Décodage rapport txt Adwcleaner après infection virus Sacem-gend [Résolu/Fermé]

Signaler
Messages postés
1
Date d'inscription
samedi 4 janvier 2014
Statut
Membre
Dernière intervention
4 janvier 2014
-
 babaochuba -
Bonjour à tous,

Je viens de m'inscrire en suivant les conseils trouvés sur différents sites. Je m'y connais très peu en informatique, j'ai tenté de chercher par moi-même mais là je pense avoir atteint mes limites. J'ai donc besoin d'aide de personnes beaucoup plus compétentes SVP.

J'ai 2 soucis en fait:
1: Message récurrent de ieutil.exe: il manque OpenCL.dll
Aucune idée de ce que c'est...ET je n'ai pas trouvé jusqu'à présent de solution pour m'en débarrasser...Je le cache en bas et çà ne me dérange plus, mais bon j'aimerais quand même régler le problème

2: j'ai été contaminée hier par le virus Sacem-Gendarmerie
J'ai trouvé de quoi m'en débarrasser sur Youtube grâce à un tutoriel super. Mais ils recommandent de faire une analyse via Adwcleaner pour que le problème ne se reproduise plus.
Je l'ai faite, et me retrouve maintenant avec un rapport en txt. Que puis-je en faire?

Un énorme merci par avance à la personne qui pourra m'aider sur ces 2 points.
J'espère avoir posté le message au bon endroit...

A bientôt,
Delphine

16 réponses

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Salut,

Donne le ici en réponse.
Hello,

OK merci pour ta réponse , voici la copie du rapport:

# AdwCleaner v3.016 - Rapport créé le 04/01/2014 à 18:50:23
# Mis à jour le 23/12/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Delphine - NOTEBOOK
# Exécuté depuis : C:\Users\Delphine\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : Software_update
[#] Service Supprimé : Software_update_m

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\BoxUpdChk
Dossier Supprimé : C:\ProgramData\HBLiteSA
Dossier Supprimé : C:\ProgramData\ParetoLogic
Dossier Supprimé : C:\ProgramData\WPM
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotbar
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\Mobogenie
Dossier Supprimé : C:\Program Files (x86)\MyPC Backup
Dossier Supprimé : C:\Program Files (x86)\Nosibay
Dossier Supprimé : C:\Program Files (x86)\ShoppingReport2
Dossier Supprimé : C:\Program Files (x86)\Feven 1.7
Dossier Supprimé : C:\Users\Delphine\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Delphine\AppData\Local\lollipop
Dossier Supprimé : C:\Users\Delphine\AppData\Local\fst_fr_50
Dossier Supprimé : C:\Users\Delphine\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Delphine\AppData\LocalLow\Delta
Dossier Supprimé : C:\Users\Delphine\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Delphine\AppData\LocalLow\ShoppingReport2
Dossier Supprimé : C:\Users\Delphine\AppData\LocalLow\Vuze_Remote
Dossier Supprimé : C:\Users\Delphine\AppData\LocalLow\Feven 1.7
Dossier Supprimé : C:\Users\Delphine\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Delphine\AppData\Roaming\DriverCure
Dossier Supprimé : C:\Users\Delphine\AppData\Roaming\Nosibay
Dossier Supprimé : C:\Users\Delphine\AppData\Roaming\ParetoLogic
Dossier Supprimé : C:\Program Files (x86)\Software
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Delphine\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
Fichier Supprimé : C:\Windows\System32\Tasks\BoxSoftwareUpdate
Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job
Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineCore
Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job
Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineUA

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [***@***]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [***@***]
Clé Supprimée : HKCU\Software\Classes\Applications\lollipop.exe
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\wajam.com
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\hbliteax.info
Clé Supprimée : HKLM\SOFTWARE\Classes\hbliteax.info.1
Clé Supprimée : HKLM\SOFTWARE\Classes\hbliteax.userprofiles
Clé Supprimée : HKLM\SOFTWARE\Classes\hbliteax.userprofiles.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajamupdater_rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajamupdater_rasmancs
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=3
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=9
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASUS_Screensaver
Clé Supprimée : HKCU\Software\5f68a8bb13cba15
Clé Supprimée : HKLM\SOFTWARE\5f68a8bb13cba15
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3241952
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D44FD6F0-9746-484E-B5C4-C66688393872}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\Boxore
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr
[#] Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\hblitesa
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\ParetoLogic
Clé Supprimée : HKCU\Software\ShoppingReport2
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\conduitEngine
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\ShoppingReport2
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\Boxore
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\HBLite
Clé Supprimée : HKLM\Software\ParetoLogic
Clé Supprimée : HKLM\Software\ShoppingReport2
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16428


-\\ Google Chrome v31.0.1650.63

[ Fichier : C:\Users\Delphine\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée : search_url
Supprimée : keyword

*************************

AdwCleaner[R0].txt - [9089 octets] - [04/01/2014 18:45:16]
AdwCleaner[S0].txt - [8517 octets] - [04/01/2014 18:50:23]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [8577 octets] ##########

Incompréhensible pour moi...Merci pour ton aide :-)

Delphine
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Bonjour,

Merci pour le mode d'emploi super clair.

Voici le lien: http://pjjoint.malekal.com/files.php?id=20140105_k5d15m11l7w7

Bon aprem'
Delphine
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-2532871133-2081553396-3475915242-1000..\Run: [{FDFAC8C1-0C80-5CDB-4D74-209B13B31E30}] C:\Users\Delphine\AppData\Roaming\Voqaci\odge.exe (Microsoft)
O4 - HKU\S-1-5-21-2532871133-2081553396-3475915242-1000..\Run: [idle32] C:\Users\Delphine\Documents\wincmd.exe ()
O4 - HKU\S-1-5-21-2532871133-2081553396-3475915242-1000..\Run: [iehighutil] C:\Temporary\iehighutil.exe ()
[2014/01/04 18:17:45 | 000,000,000 | ---D | C] -- C:\Users\Delphine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
[2014/01/04 18:17:32 | 000,061,440 | ---- | C] (Khronos Group) -- C:\Users\Delphine\Desktop\opencl.dll
[2014/01/04 18:17:04 | 000,000,000 | ---D | C] -- C:\Users\Delphine\AppData\Local\Software
[2014/01/04 15:32:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\predm
[2014/01/04 00:32:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DealsCompare
[2012/11/04 20:35:03 | 000,000,000 | ---D | M] -- C:\Users\Delphine\AppData\Roaming\Cowufe
[2012/11/04 00:07:26 | 000,000,000 | ---D | M] -- C:\Users\Delphine\AppData\Roaming\Cubeiz
[2012/11/04 20:35:03 | 000,000,000 | ---D | M] -- C:\Users\Delphine\AppData\Roaming\Niep
[2013/10/09 22:05:58 | 000,000,000 | ---D | M] -- C:\Users\Delphine\AppData\Roaming\Oxaqk
[2012/11/04 20:21:23 | 000,000,000 | ---D | M] -- C:\Users\Delphine\AppData\Roaming\Sacas
[2012/11/04 20:36:36 | 000,000,000 | ---D | M] -- C:\Users\Delphine\AppData\Roaming\Voqaci
[2012/11/04 20:21:23 | 000,000,000 | ---D | M] -- C:\Users\Delphine\AppData\Roaming\Yciw
:files
C:\Temporary\
C:\Users\Delphine\Documents\dwm.exe
C:\Users\Delphine\Documents\wincmd.exe

* poste le rapport ici



~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Alors voici le rapport suite à la "correction":

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2532871133-2081553396-3475915242-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{FDFAC8C1-0C80-5CDB-4D74-209B13B31E30} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FDFAC8C1-0C80-5CDB-4D74-209B13B31E30}\ not found.
C:\Users\Delphine\AppData\Roaming\Voqaci\odge.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-2532871133-2081553396-3475915242-1000\Software\Microsoft\Windows\CurrentVersion\Run\\idle32 deleted successfully.
C:\Users\Delphine\Documents\wincmd.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-2532871133-2081553396-3475915242-1000\Software\Microsoft\Windows\CurrentVersion\Run\\iehighutil deleted successfully.
C:\Temporary\iehighutil.exe moved successfully.
C:\Users\Delphine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop folder moved successfully.
C:\Users\Delphine\Desktop\opencl.dll moved successfully.
C:\Users\Delphine\AppData\Local\Software\CrashReports folder moved successfully.
C:\Users\Delphine\AppData\Local\Software folder moved successfully.
C:\Program Files (x86)\predm folder moved successfully.
C:\Program Files (x86)\DealsCompare folder moved successfully.
C:\Users\Delphine\AppData\Roaming\Cowufe folder moved successfully.
C:\Users\Delphine\AppData\Roaming\Cubeiz folder moved successfully.
C:\Users\Delphine\AppData\Roaming\Niep folder moved successfully.
C:\Users\Delphine\AppData\Roaming\Oxaqk folder moved successfully.
C:\Users\Delphine\AppData\Roaming\Sacas folder moved successfully.
C:\Users\Delphine\AppData\Roaming\Voqaci folder moved successfully.
C:\Users\Delphine\AppData\Roaming\Yciw folder moved successfully.
========== FILES ==========
C:\Temporary\bitstreams folder moved successfully.
C:\Temporary folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 01052014_143421





*****************************************
Pour ce qui est du fichier zip, je ne peux pas le charger.
Après 3 tentatives je reçois le message "vous n'avez pas choisi de fichier".
Le fichier fait 17 Mo donc trop lourd apparemment.
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Dommage,
Si tu peux envoyer les .exe un par un qui se trouve dans les sous-dossiers C:\_OTL\MovedFiles
Si tu sais par faire, tant pis.

Refais un scan OTL comme la première fois avec le script et fais passer les rapports par pjjoint.
En fait il n'y a pas de .exe dans les sous-dossiers
C:\_OTL\MovedFiles
Seulement un .log


J'ai refait un scan OTL et renvoyé le rapport:
http://pjjoint.malekal.com/files.php?id=20140105_x7s9s15t12k8
Mais du coup c'est le même que ce matin non?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:files
C:\Users\Delphine\Documents\dwm.exe
:Commands
[emptytemp]
[reboot]

* poste le rapport ici


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Ne manque-t-il pas un morceau dans le cadre à copier-coller?
Il devrait commencer par :OTL c'est çà?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
nope, là il commence par :files ;)
J'ai rajouté deux trucs.
OK j'ai relancé OTL avec tes indications.
L'ordinateur a été redémarré.

Voilà la copie du rapport:

All processes killed
========== FILES ==========
File\Folder C:\Users\Delphine\Documents\dwm.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: AppData

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 58264 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Delphine
->Temp folder emptied: 17253385 bytes
->Temporary Internet Files folder emptied: 26526055 bytes
->Google Chrome cache emptied: 236912416 bytes
->Flash cache emptied: 64354 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 556580 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 109284 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42307021 bytes
RecycleBin emptied: 3305841986 bytes

Total Files Cleaned = 3,462.00 mb
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Demain, tu mets à jour les defs Malwarebytes, puis un petit scan avec et tu donnes le rapport.

Change tous tes mots de passe en attentant.
Comment mettre à jour les "defs Malwarebytes"?

Et quels mots de passe sont à changer? Pourquoi?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Bonjour,

Alors cette fois voilà le rapport suite à l'analyse Malwarebytes:

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.06.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Delphine :: NOTEBOOK [administrateur]

Protection: Désactivé

06/01/2014 18:14:24
mbam-log-2014-01-06 (18-14-24).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 389540
Temps écoulé: 1 heure(s), 39 minute(s), 21 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 13
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Conduit\Community Alerts\Alert.dll.vir (PUP.Optional.Conduit) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\AppData\Roaming\GrabIt\Temp\Skip_The_Use-Ghost_(Fete_De_La_Musique_2012)-720p-x2Roslund.och.Hellstrom-Edward.Finnigans.upprattelse.2006IPecResearch.How.to.make.fart.sounds.AmKingdom.com_12.06.2Dawsons.Greek.2x106.HDTV.XviD-ThisIsntFoV.zip (Trojan.Scar) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Documents\cgtmp\cgm.exe (Trojan.BitCoinMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Documents\Softwares\Nero\nero7 serial+keygen+crack.rar (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Downloads\opencl.exe (PUP.Optional.Rapiddown) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Delphine\Pictures\Sauvegarde DD externe Oct 2010\DJDELPH\Sécurité\Fichier ZoneAlarm\ZoneAlarm\Crack Zonealarm\keygen.exe (Riskware.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles.zip (PUP.BitCoinMiner) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\01052014_143421\C_\Temporary\ieutil.exe (PUP.BitCoinMiner) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\01052014_143421\C_Users\Delphine\AppData\Roaming\Cubeiz\ahte.exe (Trojan.VBKrypt) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\01052014_143421\C_Users\Delphine\AppData\Roaming\Niep\azsyo.exe (Trojan.VBKrypt) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\01052014_143421\C_Users\Delphine\AppData\Roaming\Sacas\otub.exe (Trojan.VBKrypt) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\01052014_143421\C_Users\Delphine\AppData\Roaming\Voqaci\odge.exe (Trojan.VBKrypt) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\01052014_204839\C_Users\Delphine\Documents\dwm.exe (Trojan.BitcoinMiner) -> Mis en quarantaine et supprimé avec succès.

(fin)


Et c'est cool le message récurrent sur OpenCL.dll a enfin disparu.
Tout a l'air d'aller bien c'est top!
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 287
Ca doit être bon.
Fais des scans Malwarebytes ces prochains jours.

Change bien tous tes mots de passe.

Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonsoir,

Un grand merci pour toute ton aide.Tout semble ok maintenant.

Il me restait à sécuriser au max mon ordi.
J'ai donc suivi tes conseils, mais il y a une chose étrange avec Java car je ne le trouve pas dans mes programmes (dans panneau de configuration).
Rien non plus en allant voir dans Chrome.

Je me suis dit qu'il avait donc déjà été supprimé de mon ordi.
Mais en faisant le test de désactivation, il ne me dit pas ""Aucune version de Java fonctionnelle"", mais "le plug-in Java (TM) est nécessaire pour afficher ce contenu".

Est-ce la même chose?