E:\ C:\ D:\ F:\autorun.inf

Question

Bonjour ,  
ça fais 5 jours que j'ai attrapé un Autorun.inf  
il m'a causé les problèmes suivants :  
- Impssible de faire un : Ctrl+Alt+Suppr  
-impossible de faire apparaitre les fichiers/dossiers cachés  
- dès que je fais un clique droit sur un fichier mon pc se bloque 

et mon antivirus (Avira ) n'arrête pas de me dire : Guard : Autorun blocked   

Access to the file C:\autorun.inf was blocked for your security  


J'ais fais alors un scan HijackThis et voici le LOG :  
Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 11:31:10, on 26/03/2010  
Platform: Windows XP SP2 (WinNT 5.01.2600)  
MSIE: Internet Explorer v7.00 (7.00.6000.16762)  
Boot mode: Normal  

Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\Program Files\Avira\AntiVir Desktop\sched.exe  
C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe  
C:\Program Files\Avira\AntiVir Desktop\avguard.exe  
C:\Program Files\Application Updater\ApplicationUpdater.exe  
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe  
C:\Program Files\Java\jre6\bin\jqs.exe  
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe  
C:\WINDOWS\System32\PAStiSvc.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\Explorer.EXE  
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe  
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE  
C:\WINDOWS\system32\wscript.exe  
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe  
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe  
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe  
C:\Program Files\Java\jre6\bin\jusched.exe  
C:\Program Files\pdfforge Toolbar\SearchSettings.exe  
D:\AutorunRemover\AutorunRemover.exe  
C:\WINDOWS\system32\wscript.exe  
C:\WINDOWS\system32\wscript.exe  
C:\WINDOWS\system32\wscript.exe  
C:\WINDOWS\system32\ctfmon.exe  
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe  
C:\PROGRA~1\Windows Live\Messenger\msnmsgr.exe  
D:
okia 5800\pc suite\Nokia PC Suite 7\PCSuite.exe  
C:\WINDOWS\system32\wscript.exe  
C:\WINDOWS\system32\wbem\wmiapsrv.exe  
C:\Program Files\Mozilla Firefox\firefox.exe  
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe  
C:\Program Files\Menara\dslmon.exe  
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe  
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe  
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe  
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe  
C:\Program Files\Mozilla Firefox\firefox.exe  
C:\WINDOWS\system32\wscript.exe  
C:\WINDOWS\system32\wscript.exe  
C:\Documents and Settings\user\Bureau\HiJackThis.exe  

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.co.ma/?gws_rd=ssl  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =   
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll  
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll  
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll  
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll  
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)  
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll  
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll  
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll  
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll  
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll  
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (file missing)  
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll  
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll  
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll  
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll  
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll  
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll  
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll  
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (file missing)  
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"  
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"  
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot  
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32  
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC  
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC  
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k  
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min  
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"  
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe  
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe  
O4 - HKLM\..\Run: [AutorunRemover.exe] D:\AutorunRemover\AutorunRemover.exe -Hide  
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\sysdllegedit.exe  
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\imwin.jpg  
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe  
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"  
O4 - HKCU\..\Run: [L08FXLRD_6599312] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE" -m  
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  
O4 - HKCU\..\Run: [TaskMon] C:\WINDOWS\system32	askmon.exe  
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\Windows Live\Messenger\msnmsgr.exe" /background  
O4 - HKCU\..\Run: [tbfmsyfm] "c:\documents and settings\user\local settings\application data	bfmsyfm.exe" tbfmsyfm  
O4 - HKCU\..\Run: [PC Suite Tray] "D:
okia 5800\pc suite\Nokia PC Suite 7\PCSuite.exe" -onlytray  
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\sysdllegedit.exe  
O4 - HKCU\..\Run: [explo] C:\Documents and Settings\user\Application Data\msn.exe  
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1151601.exe -Update -1151601 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB5; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 1.1.4322; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"https://www.miniclip.com/games/fast-car-frenzy/en/"  
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\sysdllegedit.exe  
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\sysdllegedit.exe  
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')  
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')  
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')  
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe  
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE  
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe  
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm  
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm  
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites  
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000  
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000  
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?5f63117abda048b589c088c951e809fc  
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?5f63117abda048b589c088c951e809fc  
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll  
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll  
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll  
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll  
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll  
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll  
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll  
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL  
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll  
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe  
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe  
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab  
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2E983DD-0A82-4A94-9EFA-7461D5FA5417}: NameServer = 62.251.229.237 62.251.229.223  
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll  
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL  
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe  
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe  
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe  
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe  
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe  
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE  
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe  
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - D:\Ares\chatServer.exe (file missing)  
O23 - Service: Defragmentation-Service (DfSdkS) - Unknown owner - D:\logiciels\ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe (file missing)  
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe  
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe  
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe  
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe  
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe  
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe  

End of file - 14096 bytes  

Merci d'avance pour votre Aide  
   
Configuration: Configuration: Windows XP / Firefox 3.0.18

moment de grace · Accepted Answer

bonjour

il y a beaucoup d'infection differente sur ce pc...et donc mieux à faire

Télécharge ZHPDiag ( de? Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

vivlenet · Answer

telecharge malwarebytes mets le a jour demarre en sans echec puis scan ...

taoumek · Answer

Donc je viens de faire un scan avec ZHPDiag et voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201003/cij9irzqYt.txt

moment de grace · Answer

ok

on y va

à faire dans cet ordre et poster les rapports au fur et à mesure

1)

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option2 suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

...................................

2)

Infection Navipromo....Pour info :

Il s'installe via certains programmes, dont ceux-ci qu'il faut éviter à tout prix: 
* Funky Emoticons 
* go-astro 
* Games Attack 
* GoRecord 
* HotTVPlayer / HotTVPlayer & Paris Hilton 
* Live-Player 
* MailSkinner 
* Messenger Skinner 
* Instant Access 
* InternetGameBox 
* Officiale Emule (Version d'Emule modifiée) 
* Original Solitaire 
* SuperSexPlayer 
* Speed Downloading 
* Sudoplanet 
* Webmediaplayer

il faudrait télécharge navilog1 sur le bureau : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

 Certaines infections bloquent les téléchargements d' outils de désinfection utilisez ce lien alternatif:
 http://ww38.toofiles.com/fr/oip/documents/exe/yop3.html 


1°Double-clique sur navilog1.exe présent sur ton bureau 
2°Sélectionnez la langue désirée dans le menu puis valide le choix par la touche « entrer » 
3°Petit message d'avertissement, appuyez sur une touche pour passe à la suite 
4°un nouveau avertissement, appuie sur une touche pour suivre 
5°Vérification de l'installation de Navilog1 : si tout est bon, appuyez sur une touche pour continuer 
6°Choisir option 1 : recherche/désinfection automatique 
7°La recherche va se lancer automatiquement et peut durée quelques minutes, patientez 
8°Une fois l'analyse terminé, fermez et enregistrez votre travail en cours, puis appuiez sur une touche pour que votre pc puisse démarrer 
9°Au redémarrage du pc, Navilog va supprimer ce qu'il a trouvé, patientez quelques instants. 

Un rapport est gèneré par l'outil. Il se trouve à cette emplacement : 
XP : demarrer/poste de travail/c:/cleannavi.txt 
Vista : logo « demarrer »/ordinateur/c:/ cleannavi.txt 

.....................................

3)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

Miroir: 

https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

...................................

4)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

taoumek · Answer

ouf.. le 1er scan ma pris beaucoup de temps 
Donc le voici :

############################## | UsbFix V6.100 |

User : user (Administrateurs) # USER-7DEADE1F4C
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:39:11 | 26/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Bitdefender Antivirus 8.0 [ (!) Disabled | Updated ]
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Bitdefender Firewall[ (!) Disabled ]8.0
FW : Avira Firewall[ Enabled ]9.0.1.32

A:\ -> Lecteur de disquettes 3 ½ pouces
B:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (525,26 Mo free) # NTFS
D:\ -> Disque fixe local # 19,53 Go (2 Go free) [najib] # NTFS
E:\ -> Disque fixe local # 19,53 Go (18,97 Go free) # NTFS
F:\ -> Disque fixe local # 18,09 Go (14,62 Go free) # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\System32\imwin.jpg 
Supprimé ! C:\WINDOWS\System32\winxp.exe 
Supprimé ! C:\autorun.inf 
Supprimé ! C:\image.jpg 
Supprimé ! C:	emp.temp 
Supprimé ! C:\Recycler\S-1-5-21-796845957-602162358-682003330-1003 
Supprimé ! D:\autorun.inf 
Supprimé ! D:\image.jpg 
Supprimé ! D:\autorun.inf.txt 
Supprimé ! D:\Recycler\S-1-5-21-796845957-602162358-682003330-1003 
Supprimé ! E:\autorun.inf 
Supprimé ! E:\image.jpg 
Supprimé ! E:\Recycler\S-1-5-21-796845957-602162358-682003330-1003 
Supprimé ! F:\autorun.inf 
Supprimé ! F:\image.jpg 
Supprimé ! F:\Recycler\S-1-5-21-796845957-602162358-682003330-1003 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Bifrost]  
Supprimé ! [HKLM\SOFTWARE\Bifrost]  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "regdiit"  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwtsn32.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsegedit.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsstrui.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{c7fdff9b-e1c5-11de-9d2b-4d6564696130}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e37cab65-ee81-11dc-a5fb-4d6564696130}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/02/2008 12:34|--a------|0] C:\AUTOEXEC.BAT 
[18/02/2008 12:30|---hs----|212] C:\boot.ini 
[27/03/2002 06:26|-rahs----|4952] C:\Bootfont.bin 
[14/03/2009 18:59|--a------|41993] C:\config.cnf 
[18/02/2008 12:34|--a------|0] C:\CONFIG.SYS 
[?|?|?] C:\hiberfil.sys 
[18/02/2008 12:34|-rahs----|0] C:\IO.SYS 
[18/02/2008 12:34|-rahs----|0] C:\MSDOS.SYS 
[04/08/2004 00:38|-rahs----|47564] C:\NTDETECT.COM 
[04/08/2004 00:59|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[21/03/2008 11:42|--a------|22685480] C:\SkypeSetup.exe 
[26/03/2010 12:50|--a------|3708] C:\UsbFix.txt 
[03/05/2008 11:43|--a------|3739] C:\WINDOWSMOBILOG.TXT 
[30/01/2010 20:21|---------|36781] D:\Adobe_After_Effects_Pro_CS3_Incl_Crack.torrent 
[11/01/2010 16:20|--a------|48] D:\animation flash.txt 
[23/03/2010 12:40|--a------|17698] D:\Black_Rebel_Motorcycle_Club_Beat_The_Devils_Tattoo_2010_.torrent 
[08/01/2010 09:43|--a------|19213] D:\Controle word 4 01 2010.xml 
[08/01/2010 09:43|--a------|29696] D:\Controle word 7 01 2010.doc 
[19/01/2010 19:12|--a------|107360] D:\corriger fisique1.pdf 
[19/02/2010 18:53|--a------|2345378] D:\dj najib 2.mp3 
[20/02/2010 16:56|--a------|8470569] D:\dj najib 3.mp3 
[14/02/2010 17:38|--a------|13170102] D:\dj najib).mp3 
[14/02/2010 17:08|--a------|298422] D:\dj najib.mp3 
[16/02/2010 12:37|--a------|13822844] D:\Drum_loops_01.rar 
[16/02/2010 12:59|--a------|940848] D:\Electric Guitar A-20253-Free-Loops.com.wav 
[26/02/2010 20:45|--a------|96429577] D:\english.wmv 
[06/01/2010 13:39|--a------|32256] D:\facture.doc 
[16/02/2010 12:52|--a------|806576] D:\Hip Hop Robots 4.wav-22632-Free-Loops.com.wav 
[21/03/2010 15:44|---------|42579] D:\HTC Touch Diamond.torrent 
[19/03/2010 13:38|---------|37086] D:\iphone-ipod touch apps package.torrent 
[19/02/2010 18:21|--a------|286511] D:\ladies & gentelman iam najib.mp3 
[19/03/2010 16:51|---------|61469] D:\Nokia 5800 Mega Pack [SignedApps] [Games] [Wallpapers].torrent 
[20/03/2010 17:18|--a------|4802] D:\Nokia_5800_14_Best_Games__640x360_.torrent 
[11/01/2010 15:04|--a------|67] D:\Nouveau Document texte.txt 
[11/01/2010 14:38|--a------|193211] D:\ordre.pdf 
[19/01/2010 19:11|--a------|74098] D:\phisique1f.pdf 
[24/11/2009 19:36|--a------|13929085] D:\presentation.wmv 
[02/12/2009 08:21|--a------|3094759] D:\setup.exe 
[19/03/2010 16:55|---------|3335] D:\Themes for Nokia 5800 XpressMusic Xrg.rar.torrent 
[15/03/2010 13:10|--ahs----|4608] D:\Thumbs.db 
[16/02/2010 12:46|--a------|1210504] D:\Trance Intro-23880-Free-Loops.com.wav 
[20/02/2010 17:49|--a------|103932] D:\VirtualDJ Local Database v6.xml 
[02/01/2010 16:19|--a------|1382] D:\yes.html 
[05/01/2010 11:02|--a------|28160] D:\_procuration(11111 
[05/01/2010 21:07|--a------|147968] D:\?????.doc 
[11/01/2010 14:38|--a------|193211] D:\?????.pdf 
[11/01/2010 14:38|--a------|193211] D:\?????.pdf 
[16/02/2010 13:02|--a------|52580] D:\??????? ??????? ?? ????? ?????? ???? ??????? ?? ???? ?? ????? ????? ?? ????? ?????? ???????? ?? ?????? ??????.docx 
[14/05/2009 17:49|--a------|42727] E:\algesiras  saragoza 2.docx 
[14/05/2009 17:35|--a------|13412] E:\algesiras saragoza.docx 
[04/05/2008 16:21|--a------|3111429] E:\Animals_demo_Francais.sit 
[19/02/2009 16:04|--a------|15258] E:\attestation de scolarit'.docx 
[17/03/2008 16:34|--a------|249897] E:\Cours-de-marketing1.pdf 
[07/05/2009 17:32|--a------|64211] E:\d avigon bruxelles.docx 
[03/04/2008 18:23|--a------|89033] E:\delaireglement2007b.pdf 
[17/03/2008 16:37|--a------|315392] E:\marketing4.ppt 
[06/01/2010 19:26|--a------|28160] E:\_procuration.doc 
[06/05/2009 12:06|--a------|41897] E:\?????? ???????.docx 
[06/05/2009 11:21|--a------|2283839] E:\????????gateau.docx 
[06/05/2009 11:56|--a------|421115] E:\???? ?docx.docx 
[06/05/2009 11:37|--a------|240150] E:\???? ???????? ??????.docx 
[04/03/2008 13:13|--a------|80115] F:\0_0.jpg 
[04/03/2008 13:23|--a------|68950] F:\0_045.jpg 
[04/03/2008 13:24|---------|62978] F:\0_0klk.jpg 
[05/01/2007 06:55|--a------|24578952] F:\AdbeRdr812_fr_FR.exe 
[13/03/2008 19:17|--a------|115] F:\admission fr cpge.url 
[06/03/2008 20:35|--a------|3961] F:\Al Akhawayn University Online Application.htm 
[05/01/2007 05:59|--a------|13728] F:\candidature595159_3388966.pdf 
[08/03/2008 18:14|--a------|13695] F:\candidature595159_9857522(new).pdf 
[25/02/2009 21:28|--a------|30208] F:\certificat de scolarit'.doc 
[25/02/2009 21:26|--a------|12336] F:\certificat de scolarit'.docx 
[31/12/2008 22:16|--a------|1934413] F:\chap1.docx 
[31/12/2008 22:54|--a------|320459] F:\chapitre4 (Autosaved).docx 
[31/12/2008 22:21|--a------|320266] F:\chapitre4.docx 
[06/03/2008 20:39|--a------|152576] F:\Create account.doc 
[12/03/2008 20:11|--a------|132698] F:\emigration.pdf 
[19/03/2008 10:56|--a------|37888] F:\es_s_2007_sujet.doc 
[03/03/2008 21:11|--a------|80815] F:\exa2smjuillet07.pdf 
[30/12/2008 14:53|--a------|69] F:\feeds.opml 
[05/01/2007 06:19|--a------|117868] F:\financialaid-undergrad-scholarshipapp.pdf 
[18/01/2009 19:52|--a------|11521] F:\frree.docx 
[03/04/2009 13:26|--a------|856340] F:\IMAG2356.AVI 
[08/03/2008 17:16|--a------|6325] F:\internat595159_6064501.pdf 
[08/03/2008 18:16|--a------|6339] F:\internat595159_9977175(new).pdf 
[03/03/2008 21:12|--a------|80820] F:\juin072sm.pdf 
[05/04/2008 12:28|--a------|124] F:\lettre motivation.txt 
[07/03/2008 12:23|--a------|35328] F:\map.doc 
[05/02/2009 07:20|--a------|70144] F:\memoire.doc 
[10/03/2008 12:25|--a------|46078] F:\Microsoft_Office_2007_Complete_Version___CD_Key.3895091.TPB.torrent 
[13/03/2008 12:03|--a------|1291576] F:\setup_magicdisc93.exe 
[13/03/2008 11:56|--a------|3061518] F:\Setup_MagicISO.exe 
[28/03/2008 19:03|--a------|133] F:	elecarte.url 
[20/02/2010 02:08|--ahs----|13312] F:\Thumbs.db 
[09/01/2009 11:54|--a------|1695194] F:	t la physique (thermodynamique).docx 
[18/02/2010 19:36|--a------|47115] F:\VirtualDJ Local Database v6.xml 
[09/01/2009 11:50|--ah-----|162] F:\~$ la physique (thermodynamique).docx 
[31/12/2008 22:21|--ah-----|162] F:\~$apitre4.docx 
[10/03/2008 09:29|--a------|35452] F:\??????? ???? ???? - (( ???? ?????? ? ?????? ? ?????? (( ??? ??? ? )).htm 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_USER-7DEADE1F4C.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.100 ! |

moment de grace · Answer

vu

faut dire aussi qu'il avait du boulot

tu peux enchainer même si je ne suis pas là

je reprendrais apres MBAM

@

taoumek · Answer

ok ,
 
je te remercie énormément !!!!! ^^

taoumek · Answer

2e scan effectué

Fix Navipromo version 4.0.8 commencé le 26/03/2010 13:18:48,68

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : 786B2 v1.11
USER : user ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
Firewall  : Avira Firewall 9.0.1.32 (Activated)

A:\ (USB)
B:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:1 Go)
D:\ (Local Disk) - NTFS - Total:19 Go (Free:1 Go)
E:\ (Local Disk) - NTFS - Total:19 Go (Free:18 Go)
F:\ (Local Disk) - NTFS - Total:18 Go (Free:14 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\WINDOWS\system32
vs2.inf supprimé !
c:\docume~1\user\locals~1\applic~1	bfmsyfm.dat supprimé !
c:\docume~1\user\locals~1\applic~1	bfmsyfm_nav.dat supprimé !
c:\docume~1\user\locals~1\applic~1	bfmsyfm_navps.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\user\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !



*** Scan terminé 26/03/2010 13:26:18,07 ***

taoumek · Answer

3e scan effectué :
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 23/03/10 à 14:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:38:40 le 26/03/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 2 - X86
Nom du PC: USER-7DEADE1F4C | Utilisateur actuel: user (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Documents and Settings\user\Application Data\pdfforge
C:\Documents and Settings\user\Application Data\Search Settings
C:\Program Files\Application Updater
C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
C:\Program Files\pdfforge Toolbar
.
HKCU\Software\AppDataLow\Software\pdfforge
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Search Settings
HKLM\Software\Application Updater
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\pdfforge
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome\locale\en-US\searchsettingsplugin.dtd
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\install.rdf
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.18 (fr) *
.
C:\Documents and Settings\user\..\j0s54ei0.default\prefs.js - browser.download.lastDir: D:\nokia 5800\mYTactile
C:\Documents and Settings\user\..\j0s54ei0.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.18
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Use Custom Search URL: 1
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Documents and Settings\user\Application Data\uTorrent\RegDoctor.v2.08.WinAll.Cracked-Keymaker.torrent
C:\Documents and Settings\user\Bureau\[isoHunt] Avira_Antivir_Premium_9.0.0.403___Crack.5205815.TPB.torrent
C:\Documents and Settings\user\Mes documents\Downloads\RegDoctor.v2.08.WinAll.Cracked-Keymaker\RegDoctor.v2.08.WinAll.Cracked-Keymaker.rar
C:\Documents and Settings\user\Mes documents\setup\Magic.ISO.Maker.v5.4_KEYGEN-FFF\FFF.NFO
C:\Documents and Settings\user\Mes documents\setup\WinRAR_3.80_Best_Crack.4768948.TPB.torrent
.
========================================
.
C:\DOCUME~1\user\LOCALS~1\Temp: 20 Fichier(s), 4 Dossier(s)
C:\WINDOWS\temp: 2 Fichier(s), 0 Dossier(s)
Temporary Internet Files: 405 Fichier(s), 39 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 5360 Octet(s)
.
Fin à: 13:51:35, 26/03/2010
.
============== E.O.F - SCAN[1] ==============

taoumek · Answer

et pour le 4em scan : 
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3916
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

26/03/2010 15:18:25
mbam-log-2010-03-26 (15-18-25).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 306656
Temps écoulé: 1 hour(s), 14 minute(s), 59 second(s)

Processus mémoire infecté(s): 4
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
C:\WINDOWS\system32\sysdllegedit.exe (Malware.Mod) -> Unloaded process successfully.
C:\WINDOWS\system32\sysdllegedit.exe (Malware.Mod) -> Unloaded process successfully.
C:\WINDOWS\system32\sysdllegedit.exe (Malware.Mod) -> Unloaded process successfully.
C:\WINDOWS\system32\sysdllegedit.exe (Malware.Mod) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3c1m8q1j-0d0m-3645-k0jg-7f8q2c73eyov} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gtool.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2bc9a3bd-9ff9-4c52-b8b8-8051adaa7ff6} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7a8c49cb-a790-4024-b1fb-0c01094f379d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{53322b35-2c26-4fac-a713-c31bbaa1c636} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{53322b35-2c26-4fac-a713-c31bbaa1c636} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9d71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9d71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Turkojan (Backdoor.Turkojan) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\bifrost1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Malware.Mod) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Malware.Mod) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Malware.Mod) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Malware.Mod) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\sysdllegedit.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Application Data\file.exe (Malware.Mod) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Application Data\filesss.exe (Malware.Mod) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Application Data\filsse.exe (Malware.Mod) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Mes documents\setup\blender-2.49b-windows.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
D:\logiciels\logiciels2\CryptLoad_1.1.8\ocr
etload.in\asmCaptcha	est.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Temp\XX--XX--XX.txt (Malware.Trace) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

tu peux vider la quarantaine de MBAM

comment va le pc maintenant ?

relances ZHP et fais moi un nouveau rapport stp

taoumek · Answer

Mercii beaucoup !!!!!!!!!!!!!!!!!!!:D

MOn PC est maintenant  100% clean 

gros merci a toi moment de grace

moment de grace · Answer

relances ZHP et fais moi un nouveau rapport stp

taoumek · Answer

le voila ,
http://www.cijoint.fr/cjlink.php?file=cj201003/cijIZBMsnJ.txt

gen-hackman · Answer

lol ^^

taoumek · Answer

Alors ??
mon pc est propre maintenant ??

moment de grace · Answer

non pas tout à fait 

reste un truc à virer..

(lol = L_K)

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection) 

Télécharge et installe List&Kill'em et enregistre le sur ton bureau 
http://sd-1.archive-host.com/...


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

coche la case "creer une icone sur le bureau" 

une fois terminée , clic sur "terminer" et le programme se lancer seul 

choisis la langue puis choisis l'option SEARCH

 laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini. 

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

taoumek · Answer

Le lien ne marche pas :'(

gen-hackman · Answer

salut desactive l'antivirus pour le telecharger

taoumek · Answer

ca marche toujours pas , FireFox m'affiche le message suivant :

Délai d'attente dépassé
Le serveur à l'adresse sd-1.archive-host.com met trop de temps à répondre.

taoumek · Answer

??

moment de grace · Answer

il fonctionne chez moi

essaies par internet explorer

taoumek · Answer

Programme téléchargé , mais il fonction pas ,:
Fenêtre MS-DOS qui  disparaisse  rapidement

moment de grace · Answer

as tu fais clic droit "executer en tant qu'administrateur"

gen-hackman · Answer

salut sinon le PC n'est pas à lui.....................^^

taoumek · Answer

Euh .Je reviens
Ca marche toujours pas

taoumek · Answer

y a pas d'autre solution ??

moment de grace · Answer

essaies avec celui là

http://sd-2.archive-host.com/membres/up/135518691112296573/List_Killem_Install.exe

taoumek · Answer

ca marche toujours pas :'(
je crois que je ne peux rien faire
j'espère que ce truc que je dois virer n'est pas dangereux.

moment de grace · Answer

Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ". 

ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes 

C:\Program Files\pdfforge Toolbar\SearchSettings.exe    
R3 - URLSearchHook: Microsoft Url Search Hook - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) (1, 2, 3, 16) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll 
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll 
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- 
O4 - HKLM\..\Run: [SearchSettings] . (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe 
 M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com     
 M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\searchsettings@spigot.com  



Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message

taoumek · Answer

voila ,
ZHPFix v1.12.3080  by Nicolas Coolman - Rapport de suppression du 27/03/2010 13:41:37
Fichier d'export Registre : D:\ZHPExportRegistry-27-03-2010-13-41-37.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Program Files\pdfforge Toolbar\SearchSettings.exe  => Fichier supprimé au reboot

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll  => Clé absente

Valeur du Registre :
O4 - HKLM\..\Run: [SearchSettings] . (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe  => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\pdfforge toolbar\searchsettings.dll  => Fichier absent
c:\program files\pdfforge toolbar\searchsettings.exe  => Fichier supprimé au reboot
c:\program files\mozilla firefox\extensions\pdfforge@mybrowserbar.com  => Fichier absent
c:\program files\mozilla firefox\extensions\searchsettings@spigot.com  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 4
Logiciel : 0
Autre : 0


End of the scan

moment de grace · Answer

ok c'est bon 

comment va le pc ?

taoumek · Answer

je pense qu'il va mieux maintenant
:)
Je Te remercie  énormément =)

=> je pense que ZHPFix  a besoin d'un reboot pour qu'il puisse suprimer tout les fichiers

moment de grace · Answer

oui redemarres le pc

ensuite relances Ad Remover

choisis l'option nettoyage

laisses faire l'outil 

et poste le rapport

Utilisateur anonyme · Answer

Bonsoir, 

J'ai le même problème sur les disques C: et D: et j'ai essayé de me débrouiller toute seule mais en vain. J'ai déjà quelques questions à poser (histoire de comprendre un minimum où sont mes erreurs ou autre).

Ma clé usb avait déjà été infectée par un autorun et autres cochonneries et j'avais donc fait des scan usbfix puis vaccinée avec panda vaccine ma clé ainsi que mon PC mais apparement cela s'est reproduit et a finalement infecté mon PC si je comprends bien.
Ce we, j'ai réinstallé la nouvelle version de USBfix et fait un scan qui ne m'a apparemment rien supprimé, fait un scan malwarebytes qui ne trouve rien et un scan antivir qui ne trouve rien non plus.
Finalement j'ai décidé de formater ma clé usb mais avec mon PC infecté, est ce qu'il y a un risque qu'elle ait été de nouveau infectée et que je contamine les ordinateurs qui seront de nouveau en contact avec elle ? (elle ne retouchera plus mon ordi de toute façon car tous ces problèmes proviennent d'autres ordis)
Après j'ai voulu la vacciner avec Panda vaccine mais mon antivirus m'a mis le meme message comme quoi autorun.inf était bloqué pour ma sécurité. J'ai donc désinstallé panda vaccine.
Est-ce que les autorun qui sont sur mes disques C et D et que trouve antivir sont vraiment des virus ou pourraient être des autorun créés par usbfix ou panda vaccine ? Comment le savoir ? 
De plus je ne les voit pas même en fichiers cachés...
Je me demande si je n'ai pas fait trop d'installation de programmes pour m'aider et fait un peu n'importe quoi avec tout cela (vaccination ou autre) et comment puis-je faire pour retrouver un PC clean...

Utilisateur anonyme · Answer

UP

Utilisateur anonyme · Answer

Aidez moi stp :(
Est ce que je fais comme indiqué au dessus ou est ce que je dois avoir une autre procédure?

gen-hackman · Answer

bonsoir moment de grace s'est couché tôt ce soir

t'inquietes qu'il sera tôt ici demain ^^ lol

Utilisateur anonyme · Answer

Merci parce que la j'en dors plus j'ai horreur de ces bestioles. USBFix n'arrive pas a les supprimer alors que chez tout le monde oui :( j'ai posté mes scan dans deux autres discu

gen-hackman · Answer

ben c'est pas cool de poster ailleurs.....

Utilisateur anonyme · Answer

Désolée, je ne connais pas trop le principe des forum. J'ai pas eu de réponse pour l'instant et je suis surtout affolée.

gen-hackman · Answer

ne t'inquiete pas !

moment de grace va revenir et t'aider mais il faut comprendre que les gens dorment ^^ et ne sont pas dispo 24/24 , étant bénévoles

Utilisateur anonyme · Answer

Oui oui désolée, 
puis je me doute bien que je ne suis pas la seule. 
Juste que j'ai pas derep disant qu'il allait pouvoir m'aider donc j'ai un peu de mal a prendre sur moi lorsque j'ai des soucis comme ca. Vive les ulcères :)
Mais merci de me rassurer

gen-hackman · Answer

^t'inquietes !!

moment de grace · Answer

hello

j'peux pas dormir quand on vient m'embrouiller chez moi aussi !!!

@n'y_connait_rien

je n'ai pas répondu car ce n'est pas ton sujet ici

néanmoins puisqu'il est abandonné restons y

1)

explique tes sousis

2)

Télécharge ZHPDiag ( de Nicolas coolman ). 
ftp://zebulon.fr/ZHPDiag.exe

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

Utilisateur anonyme · Answer

Bonjour, 

Déjà, je tiens à m'excuser pour la pagaille que j'ai installé. Je ne connais pas la marche a suivre sur les forum s'il fallait continuer ou recréer un sujet.

1) Mes soucis : 

Mon antivirus (Antivir) me dit qu'il bloque autorun.inf sur mes disque E: et C:. Ma clé usb avait déjà été infectée par un autorun et autres cochonneries en mai et j'avais donc fait des scan usbfix puis vaccinée avec panda vaccine ma clé et mon PC mais apparement cela s'est reproduit et a bien finalement infecté mon PC si je comprends bien.

Ce we, j'ai refais un scan avec USBfix qui ne m'a apparemment rien supprimé car juste apres Antivir me refait les meme message de blocage. J'ai aussi fait un scan avec malwarebytes qui ne trouve rien et un scan antivir qui ne trouve rien non plus. D'ailleurs mon antivir n'arrive plus a faire ses mises a jour. Je me demande donc si cela ne proviens pas de ces autorun.inf ou dois-je le faire manuellement (comment faire dans ce cas ?).

Finalement j'ai décidé de formater ma clé usb mais avec mon PC infecté, est ce qu'il y a un risque qu'elle ait été de nouveau infectée et que je contamine les ordinateurs qui seront de nouveau en contact avec elle ? (elle ne retouchera plus mon ordi de toute façon car tous ces problèmes proviennent d'autres ordis avec lesquels elle est tres souvent en contact et pas le choix qu'elle le soit)
Après j'ai voulu la vacciner avec Panda vaccine mais mon antivirus m'a mis le meme message comme quoi autorun.inf était bloqué pour ma sécurité. J'ai donc désinstallé panda vaccine.

Est-ce que les autorun qui sont sur mes disques C et E que trouve antivir sont vraiment des virus ou pourraient être des autorun créés par usbfix ou panda vaccine ? Comment le savoir ?

Je me demande si je n'ai pas fait trop d'installation de programmes pour m'aider et fait un peu n'importe quoi avec tout cela (vaccination ou autre) et comment puis-je faire pour retrouver un PC clean...

2) je vais le faire.


En tout cas merci pour votre réponse et encore désolée

moment de grace · Answer

reste ici  https://forums.commentcamarche.net/forum/affich-19196379-antivir-mise-a-jour-impossible

tu as un bon helpeur avec toi

Utilisateur anonyme · Answer

ok bon ben je retourne avec lui 
merci bcp !

E:\ C:\ D:\ F:\autorun.inf

48 réponses

Votre réponse

Discussions similaires

Newsletters