mes icône on disparu et la j ai un message ' : c:\users\anamat\appdata\local\rarsfx0\8239726.exe le service n a pas répondu assez vite a la demande de lancement ou de contrôle .    JE FAIS QUOI? O_O?

Valuu · Answer

Tu n'as pas accès à tes icône du tout ?
faire ctrl alt supp --> ouvrir le gestionnaire de taches
Fichier -> Nouvelle tache
tape : explorer.exe

et poste moi le rapport d'AVPTool

Valuu · Answer

Okay,
Donc, refait un scan avec MBAM en mode rapide.
Fait le en démarrant windows normalement.

Puis poste moi le rapport.

atlantisfannew1 · Answer

Voila le scanne!
https://pjjoint.malekal.com/files.php?id=bbcf0d489ak5u9q7o5m5q13o8x11b5k10x5e5

Valuu · Answer

Merci ;)
Refait en un rapide pour voir si ça revient ^^

Valuu · Answer

Okay ;)

Tu me refais un ZHPDiag stp ?

Valuu · Answer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    * Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    * Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    * Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    * A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
    * poste moi le rapport

Lance MBR.exe qui est sur ton bureau (ou dans le dossier d'installation de ZHPDiag) laisse le travailler et poste moi son rapport ensuite.

atlantisfannew1 · Answer

voila le rapport de MBR:

https://pjjoint.malekal.com/files.php?id=5e659cc318m8o12g12l15x714u11r6h11o9h9k12

Valuu · Answer

bon... le mystère restera complet pour tes fichiers systèmes...
c'est apparemment rien de grave vu que tout fonctionne.

Sauf si quelqu'un passant par là à une idée du problème...

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
EmptyTemp
FirewallRAZ
P2 - FPN: [HKLM] [@microsoft.com/VirtualEarth3D,version=4.0] - (...) --  (.not file.) 
O2 - BHO: Bing Bar Helper [64Bits] - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} . (...) -- "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (.not file.)     
OPT:O4 - Global Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk . (...)  -- C:\Program Files (x86)\WIDCOMM\Bluetooth Software\BTTray.exe (.not file.)     
O43 - CFD: 23/04/2011 - 16:34:22 - [0] ----D- C:\Users\Anamat\AppData\Local\{3E22ADD1-1416-4A72-ABCE-B53444255D81} 
O43 - CFD: 22/06/2011 - 23:46:44 - [0] ----D- C:\Users\Anamat\AppData\Local\{527571A0-898F-4F1A-B5D8-5E2E64363953} 
O43 - CFD: 03/04/2011 - 17:26:22 - [0] ----D- C:\Users\Anamat\AppData\Local\{5C9D4258-E851-4237-A928-8491FA56BC2C} 
O43 - CFD: 25/04/2011 - 11:23:00 - [0] ----D- C:\Users\Anamat\AppData\Local\{62135FD9-BD17-4A96-9487-49C4D18989E4} 
O43 - CFD: 28/05/2011 - 12:50:44 - [0] ----D- C:\Users\Anamat\AppData\Local\{7025C753-0AE4-4377-AE81-37C504C07F2D} 
O43 - CFD: 29/05/2011 - 12:33:44 - [0] ----D- C:\Users\Anamat\AppData\Local\{D7C83DAC-BD7F-434D-8870-608513993C25} 
O43 - CFD: 23/10/2010 - 15:38:24 - [0] ----D- C:\Program Files (x86)\McAfee 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF] 

---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

--------------------------------------------------------------------------------------
* Désinstalle toutes les versions de Adobe Reader présentes dans l'ajout/suppression de programme
* Télécharge la nouvelle version ici en prenant soin de décocher la case du téléchargement de McAfee ou d'une barre d'outil google.
* Installe là

Les barre d'outils (toolbars) ne sont pas obligatoires, au pire elles sont infectieuses, et mieux elles sont inutiles. Je te conseille de les désinstaller (Bing Bar et Google Toolbar). 

--------------------------------------------------------------------------------------
   * Télécharge la dernière version de Java : https://www.java.com/fr/download/
   * Installe là
    *Puis télécharge JavaRa.zip
    * Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
    * Double-clique sur le répertoire JavaRa obtenu.
    * Si tu es sous Vista/Seven, Exécute le avec un clic droit / Exécuter en tant qu'administrateur
    * Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
    * Clique sur Remove Older Versions.
    * Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
    * Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. (Note : le rapport se trouve aussi là : ( C:\JavaRa.log ))

Ensuite on passera à la finalisation :)

atlantisfannew1 · Answer

Ok ;) voila le scan:

https://pjjoint.malekal.com/files.php?id=d1829ec80fm12t15b11z6u11m14b12q6b12j711z9

Merci pour ton aide et ta patience!! Bisssssss?

Valuu · Answer

Bien, nickel :)

--------------------------------------------------------------------------------------
Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

    * Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
    * Entre la description suivante :Post-désinfection
    * Clic sur le bouton Créer, puis sur le bouton OK.
    * Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système:

    * Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Exécuter en tant qu'administrateur sous Vista/Seven)
    * Clic sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir
    * Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
    * Rends toi dans l'onglet "Autres options"
    * Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
    * Les points de restauration système seront purgés sauf le dernier créé.

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système. 

Défragmente tes disque dur : 
Télécharge Deffragler, et défragmente tes 2 disques.

Pour ta navigation, je te conseille d'utiliser Mozilla Firefox par défaut. Internet Explorer est bien, mais Mozilla est plus rapide et plus sécurisé (et plus personnalisable en plus).
Pour le sécuriser tu peux ajouter les modules complémentaires suivant : 
   - WOT : C'est un module qui te permet de savoir l'indice de confiance du site que tu visites. Il t'affiche un message comme quoi le site est indésirable si c'est le cas.

   - AD-Block Plus : ce module te permet de bloquer l'affichage des publicités, te soulageant ainsi la page web, et d'infecter ta machine en suivant ces pubs...

   - NoScript : ce module bloque les applications fonctionnant par script, empêchant ainsi d'infecter ta machine. Tu peux autoriser les pages que tu visites au fur et à mesure si tu es sur qu'elle sont sans risque (en te fiant à l'icône de WOT par exemple)

   - Tu peux également utiliser d'autres module tels que Personas, AnyWeather, Destroy the Web... qui sont plus pour le look, ou le jeu. Tu as tous les modules disponibles ici

Pour sécuriser ton système :
Il te faut au minimum 1 antivirus, 1 par feu, 1 antimalware.

Pour l'antivirus, si tu n'en as pas, Je te conseille Antivir. Un très bon antivirus gratuit, simple d'utilisation.
Télécharge le ici
Mais attention, tu ne dois avoir qu'un seul antivirus sur ton ordinateur !

Pour le pare-feu, tu peux garder celui de Windows en vérifiant bien qu'il est activé, ou tu peux en utiliser un autre : Comodo.
Tutoriel, Découvrir Comodo. C'est un pare-feu assez compliqué à utiliser, si tu ne comprends pas tout demande, ou laisse le pare-feu Windows, ou installe un autre pare-feu.

Mais attention, tu ne dois avoir qu'un seul pare-feu actif sur ton ordinateur, si tu en installes un autre, désactive celui de Windows (par le panneau de configuration/Pare-feu)

Puis comme antimalware, je te conseille d'utiliser MBAM, et le mettant à jour avant chaque analyse.
Lance le régulièrement en scan rapide.

Si tu es sous Windows Vista ou 7, active l'UAC : 
Sous Vista
Sous Seven

Vaccine tes disques durs et supports amovibles avec USBFix :
    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau
    * Clique sur "Vacciner"

Télécharge DelFix sur ton bureau
* Lance le et appuie sur le bouton Suppression
* Copie/colle le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

* Tu peux ensuite relancer DelFix et appuyer sur Désinstaller afin de supprimer toute trace de son utilisation.


Utilise ce programme pour optimiser ton ordinateur :

* Télécharge CCleaner.
* Installe le puis lance le.
* Clique sur Nettoyeur / Analyse / Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre / corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Infection Trojan.Downloader et XGen

36 réponses

Discussions similaires