Reprise du message précédent :
Fichier reg compressé et envoyé !
 
Ok c'est vraiment sympa de prendre autant de temps pour m'aider !
 
Non ça va mon ami n'est pas pressé mais de toute façon il n'aurait pas d'autre choix que d'être patient !

Tant pis pour ton ami, on va prendre le temps qu'il faut    
 
J'ai bien reçu le fichier reg, merci pour ta réactivité.
 
Suite à mes recherches et à la confirmation de Elowen (de l'excellent forum windows7-windows8.fr), la clé HKCU a été modifiée par un malware !!
 
Le truc, s'est qu'elle se régénère après chaque suppression, il va falloir trouver comment !
 
Peux tu utiliser ce programme :
 

• Télécharge Malwarebytes Antirootkit sur ton bureau
• Décompresse le fichier, un dossier nommé "mbar" doir apparaitre sur ton bureau
• Ouvre ce dossier et lance l'éxécutif de mbar => mbar.exe
• Clique sur "NEXT"
• Clique sur "UPDATE"
• Une fois la mise à jour faite, clique sur "NEXT"
• Clique sur "SCAN"

Note : patiente le temps du scan
 

• Si aucune menace n'est détectée, à la fin clique sur "EXIT"

• si mbar a détecté des infections clique sur "CLEANUP", il peut être nécessaire de cliquer sur "CLEANUP" une deuxième fois
• Quand l'analyse et le nettoyage sont terminés, ferme mbar,  
• Un rapport sous la forme mbar-log-dat_du_rapport (H-min-sec).txt se trouve dans le dossier mbar. Héberge ce rapport sur Cjoint et envoies le lien Cjoint dans ta prochaine réponse.

Pourras tu aussi faire une recherche avec Seaf sur ce fichier :
 
1e00f765
 
Et bien entendu, m'envoyer le lien Cjoint du rapport.
 
Bonne soirée et bonne nuit !

Oh on est tombés sur quelque chose de coriace on dirait !
 
Faudrait pas qu'il nous nargue trop longtemps ce malware !!
 
voilà le rapport mbar : http://cjoint.com/?CLswOfkI7Ci
 
Ok je lance Seaf !
 

Bon Seaf n'a rien trouvé... je te mets quand même le rapport http://cjoint.com/?CLswY78cKlJ
 
Merci encore et bonne nuit à toi aussi !

Bonjour reb67,
 
Comme prévu MBAR a détecté et supprimé la clé.
 
Redémarre le pc.
 
==> RogueKiller - en mode scan  
 

• Télécharges RogueKiller (de Tigzy) sur ton Bureau.
• Choisis la version correspondant à ton système d'exploitation (32 ou 64 bits)
• Sous windows Vista, seven et huit, lance RogueKiller, par un clique droit "Exécuter en tant qu'administrateur"  

    Note : Attends que le PreScan soit fini.
 
 

• Clique sur Scan.
• Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤S¤.txt a été créé.
• Héberge le rapport RKreport[X]¤S¤.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Bonjour malwarebleach,
 
Voilà ce que Roguekiller à trouvé : http://cjoint.com/?CLtoepC16tF

Salut,
 
Je crois que je vais consulter un ophtalmo, je commence à avoir du mal à lire les rapports    
 
==> RogueKiller : Suppression
 

• Lance RogueKiller par un clique droit "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

    Note : Attends que le PreScan ait fini.
 
 

• Clique sur Scan.
• Clique sur Supression

• Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤D¤.txt à été créé.
• Héberge le rapport RKreport[X]¤D¤.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

   
 
 
Maintenant configure ton AV comme tu le fais d'habitude, lance malwarebytes et fais une analyse en mode d'examen rapide.
Réitère l'opération en supprimant le contrôle de modification du registre de ton AV et fais une analyse avec MBAM.
 
++

Alors voilà le rapport Roguekiller http://cjoint.com/?CLtpGz954fQ
 
Premier rapport mbam antivirus configuré http://cjoint.com/?CLtpH1Ho2lC
(fichier supprimé sans changer les paramètres ---->avira bloque instantanément la modification)
 
Deuxième rapport mbam après suppression de l'option modif du registre (fichier à nouveau détecté puisque suppression bloquée avant ) http://cjoint.com/?CLtpOBNQQly (suppression non bloquée)
 
Troisième rapport mbam avec toujours l'option registre désactivée http://cjoint.com/?CLtpQqvrdq8 (fichier bien supprimé et non réapparu)
 
Mais je ne peux pas réactiver cette option sinon backdoor revient dans la foulée !
 
J'espère que c'est compréhensible ce que j'ai écris
 

J'en perds mon latin sur cette histoire    
 
On va tenter autre chose :
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour reb67, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier reb67.rar
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe comme sur l'animation ci-dessous :
 

 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: envoies moi le lien de ce rapport stp.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
 
++

Y'a de quoi le perdre là c'est sur !
 
Rapport Combofix : http://cjoint.com/?CLts3h4Tcup

Bon, voilà mes conclusions, on va arrêter de tourner en rond      :
 
Le fichier wininit.ini est créé par une application (même néfaste) afin de parfaire son installation ou sa mise à jour au redémarrage du pc. Une fois que l'installation ou la mise à jour est terminée, le fichier wininit.ini est renommé en wininit.bak, soit un fichier non exécutable par wininit.exe. Donc au redémarrage suivant quand wininit.exe sera exécuté, s'il n'a rien à faire, le démarrage continu normalement.
 
Je pense que tout est lié => wininit.ini recrée la clé incriminée (HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell) qui pointe vers le fichier d'exécution du malware.
 
Tu vas donc redémarrer le pc - pas de problème wininit.exe est toujours sur la machine.
 
Tu vas ensuite passer malwarebytes en mode d'examen rapide, envoies le lien du rapport.

Le rapport mbam : http://cjoint.com/?CLtvqd618ds

Bon ben je crois que l'on a terminé finalement.  
 
Encore quelques bricoles comme la dernière fois :
 
Supprime la quarantaine de malwarebytes.
 
==> SFTGC – Nettoyage des fichiers temporaires :
 

• Télécharge SFTGC sur ton bureau.
• Lance le programme
• Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis sur "Exécuter en tant qu'administrateur"
• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFT.txt est alors créé sur ton bureau.
• Héberge le rapport sur Cjoint et copie/colle le lien obtenu dans ta prochaine réponse.

 
==> DelFix
 
Cet outil va te permettre d'un part de supprimer tous les outils de désinfection utilisés lors du nettoyage de ton ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible. En cas de besoin, tu pourras l'utiliser sans problème.
 
• Télécharge DelFix de Xplode sur ton bureau.
• Lance DelFix :
• coche Supprimer les outils de désinfection
• coche Purger la restauration système
• Clique sur Exécuter
 

 
 
• Copie/colle le contenu du rapport de DelFix dans ta prochaine réponse.
 
 
Bonne soirée !

Bon j'ai tout de suite testé pour en avoir le coeur net, je suis allée dans le registre à la clé que tu m'avais demandé de vérifier HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon il n'y avait rien la valeur de shell avait disparue. Alors je réactive cette fameuse option de modification de registre dans avira, j'ai tout de suite l'alerte qui indique un blocage de modif du registre...j'actualise le registre et là la valeur de shel qui pointe vers ce 1e00f765/X réapparait !
 
Conclusion : Je peux supprimer backdoor agent avec mbam et redémarrer sans qu'il revienne c'est bien avira qui le réactive avec cette option en fait !! mais alors est ce que je dois la laisser désactivée ?

moi qui pensais avoir trouvé le truc, pourtant la logique y était    
 
Ce que tu peux faire :
 
Supprimer à nouveau avec MBAM la clé de registre
 

• Désinstaller proprement avira avec l'outil de son éditeur => http://dlpro.antivir.com/package/r [...] ner_en.exe
• Et le réinstaller => https://www.avira.com/fr/avira-free-antivirus
• Vois ensuite s'il y a du changement.

Restons motivés et positifs  

Oui mais c'est ta logique qui m'a poussé à vérifier ça tout de suite, c'était soit le fichier qui revient au démarrage soit c'était vraiment avira le problème maintenant on en est sûr !
 
Bon je me lance dans la désinstallation réinstallation...supsense....
 
Oui merci beaucoup de me donner du courage

J'espère que l'on a bon, j'ai lu un cas similaire mais l'AV était Mcafee (date de 2011), la différence est que le problème a été résolu rapidement.