Reprise du message précédent :
http://www.cijoint.fr/cjlink.php?f [...] UA3GoH.doc  
 
voila le nouveau
 
ca viendrais d'un patch Modern Warfare 2... j'ai déjà le jeu... ce qui doit vouloir dire qu'un de mes potes est infecté, vu que y a que chez eux que les clé USB et cartes SD ont pu trainer???
c'est possible ca?

Oui, d'après cette autre analyse, ça peut venir de cracks/keygens/patchs infectés --> à lire
Ensuite, cette infection peut se diffuser par clé USB puisqu'elle infecte tous les disques amovibles.
 
Pour VirusTotal, c'est une analyse du fichier winlongon qui m'intéresse (celle de Highspeed drivers, je l'ai déjà faite puisque tu m'as envoyé le fichier)
 

http://www.cijoint.fr/cjlink.php?f [...] llDbhk.doc  voici l'analyse...
 
bon ca doit pas venir de left 4 dead 2 car on joue pas a ca avec les potes, par contre pour cod6 je sais à qui m'adresser...
 
qd je pense que le mien marche pas...

jviens d'appeler mon pote, il s'en était pas rendu compte, il ne tape qu'en anglais et son pc ne reboot jamais...
 
Et ils font quoi ces jolis virus a part m'emmerder sur mon clavier?
y avait un truc concernant ce que je tapais sur le clavier non?

DAns le dossier Windows user, y a des fichiers "logregistery avec tout ce que je tape au clavier...
y a mes mdp, mes adresses, mes copiers coler, ce que je tape sur le forum, peut etre meme ma carte bleue et celle de ma copine...
 
On peut savoir si quelqu'un a pu les récupéré?

Etant donné que ce fichier Winlogon.exe établit des connexions, il est effectivement fort probable que ces infos soient envoyées à on ne sait qui...
Le rapport de ThreatExpert mentionne la surveillance des frappes au clavier  
On va supprimer l'infection tout de suite... En attendant, surveille ton compte en banque et évite de te connecter sur des sites sensibles (il faudra changer tous tes mots de passe quand on aura désinfecté)
 
 
1) Télécharge OTL sur ton Bureau  
Ferme tous tes programmes
Fais un clic-droit sur OTL.exe et choisis "Exécuter en temps qu'administrateur"
Clique sur "Run scan" et patiente pendant l'analyse
Envoie moi les deux rapports qui te seront proposés en les hébergeant (OTL.txt et Extras.txt)
 
 
 
2) Ensuite, réessaye ZHPDiag en l'exécutant en temps qu'administrateur lui aussi stp
 
 
 
3) Enfin, fais la manipulation suivante pour tenter de supprimer l'infection :  
 
• Branche ton disque amovible infecté dans le lecteur H
• Télécharge OTM (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTM.exe
•Fais un clic-droit sur OTM.exe et choisis "Exécuter en temps qu'administrateur".  
• Copie/colle le texte suivant dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit :  
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winlogon"=-
 
:files  
C:\Program Files\Windows User
H:\Highspeed drivers.exe  
 
:commands  
[emptytemp]  
[reboot]
 
 
• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.  
• Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles (le nom du rapport correspond au moment de sa création : date_heure.log )

Voici OTL:
http://www.cijoint.fr/cjlink.php?f [...] iolCV4.txt  
 
pas de extras ou que ce soit...
 
Pour nfo j'ai maintenant arreté le processus Winlogon nefaste via le gestionnaire des taches, et j'ai virer les fichiers qui contenait les keylog...

ZHPdiag:
http://www.cijoint.fr/cjlink.php?f [...] MZJ8Dn.txt  

OTM:
http://www.cijoint.fr/cjlink.php?f [...] uECstS.txt  
 
Qu'appelles tu des sites sensibles?
 
banques tout ca???
 
en tou cas je peux écrire noël et être \o/

Oui ta banque entre autre
 
Fais un nouveau nettoyage avec USBFix, puis fais redémarrer l'ordinateur et poste un nouveau rapport OTL stp

le rapport USB fix:
http://www.cijoint.fr/cjlink.php?f [...] YgB68J.txt  
 
et le rapport OTL:
http://www.cijoint.fr/cjlink.php?f [...] GtinwL.txt  
 
Tiens le dossier Windows User a disparu avec les fichiers qui étaient dedans...
 
C'est chiant qu'on ai aps pu savoir si les fichiers avaient été envoyé ou pas...
Sous XP on pouvait voir els différentes connexions établies, sous Seven on peut encore? ca se trouve ou?
 
En tout cas merci pour toute ton aide.
 
Je vais m'amuser ce WE a refaire toutes les procédures, j'ai trois potes qui sont touché aussi.
 
 
 

Ce n'est pas terminé
 
Le dossier Windows User a été supprimé par le script OTM que je t'ai fait utiliser  Mais il reste à supprimer la clé de Registre que je t'avais indiquée, et tu vas devoir le faire manuellement :
- Clique sur menu démarrer --> tape regedit --> valide
- Navigue jusqu'à la clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Supprime la valeur "winlogon" dans cette clé "Run"  
 
Tu peux maintenant changer tes mots de passe : banques, sites d'achats, adresses e-mails, sites de réseaux sociaux (facebook, myspace...), jeux...
Ensuite je te donnerai des conseils pour finir le nettoyage et sécuriser ton ordinateur.
 
 
 
 
Pour tes amis qui ont le même problème, je résume :
- Supprimer le dossier C:\Program Files\Windows User
- Supprimer la clé de Registre Winlogon
- Utiliser USBFix pour désinfecter et vacciner les disques amovibles
- Arrêter d'utiliser des cracks, keygens ou patchs, car la plupart sont infectés !
- Changer leurs mots de passe
 
+ les manipulations que je vais te proposer pour finir le nettoyage et sécuriser leurs ordinateurs

Ok c'est fait...
mis a part les mdps, ca va me prendre un bon moment...

Voici donc les conseils de fin de désinfection
 
 
 
1) Sécurise ton ordinateur
 
• Logiciels de protection :
Garde un antivirus (Microsoft Security Essentials dans ton cas) et MalwareBytes Anti-Malware en complément pour faire des scans de contrôle régulier (après l'avoir mis à jour). Ne t'encombre pas d'autres logiciels de protection, c'est inutile voire même contre-productif.
N'oublie pas qu'un antivirus ne protège en moyenne que de 50% des infections récentes, il ne faut donc pas t'en contenter : la sécurité, c'est surtout toi qui la fait par ton utilisation de l'ordinateur (voir le point numéro 5).
 
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
 
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> Désinstaller un programme --> sélectionne toutes les versions de java présentes et désinstalle les. Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
 
• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
 
 
 
2) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ». Puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
 
 
 
3) Télécharge et installe CCleaner, puis lance le.  
Clique sur Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
 
(Tu peux garder ce logiciel et l'utiliser régulièrement).
 
 
 
4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
 
 
 
5) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
 
 
 
6) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.  
 
 
 
 
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin

Merci pour ces infos.
Bon j'utilise déjà CCleaner et j'ai des sauvegardes triples donc ca c'est fait...
Java est censé se mettre a jour automatiquement, c'est bizarre.
et puis je vais lire le dossier de malekal (je l'ai déjà lu il y a un ou deux ans sur le site mais une mise a jour ne fera pas de mal)
 
Par contre j'accroche vraiment pas à FF, j'ai d'es réglages IE qui font qu'il vide cache et et historique et temps a chaque fermeture du navigateur. C'est le problème d'avoir un Pc depuis tjrs chez soi, habitué à Windows et IE...
 
Jvais voir si j'arrive a l'utiliser.
 
En tout cas merci pour tout vraiment, Anthony, Adaron et Malwarebleach
J'espère ne pas revenir de sitôt.

Si tu veux l'extension WOT dont je t'ai parlé existe aussi pour IE : http://www.mywot.com/fr/download/ie
Par contre, il n'y a pas d'équivalents à AdBlockPlus, pas de recherche automatique des mises à jour de plugins etc... A toi de voir
 
Le dossier de Malekal a été mis à jour en 2009, et comme tu dis ça ne peut pas faire de mal de le relire ^^
 
Bonne continuation