Bonsoir,

Je cherche, depuis plusieurs heures, une solution pour supprimer le virus "Dowloadware", qui se cache dans mon registre (Hklm\software\microsoft\windows\currentversion\runonce::launcher) et le spyware cookie "Atlas DMT" qui revient sans cesse lors de mes analyses avec SpyHunter 4. Je suis une vraie taupe en informatique, si quelqu'un peut me donner quelques explications claires ou, du moins, m'aider à trouver un programme capable de les virer, je lui en serais grandement reconnaissante... ^^

Si vous avez besoin d'informations, n'hésitez pas, je ferai mon possible pour vous les fournir.

Merci, en avance

Bonsoir, et bienvenue sur PCA Sécurité

... Pour une meilleure réponse clique dans ma signature " Aide au diag d'un PC infecté "

Reviens dans ta réponse avec les deux rapports demandés

Bonne réception, et à te lire

Fichier joint : ZHPDiag.txt

Re => Ok

... J'ai bien ton rapport ZHPDiag sur mon bureau ( il y a infection )

J'attends pour demain le second rapport demandé MalwareBytes ( tu peux le poster directement sur le forum )

Bonne réception, et à te lire demain

Re bonsoir

Voici le rapport de MalwareBytes demandé :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5751

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

2011-02-12 20:49:25
mbam-log-2011-02-12 (20-49-25).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 168513
Temps écoulé: 4 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Bonjour

1/
Connais tu ce programme :
bsmaxscript[7.2]

2/

• Télécharge UsbFix de Chiquitine29 sur ton Bureau,
• L'outil peut faire réagir l'antivirus. Dans ce cas, tu ignores les alertes ou tu désactives temporairement ton antivirus.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

Nettoyage :

• Double-clique sur le raccourci UsbFix sur ton Bureau (Pour Vista, le programme doit être lancé via un clic droit, et il faut choisir d'exécuter en tant qu'administrateur). Choisis l'option Suppression.
• Cela va lancer la procédure de nettoyage des lecteurs amovibles branchés.
• Le PC va redémarrer.
• Après redémarrage, poste le rapport UsbFix.txt
• Tu as un tuto ici.
  

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

3/

Procédure permettant d'établir un correctif :

• Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-notes),
• Sélectionne et copie les lignes demandées par la personne qui te prend en charge. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

O4 - Global Startup: C:\Users\Vaness\Desktop\SpyHunter.lnk . (.Enigma Software Group USA, LLC..) -- C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe
O23 - Service: (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC. - Service scanner interface.) - C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.exe
[MD5.00000000000000000000000000000000] [APT] [PCDoctorBackgroundMonitorTask] (.Pas de propriétaire.) -- C:\Program Files\Dell Support Center\uaclauncher.exerunsilently (.not file.)
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM][64Bits] -- {41EBC322-660F-4D16-A0DF-53147210CBDB}
[HKCU\Software\Conduit]
O43 - CFD: 18/09/2010 - 17:40:40 ----D- C:\ProgramData\PopCap Games
O64 - Services: CurCS - (.not file.) - Sftredir (Sftredir) .(.Pas de propriétaire - Pas de description.) - LEGACY_SFTREDIR
[MD5.028C0A54CF8DCC0A931502F0072DA270] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Vaness\AppData\Local\Temp\SHSetup.exe [20298584]
SR - | Auto 05/11/2010 327000 | (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC..) - C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.exe

• Enregistre le fichier dans le dossier C:\Program Files\ZHPDiag en choisisissant Fichiers>Enregistrer sous.... En nom de fichier, tu indiques ZHPDiag.txt. Une demande de confirmation est demandée car tu vas écraser l'ancien rapport. Tu acceptes.
• Lance ZHPFix de Nicolas Coolman qui se trouve lui aussi dans le dossier ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
• Le logiciel s'ouvre. Il doit contenir dans la fenêtre de rapport uniquement les lignes que tu as sélectionnées au-dessus. Si ça ne correspond pas, tu interromps la procédure et tu me préviens.
• Clique sur OK comme indiqué ci-dessous :

• Les lignes du rapport apparaissent alors avec des cases à cocher.
• Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Nettoyer" comme ceci :

• Ceci va avoir pour effet de réaliser un correctif.
• Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
• Si un redémarrage est demandé, effectue-le.
• Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt

A te lire avec les deux rapports demandés

Bonsoir,

Merci pour votre réponse rapide.

1. Oui, je connais ce programme ;)

2. C'est fait, je vous le poste dans quelques instants.

3. Je bloque au moment où il faut enregistrer le fichier sous le nom ZHPDiag. Ça me demande bel et bien d'écraser l'ancien rapport mais ensuite j'ai le message "Accès Refusé" :/

Fichier joint : UsbFix.txt

Bonsoir

3. Je bloque au moment où il faut enregistrer le fichier sous le nom ZHPDiag. Ça me demande bel et bien d'écraser l'ancien rapport mais ensuite j'ai le message "Accès Refusé" :/

... Oui sous Vista et Win7, c'est clic droit et exécuter en tant qu'administrateur
Regarde bien mon 1er lien " Aide au diag d'un PC infecté " => c'est déjà notifié !!!

Je regarde, ton rapport USBFix

############################## | UsbFix 7.039 | [Suppression]

Utilisateur: Vaness (Administrateur) # VANESSA-PC [Dell Inc. Inspiron N5010]
Mis à jour le 09/02/2011 par El Desaparecido / C_XX
Lancé à 08:44:39 | 13/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) CPU P6000 @ 1.87GHz
CPU 2: Intel(R) Pentium(R) CPU P6000 @ 1.87GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\
RAM -> 1911 Mo
C:\ (%systemdrive%) -> Disque fixe # 134 Go (96 Go libre(s) - 71%) [OS] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-532809082-4029477304-3469100363-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-532809082-4029477304-3469100363-1001
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-532809082-4029477304-3469100363-1002
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-532809082-4029477304-3469100363-500

################## | Registre |

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3fa71f23-bacc-11df-8364-806e6f6e6963}

################## | Listing |

[13/02/2011 - 08:49:21 | SHD ] C:\$Recycle.Bin
[12/02/2011 - 12:24:40 | N | 0] C:\autoexec.bat
[28/04/2009 - 11:27:08 | D ] C:\Boot
[13/07/2009 - 20:38:58 | RASH | 383562] C:\bootmgr
[28/04/2009 - 11:27:09 | N | 8192] C:\BOOTSECT.BAK
[12/02/2011 - 20:38:46 | D ] C:\Config.Msi
[14/09/2010 - 18:34:57 | D ] C:\Dell
[04/09/2010 - 16:03:52 | N | 3026] C:\dell.sdr
[14/07/2009 - 00:08:56 | SHD ] C:\Documents and Settings
[07/11/2007 - 08:00:40 | N | 1110] C:\globdata.ini
[13/02/2011 - 08:39:16 | ASH | 1502633984] C:\hiberfil.sys
[07/11/2007 - 08:44:20 | N | 855040] C:\install.exe
[07/11/2007 - 08:00:40 | N | 843] C:\install.ini
[07/11/2007 - 08:44:20 | N | 75280] C:\install.res.1028.dll
[07/11/2007 - 08:44:20 | N | 95248] C:\install.res.1031.dll
[07/11/2007 - 08:44:20 | N | 90128] C:\install.res.1033.dll
[07/11/2007 - 08:44:20 | N | 96272] C:\install.res.1036.dll
[07/11/2007 - 08:44:20 | N | 94224] C:\install.res.1040.dll
[07/11/2007 - 08:44:20 | N | 80400] C:\install.res.1041.dll
[07/11/2007 - 08:44:20 | N | 78864] C:\install.res.1042.dll
[07/11/2007 - 08:44:20 | N | 74768] C:\install.res.2052.dll
[07/11/2007 - 08:44:20 | N | 95248] C:\install.res.3082.dll
[07/09/2010 - 17:27:02 | D ] C:\Intel
[12/10/2010 - 18:29:53 | N | 0] C:\lxcffire.000
[12/10/2010 - 18:33:05 | N | 0] C:\lxcffire.csv
[12/10/2010 - 18:30:01 | N | 489] C:\LXCFINST.000
[12/10/2010 - 18:34:41 | N | 754] C:\LXCFINST.csv
[14/10/2010 - 15:00:35 | N | 45054] C:\lxcfUNST.csv
[01/12/2006 - 23:37:14 | N | 904704] C:\msdia80.dll
[13/02/2011 - 08:39:23 | ASH | 2003513344] C:\pagefile.sys
[13/07/2009 - 22:20:08 | D ] C:\PerfLogs
[07/09/2010 - 17:31:09 | N | 162] C:\preload.rev
[03/01/2011 - 20:21:31 | D ] C:\Program Files
[12/02/2011 - 20:37:26 | D ] C:\Program Files (x86)
[04/01/2011 - 18:30:41 | HD ] C:\ProgramData
[14/09/2010 - 19:50:31 | SHD ] C:\System Recovery
[12/02/2011 - 20:38:10 | SHD ] C:\System Volume Information
[29/11/2010 - 21:27:49 | D ] C:\Temp
[13/02/2011 - 08:49:21 | D ] C:\UsbFix
[13/02/2011 - 08:44:39 | A | 3255] C:\UsbFix.txt
[29/09/2010 - 16:17:39 | D ] C:\Users
[07/11/2007 - 08:50:40 | N | 1927956] C:\VC_RED.cab
[07/11/2007 - 08:53:12 | N | 242176] C:\VC_RED.MSI
[13/02/2011 - 01:00:12 | D ] C:\Windows
[21/12/2010 - 23:13:57 | D ] D:\Divers
[22/12/2010 - 20:20:22 | D ] D:\Graphisme
[09/02/2011 - 22:51:09 | D ] D:\Musiques
[09/02/2011 - 22:51:10 | D ] D:\PhotoShop CS3
[09/02/2011 - 22:56:56 | D ] D:\Programmes

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_VANESSA-PC.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Nickel avec USBFix
N'oublie pas ceci /

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_VANESSA-PC.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

Merci pour eux

@+

Re bonjour :)

Oui, désolée, je devais être encore endormie ce matin !

Voici le deuxième rapport demandé :

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre :
Run by Vaness at 13/02/2011 12:35:26
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\Vaness\AppData\Local\Temp\SHSetup.exe [20298584] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O23 - Service: (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC. - Service scanner interface.) - C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.exe => Clé absente
HKCU\Software\Conduit => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Sftredir (Sftredir) .(.Pas de propriétaire - Pas de description.) - LEGACY_SFTREDIR => Clé supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\PopCap Games => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\vaness\desktop\spyhunter.lnk => Supprimé et mis en quarantaine
c:\program files (x86)\enigma software group\spyhunter\spyhunter4.exe => Supprimé et mis en quarantaine
c:\progra~2\enigma~1\spyhun~1\sh4ser~1.exe => Supprimé et mis en quarantaine
c:\program files\dell support center\uaclauncher.exerunsilently (.not file.) => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM][64Bits] -- {41EBC322-660F-4D16-A0DF-53147210CBDB} => Logiciel déjà supprimé

========== Tache planifiée ==========
Task : PCDoctorBackgroundMonitorTask => Tâche supprimée avec succès


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clé(s) du Registre
1 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
1 : Tache planifiée


End of the scan

Re, Maya04

Tu arrêtes/Redémarre la machine

Télécharge :
CCLEANER V:3.03.1366
http://www.filehippo.com/download_ccleaner/
26/01/2011

Tu le laisses dans sa configuration d'origine
Lance un " nettoyage ", et valide la suppression
Il n'y a pas de rapport à publier

Dis moi, ensuite comment la machine fonctionne

A te lire

Re,

La machine fonctionne bien, elle est un peu plus rapide.

Merci grandement pour ton aide, Evasion60 !

Maya04 a écrit :

Merci grandement pour ton aide, Evasion60 !

Re, Attends Maya c'est pas terminé

J'ai deux " outils/conseils " à te faire passer :

N°1
Passe ce scanner en ligne :
http://forum.pcastuces.com/eset_online_scanner___tutoriel-f31s56.htm

Poste moi son rapport / STP

Bonne réception

Oops

Voici le rapport !

Fichier joint : log.txt

Re Maya

... Nickel pour le scan en ligne

N°2

Nettoyage des outils utilisés pour la désinfection; inutile de les garder sur le PC, puisque constamment mis à jour.

* Ferme toutes les applications en cours, puis télécharge ToolsCleaner (de A.Rothstein et Dj Quiou) sur ton Bureau :

• Double clique sur ToolsCleaner2.exe -> clique sur -> Recherche et laisse le scan se terminer.
• Clique sur -> Suppression pour finaliser
• Clique sur -> Quitter, pour que le rapport puisse se créer.
• Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
• Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :
  
  • Ctrl+Alt+Supp pour ouvrir le Gestionnaire des tâches.
  • Puis rends toi à l'onglet "Processus", clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
  • Tape : explorer.exe et valide. Cela fera ré-apparaître ton Bureau.

.
** Tu peux par contre, garder Malwarebytes'Anti-malware et CCleaner. Utilise CCleaner tous les soirs avant de couper le PC (ne prends que quelques secondes!)

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
.

Vaccination des clés USB, disques durs externes, etc.

Cela permet d'éviter un certain nombre d'infections utilisant ce moyen pour se propager.

Tu peux lire cet article et télécharger l'application pour vacciner tes supports USB LÀ . Il faut placer le vaccin sur le support et exécuter le programme.
.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.

Celà englobe les mises à jour de Windows, du navigateur, de Java, des lecteurs PDF, et notamment AdobeReader.

Pour Java, il est possible d'utiliser Javara. Cela permet d'installer la dernière version de Java et d'effacer les anciennes versions.

Pour le lecteur pdf, on peut utiliser des lecteurs alternatifs plus légers, comme Sumatra pdf, à la place de Reader.

Pour tester les vulnérabilités et les logiciels non à jour, il est possible de se rendre sur le site de Secunia et de faire une analyse de la machine.

* Pour suivre l'évolution des mises à jour de quelques logiciels de protection, ainsi que de Java : http://forum.pcastuces.com/sujet.asp?f=25&s=25842

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Ré-activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour désactiver la Restauration du système sous XP

Vider les points de Restauration système sous Vista

Activer ou désactiver la Restauration du système sous Windows 7

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Je te conseille de défragmenter ton PC :

Défragmenter tous ses disques durs en un clic - Windows Vista

Procédure de défragmentation de vos disques durs dans Windows XP

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Sécuriser son PC +WIFI (versions "hot" & "light") : http://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : http://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

Pourquoi éviter le P2P ? Point législatif et dangers : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793

LE CRACK dans toute sa splendeur : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=65

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet et parle de PC Astuces autour de toi!
Bonne continuation, et merci de nous avoir fait confiance

Bonsoir,

Tout d'abord, merci pour ton aide et les nombreuses informations, je vais aller lire tout ça !

Mais avant que tu me quittes, j'ai un petit problème avec ToolsCleaner, le scan se fait bien mais lorsque je fais la suppression j'obtiens "Erreur de suppression" pour tout et aucun rapport n'est créé (j'imagine que c'est normal comme il ne supprime rien mais bon). Saurais-tu d'où ça peut venir ?

Re

Mais avant que tu me quittes, j'ai un petit problème avec ToolsCleaner, le scan se fait bien mais lorsque je fais la suppression j'obtiens "Erreur de suppression" pour tout et aucun rapport n'est créé (j'imagine que c'est normal comme il ne supprime rien mais bon). Saurais-tu d'où ça peut venir ?

... Oui, il est incompatible avec les Windows 64bits ( ton Windows est en 64bits )
Tu dois " désinstaller " via Ajout/Suppression de programmes les logiciels que j'ai utilisés pour toi // Tu gardes, et mets à jour CCleaner et MalwareBytes

Désolé de cette erreur de ma part

Re,

Pas de soucis pour l'erreur

Je désinstalle tout ça, merci encore pour ta précieuse aide !