FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[DiegoRD]

Bonjour

Microsoft Safety Scanner a trouvé et effacé Trojan:Win32/Dynamer!ac sur mon système.

Mon antivirus habituel, Avira, refusait de lancer un scan (apparemment c'est parce que Avira ne supporte plus XP depuis avril), donc je l'ai remplacé par Avast mais il n'a rien trouvé.

Chose alarmante : à chaque lancement de Thunderbird j'ai désormais une fenêtre "Ajout d'une exception de sécurité" qui apparait. ( edit: En fait c'était juste Avast qui voulait surveiller les emails. https://www.avast.com/fr-fr/faq.php?art ... 1#idt_0201 )

Je ne sais pas si c'est lié ou une coincidence, mais hier j'ai eu un écran bleu. C'est étrange, déjà car je n'avais plus eu d'écran bleu depuis des années, et surtout car la cause semble être le driver de ma carte audio. Cette carte est dans cet ordinateur depuis 2009, elle n'a jamais posé ce problème, et ni ses drivers ni XP ne peuvent avoir été mis à jour récemment. Je soupçonne donc un virus d'avoir altéré le driver.
J'ai aussi remarqué que un des fichiers sur lesquels je travaillais à ce moment là s'est retrouvé rempli de "NULL". (Heureusement j'avais fait des sauvegardes un quart d'heure avant.)

J'ai lancé un scan complet de Microsoft Safety Scanner, mais vu la vitesse à laquelle il progresse il n'aura pas finit avant une vingtaine d'heures.
En attendant j'ai donc décidé de venir demander l'aide d'experts.

Merci d'avance pour votre aide.

( PS : Oui, je sais, XP n'a plus de mises-à-jour, ça le rend plus vulnérable aux virus qu'un Windows récent, tout ça tout ça, mais inutile de disserter là-dessus : s'il est toujours sur cette machine c'est que je ne peux pas faire autrement. )

[g3n-h@ckm@n]

bonjour tu peux recevoir les mises à jour pour XP jusqu'en 2019 si tu veux

http://www.pcastuces.com/pratique/astuces/4092.htm

[DiegoRD]

Merci de l'astuce.

Aie aie aie, Microsoft Safety Scanner a terminé son scan complet et a trouvé 20 fichiers infectés. :\


edit: Avast a fait un gros scan avant le démarrage de Windows, il a trouvé 71 infections...
Plusieurs JS:ScriptIP-inf[Trj] et HTML:Script-inf dans les trucs de firefox
MID:CVE-2012-0003 [Expl] dans des fichiers MIDI (je n'aurai jamais cru qu'il pouvait y avoir des virus dans des midi...)
LPI : NSIS:InstMonetizer-CA [PUP] dans un programme audio
JS:Redirector-BWW [Adw] dans une vieille page html enregistrée
JAVA:Malware-gen [Trj] et LPI : Android:SMSreg-CNF [PUP] dans un jeu Android
Plusieurs LPI : Win:Cmdow-A [PUP] , LPI : Win32:Trojan-gen et Menace : Win32:Trojan-gen dans un émulateur de vieille console
LPI : Java:Agent-CIK [PUP] et Menace : Win32:Evo-gen [Susp] dans un jeu flash
Plein de Win32:Teerac-CP [Trj] dans des vieux jeux de console GP32
Et ceux là, probablement de faux positifs :
Win32:Evo-gen [Susp] dans des programmes de triche
Win32:Adware-gen [Adw] et Win32:Yabector-B dans un freeware qui sert à déverrouiller les fichiers qui refusent de s'effacer
LPI : ELF:Lootor-AB [PUP] dans un programme pour rooter les tablettes

edit: Un message d'erreur très étrange quand j'ai voulu lancer Firefox :


edit: J'ai envoyé deux e-mails. Au moment d'envoyer le premier un message a dit qu'il était impossible de l'enregistrer. Puis le second :

et le mail est parti vide. D'après ce que je lis sur internet c'est juste un problème entre Avast et Thunderbird, pas lié à une infection, mais je note quand-même au cas où.

[g3n-h@ckm@n]

re

Télécharger drWeb , et l’enregistrer sur le bureau , grace à ce lien :

https://www.freedrweb.com/download+cureit+free/?lng=fr

Branche tous tes periphériques USB (mp3 , mp4 , disques durs externes , clés usb , appareil photo….) , tout ce qui a pu etre connecté à l’ordinateur.

Lance DrWeb CureIt , Clique sur OK

Le programme va vérifier qu’il soit bien à jour.

Coche la case « j’accepte de participer blablabla…… , puis clique sur continuer
Sur la page d’accueil , clique sur « sélectionner des objets pour l’analyse »
Coche tout à gauche , puis selectionne « Cliquez ici pour selectionner des fichiers et dossiers » .

Coche « Mon ordinateur » , ce qui aura pour effet de cocher tous les stockages de mémoires préalablement branchés comme précité , puis clique sur « OK »
Clique sur "OK" puis sur « lancer l’analyse »

L’analyse complète s’ effectue ….

Une fois terminée , laisser toutes les infections trouvées sur « Désinfecter » , puis cliquer sur « neutraliser »
DrWeb va neutraliser les menaces et afficher le résultat
DrWeb va demander de redémarrer l’ordinateur pour parfaire le nettoyage , faites-le
Pour poster le rapport ensuite , se rendre dans :

C:(généralement)\<users , utilisateurs , ou Documents ans settings pour XP>\La session\DrWeb

Dans ce dossier se trouve « CureIt.log« .

Cliquer droit dessus puis sélectionner « envoyer vers » => dossiers compressés

Héberger l’archive ainsi créée sur http://cjoint.com et donner le lien sur le forum

[DiegoRD]

( Merci de t'occuper de mon problème. )

Ohlala, quel cauchemard : il a trouvé 42 autres infections...
A la fin du scan j'ai cliqué pour ouvrir le rapport. Il est gigantesque...
J'ai fait six essais et chaque fois http://www.cjoint.com/ a fait crasher firefox au moment où j'ai sélectionné le fichier. Je l'ai mis sur mediafire du coup.

( Je suis soumis à des clauses de non-divulgation concernant des beta et alpha. Même s'il est évident qu'aucun de leurs concurrents ne passera ici par hasard et lira ce rapport par hasard et passera des semaines à fouiller pour trouver les dossiers en question et en tirer si peu d'infos, juste par principe je ne poste pas le lien ici mais je l'envoie en message privé. )

[g3n-h@ckm@n]

bonjour normal j'avais demandé de le compresser , il n'aurait fait que quelques Mo ^^

voici ce que ca aurait donné http://www.cjoint.com/c/FFoiGiBjOQJ

par contre je sais pas où tu télécharges tes jeux mais la plupart étaient pourris dans tes disques E et D

et tout ce qui est registrybooster , spybot et compagnie , évite ca vaut pas un pli

[DiegoRD]

( C'est dingue, j'ai dû relire au moins trois fois et pourtant je suis passé à côté... Et le pire c'est que j'aurai dû y penser moi-même, même si ça n'avait pas été précisé. J'ai honte... )

En effet, c'est étonnant le nombre de jeux flash qui étaient infectés.

J'ai repassé un scan complet de Avast et il a trouvé une nouvelle infection : Win32:Evo-gen.
Il l'a trouvé dans un vieux fichier de 2003~2004, qui donc était déjà là lors du dernier scan et du scan de drweb.
Ca veut dire qu'un virus est toujours caché quelque-part et continue de se répandre, n'est-ce pas ?

[g3n-h@ckm@n]

bonjour non c'est un faux positif de la part d'avast , drweb l aurait détecté ayant des moteurs bien plus évolués qu'avast et de bien meilleure qualité de détection

[DiegoRD]

J'ai refait un scan complet avec drWeb et il a trouvé 4 fichiers infectés...

Adware.Toolbar.665 et Adware.Toolbar.576 dans deux freewares que j'ai téléchargé ces derniers jours. Je crois que c'est juste parce que pendant l'installation ils proposent d'installer des fichues toolbars. Donc ça ce n'est rien.

Par contre les deux autres sont des troyens dans des vieux jeux qui étaient déjà là :
E:\jeux\flash\...\reel-gold.exe - infected with Trojan.KeyLogger.17152
E:\jeux\jeux PC\StarWars Racer\register.exe - infected with Trojan.DownLoader21.58670

[g3n-h@ckm@n]

tu as supprimé les infections détectées ?

[DiegoRD]

Oui pourtant.
D'ailleurs j'ai ouvert le "gestionnaire de quarantaine" de drWeb et j'y vois les fichiers détectés aujourd'hui, et des fichiers de l'autre fois.

J'ai cherché le jeu flash infecté dans le rapport d'aujourd'hui et dans celui de l'autre jour, pour voir.

Aujourd'hui il y a :
E:\jeux\flash\...\reel-gold.exe - infected with Trojan.KeyLogger.17152
E:\jeux\flash\...\reel-gold.exe - infected

L'autre jour il y avait :
>E:\jeux\flash\...\reel-gold.exe is ZLIB container
>>E:\jeux\flash\...\reel-gold.exe\data001 is BINARYRES container
>>>E:\jeux\flash\...\reel-gold.exe\data001\data001 is ZLIB container
>>>>E:\jeux\flash\...\reel-gold.exe\data001\data001\data001 is SWF container
>>>E:\jeux\flash\...\reel-gold.exe\data001\data002 is SWF container
>>E:\jeux\flash\...\reel-gold.exe\data002 - packed by ASPACK
E:\jeux\flash\...\reel-gold.exe - container

Pour le vieux jeu pc, aujourd'hui il y a
E:\jeux\jeux PC\StarWars Racer\register.exe - infected with Trojan.DownLoader21.58670
E:\jeux\jeux PC\StarWars Racer\register.exe - infected
l'autre jour il y avait
E:\jeux\jeux PC\StarWars Racer\register.exe - Ok

[g3n-h@ckm@n]

coucou et oui drweb se mettant à jour tout le temps , il se peut qu il ait recu tes fichiers et les ai décortiqués pour trouver du code malveillant et l'ajouter à sa base de données

[DiegoRD]

Ok. Je referai des scans complets de drWeb de temps en temps pour être sûr, mais sinon je peux considérer mon ordi désinfecté donc ?
Et bien merci beaucoup pour ton aide.

[g3n-h@ckm@n]

bonjour on va quand même faire un diag pour être sur qu il ne reste rien et qui n'aurait pas été détecté :

• désactive ton antivirus le temps du téléchargement et du scan
• Télécharge quickDiag sur ton bureau
• lance-le ( pour vista/7/8/8.1/10 = clic droit "Executer en tant qu'administrateur" )
  
  
• clique sur "Quick" puis une fois terminé :
• héberge le rapport sur http://cjoint.com
• Donne le lien obtenu dans ta prochaine réponse

note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible à la racine de ton disque ( logiquement C: )

[DiegoRD]

Chaque fois ce message apparait après quelques secondes :


J'ai cherché "autoit" "error: the requested action with this object has failed" mais je n'ai eu que des résultats incohérents.

[g3n-h@ckm@n]

bonjour sur quel fichier bloque-t-il , qui est écrit dans son interface au moment du message d'erreur ?

et il est demandé de mettre les outils sur le bureau et non dans un dossier farfelu

[DiegoRD]

Je ne vois pas de nom de fichier :

[g3n-h@ckm@n]

tu aurais pas oublié de désactiver l antivirus ou windows defender ou autre protection ?

[DiegoRD]

Non, je n'ai que Avast et Sunbelt Firewall et je les avais désactivé tous les deux. J'ai même essayé en mode sans échec et j'ai toujours ce message. Ca ne serait pas incompatible avec XP ?

[g3n-h@ckm@n]

normalement non j'ai jamais vu ce probleme....

fais voir le bout de rapport qu'il y a dans C: ?

[DiegoRD]

QuickDiag.txt

[g3n-h@ckm@n]

bonjour

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
  • #ICI (renommé winlogon)
  
• Si l'outil est bloqué par l'infection essaye avec d'autres extensions :
  • #SCR
  • #PIF
  • #COM
• Le scan ne dure généralement pas plus de 10 mn
• A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
• Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

Note : une copie est également disponible sur le bureau

[DiegoRD]

Ca bloque toujours...


c:\Pre_Scan.txt

Les trois autres liens sont des erreurs 404.

Le dernier fichier scanné avant l'erreur est :
C:\WINDOWS\system32\winupdate86.exe

[g3n-h@ckm@n]

ok bonjour

je crois que tu t'es mis dans une sacrée panade avec tes cracks.....

Télécharger drWeb , et l’enregistrer sur le bureau , grace à ce lien :

https://www.freedrweb.com/download+cureit+free/?lng=fr

Branche tous tes periphériques USB (mp3 , mp4 , disques durs externes , clés usb , appareil photo….) , tout ce qui a pu etre connecté à l’ordinateur.

Lance DrWeb CureIt , Clique sur OK
Le programme va vérifier qu’il soit bien à jour.

Coche la case « j’accepte de participer blablabla…… , puis clique sur continuer
Sur la page d’accueil , clique sur « sélectionner des objets pour l’analyse »
Coche tout à gauche , puis selectionne « Cliquez ici pour selectionner des fichiers et dossiers » .

Coche « Mon ordinateur » , ce qui aura pour effet de cocher tous les stockages de mémoires préalablement branchés comme précité , puis clique sur « OK »

Clique sur "OK" puis sur « lancer l’analyse »
L’analyse complète s’ effectue ….
Une fois terminée , laisser toutes les infections trouvées sur « Désinfecter » , puis cliquer sur « neutraliser »
DrWeb va neutraliser les menaces et afficher le résultat
DrWeb va demander de redémarrer l’ordinateur pour parfaire le nettoyage , faites-le
Pour poster le rapport ensuite , se rendre dans :

C: (généralement)\<users , utilisateurs , ou Documents ans settings pour XP>\La session\DrWeb
Dans ce dossier se trouve « CureIt.log« .

Cliquer droit dessus puis sélectionner « envoyer vers » => dossiers compressés

Héberger l’archive ainsi créée sur http://cjoint.com et donner le lien

[DiegoRD]

Non, je n'ai que très peu de trucs crackés et ils datent de la préhistoire. L'infection vient surement des tones de freewares douteux et des jeux flash, et c'est là-dedans que presque tous les fichiers infectés étaient. D'ailleurs j'avais refait un scan de drWeb il y a quatre ou cinq jours et il avait encore trouvé une infection dans le freeware vidéo "freemake".

drWeb n'a rien trouvé cette fois.
http://www.cjoint.com/c/FGboPXFpozx
(Tiens http://cjoint.com ne fait plus crasher mon firefox comme l'autre jour.)

A l'ouverture du rapport j'ai remarqué qu'il n'avait pas d'entête cette fois, ça commence directement avec des fichiers. Je refais un autre scan du coup ?

[g3n-h@ckm@n]

re

mais tu l'as ce ficher ? toujours ?

C:\WINDOWS\system32\winupdate86.exe

retente pre_scan en mode sans echec sans prise en charge reseau

[DiegoRD]

Non, winupdate83.exe ne semble pas exister.

En mode sans échec sans réseau, même erreur.

Par contre, j'ai à nouveau filmé l'écran et cette fois une autre ligne apparait, très brievement, entre winupdate83.exe et l'erreur, mais ce n'est pas un fichier :
HKU\S-1-5-21-746137067-1409082233-682003330-1003|Desktop|-|Wal , le reste est coupé par la taille de la fenêtre.
J'ai jeté un oeuil dans la base de registre, HKEY_USERS\S-1-5-21-746137067-1409082233-682003330-1003 existe mais il n'y a pas "Desktop" dedans.

[g3n-h@ckm@n]

hello on va essayer un autre diag

• Copie le script ci dessous :
  
  Code : Tout sélectionner

  HKCU\Software
  HKCU\Software\AppDataLow /s
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
  HKLM\Software
  HKCU\Software\Microsoft\Command Processor /s
  HKLM\Software\Microsoft\Command Processor /s
  HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
  HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /s
  HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
  %Homedrive%\*
  %Homedrive%\*.
  %Homedrive%\Recycler\*.exe /s
  %Homedrive%\Recycler\*.scr /s
  %Homedrive%\Recycler\*.pif /s
  %Homedrive%\Recycler\*.vb* /s
  %Homedrive%\$Recycle.bin\*.exe /s
  %Homedrive%\$Recycle.bin\*.scr /s
  %Homedrive%\$Recycle.bin\*.pif /s
  %Homedrive%\$Recycle.bin\*.vb* /s
  %Userprofile%\*
  %Userprofile%\*.
  %Allusersprofile%\*
  %Allusersprofile%\*.
  %LocalAppData%\*
  %LocalAppData%\*.
  %Userprofile%\Local Settings\*
  %Userprofile%\Local Settings\*.
  %Userprofile%\Local Settings\Application Data\*
  %Userprofile%\Local Settings\Application Data\*.
  %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
  %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
  %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
  %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
  %programFiles%\*
  %programFiles%\*.
  %programfiles%\Google\Desktop\*.
  %ProgramFiles%\Common Files\*
  %ProgramFiles%\Common Files\*.
  %ProgramFiles(X86)%\Common Files\*
  %ProgramFiles(X86)%\Common Files\*.
  %Systemroot%\Installer\*
  %Systemroot%\Installer\*.
  %Systemroot%\Temp\*.exe /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\system32\*.exe /lockedfiles
  %systemroot%\system32\*.in*
  %systemroot%\PSS\* /s
  %systemroot%\Tasks\*
  %systemroot%\Tasks\*.
  %systemroot%\system32\Tasks\*
  %systemroot%\system32\Tasks\*.
  %systemroot%\syswow64\Tasks\*
  %systemroot%\syswow64\Tasks\*.
  %systemroot%\system32\drivers\*.sy* /lockedfiles
  %systemroot%\system32\config\*.exe /s
  %Systemroot%\ServiceProfiles\*.exe /s
  %systemroot%\system32\*.sys
  dir %Homedrive%\* /S /A:L /C
  msconfig
  activex
  /md5start
  explorer.exe
  winlogon.exe
  wininit.exe
  volsnap.sys
  atapi.sys
  ndis.sys
  cdrom.sys
  i8042prt.sys
  iastor.sys
  tdx.sys
  netbt.sys
  afd.sys
  /md5stop
  netsvcs
  safebootminimal
  safebootnetwork
  CREATERESTOREPOINT

• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur url=http://cjoint.com , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[DiegoRD]

http://www.cjoint.com/c/FGeagZiCvUx
http://www.cjoint.com/c/FGeag22D0vx

[g3n-h@ckm@n]

hello tu peux désinstaller ça , ça sert à rien :

SUPERAntiSpyware

supprime ca :

C:\Documents and Settings\All Users\Application Data\69B6DBD2-8E05-476F-B662-CF8D235FD499

===

t'as pas pris tout le texte pour le scan OTL

[DiegoRD]

Oups en effet je n'avais sélectionné que la partie visible.
http://www.cjoint.com/c/FGesY3pAl2x
http://www.cjoint.com/c/FGesZfBsFzx

[DiegoRD]

Comportement suspect, je ne sais pas si ça a un rapport avec une infection, mais c'est arrivé une fois hier et deux fois aujourd'hui : la barre des tâches ne répond plus, ctrl+alt+sup ne fait plus apparaitre le gestionnaire des tâches, je ferme tout avec alt+f4 mais à la fin il ne propose pas de redémarrer ou arrêter l'ordi comme il devrait, je ne peux alors rien faire d'autre qu'un reset...
edit : Ca vient encore de le faire...

edit : Et de temps en temps j'ai encore ce message très suspect qui apparait :
firefox.exe - repositionnement de DLL système non autorisé
La DLL système kernel32.dll a été repositionnée en mémoire. L'application ne s'exécutera pas correctement. Le repositionnement a été fait car la DLL Dynamic Allocated Memory occupait une zone d'adresse réservée pour les DLL système de Windows NT. Le vendeur ayant fourni la DLL doit être contacté pour en objtenir une nouvelle.

[g3n-h@ckm@n]

bonjour désinstalle sunbelt firewall , je pense que c'est lui qui te crée des problemes

[DiegoRD]

Ca serait bizarre, ça fait des années que je l'utilise et ça n'était jamais arrivé. Ca ne serait pas plutot un des virus qui aurait altéré des fichiers de Windows ?
Je pense que je vais réinstaller Windows prochainement, mais je voulais être sûr d'être débarrassé des virus avant.
Tout a l'air bon d'après les derniers rapports ?

[g3n-h@ckm@n]

oui

toutes facons , rares sont les infections qui survivent à un formatage lol ^^

du moment que tu formates la partition avant comme ca t'es sur lol

tiens au courant tout de même

[DiegoRD]

Je ne formate que le C quand je réinstalle Windows, pas le D et le E ni les données importantes qu'elles contiennent même si j'en ai évidement une copie sur disque externe par précaution, donc j'avais peur qu'un virus y reste caché et détériore aussitôt mon Windows "tout neuf".
Bah c'est cool si je m'en suis enfin sorti. Merci bien.
Ok, je surveillerai et je reviendrai si je note quelque-chose.

( Je ne trouve comment marquer ce sujet en résolu. )

[g3n-h@ckm@n]

bonjour

personnellement je trouve un peu bête de couper le disque en plusieurs morceaux, et de toutes facons certaines infectent les executables de toutes les partitions ( html , exe, dll, scr, etc.... ) , donc mieux vaut souvent sauvegarder sur un externe qui reste déconnecté et n utiliser le disque , uniquement pour le système ( qui soit-dit-en-passant ,e s'en portrera que mieux ayant beaucoup de place pour travailler )

[DiegoRD]

J'ai réinstallé, et j'ai encore des infections...

( Au passage j'ai mis Windows 7 pour essayer plutot que XP, et j'ai remplacé Sunbelt Firewall, incompatible avec 7, par ZoneAlarm. )

Malwarebytes Anti-Malware a trouvé :
3 fois PUP.Optional.Conduit et 1 fois PUM.Optional.DisableShowMyComputer dans la base de registre.

drWeb a trouvé :
Trojan.PWS.Panda.5661 dans zatray.exe.2196 dans la ram (ZoneAlarm?)
Trojan.PWS.Nitro dans nvvscv.exe.1308 dans la ram (pilote NVidia?)
Adware.Toolbar.493 dans unlocker_1-9-2_fr_20237.exe

J'uploade les rapports ou ce sont juste de faux positifs ?

[g3n-h@ckm@n]

tu les as téléchargé où les progs ?

[DiegoRD]

Le trial de Windows 7 sur le site de microsoft.
Zone Alarm sur https://www.zonealarm.com/software/free-firewall/
Le pilote nvidia sur nvidia.fr
drWeb sur le lien que tu m'as donné.
MalwareBytes je ne sais plus, j'ai repris un vieux fichier d'install que j'avais déjà, mais il vient probablement du site officiel aussi. Ca fait des années que je fuis les sites de téléchargement alternatifs, j'en ai connu trop qui ajoutaient sournoisement des trucs dans l'install, qui modifiaient le moteur de recherche par défaut sans prévenir etc.
Pour Unlocker je ne me souviens plus du tout non-plus. C'est un petit truc qui sert juste à dévérouiller les fichiers qui restent vérouillés par un processus et qu'on n'arrive pas à effacer, donc ce n'est pas étonnant qu'il soit parfois pris pour un virus, mais là apparemment c'est juste la toolbar proposée pendant l'install qui a été détectée.