Comment se débarasser du Trojan-Downloader.Win32.Delf.banb!E1

[invite5ddd6d3f]

Bonjour,

j'ai la version d'essai d'emsisoft qui a détecté ce trojan et riskware. J'ai déjà fait une suppression hier mais l'infection est réapparu dans les fichiers de restaurations. Là l'ordinateur refuse de les supprimer ou de les mettre en quarantaine. Comment m'en débarasser alors?

C:\System Volume Information\_restore{C09D78C7-22EA-4CAF-9CF5-EF383881C604}\RP9\A0004798.exe Objets détectés : Trojan-Downloader.Win32.Delf.banb!E1
C:\System Volume Information\_restore{C09D78C7-22EA-4CAF-9CF5-EF383881C604}\RP9\A0004804.exe Objets détectés : Riskware.Win32.PrcView!E1
C:\System Volume Information\_restore{C09D78C7-22EA-4CAF-9CF5-EF383881C604}\RP9\A0004803.exe Objets détectés : Riskware.Win32.PrcView!E1



En outre, Emsisoft repère un riskware adware ( win 32.Wintol.ao!E2) dans mon antivirus Antivir!
Merci pour toute aide!
-----

[invitec04351b8]

Bonjour,

il suffit de purger la restauration système pour les éliminer.

Si tu sais faire, fais le, sinon, quand je connaitrai ton OS, je te dirai comment faire.

===

Les "dénonciations" entre antivirus ne me semblent pas très graves.

Par contre, il faut que tu n'en gardes qu'un.

===

Pour vérifier que tout va bien sinon, fais ceci :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite5ddd6d3f]

Merci pour votre réponse! Pour purger la restauration est ce qu'il faut que je désactive la restauration du système sur tous les lecteurs? Je suis sous XP.
AntiVir et Emsisoft sont en conflit? Je ne savais pas que emsisoft était aussi un antivirus. je viens juste de l'installer et suis encore sous la période d'essai gratuite. Il m'a détecté qqs problèmes qu'Avira n'avait jamais trouvé. (en fait Avira ne détecte jamais rien sur mon ordinateur, ce que je ne trouve pas normal!)...

[invite5ddd6d3f]

Voilà le rapport ZHPDiag. Emsisoft en est devenu fou!



Rapport de ZHPDiag v1.28.1367 par Nicolas Coolman, Update du 05/10/2011
Run by Propriétaire at 07/10/2011 15:13:44
Web site : http://www.premiumorange.com/zeb-hel...s/zhpdiag.html
State : Version à jour.

[A voir en vidéo sur Futura]

[invitec04351b8]

Re,

tu as raison emisoft n'est pas un antivirus.

Pour la restauration, tu la désactives et tu la réactives sur tous les lecteurs.

Pour le reste, on en reparle quand tu auras une version légitime de Windows.

@+

[invite5ddd6d3f]

Mon ordinateur a été monté en kit à surcouf en 2007. Si la version de windows n'est pas légitime, cela m'intéresse car concernerait surcouf. En revanche, il me semble avoir déjà testé ma version pour une manip chez microsoft, et elle était considérée comme tout à fait valide. Qu'est ce qui vous fait penser qu'elle n'est pas valide?
Merci

[invite5ddd6d3f]

Je viens même de retrouver la facture qui prouve l'achat d'un win XP home pour ce pc fait sur mesure!!

[invitec04351b8]

Re,

Ok, ils sont un peu bizarres dans leurs méthodes d'installation.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)



Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Code:

[HKLM\Software\Classes\Toolbar.CT2613520]
M3 - MFPP: Plugins - [Propriétaire] -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3hn138ac.default\searchplugins\conduit.xml
M3 - MFPP: Plugins - [Propriétaire] -- C:\Program Files\Mozilla FireFox\searchplugins\crawlersrch.xml
M2 - MFEP: prefs.js [Propriétaire - 3hn138ac.default\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] [] Protection ZoneAlarm Community Toolbar v3.7.0.6 (.Conduit Ltd..)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com
R0 - HKUS\S-1-5-21-682003330-606747145-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com
R3 - URLSearchHook: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Protection_ZoneAlarm\prxtbPro0.dll
O2 - BHO: &Crawler Toolbar Helper - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} . (.Crawler.com - Crawler Toolbar Browser Object.) -- C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Protection ZoneAlarm - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\prxtbPro0.dll
O3 - Toolbar: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\prxtbPro0.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} . (.Crawler.com - Crawler Toolbar Browser Object.) -- C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O18 - Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} . (.Crawler.com - Crawler Toolbar Browser Object.) -- C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
[HKCU\Software\CToolbar]
[HKCU\Software\Conduit]
[HKCU\Software\Protection_ZoneAlarm]
[HKLM\Software\CToolbar]
[HKLM\Software\Conduit]
[HKLM\Software\Protection_ZoneAlarm]
O43 - CFD: 31/03/2011 - 09:37:00 - [1173184] ----D- C:\Program Files\Conduit
O43 - CFD: 20/06/2011 - 15:51:20 - [10622342] ----D- C:\Program Files\Protection_ZoneAlarm
O69 - SBI: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3hn138ac.default\searchplugins\conduit.xml
O69 - SBI: prefs.js [Propriétaire - 3hn138ac.default] user_pref("CT2613520.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2613520
O69 - SBI: prefs.js [Propriétaire - 3hn138ac.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2613520
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Protection ZoneAlarm Customized Web Search) - http://search.conduit.com
[HKLM\Software\Classes\ctbcommon.Buttons]
[HKLM\Software\Classes\ctbr.r404pro]
[HKLM\Software\Classes\CToolbar.TB4Client]
[HKLM\Software\Classes\ctoolbar.tb4script]
[HKLM\Software\Classes\CToolbar.TB4Server]
[HKLM\Software\Classes\toolband.eb_explorerbar]
[HKLM\Software\Classes\toolband.eb_explorerbar.1]
[HKLM\Software\Classes\toolband.fh_hookeventsink]
[HKLM\Software\Classes\toolband.fh_hookeventsink.1]
[HKLM\Software\Classes\toolband.ipm_printlistitem]
[HKLM\Software\Classes\toolband.ipm_printlistitem.1]
[HKLM\Software\Classes\toolband.pm_dialogeventshandler]
[HKLM\Software\Classes\toolband.pm_dialogeventshandler.1]
[HKLM\Software\Classes\toolband.pm_launcher]
[HKLM\Software\Classes\toolband.pm_launcher.1]
[HKLM\Software\Classes\toolband.pm_printmanager]
[HKLM\Software\Classes\toolband.pm_printmanager.1]
[HKLM\Software\Classes\toolband.pr_bindstatuscallback]
[HKLM\Software\Classes\toolband.pr_bindstatuscallback.1]
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler]
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1]
[HKLM\Software\Classes\toolband.pr_printdialogcallback]
[HKLM\Software\Classes\toolband.pr_printdialogcallback.1]
[HKLM\Software\Classes\toolband.tbtoolband]
[HKLM\Software\Classes\toolband.tbtoolband.1]
[HKLM\Software\Classes\toolband.useroptions]
[HKLM\Software\Classes\toolband.useroptions.1]
[HKCU\Software\Microsoft\Internet Explorer\MenuExt\crawler search]
[HKCU\Software\Conduit]
[HKLM\Software\Conduit]
[HKCU\Software\CToolbar]
[HKLM\Software\CToolbar]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CToolbar_UNINSTALL]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
[HKLM\Software\Mozilla\Firefox\Extensions]:{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
C:\Program Files\Conduit
C:\Program Files\Protection_ZoneAlarm
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Conduit
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Protection_ZoneAlarm
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3hn138ac.default\Conduit
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3hn138ac.default\SearchPlugins\conduit.xml
O8 - Extra context menu item: Crawler Search - (.not file.) -
O43 - CFD: 07/08/2011 - 18:50:34 - [34398076] ----D- C:\Program Files\Crawler
O47 - AAKE:Key Export SP - "E:\data\eSKernel.exe" [Enabled] .(...) -- E:\data\eSKernel.exe (.not file.)

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+