TrojanDownloader:Win32/Tugspay.ARésolu/Fermé

Question

Voilà j'ai remarqué un virus sur mon pc après une discussion très bizarre sur un site de jeu en ligne et j'ai effectué une recherche avec microsoft security essential et malware pro. J'ai détécté et supprimé le virus avec microsoft security mais j'aimerais savoir si tout est sûr. Voici le lien de ma recherche ZHPDiag que j'ai effectué pendant ou avant il me semble TrojanDownloader:Win32/Tugspay.A
Mon disque dur localC petit à petit se remplissait sans ne rien faire, toutes les 5 secondes environ il était plein puis mon disque s'est mis en suppresion de fichier, et re plein et ansi de suite.
Donc je crois l'avoir enlevé (plus rien ne bouge et j'ai repris 5go sur le disque) et mon antivirus me dit qu'il est supprimé. Donc j'aimerais savoir si tout est clean, j'ai déjà vu un sujet similaire et apparemment tout est bon.

Utilisateur anonyme · Answer

bonjour,

il est ou ton rapport de Zhpdiag ?

Vettel631 · Answer

Désolé j'ai coller le mauvais lien, http://cjoint.com/14oc/DJBmI5g7J8n.htm
D'ailleurs si quelqu'un sait où j'ai pu attraper ce virus car même moi je ne sais pas.

Utilisateur anonyme · Answer

cette version de Zjhpdiag que tu as sur ton pc est obsolète ! ~ Rapport de ZHPDiag v2014.8.28.125 - Nicolas Coolman (28/08/2014) désinstalle la, >* retélécharge et enregistre une nouvelle copie de ZHPDiag sur ton bureau : https://nicolascoolman.eu ou : https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. /!\Utilisateur de Vista, Seven et W8 : * Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » => L'icône est sous forme de parchemin. * Clique sur « complet » * Laisse travailler l'outil, même s'il semble bloqué ! * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette * Héberge le rapport ZHPDiag.txt sur : https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum tuto zhpdiag : https://nicolascoolman.eu

Vettel631 · Answer

http://cjoint.com/14oc/DJBntzkZT4f.htm
Le voici après l'installation de la nouvelle version.

Utilisateur anonyme · Answer

vire µTorrent du démarrage de Windows !


désinstalle les anciennes versions de java, installe la dernière version depuis sin site dédié !


/!\ à lire : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas d'utiliser le mode d'installation personnalisé et décocher la/les cases correspondantes pendant l'installation.


De plus de ceci, évite fortement les sites comme 01net (en voie de guérison !), CNET, BrotherSoft ou Softonic, les logiciels gratuits et libres sont repackés avec leurs barres d'outils ou ajouter des extensions à ton navigateur ! 

Pour les tuto diffusés par Tuto4pc, Eorezo, Agence exclusif .. etc (quelque soit son nom puisqu'on le change sans arrêt !

Il faut bien lire le contrat de licence d'utilisation avant l'installation !!!

https://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/



? Télécharger et enregistre ADWcleaner sur ton bureau (de Xplode) ici : 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

ou ici

http://www.bleepingcomputer.com/download/adwcleaner/dl/125/

Note : si tu as déjà une version d'ADWC sur ton pc, pour avoir la dernière version de l'outil, il faudrait désinstaller celle-ci et le rétélécharger.
 
Lance le 
Accepte le contrat de licence d'utilisation 
clique sur scanner 
Patiente jusqu'à la fin, 
Une fois le scan terminé, clique sur le rapport 
Copie et colle la totalité du rapport sur ton prochain message

Vettel631 · Answer

J'ai donc viré utorrent au démarrage de windows avec ccleaner, pour java c'est fait (pour les toolbars j'ai l'habitude, pareil je ne télécharge jamais par 01net etc avec leurs packs c'est horrible); pour ADWcleaner j'ai désinstallé ma version obsolète (super ce logiciel au passage) et voici le rapport:

# AdwCleaner v4.002 - Rapport créé le 27/10/2014 à 17:05:26
# Mis à jour le 27/10/2014 par Xplode
# Base de données : 2014-10-26.6
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : alaixi - ALAIKSI
# Exécuté depuis : C:\Users\alaixi\Téléchargements\adwcleaner_4.002.exe
# Option : Scanner

***** [ Services ] *****

Service Présent : hshld
Service Présent : hsstrayservice
Service Présent : hsswd

***** [ Fichiers / Dossiers ] *****

Dossier Présent : C:\Program Files (x86)\hotspot shield
Dossier Présent : C:\ProgramData\BitGuard
Dossier Présent : C:\ProgramData\BrowserProtect
Dossier Présent : C:\ProgramData\hotspot shield
Dossier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\hotspot shield
Dossier Présent : C:\ProgramData\QuickSet
Dossier Présent : C:\ProgramData\Smooth Browsing
Dossier Présent : C:\ProgramData\VisualBee
Dossier Présent : C:\ProgramData\WebPlat
Dossier Présent : C:\Users\alaixi\AppData\Roaming\hotspot shield
Dossier Présent : C:\Users\alaixi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect
Dossier Présent : C:\Users\alaixi\AppData\Roaming\PerformerSoft
Dossier Présent : C:\Users\alaixi\AppData\Roaming\SpeedanAlysis
Dossier Présent : C:\Users\alaixi\AppData\Roaming\StatusWinks
Dossier Présent : C:\Users\alaixi\AppData\Roaming\YourFileDownloader
Dossier Présent : C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\hotspot shield
Dossier Présent : C:\Windows\SysWOW64\hotspot shield
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\Ask.xml
Fichier Présent : C:\Users\alaixi\AppData\Roaming\Bubble Dock.installation.log
Fichier Présent : C:\Users\alaixi\AppData\Roaming\Microsoft\Windows\Start Menu\Telecharger-gratuit.Url
Fichier Présent : C:\Users\alaixi\AppData\Roaming\Mozilla\Firefox\Profiles\6v8zcvpf.default\Extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}.xpi
Fichier Présent : C:\Users\alaixi\AppData\Roaming\Mozilla\Firefox\Profiles\6v8zcvpf.default\invalidprefs.js
Fichier Présent : C:\Users\alaixi\Favorites\Telecharger-gratuit.Url
Fichier Présent : C:\Windows\System32oboot64.exe

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKCU\Software\5c68fdfb539e846
Clé Présente : HKCU\Software\anchorfree
Clé Présente : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Clé Présente : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Clé Présente : HKCU\Software\filescout
Clé Présente : HKCU\Software\Google\Chrome\Extensions\leahdjjpjmnamomgpojikeapflgbmjab
Clé Présente : HKCU\Software\hotspotshield
Clé Présente : HKCU\Software\UpToDown
Clé Présente : [x64] HKCU\Software\anchorfree
Clé Présente : [x64] HKCU\Software\filescout
Clé Présente : [x64] HKCU\Software\hotspotshield
Clé Présente : [x64] HKCU\Software\UpToDown
Clé Présente : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Présente : HKLM\SOFTWARE\{77D46E27-0E41-4478-87A6-AABE6FBCF252}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{AF175732-0D59-716D-F757-9F1492D808D9}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1F8EDE97-36D5-422A-B8F0-9406E2D87C60}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{E69D4A59-73DE-4E38-9FB3-740EC4D9060D}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{FEB62B15-CC00-4736-AAEC-BA046C9DFF73}
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\cfcbmgbfdbijmjgjihagbomfbjfjmgon
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\hgojaaaiddhmiiakpejiklijbalpckih
Clé Présente : HKLM\SOFTWARE\hotspotshield
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A3A8BA13-8B56-46E6-8BC6-2746089B6CB2}
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_advanced-mouse-auto-clicker_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_advanced-mouse-auto-clicker_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick (1)_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick (1)_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_cheat-engine_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_cheat-engine_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_daemon-tools_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_daemon-tools_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_euro-truck-simulator_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_euro-truck-simulator_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsemngr.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsemngr.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsermngr.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsermngr.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta babylon.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta babylon.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta tb.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta tb.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta2.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta2.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltainstaller.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltainstaller.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltasetup.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltasetup.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltatb_2501-c733154b.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltatb_2501-c733154b.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iminentsetup.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iminentsetup.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsjatydimofu.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sweetimsetup.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sweetimsetup.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	bdelta.exetoolbar783881609.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	bdelta.exetoolbar783881609.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F1D49A81-DFD1-4580-B7B3-B5990F64C0EC}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hotspotshield
Clé Présente : HKLM\SOFTWARE\SP Global
Clé Présente : HKLM\SOFTWARE\SProtector
Clé Présente : HKLM\SOFTWARE\Trymedia Systems
Clé Présente : HKLM\SOFTWARE\VBMZ
Clé Présente : HKLM\SOFTWARE\YourFileDownloader
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{045F91B3-695F-423A-98C7-8DE3C47AA020}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{1348BD1B-C32A-41A7-9BD4-5377AA1AB925}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{1F8EDE97-36D5-422A-B8F0-9406E2D87C60}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{395AFE6E-8308-48DB-89BE-ED5F4AA3D3EC}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{43969E3F-3E7C-4911-A8F1-79C6CA6AC731}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{43B390F0-6BA2-45CA-ABF2-5DB0CEE9B49D}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{93CF54F5-CFAA-4440-B588-8ED0DFAD5C21}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{94CADA2E-1D3F-419F-8A3D-06C58EDF53C8}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{9E52EB8B-8DD9-4605-AD36-D352BCD482F2}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{A1440EC3-F0FA-407A-B811-DE6668C06D29}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{B9A84AD0-5777-46FD-8B8F-1EBD06750FBC}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{C1995F88-1C7F-40D7-B0FA-6F107F6308B8}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{C815E3DA-0823-49B0-9270-D1771D58B317}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{D3BC53E7-0437-4C97-90EE-2CD6FF47FB14}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{E4A994B0-5550-4680-A4C6-B9470B888069}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{EE95078D-518C-4FD2-8093-FD1D4E33D3CA}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{F9EB11AB-9384-4736-9B33-993940F88895}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\5E8031606EB60A64C882918F8FF38DD4
Clé Présente : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3152E1F19977892449DC968802CE8964
Clé Présente : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\649A52D257CA5DB4EAAE8BA9EB23E467
Donnée Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll
Donnée Présente : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll
Valeur Présente : HKCU\Software\Mozilla\Firefox\Extensions [addlyrics@addlyrics.net]
Valeur Présente : HKCU\Software\Mozilla\Firefox\Extensions [statuswinks@StatusWinks]
Valeur Présente : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [statuswinks@StatusWinks]
Valeur Présente : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Users\alaixi\AppData\Roaming\cacaoweb\cacaoweb.exe]
Valeur Présente : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Users\alaixi\AppData\Roaming\Server.exe]
Valeur Présente : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Users\alaixi\TÃ©lÃ©chargements\cacaoweb.exe]

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17344

Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] - hxxp://scruter.net
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Search Bar] - hxxp://scruter.net
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - "hxxp://scruter.net/result.php?cx=partner-pub-3128276511037541:8870723493&cof=GIMP:CCCCCC;T:000000;ALC:551a8b;GFNT:B7B7B7;LC:2200cc;BGC:FFFFFF;VLC:551a8b;GALT:008B45;FORID:10;DIV:#FFFFF0;&ie=UTF-8&q={searchTerms}&sa=Rechercher"
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://scruter.net
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Secondary_Page_URL] - hxxp://scruter.net
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [SearchMigratedDefaultName] - hxxp://scruter.net
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [SearchMigratedDefaultURL] - "hxxp://scruter.net/result.php?cx=partner-pub-3128276511037541:8870723493&cof=GIMP:CCCCCC;T:000000;ALC:551a8b;GFNT:B7B7B7;LC:2200cc;BGC:FFFFFF;VLC:551a8b;GALT:008B45;FORID:10;DIV:#FFFFF0;&ie=UTF-8&q={searchTerms}&sa=Rechercher"
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page_bak] - hxxp://scruter.net
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [SearchAssistant] - scruter.net

-\ Mozilla Firefox v29.0.1 (fr)


-\ Google Chrome v38.0.2125.104


*************************

AdwCleaner[R0].txt - [13449 octets] - [27/10/2014 17:05:26]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [13510 octets] ##########

Utilisateur anonyme · Answer

oublie softonic aussi !


relance ADWC, clique sur nettoyer,

poste son rapport après le redémarrage du pc

Vettel631 · Answer

Voici le rapport après le redémarrage de mon pc:

# AdwCleaner v4.002 - Rapport créé le 27/10/2014 à 17:19:19
# DB v2014-10-26.6
# Mis à jour le 27/10/2014 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : alaixi - ALAIKSI
# Exécuté depuis : C:\Users\alaixi\Téléchargements\adwcleaner_4.002.exe
# Option : Nettoyer

***** [ Services ] *****

Service Supprimé : hshld
[#] Service Supprimé : hsstrayservice
Service Supprimé : hsswd

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\BitGuard
Dossier Supprimé : C:\ProgramData\BrowserProtect
Dossier Supprimé : C:\Users\alaixi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect
Dossier Supprimé : C:\ProgramData\hotspot shield
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\hotspot shield
Dossier Supprimé : C:\Program Files (x86)\hotspot shield
Dossier Supprimé : C:\Windows\SysWOW64\hotspot shield
Dossier Supprimé : C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\hotspot shield
Dossier Supprimé : C:\Users\alaixi\AppData\Roaming\hotspot shield
Dossier Supprimé : C:\Users\alaixi\AppData\Roaming\PerformerSoft
Dossier Supprimé : C:\ProgramData\QuickSet
Dossier Supprimé : C:\ProgramData\Smooth Browsing
Dossier Supprimé : C:\Users\alaixi\AppData\Roaming\SpeedanAlysis
Dossier Supprimé : C:\Users\alaixi\AppData\Roaming\StatusWinks
Dossier Supprimé : C:\ProgramData\VisualBee
Dossier Supprimé : C:\ProgramData\WebPlat
Dossier Supprimé : C:\Users\alaixi\AppData\Roaming\YourFileDownloader
Fichier Supprimé : C:\Users\alaixi\AppData\Roaming\Mozilla\Firefox\Profiles\6v8zcvpf.default\Extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}.xpi
Fichier Supprimé : C:\Windows\System32oboot64.exe
Fichier Supprimé : C:\Users\alaixi\Favorites\Telecharger-gratuit.Url
Fichier Supprimé : C:\Users\alaixi\AppData\Roaming\Microsoft\Windows\Start Menu\Telecharger-gratuit.Url
Fichier Supprimé : C:\Users\alaixi\AppData\Roaming\Bubble Dock.installation.log
Fichier Supprimé : C:\Users\alaixi\AppData\Roaming\Mozilla\Firefox\Profiles\6v8zcvpf.default\invalidprefs.js
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\Ask.xml

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [addlyrics@addlyrics.net]
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [statuswinks@StatusWinks]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [statuswinks@StatusWinks]
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\cfcbmgbfdbijmjgjihagbomfbjfjmgon
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\hgojaaaiddhmiiakpejiklijbalpckih
Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\leahdjjpjmnamomgpojikeapflgbmjab
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsemngr.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsermngr.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta babylon.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta tb.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta2.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltainstaller.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltasetup.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltatb_2501-c733154b.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iminentsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sweetimsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	bdelta.exetoolbar783881609.exe
Clé Supprimée : HKCU\Software\5c68fdfb539e846
Clé Supprimée : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_advanced-mouse-auto-clicker_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_advanced-mouse-auto-clicker_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick (1)_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick (1)_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_autoclick_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_cheat-engine_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_cheat-engine_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_daemon-tools_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_daemon-tools_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_euro-truck-simulator_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_euro-truck-simulator_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AF175732-0D59-716D-F757-9F1492D808D9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1F8EDE97-36D5-422A-B8F0-9406E2D87C60}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E69D4A59-73DE-4E38-9FB3-740EC4D9060D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{FEB62B15-CC00-4736-AAEC-BA046C9DFF73}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A3A8BA13-8B56-46E6-8BC6-2746089B6CB2}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{045F91B3-695F-423A-98C7-8DE3C47AA020}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{1348BD1B-C32A-41A7-9BD4-5377AA1AB925}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{1F8EDE97-36D5-422A-B8F0-9406E2D87C60}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{395AFE6E-8308-48DB-89BE-ED5F4AA3D3EC}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{43969E3F-3E7C-4911-A8F1-79C6CA6AC731}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{43B390F0-6BA2-45CA-ABF2-5DB0CEE9B49D}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{93CF54F5-CFAA-4440-B588-8ED0DFAD5C21}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{94CADA2E-1D3F-419F-8A3D-06C58EDF53C8}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{9E52EB8B-8DD9-4605-AD36-D352BCD482F2}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{A1440EC3-F0FA-407A-B811-DE6668C06D29}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{B9A84AD0-5777-46FD-8B8F-1EBD06750FBC}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{C1995F88-1C7F-40D7-B0FA-6F107F6308B8}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{C815E3DA-0823-49B0-9270-D1771D58B317}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{D3BC53E7-0437-4C97-90EE-2CD6FF47FB14}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{E4A994B0-5550-4680-A4C6-B9470B888069}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{EE95078D-518C-4FD2-8093-FD1D4E33D3CA}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{F9EB11AB-9384-4736-9B33-993940F88895}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Valeur Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Users\alaixi\AppData\Roaming\Server.exe]
Valeur Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Users\alaixi\TÃ©lÃ©chargements\cacaoweb.exe]
Valeur Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Users\alaixi\AppData\Roaming\cacaoweb\cacaoweb.exe]
Clé Supprimée : HKCU\Software\anchorfree
Clé Supprimée : HKCU\Software\filescout
Clé Supprimée : HKCU\Software\hotspotshield
Clé Supprimée : HKCU\Software\UpToDown
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{77D46E27-0E41-4478-87A6-AABE6FBCF252}
Clé Supprimée : HKLM\SOFTWARE\hotspotshield
Clé Supprimée : HKLM\SOFTWARE\SP Global
Clé Supprimée : HKLM\SOFTWARE\SProtector
Clé Supprimée : HKLM\SOFTWARE\Trymedia Systems
Clé Supprimée : HKLM\SOFTWARE\VBMZ
Clé Supprimée : HKLM\SOFTWARE\YourFileDownloader
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F1D49A81-DFD1-4580-B7B3-B5990F64C0EC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hotspotshield
Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll
Donnée Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3152E1F19977892449DC968802CE8964
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\649A52D257CA5DB4EAAE8BA9EB23E467
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\5E8031606EB60A64C882918F8FF38DD4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsjatydimofu.exe

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17344

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Bar]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Secondary_Page_URL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [SearchMigratedDefaultName]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [SearchMigratedDefaultURL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page_bak]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [SearchAssistant]

-\ Mozilla Firefox v29.0.1 (fr)


-\ Google Chrome v38.0.2125.104


*************************

AdwCleaner[R0].txt - [13703 octets] - [27/10/2014 17:05:26]
AdwCleaner[R1].txt - [13764 octets] - [27/10/2014 17:18:18]
AdwCleaner[S0].txt - [11588 octets] - [27/10/2014 17:19:19]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [11649 octets] ##########

Utilisateur anonyme · Answer

relance ADWc, clique sur désinstaller,

aide toi de ceci pour me faire passer un nouveau rapport de Zhpdiag :

https://forums.commentcamarche.net/forum/affich-30964176-trojandownloader-win32-tugspay-a#3

Vettel631 · Answer

C'est fait (pourquoi me faire désinstaller adwcleaner d'ailleurs?)

Voici le rapport après que ceci fut effectué: http://cjoint.com/14oc/DJBrFFWodu6.htm

Utilisateur anonyme · Answer

pas de mises à jour automatique pour ADWC ! vire µTorrent du démarrage de Windows ! * /!\ Avertissement /!\, * ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! * Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. /!\Utilisateur de Vista, Seven et W8 : * Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » Clique sur « importer » Tu vas voir apparaitre un message d'avertissement, clique sur Ok. * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : --------------------------------------------------------- Script Zhpfix [HKCU\Software\MCAFEE] O43 - CFD: 19/10/2014 - 08:47:05 - [] ----D C:\ProgramData\McAfee O51 - MPSK:{11aefc02-0efc-11e2-b193-10bf48870dda}\AutoRun\command. (...) -- F:\SETUP.exe (.not file.) O51 - MPSK:{359a70cd-0ecb-11e2-b73a-806e6f6e6963}\AutoRun\command. (...) -- E:\SETUP.exe (.not file.) R3 - URLSearchHook: (no name) [64Bits] - {1392b8d2-5c05-419f-a8f6-b9f15a596612} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.) [HKCU\Software\FVDToolbar] [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowSetProgramAccessAndDefaults: Modified [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowNetConn: Modified R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback>; R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888 [MD5.00000000000000000000000000000000] [APT] [SK.Enabler-S-1495795506] (...) -- c:\programdata\quickset\sk.enabler\SK.Enabler.exe (.not file.) [0] O39 - APT: SK.Enabler-S-1495795506 - (...) -- C:\Windows\Tasks\SK.Enabler-S-1495795506.job [446] O39 - APT: SK.Enabler-S-1495795506 - (...) -- C:\Windows\System32\Tasks\SK.Enabler-S-1495795506 [446] [HKLM\Software\Wow6432Node\SK.Enabler] O51 - MPSK:{98238370-0ec3-11e2-af59-806e6f6e6963}\AutoRun\command. (...) -- E:\Bin\ASSETUP.exe (.not file.) O69 - SBI: prefs.js [alaixi - 6v8zcvpf.default] user_pref("avg.install.userHPSettings", "http://www.delta-search.com?affID=121376&babsrc=HP_ss&mntrId=70A600FF2BF2A54D"); O69 - SBI: prefs.js [alaixi - 6v8zcvpf.default] user_pref("avg.install.userSPSettings", "VisualBee Search"); O69 - SBI: prefs.js [alaixi - 6v8zcvpf.default] user_pref("extensions.helperbar.DockingPositionDown", false); O69 - SBI: prefs.js [alaixi - 6v8zcvpf.default] user_pref("extensions.helperbar.SmartbarDisabled", false); O69 - SBI: prefs.js [alaixi - 6v8zcvpf.default] user_pref("extensions.helperbar.SmartbarStateMinimaized", false); C:\Windows\Tasks\SK.Enabler-S-1495795506.job C:\Windows\System32\Tasks\SK.Enabler-S-1495795506 EmptyPrefetch ShortcutFix Emptytemp EmptyClsid ---------------------------------------------------------- - Clique sur le bouton « GO » pour lancer le nettoyage, - confirme le nettoyage - Héberge le rapport ZHPFIX.txt sur https://www.cjoint.com/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. Tuto en bas de cette page : https://nicolascoolman.eu

Vettel631 · Answer

J'ai déjà viré uTorrent au démarrage de Windows, enfin c'est ce que m'indique ccleaner
Voici le rapport: http://cjoint.com/14oc/DJBr1ojoQLx.htm

Utilisateur anonyme · Answer

*	/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	

à lire avant de lancer l'installation de MBAM :

Attention, à l'installation décoche la case « activer l'essai gratuit de Malawarybyte anti malware »
 
ceci correspond à une version d'essai qui ne dure que 15 jours en fonctionnant comme un antivirus, donc risque de conflit avec ton antivirus existant sur le pc !



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

ou :

https://fr.malwarebytes.com/mwb-download/
ou :

https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger, mais il est conseillé de désinstaller ton ancienne version (1,75) pour installer la dernière ! 
	


/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet paramètres, choisis la langue souhaitée
 
. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour 

. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminée

Dans l'onglet "examen", coche la case "Examen personnalisé",  puis examiner maintenant, 

Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)

puis sur "lancer l'examen"

. Le scan démarre.

il va durer un certain temps, donc laisse le faire.
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.

Vettel631 · Answer

http://www.cjoint.com/14oc/DJBtQBLuLCl.htm

4 éléments trouvés, malware me demande de redémarrer l'ordinateur pour "parachever le processus de suppresion" et windows me met qu'il faut redémarrer l'ordinateur pour "activer le Controle de compte d'utilisateur (important)." est-ce que je dois faire ces actions ?

Utilisateur anonyme · Answer

redémarre le pc et donne moi des nouvelles de son fonctionnement, on continue la dessus demain matin,

@ +

Vettel631 · Answer

https://www.cjoint.com/c/DJCodMGliby
J'ai fait une recherche pour voir au cas où et il s'est avéré que j'ai bien fait, quatre éléments détéctés (la recherche était sur tous mes disques durs); j'ai donc tout mis en quarantaine et redémarré le pc.
Du coup, est-ce que c'est plus compliqué que prévu ?

Utilisateur anonyme · Answer

je soupçonne une activité Rootkit sur ton pc !

à voir !

*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : 
 Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée. 
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D

Vettel631 · Answer

"No threats found"
http://image.noelshack.com/fichiers/2014/44/1414502135-2014-10-28-14h15-21.png

Est-ce que je dois cocher des cases supplémentaires dans la partie paramètres ?
http://www.noelshack.com/2014-44-1414502217-2014-10-28-14h16-23.png

Utilisateur anonyme · Answer

non, pas besoin, il les trouvera, même si les cases ne sont pas cochées !

je cherche la clé de registre qui le relance !

le fichier est régénéré par la clé !

 *	[*] Télécharger et enregistre RogueKiller (by tigzy) sur le bureau 
Pour la version 32 bit, ici ? 
http://www.adlice.com/softs/roguekiller/RogueKiller.exe

Pour la version 64 bit, ici ?
http://www.adlice.com/softs/roguekiller/RogueKillerX64.exe   

[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Utilisateur de W7 et W8, clique droit sur l'outil, puis le lancer en tant qu'administrateur.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. 
Attends la fin de scan
Clique sur le bouton rapport et copie et colle la totalité de son contenu sur ton prochain message

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

Son site officiel :
https://www.adlice.com/fr/roguekiller/

Vettel631 · Answer

http://image.noelshack.com/fichiers/2014/44/1414503541-2014-10-28-14h38-34.png

Donc rien du tout ... c'est inquiétant ?

Utilisateur anonyme · Answer

Clique sur le bouton rapport et copie et colle la totalité de son contenu sur ton prochain message

Vettel631 · Answer

Justement quand je clique sur rapport ça m'ouvre une page vierge de bloc note, surement parce qu'il n'a rien détécté ?

Vettel631 · Answer

Ah non il y a des éléments détéctés en Registre, AntiRootkit ainsi que Navigateurs web mais le rapport ne fonctionne pas apparemment

Utilisateur anonyme · Answer

ok,

clique sur supprimer,

poste son rapport si tu arrives !

Vettel631 · Answer

C'est fait par contre pour les "AntiRootkit" je n'ai eu la possibilité de cocher la case donc  c'est toujours détécté après un nouveau scan; et pour le rapport rien ne fonctionne.

Utilisateur anonyme · Answer

ok, passe ceci pour voir :

Télécharge et enregistre MBAR sur ton bureau :
https://data-cdn.mbamupdates.com/web/mbar-1.10.3.1001.exe

Fais un double clique sur le fichier et décompresse le sur ton bureau comme proposé.

Entre dans le répertoire, clique droit sur le fichier MBAR, lance le en tant qu'administrateur.

Dans Update, clique sur Update pour trouver les mises à jour,
Puis next
Dans Scan système, clique sur Done,
Le scan se lance, laisse le travailler.
A la fin du scan, s'il trouve des choses, il t'affiche le résultat, sélectionne le tout, et clique sur Cleanup !

Redémarre le pc pour terminer le nettoyage !

Poste son rapport qui se trouve dans son répertoire sur ton bureau sous cette forme :
mbar-log-2014-mois-jour (**-**-**)

Vettel631 · Answer

Je passe déjà malware en boucle pour voir si il trouve quelque chose, et il ne trouve rien

Utilisateur anonyme · Answer

ce logiciel est pour la recherche des rootkit ! O.o°* ???Respire à fond, Rédiges ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Vettel631 · Answer

http://www.cjoint.com/14oc/DJCshbN8D0f.htm

Utilisateur anonyme · Answer

ok, mais j'ai un doute qu'il soit viré si facilement !


*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista, W7 et W8 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Vettel631 · Answer

C'est trop long pour le forum, donc je l'ai mis sur cjoint: http://www.cjoint.com/14oc/DJCszThuZyD.htm

Utilisateur anonyme · Answer

ok,

redémarre le pc !

relance MBAM et refais un passage pour voir s'il trouve des choses !

Vettel631 · Answer

"Examen terminé avec succès! Aucun élément malveillant détécté!"

Utilisateur anonyme · Answer

super,

redémarre le pc et donne moi des nouvelles de son fonctionnement avant de continuer, il reste quelques bricoles à faire  :-)

Vettel631 · Answer

ça à l'air de bien fonctionner, et mon AV et MWB ne trouvent rien apparemment

Utilisateur anonyme · Answer

super,

Télécharge Delfix sur ton bureau : 

https://toolslib.net/downloads/viewdownload/2-delfix/

ou 

 


Coche les cases suivantes : 
=> Réactive l'Uac (juste pour Vista, Seven et W8) 
=> Supprimer les outils de désinfection (coché par défaut) 
=> Purger la restauration système
 


* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression. 
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau 
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport 
** le rapport est stocké à cet emplacement : C:\DelFix.txt 
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.






	* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Vettel631 · Answer

# DelFix v10.8 - Rapport créé le 29/10/2014 à 12:07:04
# Mis à jour le 29/07/2014 par Xplode
# Nom d'utilisateur : alaixi - ALAIKSI
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\Users\alaixi\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.3.0.0.40_28.10.2014_14.12.43_log.txt
Supprimé : C:\TDSSKiller.3.0.0.40_28.10.2014_16.00.33_log.txt
Supprimé : C:\Users\alaixi\Desktop\ComboFix.exe
Supprimé : C:\Users\alaixi\Desktop\RogueKillerX64.exe
Supprimé : C:\Users\alaixi\Desktop	dsskiller.exe
Supprimé : C:\Users\alaixi\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\alaixi\Desktop\ZHPDiag.txt
Supprimé : C:\Users\alaixi\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\alaixi\Desktop\ZHPFix.lnk
Supprimé : C:\Users\alaixi\Desktop\ZHPFixReport.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~ Purge de la restauration système ...


Nouveau point de restauration créé !

########## - EOF - ##########




Pour mon antivirus tout est bon.

Utilisateur anonyme · Answer

super,

sur ce, bon surf  ;-)

Vettel631 · Answer

Tout est bon du coup ?
Un grand merci, est-ce que tu sais un peu où j'ai pu l'attrapé et comment le faire moi même une prochaine fois ? :)

Utilisateur anonyme · Answer

là, je ne peux te le dire car on ne voit que les infections sur un rapport !

Vettel631 · Answer

D'accord et merci beaucoup surtout, car je ne sais vraiment pas où j'ai pu l'attrappé ^^

Utilisateur anonyme · Answer

méfiance et prudence surtout,

cette version est une ancienne version de l'infection type Zeroaccess, 

le fichier légitime a été patché et caché dans la corbeille,

un driver pour le relancer, d'où le problème de suppression avec MBAM et MBAR !

Vettel631 · Answer

Je crois que le virus est revenu, mon DD est de nouveau plein et là d'un coup il est re-vide, c'est possible qu'il ne soit pas totalement supprimé ?

Utilisateur anonyme · Answer

qui te fais dire ceci ?

Vettel631 · Answer

Mon DD se rempli tout seul sans rien faire comme avant, ça dure 5-10 minutes et ça part ...

Vettel631 · Answer

Ah non c'est bon je sais d'où ça vient, sujet à lock

Utilisateur anonyme · Answer

qu'est ce que c'était ?

TrojanDownloader:Win32/Tugspay.A

47 réponses

Discussions similaires

Newsletters