Bonjour,
 
J'ai récupéré le pc d'un ami pour le nettoyer car il surchauffait et en faisant une analyse antivirus je me suis aperçue qu'il était bien infecté !
 
J'ai en effet déjà supprimé beaucoup de cochonneries (lollipop, trojan, backdoor, rogue) en utilisant roguekiller, adwcleaner, TDSSKiller, malwarebytes.
 
Mais comme je n'arrivais pas à supprimer une infection dans le profil utilisateur firefox (adwcleaner le détecte, le nettoie mais ça revient toujours) je décide d'essayer combofix !
 
Combofix m'a apparemment supprimé le fichier wininit.ini et du coup je préfère faire appel à des "pros" de la désinfection pour éviter de faire n'importe quoi ! (je n'ai pas osé redémarrer le pc de peur qu'il plante !)
 
 
Merci pour votre aide !!

Salut,
 
  Tu aurais du demander de l'aider avant, on utilise pas des outils dangereux pour les pc à la légère et sans un minimum de connaissance.
 
On peut avoir le rapport de combofix que tu trouveras C:\Combofix.txt. Héberges ce rapport sur Cjoint comme indiqué ci-dessous :
 
Comment héberger un rapport sur ci-joint :
 

• Clique sur ce lien : http://www.cjoint.com/
• Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
• Clique sur Ouvrir.
• Clique sur "Créer le lien Cjoint" pour déposer le fichier.
• Un lien de cette forme, http://cjoint.com/?CFnaaobHAob, est ajouté dans la nouvelle page.
• Copie-colle ce lien dans ta réponse.

Aide en image => ICI
 
 
 
 
 

En effet j'aurais dù commencer par venir ici !
 
Voici le lien du rapport combofix  
 
http://cjoint.com/?CLqpZEo9aVa

Normalement si ce genre de fichier est jugé néfaste par combofix, celui-ci le remplace par un fichier sain, ce qui n'est pas le cas sur ce pc puisque combofix fonctionne en mode dégradé.
 
Tu vas restaurer le fichier et on va tenter de voir ce qu'il se passe en suite sur cette machine :
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour reg67, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce fichier CFScript.rar
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Prends le fichier CFScript.txt qui apparait, il est important qu'il soit placé sur le Bureau et pas ailleurs.  
 
• Désactive tes logiciels de protection  
 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe comme sur l'animation ci-dessous :
 

 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: envoies moi le lien de ce rapport stp.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
 
==> On va faire une vérification sur le fichier incriminé par combofix =>
 

• rends toi sur Virustoatal
• dans le champ parcourir saisis le chemin vers le fichier infecté soit c:\windows\wininit.ini
• clique sur envoyer le fichier  

 
Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
 
 

• héberge ensuite le rapport fourni sur Cjoint.fr et poste moi le lien de lecture stp.

 
 
==> Scan ZHPDiag  
 
 

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau)

• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut (N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista, Seven et windows 8 clic droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur"
• Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
• Pour Vista, Windows 7 et Windows 8 clic droit sur le raccourci de ZHPDiag et "Exécuter en tant  qu'administrateur"

• Cette fenêtre va s'ouvrir :

• (1) Clique sur "configurer"
• (2) Clique en bas à gauche sur "la loupe"("lancer le diagnostic" )
• Clique sur "OUI" à l'invite

• Laisse le scan se dérouler
• Le scan terminé, ferme le fichier bloc-note qui vient de s'ouvrir. Il est sauvegardé sur ton bureau sous le nom de ZHPDiag.txt
• Copie/colle le lien ci-joint du rapport de ZHPDiag que tu auras hébergé dans ta prochaine réponse.

• Note : le rapport se trouvera également ici ==>  

•  XP : C:\Documents and Settings\username\Application Data\ZHP\ZHPDiag.txt
• Vista/7 et 8 : C:\Users\username\AppData\Roaming\ZHP\ZHPDiag.txt
 

Alors voilà le rapport combofix
 
http://cjoint.com/?CLqsfFbHXyg
 
Le rapport ZHPDiag
 
http://cjoint.com/?CLqshbYQ1KI
 
Par contre je n'ai pas réussi à accéder au site virustotal avec le pc il me met adresse introuvable alors que le net fonctionne !

 
M'ouais, bizarre, l'adresse fonctionne pourtant ??
 
Par hasard, tu aurais gardé les rapports des outils que tu as passé : roguekiller et TDSSKiller en particulier. Si oui, tu peux les héberger et m'envoyer les liens stp.
 
 

• Télécharge SEAF (de C_XX) sur ton Bureau.
• Lance SEAF
• Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".  

• Tape:  wininit.ini     dans le champs de recherche,  

• clique sur "Lancer la recherche" et patiente.
• Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche,toujours en passant par Cjoint

Oui l'adresse fonctionne sur un autre pc...bizarre...
 
J'ai un rapport roguekiller  
 
http://cjoint.com/?CLqtY5Yt5HI
 
Un rapport TDSSKiller  
 
http://cjoint.com/?CLqtZIs9ZOw
 
Et voilà le rapport SEAF
 
http://cjoint.com/?CLqt0qRA9y4
 
 

Re,
 
Il n'y avait rien de néfaste sur les rapports de RK et TDSS.
 
Je suis étonné de voir que le fichier wininit est toujours dans la quarantaine de combofix et pas ailleurs ?
 
Peux tu vérifier si tu as le rapport DeQuarantine_log.txt sur cette machine et me l'envoyer via Cjoint stp

Bonjour,
 
Me revoilà pour la suite...
 
Malwarebytes et Adwcleaner avaient détectés pas mal de trucs tu veux que je t'envoie les rapports ?
 
Non j'ai refais un scan avec Seaf et il trouve wininit.ini uniquement dans la quarantaine ! Je ne trouve pas non plus le rapport DeQuarantine_log.txt

Non pas la peine de m'envoyer les rapports.
 
Tu vas recommencer l'opération avec combofix :
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour , il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier reb67
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe comme sur l'animation ci-dessous :
 

 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: envoies moi le lien de ce rapport stp.  

Voilà le rapport :
 
http://cjoint.com/?CLrpHXCRKkF

Bien mieux,  
 
Maintenant fais à nouveau une recherche avec SEAF sur le même fichier et envoies le rapport stp.

C'est fait !
 
http://cjoint.com/?CLrpYWs0rIf

Le fichier est restauré à son emplacement d'origine.
 
Il faut s'assurer qu'il est sain, essayes de le passer sur virustotal si ton navigateur le permet !

C'est bon j'ai pu accéder à Virustotal :
 
Ratio de détection 0 / 49
 
Je n'ai pas trouvé de rapport par contre !

okau, le ratio est nul pas besoin de rapport.    
 
Peux-tu maintenant utiliser ZHPDiag et me faire parvenir le rapport d'une nouvelle analyse, merci !

Le nouveau rapport ZHPDiag :
 
http://cjoint.com/?CLrrlWq3OTC

Peux-tu copier/coller le ligne d'AdwCleaner qui revient en permanence et qui fait référence à firefox ?

##### C:\Users\remi\AppData\Roaming\Mozilla\Firefox\Profiles\54f8ojb8.Remi\prefs.js #####

Okay, rien de néfaste    
 
D'une manière générale, si tu n'arrives pas à supprimer une vérole d'un navigateur, comme un addon pourri, cela ne sert à rien de passer un outil de désinfection comme combofix. Il suffit simplement de réinitialiser le navigateur.  
 
 
Si tu le veux bien, on va poursuivre le nettoyage de ce pc, il ne reste pas grand chose à faire :
 
Tu vas lancer Malwarebytes, te rendre à l'onglet quarantaine et supprimer tout ce qui s'y trouve.
 
=> Script ZHPFix
 
Tu vas exécuter ce script pour parfaire le nettoyage de ton ordinateur.
 
Attention, ce script a été écrit spécifiquement pour l'ordinateur de reb67, il n'est pas transposable sur un autre ordinateur.
 
Le temps de téléchargement du script a été volontairement limité à 4 jours
 

• Clique sur ce lien http://cjoint.com/?3LrrUtgKidJ
• Sur la page qui s'ouvre clic droit et [Tout sélectionner]
• Refais un clic droit et [Copier]
• Double clic sur le raccourci de ZHPFix qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et [Exécuter en tant qu'administrateur]

• Sur La fenêtre qui s'ouvre clique sur [IMPORTER]

• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
• Clique sur [Go]

• A la demande, confirme le nettoyage des données en cliquant sur [OUI]

• Patiente le temps du traitement.
• ZHPFix va te demander si tu souhaite vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)

• Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau  
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt

• Ferme ZHPFix - Redémarre ton ordinateur

• Héberge le rapport sur ci-joint et copie/colle le lien créé dans ta nouvelle réponse.

=> Refais un scan avec ZHPDiag poste le lien ci-joint du rapport dans ta réponse
 
Note : Tu as donc 2 rapports à poster.

Rapport ZHPFix :
 
http://cjoint.com/?CLrse4nj2vt
 
Rapport ZHPDiag  
 
http://cjoint.com/?CLrsfI8X7Dq
 

Tu pourras lancer windows update sur ce pc et récupérer la version 11 d'internet explorer.
 
Comment se comporte ce pc maintenant ?
 

J'avais déjà essayé de mettre à jour internet explorer ça n'avait pas marché , ça m'a refait la même erreur à l'instant : 9C47 ! Je réessaye !
 
Le pc se comporte pas trop mal mais je trouve qu'il est un peu long à démarrer (arrivé sur le bureau le parapluie de l'icône d'antivir met environ 1 minute à s'ouvrir) et les programmes sont assez long au lancement (ça varie entre 10 et 30 secondes ) pour qu'ils s'ouvrent !
 

Okay. Pour moi les lenteurs sont plutôt normales, le pc n'a que 2 Go de RAM ce qui est trop juste pour faire tourner l'OS.
 
Pour la MAJ d'internet explorer 11 , elle peut être contournée en téléchargeant l'appli => http://windows.microsoft.com/fr-fr [...] -languages
 
---------------
 
Tu vas faire encore un peu de ménage et on va finaliser le désinfection :
 
==> SFTGC – Nettoyage des fichiers temporaires :
 

• Télécharge SFTGC sur ton bureau.
• Lance le programme
• Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis sur "Exécuter en tant qu'administrateur"
• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFT.txt est alors créé sur ton bureau.
• Héberge le rapport sur Cjoint et copie/colle le lien obtenu dans ta prochaine réponse.

 
==> DelFix
 
Cet outil va te permettre d'un part de supprimer tous les outils de désinfection utilisés lors du nettoyage de ton ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible. En cas de besoin, tu pourras l'utiliser sans problème.
 
• Télécharge DelFix de Xplode sur ton bureau.
• Lance DelFix :
• coche Supprimer les outils de désinfection
• coche Purger la restauration système
• Clique sur Exécuter
 

 
 
• Copie/colle le contenu du rapport de DelFix dans ta prochaine réponse.
 
 
Conseils de base  pour mieux sécuriser son ordinateur :
 
1- Comment maintenir à jour son ordinateur
 

• Je t'invite à lire ce tutoriel réalisé par neo***, sur les mises à jour de sécurité

2- Sécuriser ta navigation sur internet
 
2.1- Comment bloquer les publicités jugées dangereuses :
 
Si tu le souhaites, tu peux installer le bloqueur de publicités Adblock plus sur ton/tes navigateur(s), c'est un module complémentaire très pratique :
 

• Pour chrome => clique ICI
• Pour Mozilla Firefox => clique ICI
• Pour Internet Explorer => clique ICI
• Pour Opéra => clique ICI

Tutoriel pour démarrer avec Adblock Plus
 
2.2 - Sécuriser tes recherches :
 
Il existe pour cela un module complémentaire Web Of Trust (WOT), valable pour tous les navigateurs.
 
Tutoriel pour démarrer avec WOT
 
3- Comment éviter d'infecter à nouveau ton pc :
 
Adopter les bonnes pratiques :
 

• Comment j'infecte mon ordinateur
• Les barres d'outils ce n'est pas obligatoire
• Sécuriser son ordinateur et connaître les menaces
• Attention aux Ransomwares
• Les dangers des réseaux de partage
• Le danger des cracks
• Principes de la sécurité informatique

Re,
 
Ok, installation d'internet explorer 11 réussie !
 
Le rapport SFTGC : http://cjoint.com/?CLrvVnzzWQX
 
Le rapport Delfix : http://cjoint.com/?CLrvWdFBx96
 
Et je me mets à la lecture de tes liens !
 

Tout bon pour les rapports.
 
Si tu as besoin d'un coup de main sur un pc infecté, fais moi signe, je t'aiderai sans pb.  
 
Bonne lecture et bonne fin de semaine.

Justement je crois que j'ai encore besoin d'un peu d'aide !
 
J'ai réactivé les fonctions d'avira que j'avais désactivées pour la désinfection (protection du registre entres autres) et là j'ai tout de suite eu un avertissement d'antivir qui me dit qu'il a bloqué l'accès au registre !  
 
Je passe un coup de Malwarebytes et là je retrouve ça : http://cjoint.com/?CLsbqtNczqE
 

Salut reb67,
 
Tu peux supprimer ce fichier, redémarre ton pc et fais une nouvelle analyse avec malwarebytes mis à jour en mode d'examen complet.
 
Si la vérole reviens (c'est possible), envoies le lien d'un rapport ZHPDiag. Tu dois télécharger à nouveau le programme, il a été supprimé par DelFix.
 
++

Salut malwarebleach,
 
J'ai refais un scan complet avec malwarebytes Backdoor Agent est revenu mais je me demande si antivir empêche sa suppression en bloquant l'accès au registre ou si c'est lui qui revient à chaque fois...  
 
je te remets le nouveau rapport mbam : http://cjoint.com/?CLsqrSbs99E
 
le rapport ZHPDiag : http://cjoint.com/?CLsqsJ3YMWl

Salut reb67,
 
Es tu sûr de supprimer la sélection à la fin de la détection de malwarebytes ? La mention  "Aucune action effectuée" prévient que l'utilisateur n'a pas demandé la suppression de la sélection en fin d'analyse.
 
J'ai retrouvé la clé et le fichier incriminé dans ton rapport ZHPDiag. Ils y étaient déjà dès ton premier rapport, mais je n'y avais pas prêté attention. Pour moi ce sont des restes d'une infection par un logiciel publicitaire.
 
Je te donne un script à exécuter, tu vas ensuite supprimer le contenu de la quarantaine de malwarebytes, le mettre à jour et lancer le programme en mode d'examen rapide cette fois :
 
=> Script ZHPFix
 
Tu vas exécuter ce script pour parfaire le nettoyage de ton ordinateur.
 
Attention, ce script a été écrit spécifiquement pour l'ordinateur de reb67, il n'est pas transposable sur un autre ordinateur.
 
Le temps de téléchargement du script a été volontairement limité à 4 jours
 

• Clique sur ce lien http://cjoint.com/?3Lsrq0oTYPb
• Sur la page qui s'ouvre clic droit et [Tout sélectionner]
• Refais un clic droit et [Copier]
• Double clic sur le raccourci de ZHPFix qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et [Exécuter en tant qu'administrateur]

• Sur La fenêtre qui s'ouvre clique sur [IMPORTER]

• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
• Clique sur [Go]

• A la demande, confirme le nettoyage des données en cliquant sur [OUI]

• Patiente le temps du traitement.
• ZHPFix va te demander si tu souhaite vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)

• Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau  
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt

• Ferme ZHPFix - Redémarre ton ordinateur

• Héberge le rapport sur ci-joint et copie/colle le lien créé dans ta nouvelle réponse.

=> Refais un scan avec ZHPDiag poste le lien ci-joint du rapport dans ta réponse
 
Note : Tu as donc 3 rapports à poster.  
 
- ZHPFix
- Malwarebytes
- ZHPDiag
 
A plus tard !

Oui je l'avais bien supprimé après le premier rapport mais antivir bloque le registre tout de suite après ! Mais je ne l'avais en effet pas re supprimé avant de t'envoyer le deuxième rapport !
 
Voilà les 3 rapports :
 
ZHPFix : http://cjoint.com/?CLss0fgXCKs
Malwarebytes : http://cjoint.com/?CLss1GXF1dV
ZHPDiag : http://cjoint.com/?CLss2nVtAhC

Tu n'as plus la source de la détection de MBAM sur le rapport ZHPDiag.
 
Redémarre l'ordinateur. Vide la quarantaine de MBAM relance le et fais un examen en mode rapide. Poste le lien du rapport si positif.

J'avais désactivé la modification du registre dans antivir pour les procédures d'avant, en redémarrant j'ai effectué un examen éclair qui s'est révélé négatif la preuve : http://cjoint.com/?CLstqYJPeW3
 
Puis pour tester j'ai réactiver la modification du registre dans la foulée (eu un avertissement d'avira pour blocage) puis refais un scan éclair à nouveau positif : http://cjoint.com/?CLstsPTAUNi
 
Donc avira empêche sa suppression complète dès que je le remet en route backdoor revient instantanément...faut il que je laisse cette option de modification du registre tout le temps désactivée alors ?

Envoies un nouveau rapport ZHPDiag.
 
Je pense que l'on chipote pour pas grand chose.  

OK c'est reparti pour un nouveau rapport !
 
Oui c'est dingue j'ai l'impression qu'on tourne en boucle avec ces messages d'avira !

Le voilà http://cjoint.com/?CLstPlbOsTS

Y'a plus de trace sur le rapport ZHPDiag de le détection de malwarebytes !?
 
As tu toujours la détection du fameux fichier ?
 
 
Peux tu vérifier dans le registre que la valeur de shell dans la clé HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon est bien explorer.exe
 
[EDIT] tu ne dois trouver que explorer.exe dans la valeur, sans chemin d'accès !!
 
++

Tant que je laisse l'option d'avira "protéger les fichiers du registre de toute manipulation" désactivée le fichier n'est plus détecté, si je la remet le fichier revient !
 
Je suis d'abord allée dans HKEY_LOCAL_MACHINE\Software\....\winlogon où la valeur est bien uniquement explorer.exe
 
Par contre dans HKEY_CURRENT_USER\Software\....\winlogon  la valeur n'est pas explorer mais C:\Users\remi\AppData\Local\1e00f765\X !

 
Peux tu faire un export de cette clé, compresser le fichier reg, et me l'envoyer en pièce jointe de ce email poubelle stp : malwarebleach@yopmail.com
 
Cela mérite un complément d'information, je vais aux infos, je te contacte dès que j'ai des éléments   .
 
En attendant, tu peux utiliser ce pc normalement. j'espère que ton ami est patient et que tu ne dois pas lui rendre son ordi rapidement.

Fichier reg compressé et envoyé !
 
Ok c'est vraiment sympa de prendre autant de temps pour m'aider !
 
Non ça va mon ami n'est pas pressé mais de toute façon il n'aurait pas d'autre choix que d'être patient !