Bonjour,

J'ai eu un virus hadopi (en cliquant sur un lien, mes logiciels n'étaient pas à jour !)

j'ai nettoyé mon pc avec malware bytes anti-malware, avast, ccleaner.

Mais depuis le virus j'ai dans le panneau de configuration le programme suivant : JNLP sans aucune autres précisions et notamment d'emplacement. Je ne sais donc pas ou se loge se programme. Et je ne peux pas le désinstaller à partir du panneau de configuration. Ca me redirige vers un site web infecté et bloqué par avast + message : impossible de désinstaller entièrement l'application. Ce programme doit avoir un autre nom car je ne le retrouve pas dans l'explorateur de fichiers (pour le supprimer).

En plus de ce programme, il reste peut etre d'autres fichiers infectés ?

J'ai d'ailleurs depuis supprimé un fichier pmnx.yeg sur c:/windows/programmdata/ppq/ --> il s'était créé à l'heure de l'infection

j'ai d'autres fichiers qui restent et qui se sont créés à l'heure de l'infection :

• C:\Users\cloe\AppData\Local\VirtualStore\Windows\System32\cphb.tmp
• C:\Users\cloe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\6ae089b0-6.0.lap
• C:\Users\cloe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\780c097-57802197
• C:\Users\cloe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\780c097-57802197.idx

Ci-joint le rapport rogueKiller :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : cloe [Droits d'admin]
Mode : Recherche -- Date : 01/06/2013 01:56:20
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9160821AS ATA Device +++++
--- User ---
[MBR] 27d750643b8b1204e14453bb8460d32f
[BSP] 807fbbf6fcda144933fcef3ee70a64c5 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 140627 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 288006144 | Size: 11998 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_01062013_015620.txt >>
RKreport[1]_S_01062013_015620.txt

Pouvez-vous m'aider ?

Merci d'avance

Bonjour del351, bienvenue sur PCA !

Fais ce qui est demandé dans cette procédure, publie les trois rapports demandés et attends qu'un membre du Groupe Sécurité te prenne en charge.

Cordialement.

Bonjour,

J'ai refait un malwarebytes anti-malware, sur le premier malwarebytes anti-malware que j'avait lancé il m'avait trouvé : Malwar.Packer.BS sur appdata/roaming/imm32.ocx, qu'il m'a supprimé. Mais je ne retrouve pas la log. Bizzarre…

• ci-joint le rapport malwarebytes anti-malware:

Malwarebytes Anti-Malware (Trial) 1.75.0.1300
www.malwarebytes.org

Database version: v2013.06.01.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
cloe
PC-DE-CLOE [administrator]

Protection: Enabled

01/06/2013 10:29:42
mbam-log-2013-06-01 (10-29-42).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 239754
Time elapsed: 43 minute(s), 25 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

• Ci joint le rapport ZHPDiag :

http://cjoint.com/?0FbmueZKSiO

• Rapport AdwCleaner[S1] :

# AdwCleaner v2.301 - Rapport créé le 01/06/2013 à 02:50:22
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : cloe - PC-DE-CLOE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\cloe\Downloads\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Users\cloe\AppData\Local\Conduit
Dossier Supprimé : C:\Users\cloe\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\cloe\AppData\LocalLow\PriceGong
Fichier Supprimé : C:\END

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6002.18005

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&CUI=UN12364660117452468&ctid=CT2504091 --> hxxp://www.google.com

-\\ Google Chrome v27.0.1453.94

Fichier : C:\Users\cloe\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\jm\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2260 octets] - [01/06/2013 02:47:08]
AdwCleaner[S1].txt - [2090 octets] - [01/06/2013 02:50:22]

########## EOF - C:\AdwCleaner[S1].txt - [2150 octets] ##########

Merci pour votre aide

Bonjour,

Ce fichier est inutile : McAfee Security Scan Plus v3.0.318.3

A ne pas réinstaller en mettant à jour les deux logiciels suivant :

Acrobat Reader XI
Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 11.0.3 French for Windows
Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur Télécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader11_fr_mssd_aih.exe
Ce fichier s'auto-détruira.

Adobe Flash Player
Ouvre cette page
Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur Télécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_flashplayer11x64_mssa_aih.exe
Ce fichier s'auto-détruira.

CureIt Dr.Web
Il ne nécessite pas d'installation.

Lance le fichier launch.exe après avoir désactivé ton antivirus résident.
Il va te demander de faire la mise à jour
Une fois celle-ci effectuée, il va lancer un scan rapide.
Quand tout ceci est terminé, tu choisis scan sélectif et tu coches au moins C qui contient le système.
A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.
Comme il sera assez conséquent, héberge-le sur Cjoint comme indiqué sur ce tutoriel

@+

Bonjour,

J'ai executé launcher.exe et il m'a mis en quarantaine easyshare.exe avec menace : trojan.Fraudster.179. Mais je trouve ça bizarre.

Si la menace n'est pas avéré est-ce que je peux récupérer les fichiers en quarantaine et comment ?

Cet appli me servait pour extraire et classer mes photos.

cjoint.com la taille maximum est limité à 8192 ko et mon fichier fait 8754 ko.

Je l'ai découpé en 2. Premier scan et 2e scan:

Ci-joint les logs :

http://cjoint.com/?0Fca6CltUT2

http://cjoint.com/?0Fca7iwcmbT

Merci pour ton aide