troyen TrojWare.Win32

[invite577916d1]

Bonjour,

depuis 1 jour environ, mon antivirus (Comodo) s'affole, m'alertant de la présence de:

TrojWare.Win32.Trojan.Agent.Ge n@275544552

localisé dans les Temp sous le forme de ficher .qef (je sais pas si c'est très compréhensible...)

En même temps, un antivirus inconnu au bataillon, que je n'ai pas téléchargé et que je ne retrouve pas dans mes programmes qui s'apelle "AutoProtect" n'arrête pas de m'alerter également de la présence du même virus.

Je n'ai pas d'autres problèmes à part que ça s'affiche toutes les 5 secondes.

J'ai essayé C Cleaner et ATF Cleaner, ce dernier dit n'avoir trouvé aucun fichier à "removed". J'ai également lancé Spybot, sans résultat.

J'ai lancé RSIT donc voilà les deux rapports en pièce jointe.

Si quelqu'un a une idée pour me débarrasser de ce machin, je suis preneuse.

Merci
-----

[invitec04351b8]

Bonsoir,

Avast et Norton, c'est un de trop.

Si tu as une licence Norton, tu le gardes jusqu'à expiration de la licence.

Sinon, tu vérifies que tu as la version 6 de Avast (ou tu le mets à jour).

===

Désinstalle Spybot S&D qui n'est plus assez efficace.

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"


Désinstalle Spybot S&D via le panneau de configuration.

Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

===

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite577916d1]

Bonjour,

merci pour ces indications.

En ce qui concerne les antivirus: j'ai désinstallé Comodo mais depuis j'ai un message: l'ordi coure un risque car il n'y a pas de firewall. Je peux le réinstaller en utilisant que la fonction firewall?

===

Désinstaller Spybot: c'est fait


===

Malware Byte AntiMalware: je l'ai lancé deux fois car la première fois je n'avais pas tout sélectionné dans les fichiers qu'il a trouvé (quelques centaines). Les 2 rapports sont en PJ.

===

AdwCleaner: C'est fait. Le rapport est en PJ

===

Et enfin ZHPDiag: c'est fait aussi et rapport en PJ


===

Je n'ai plus d'alerte effrénée de l'antivirus depuis que j'ai scanné avec MBAM.

@+

[invitec04351b8]

Bonjour,

tu peux réinstaller Comodo avec la seule fonction de firewall.

Ou bien, tu actives le parefeu de Windows (par le Panneau de configuration).

Je regarde les rapports.

@+

[A voir en vidéo sur Futura]

[invite577916d1]

Voilà j'ai réinstallé le firewall, celui de windows je ne peux pas le débloquer je ne sais pas pourquoi mais c'est pas grave.

@+

[invitec04351b8]

Bonsoir,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[MD5.20C5ADF9FB981D6994BD9B45BF5A6565] - (.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.exe   [453096] [PID.1512]
[MD5.CAEBC24AA245D2766A48715E0B95B5E4] - (.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.Messengers.exe   [881144] [PID.1632]
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com
O2 - BHO: IMinent WebBooster - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} . (.Iminent - Iminent BHO.) -- C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll
O4 - HKLM\..\Run: [Iminent] . (.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.exe
O4 - HKLM\..\Run: [IminentMessenger] . (.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.Messengers.exe
O20 - AppInit_DLLs: . (.Bandoo Media, inc - Data Manager.) - C:\Program Files\SEARCH~2\SEARCH~1\datamngr.dll
O42 - Logiciel: Dealio Toolbar v4.8 - (.Spigot, Inc..) [HKLM] -- {8D8311AC-09C1-4178-A127-591A7BACDA83}
O42 - Logiciel: Fissa - (.Secure Digital Services.) [HKLM] -- Fissa 
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- IMBoosterARP
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {BA727625-E9B5-49A9-B4CC-85DDC2858BD0}
O42 - Logiciel: OfferBox - (.Secure Digital Services.) [HKLM] -- {2C8574B5-6935-4FCE-860E-F4E8602378FF}
O42 - Logiciel: Windows iLivid Toolbar - (.Bandoo Media, Inc.) [HKLM] -- Searchqu 406 MediaBar
[HKCU\Software\GamePlayLabs]
[HKCU\Software\Iminent]
[HKCU\Software\WideStream]
[HKCU\Software\ilivid]
[HKLM\Software\GamePlayLabs]
[HKLM\Software\Iminent]
[HKLM\Software\Mircrosoft]
O43 - CFD: 21/11/2011 - 10:57:44 - [1185559] ----D- C:\Program Files\Dealio Toolbar
O43 - CFD: 20/11/2011 - 19:18:26 - [18652904] ----D- C:\Program Files\Iminent
O43 - CFD: 20/11/2011 - 19:20:06 - [1633280] ----D- C:\Documents and Settings\dauvergne\Application Data\Iminent
O43 - CFD: 14/06/2010 - 20:37:02 - [614] ----D- C:\Documents and Settings\dauvergne\Application Data\widestream
O47 - AAKE:Key Export SP - "C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe" [Enabled] .(...) -- C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Iminent\Iminent.exe" [Enabled] .(.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Iminent\Iminent.Messengers.exe" [Enabled] .(.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.Messengers.exe
O69 - SBI: SearchScopes [HKCU] {BFFED5CA-8BDF-47CC-AED0-23F4E6D77732} - (SearchTheWeb) - http://search.iminent.com
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Fissa]
[HKLM\Software\Classes\Toolbar.CT2542115]
[HKLM\Software\Classes\Toolbar.CT2613520]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKLM\Software\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKLM\Software\Classes\Installer\Features\5B4758C25396ECF468E04F8E063287FF]
[HKLM\Software\Classes\Installer\Products\5B4758C25396ECF468E04F8E063287FF]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\5B4758C25396ECF468E04F8E063287FF]
[HKCU\Software\GamePlayLabs]
[HKLM\Software\GamePlayLabs]
[HKCU\Software\ilivid]
[HKCU\Software\Iminent]
[HKLM\Software\Iminent]
[HKCU\Software\WideStream]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Fissa]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 406 MediaBar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP]
C:\Program Files\Dealio Toolbar
C:\Program Files\Iminent
C:\Documents and Settings\dauvergne\Application Data\Iminent
C:\Documents and Settings\dauvergne\Application Data\Widestream
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) --  (.not file.)
R3 - URLSearchHook: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} . (...) (No version) -- (.not file.)
O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} Clé orpheline
O41 - Driver:  (OMCI) . (. - .) - C:\WINDOWS\sysTEM32\DRIVERS\OMCI.sys (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(...) -- C:\Program Files\IncrediMail\Bin\ImApp.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(...) -- C:\Program Files\IncrediMail\Bin\ImpCnt.exe (.not file.)
O51 - MPSK:{98a8ec44-2451-11df-8d45-545543445209}\AutoRun\command. (...) -- C:\WINDOWS\system32\haihAeP.exe (.not file.)
O51 - MPSK:{9f41fb47-2b53-11de-8cc6-545543445209}\AutoRun\command - Clé orpheline
O51 - MPSK:{e9d314ec-c6df-11de-8d31-545543445209}\AutoRun\command - Clé orpheline

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite577916d1]

Bonjour

voici le rapport, je le mets aussi en PJ.

Merci


###############

[invitec04351b8]

Re,

les rapports se mettent en pièce-jointes et seulement en pièce jointes.

Fais redémarrer l'ordi et relance ZHPDiag.

Poste le rapport en pièce jointe.

@+

[invite577916d1]

Bonjour

voici le rapport

merci encore

[invitec04351b8]

Bonsoir,

ens.lsh, tu connais ?

Relance ZHPFix avec ces lignes :

Code:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\ilivid]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Iminent]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\PriceGong]
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof0.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof0.dll
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\AppDataLow\AskBarDis]
[HKCU\Software\AppDataLow\AskHomepage]
[HKCU\Software\Softonic_France]
[HKLM\Software\Softonic_France]
O43 - CFD: 10/04/2011 - 16:25:22 - [16180899] ----D- C:\Program Files\Softonic_France
[HKCU\Software\AppDataLow\AskBarDis]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[HKLM\Software\Classes\Toolbar.CT2724386]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
[HKLM\Software\Classes\Interface\{eee6c358-6118-11dc-9c72-001320c79847}]
[HKLM\Software\Classes\Interface\{eee6c35a-6118-11dc-9c72-001320c79847}]
[HKCU\Software\Softonic_France]
[HKLM\Software\Softonic_France]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
C:\Program Files\Softonic_France
C:\Documents and Settings\dauvergne\Local Settings\Application Data\Softonic_France

Poste le rapport en pièce-jointe dans ta réponse.

===

Fais redémarrer l'ordi.

Encore des soucis ?

@+

[invite577916d1]

Bonjour

oui oui je connais.

Je fais et je reviens.

[invite577916d1]

Voilà c'est fait je poste le rapport. Non je n'ai plus de souci, mon ordi a jamais été aussi propre je pense Je peux même réutiliser Mozilla qui ne voulait plus s'ouvrir, c'est nikel. Encore merci c'est vraiment un bon forum ici je garde l'adresse.
@ +

[invitec04351b8]

Bonjour,

on va finaliser.

Fais redémarrer l'ordi et relance ZHPDiag.

Poste le rapport en pièce jointe.

@+

[invite577916d1]

Bonjour

voilà en PJ
@+

[invitec04351b8]

Bonsoir,

mets à jour Firefox.

===

Mets à jour ta console java en faisant ça :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

===

Mets à jour Adobe Reader (version 10).

===

Relance ZHPFix avec

Code:

O4 - HKLM\..\Run: [avast5] C:\Program Files\ALWILS~1\Avast5\avastUI.exe (.not file.) 
EmptyTemp

===

Tu connais CUAgent ?

@+

[invite577916d1]

Bonjour

désolé pour cette réponse tardive.
J'ai les rapports ZHPFix et Java.
Par contre je ne sais pas comment faire les mises à jour...
@+

[invitec04351b8]

Bonjour,

tu connais CUAgent ?

===

Pour Firefox, tu l'ouvres, tu cliques sur ? puis sur A propos de Firefox et Rechercher des mises à jour.

===

Pour Adobe Reader, tu recherches "télécharger Adobe Reader" sur un moteur de recherche.

Tu choisis de préférence celui de CommentCaMarche.

===

Ensuite, tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.

@+

[invite577916d1]

Bonjour

les mises à jour sont faites et le rapport de ZhpDiag est en PJ.
Je ne connais pas CUAgent..
@ +

[invitec04351b8]

Bonjour,

finalement, CUAgent n'est pas dangereux. On va le laisser.

Désinstalle Java(TM) 6 Update 7 (mais conserve l'update 29) par le Panneau de configuration, Ajout/suppression de programmes.

Ensuite,

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

Dis moi quand c'est fait.

On en aura terminé.

@+

[invite577916d1]

Bonjour,
dans le panneau de configuration j'ai Java Auto Updater et Java(TM) 6 Update 29. Est-ce que je dois désinstaller le premier?
@+

[invitec04351b8]

Bonjour,

non,

seulement Java(TM) 6 Update 7

@+

[invite577916d1]

Bonjour
je n'ai pas Java(TM) 6 Update 7.
Est-ce que je fais le reste?
@+

[invitec04351b8]

Bonjour,

refais un ZHPDiag avant de faire la suite.

à+

[invite577916d1]

Bonjour

voilà c'est fait j'ai fait tourner le "nettoyeur de tool" de ZhpZip et les deux icones ZHP ont disparu de mon bureau.
J'ai le rapport de ZHPDiag que j'ai fait tourné avant et celui de ZHPZip, en PJ.
Merci
@+

[invitec04351b8]

Re,

on va purger la restauration système.

Ouvre ce lien :

http://service1.symantec.com/SUPPORT...20830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===

Il faut que tu mettes à jour Windows, les navigateurs, la console java, Adobe Reader et tous les logiciels en général.

Evite les toolbars? Certaines sont infectieuses. L'essentiel de l'activité des autres est de transmettre des habitudes de surf.

Utilise MBAM de tempos en temps après l'avoir mis à jour.

Ceci ne garantit pas à 100 % mais limite sérieusement les risques.

@+

[invite577916d1]

Bonjour,

J'ai fait la restauration du système. Je regarde si il y a des mises à jour Windows à faire, Adobe je l'ai fait la dernière fois, les navigateurs aussi sont à jour je crois, enfin je vérifierai. Merci
@+

[invitec04351b8]

Re,

de rien pour l'aide, ce fut avec plaisir.

===

Mes dernières recommandations sont pour l'avenir.

Le système est à jour (ainsi que les logiciels cités).

@+