Salut à tous ,
Depuis quelques temps lorsque je navigue sur internet j'ai une alerte Avast qui me dit qu'un cheval de troie a été détecté , l'alerte se répète 3 fois à la suite ...  
Je voudrais bien supprimer ce truc mais même un coup de Spybot n'y fait rien
De plus j'ai remarqué qu'un nouveau fichier est apparu dans C: , nommé boot.inf , lorsque je l'ouvre il n'y a rien et si je veux le supprimer ça me dit que le fichier est utilisé par un autre utilisateur .
Et aussi quand j'affiche les fichiers cachés , il y a un CheckUSB.exe avec le logo de MegaUpload , je le supprime mais il revient toujours ...
Regardez ce screen :
http://img4.hostingpics.net/pics/235379troiejpg.png

salut
l'objet bloqué par avast correspond à un téléchargement sur Archivehost qui est un hébergeur de fichier en ligne
as tu téléchargé quelque chose sur ce site?

Euh non je ne me souviens absolument pas avoir téléchargé quelque chose sur ce site oO

Je doute qu'il s'agisse de google chrome, à moins qu'il ait été corrompu
As tu vérifié quel était le fichier qu'il t'indique ? est ce réellement google chrome ? ou un exécutable qui s'applle juste "chrome.exe" ?

L'arborescence n'est pas complète dans ce que Avast m'indique
Donc je peux pas aller voir.

Par contre tu peux fouiller... Chercher... Explorer...

Ouais , j'ai fait une recherche Windows , mais il ne me trouve pas un seul chrome.exe -_-'
En plus j'ai l'impression que mon PC a changé , par moment , le pointeur de la souris passe sur le sablier même quand je fais rien , ça dure même pas une seconde  
Et aussi dans les processus j'ai deux explorer.exe ><

Si tu veux faire une analyse utilises ZHPdiag
 

• Télécharge ZHPDiag
• clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

! sous vista/win7 => clic droit et "exécuter en tant qu'administrateur !

• Clique ensuite sur l'icône représentant une loupe (« Lancer le diagnostic »)  
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

ne colle pas le rapport complet sur ce forum ,c'est interdit
 
note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr

Voici le rapport:
http://www.cijoint.fr/cjlink.php?f [...] TRVJAf.txt

ton PC est très infecté et par plusieurs malwares, barre d 'outils piégées, Adwares,Trojans
tu vas commencer par faire un gros ménage avec MBAM que tu pourras conserver sur ton ordinateur et utiliser régulièrement
 
 

• Télécharge Malwarebytes antimalware  
• Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
• L'analyse est longue =>  patiente
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    *si des malwares sont détectés ils s'affichent en Rouge

• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport  héberge le sur cijoint.fr et poste le lien dans ta prochaine réponse sur le forum .
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Analyse terminée , 36 éléments infectés et supprimés ^^
Voici le rapport MBAM :
http://www.cijoint.fr/cjlink.php?f [...] wlLUck.txt

Malgré tout j'ai toujours une alerte oO
Un fichier nommé sssss.exe  
L'arborescence qu'Avast m'indique est fausse en plus , même en affichant les fichiers cachés je trouve pas ce qu'il m'indique ...

Bonsoir, MBAM a fait son boulot mais ce n'est pas suffisant, pour continuer fais ceci:
 

•   /!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\
• Double-clique sur l'icône Ad-remover située sur ton Bureau.
• Sur la page, clique sur le bouton « Nettoyer »
• Confirme l'opération
• Laisse travailler l’outil.
• héberge  le rapport qui apparaît à la fin sur cijoint.fr et poste le lien fourni dans ta réponse

    (Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt
 
    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Désolé mais je n'ai pas cette icône Ad-remover sur mon bureau
EDIT: Bon en fait j'ai compris , j'ai téléchargé le logiciel et fait le nettoyage puis redémarré .
J'attends de voir s'il y a de nouvelles alertes et je vous tient au courant , merci.
 
EDIT2: j'avais oublié le rapport ^^
Voici: http://www.cijoint.fr/cjlink.php?f [...] PIWKMy.txt

oups ,j'ai oublié une partie du "canned" excuse moi
 
tu vas maintenant faire une recherche d'infection usb ,une ligne sur le rapport mbam est suspecte en ce sens
 
Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau

sur la même page tu auras un tutoriel vidéo "recherche"  pour t'aider si besoin

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
• Choisis:  recherche
• Vérifie que  tous tes disques amovibles, clés USB sont connectés =>  puis cliquez sur OK.
• Laisse travailler l'outil
• Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur cijoint.fr et poste moi le lien qui te sera fourni
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Voilà le rapport
http://www.cijoint.fr/cjlink.php?f [...] TGms1l.txt

l'infection a bien été repérée mais il ne faut pas faire la suppression car des fichiers système sont présents    
 
C:\WINDOWS\system32\winlogon.exe(et ses copies) le supprimer t'empêcherait de te loger sur ta session
 
tu vas donc faire cette vérification Stp?, sur Virus total
 

• rends toi sur http://www.virustotal.com/fr/
• clique sur parcourir saisis le chemin vers le fichier infecté soit:

C:\WINDOWS\system32\winlogon.exe
 

• clique sur "envoyer le fichier"

Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
 
 et poste moi ensuite le lien vers le rapport
 
recommence la manip pour
 
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
C:\WINDOWS\system32\dllcache\winlogon.exe
 
 
 
 
 

Winlogon.exe (system32) : http://www.virustotal.com/file-sca [...] 291647292# ( pas trop de risques je pense ^^ )
 
Winlogon.exe ( servicepackfiles ) : http://www.virustotal.com/file-sca [...] 1291647641
 
Et pour le dernier fichier , je n'ai pas de dossier dllcache dans system32
 

à priori les fichiers ne sont pas infectés,la détection est étrange

je vais te demander de me zipper une copie de ces fichiers et de les héberger sur cijoint.fr puis de me donner le lien

bizarre que tu n'es pas de dllcache,t'es sûr?

ne fais surtout pas la suppression avec usbFix , j'ai contacté les concepteurs du log pour savoir pourquoi cette détection?
attends un peu Stp?

en attendant  teste ce fichier sur virus Total et montre moi le rapport obtenu

C:\WINDOWS\system32\drivers\oreans32.sys

Voici l'analyse de oreans32.sys : http://www.virustotal.com/file-sca [...] 1291666056
 
Et je viens de revérifier , il n'y a pas de dossier dllcache dans system32
 
Sinon voilà les fichiers en .rar , j'ai du les mettre sur Megaupload , j'espère que ça ne te dérange pas , cijoint n'accepte pas les .rar
http://www.megaupload.com/?d=W3FHU5XK

ok ,merci je te tiens au courant dès que j'ai du nouveau
 

bonjour
 
voici ce que tu vas faire
 
déconnecte toi d'internet ,désactive toutes tes protections Antivirus et Antimalware
et refais une recherche avec USBFix
 
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
    * Choisis:  recherche
    * Vérifie que  tous tes disques amovibles, clés USB sont connectés =>  puis cliquez sur OK.
    * Laisse travailler l'outil
    * Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur cijoint.fr et poste moi le lien qui te sera fourni
    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Bonjour ,
Voila j'ai fait ce que tu m'a dit
Le rapport: http://www.cijoint.fr/cjlink.php?f [...] W8t0e9.txt

bonjour
 
de la même façon que pour le winlogon peux tu me zipper une copie ces trois fichiers?
 
 C:\WINDOWS\svchost.exe
 G:\msvcr71.dll
 C:\WINDOWS\install\temp.exe
 
et héberger sur cijoint (ou ailleurs)
 
merci!
 

Je ne trouve que le svchost.exe
Il n'y a pas les autres fichiers , j'ai bien recherché pourtant
 
Voici le lien de svchost : http://www.mediafire.com/?w9kbj1r21gc0a88

as tu "affiché les fichiers et dossiers cachés" dans option des dossiers ainsi que les "fichiers protégés du système d'exploitation" ?

Effectivement ça fonctionne mieux comme ça ^^
J'ai tout trouvé
Voilà:
http://www.mediafire.com/?vz36064r6m516lg

Bonjour
 
as tu le CD d'installation de XP ? nous allons avoir besoin de la console de récupération

Oula , oui je l'ai je viens de le retrouver.

ok,il va falloir trouver des copies saines de winlogon (si elles existent car on ne peut pas se servir de ces deux là
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
C:\WINDOWS\system32\dllcache\winlogon.exe infectées elles aussi
 
 tu vas utiliser SEAF
 

• Télécharge SEAF (de C_XX)   sur ton Bureau.
• Lance SEAF
• Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".

• Tape exactement ceci:  winlogon.exe  dans le champs de recherche, clique sur "Lancer la recherche" et patiente.

• Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche,toujours en passant par cijoint.fr.

Voilà le rapport : http://www.cijoint.fr/cjlink.php?f [...] V7gJFH.txt

Bonjour
 
Pas de copie saine du fichier => Nous allons nous servir de la console de récupération pour remplacer le fichier à partir de CD d'installation
 
Paramètre ton bios pour démarrer sur le lecteur CD et lancer la console de récup suis ce tutoriel
 
lorsque tu auras l'invite C:\WINDOWS>  
 
saisis ceci (en gras) en respectant l'orthographe et les espaces:
 
ren C:\WINDOWS\system32\winlogon.exe C:\Windows\system32\winlogon.back
"valide par entrée"
expand E:\i386\winlogon.ex_ C:\WINDOWS\system32
"valide par entrée"
exit
"entrée"  
 
E: étant la lettre de ton lecteur CD
 
ensuite redémarre ton ordinateur et refais une recherche avec UsbFix pour vérifier que le winlogon.exe n'est plus détecté
 

Je ferais ça demain.
C'est normal que dans la 2ème commande c'est écrit " winlogon.ex_ " ?

oui c'est normal car c'est comme ça que doivent être nommés les fichiers compressés sur le CD