Pup.dealio détecté par malwarebytes

Résolu
Niwaad -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,
après une vérification de routine avec malwarebytes, celui-ci me trouve un certain nombre de pup.dealio attachés à des registres. Je compte les supprimer, quelle est la marche à suivre par la suite?
Merci d'avance pour un peu d'aide!
(ci-après le rapport malwarebytes)



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5731

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10/02/2011 16:18:53
mbam-log-2011-02-10 (16-18-50).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 325488
Temps écoulé: 1 heure(s), 22 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> 1796 -> No action taken.
c:\program files\fichiers communs\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> 3240 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> No action taken.
c:\program files\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> No action taken.
c:\program files\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> No action taken.
c:\program files\fichiers communs\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.
c:\program files\fichiers communs\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> No action taken.

25 réponses

  • 1
  • 2
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    * Reance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    0
  2. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut a vous

    edit

    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
  3. Niwaad
     
    Ok merci pour les réponses!
    voici le rapport après suppression:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5731

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    10/02/2011 16:55:35
    mbam-log-2011-02-10 (16-55-35).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 325488
    Temps écoulé: 1 heure(s), 22 minute(s), 54 seconde(s)

    Processus mémoire infecté(s): 2
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 6
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> 1796 -> Unloaded process successfully.
    c:\program files\fichiers communs\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> 3240 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
    c:\program files\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> Quarantined and deleted successfully.
    c:\program files\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Quarantined and deleted successfully.
    c:\program files\fichiers communs\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
    c:\program files\fichiers communs\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
    0
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance MBAM et vide la quarantaine.

    On va faire un diagnostic de ton PC:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Niwaad
     
    Vraiment désolé mais le téléchargement de ZHpDiag ne se lance absolument pas pour moi (et le lien en ftp disponible pointe vers une arborescence vide)... Un autre moyen de récupérer la dernière version?
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Essaie avec ce lien:
    http://www.moncompteur.com/compteurclick.php?idLink=18026

    Smart
    0
  8. Niwaad
     
    C'est bon merci, voici le lien du ZHpDiag.txt
    http://www.cijoint.fr/cjlink.php?file=cj201102/cij82h63no.txt
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Toujours pas à jour. Tu n'as pas désinstallé la premirère version de ZHPDiag

    Il faut recommencer

    Smart
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Désolé. c'est de ma faute c'est à jour.
    Je m'occupe du rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as une infection USB, c'est à dire par supports amovibles.
    pour ton iformation lis les dossiers ci-dessous:
    Infections par disques amovibles
    Infections par disques amovibles 2

    Tu vas faire ceci:

    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : "Recherche"

    Smart
    0
  12. Niwaad
     
    Damned! J'ai jamais fait confiance à ces machins usb! Voilà le résultat:

    ############################## | UsbFix 7.039 | [Recherche]

    Utilisateur: Jérémy (Administrateur) # DGEYDGEY [ ]
    Mis à jour le 09/02/2011 par El Desaparecido / C_XX
    Lancé à 20:29:15 | 10/02/2011
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512

    Pare-feu Windows: Activé
    Antivirus: BitDefender Antivirus 12.0 [(!) Disabled | Updated]
    Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
    Firewall: BitDefender Firewall 12.0 [(!) Disabled]
    RAM -> 2815 Mo
    C:\ (%systemdrive%) -> Disque fixe # 149 Go (79 Go libre(s) - 53%) [] # NTFS
    D:\ -> Disque fixe # 137 Go (18 Go libre(s) - 13%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT
    G:\ -> CD-ROM
    H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 99%) [waca2010] # FAT32

    ################## | Éléments infectieux |

    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{2232fc63-bee4-11de-9a55-00248c66f364}
    Shell\AutoRun\Command = H:\LaunchU3.exe -a

    HKCU\.\.\.\.\Explorer\MountPoints2\{66607887-2460-11de-98e3-00248c66f364}
    Shell\AutoRun\Command = lavica\\lovokradica.exe
    Shell\explore\Command = lavica\\\lovokradica.exe
    Shell\open\Command = lavica\\\lovokradica.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{8514c140-267f-11de-98ec-0022438413d4}
    Shell\Auto\Command = AdobeR.exe e
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

    HKCU\.\.\.\.\Explorer\MountPoints2\{b6707e68-d02d-11de-9a84-00248c66f364}
    Shell\AutoRun\Command = F:\LaunchU3.exe -a

    HKCU\.\.\.\.\Explorer\MountPoints2\{c89f0e8a-bfaa-11de-9a58-00248c66f364}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    HKCU\.\.\.\.\Explorer\MountPoints2\{cdc78651-dda2-11df-88bf-00248c66f364}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{dd3b6f21-fb0d-11de-8658-00248c66f364}
    Shell\AutoRun\Command = F:\launcher.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    0
  14. Niwaad
     
    Voilà qui est fait!

    ############################## | UsbFix 7.039 | [Suppression]

    Utilisateur: Jérémy (Administrateur) # DGEYDGEY [ ]
    Mis à jour le 09/02/2011 par El Desaparecido / C_XX
    Lancé à 21:17:03 | 10/02/2011
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512

    Pare-feu Windows: Activé
    Antivirus: BitDefender Antivirus 12.0 [(!) Disabled | Updated]
    Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
    Firewall: BitDefender Firewall 12.0 [(!) Disabled]
    RAM -> 2815 Mo
    C:\ (%systemdrive%) -> Disque fixe # 149 Go (79 Go libre(s) - 53%) [] # NTFS
    D:\ -> Disque fixe # 137 Go (18 Go libre(s) - 13%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT
    G:\ -> CD-ROM
    H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 99%) [waca2010] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\Recycler\S-1-5-21-117609710-1637723038-1801674531-1003
    Supprimé! C:\Recycler\S-1-5-21-117609710-1637723038-1801674531-1004
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1263335301-3609171577-3252856403-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1263335301-3609171577-3252856403-500
    Supprimé! D:\Recycler\S-1-5-21-117609710-1637723038-1801674531-1003
    Supprimé! D:\Recycler\S-1-5-21-117609710-1637723038-1801674531-1004

    ################## | Registre |

    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2232fc63-bee4-11de-9a55-00248c66f364}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{66607887-2460-11de-98e3-00248c66f364}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8514c140-267f-11de-98ec-0022438413d4}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b6707e68-d02d-11de-9a84-00248c66f364}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c89f0e8a-bfaa-11de-9a58-00248c66f364}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{cdc78651-dda2-11df-88bf-00248c66f364}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{dd3b6f21-fb0d-11de-8658-00248c66f364}

    ################## | Listing |

    [22/03/2010 - 19:55:43 | D ] C:\$AVG
    [10/02/2011 - 17:00:58 | N | 5489] C:\Ad-Report-CLEAN[1].txt
    [20/10/2009 - 23:29:56 | D ] C:\AHCache
    [08/04/2009 - 16:47:47 | N | 0] C:\AUTOEXEC.BAT
    [24/08/2010 - 09:35:41 | N | 212] C:\boot.ini
    [14/04/2008 - 13:00:00 | N | 4952] C:\Bootfont.bin
    [01/02/2011 - 12:35:39 | D ] C:\Config.Msi
    [08/04/2009 - 16:47:47 | N | 0] C:\CONFIG.SYS
    [16/10/2009 - 14:39:35 | D ] C:\cygdrive
    [20/10/2009 - 14:00:56 | D ] C:\cygwin
    [09/12/2009 - 12:04:51 | D ] C:\Documents and Settings
    [07/11/2007 - 07:00:40 | N | 1110] C:\globdata.ini
    [24/10/2010 - 12:19:00 | D ] C:\GT540
    [07/11/2007 - 07:03:18 | N | 562688] C:\install.exe
    [07/11/2007 - 07:00:40 | N | 843] C:\install.ini
    [08/04/2009 - 16:47:47 | N | 0] C:\IO.SYS
    [08/04/2009 - 16:47:47 | N | 0] C:\MSDOS.SYS
    [14/04/2008 - 13:00:00 | N | 47564] C:\NTDETECT.COM
    [14/04/2008 - 13:00:00 | N | 252240] C:\ntldr
    [26/05/2010 - 09:11:00 | D ] C:\NVIDIA
    [10/02/2011 - 19:01:33 | ASH | 2145386496] C:\pagefile.sys
    [10/02/2011 - 19:27:30 | D ] C:\Program Files
    [10/02/2011 - 21:20:01 | SHD ] C:\RECYCLER
    [21/09/2010 - 08:38:35 | SHD ] C:\System Volume Information
    [23/01/2011 - 22:48:53 | N | 63] C:\trace.txt
    [10/02/2011 - 21:20:01 | D ] C:\UsbFix
    [10/02/2011 - 21:20:06 | A | 1601] C:\UsbFix.txt
    [07/11/2007 - 07:00:40 | N | 5686] C:\vcredist.bmp
    [07/11/2007 - 07:09:22 | N | 1442522] C:\VC_RED.cab
    [07/11/2007 - 07:12:28 | N | 232960] C:\VC_RED.MSI
    [09/02/2011 - 14:19:50 | D ] C:\WINDOWS
    [10/02/2011 - 21:17:29 | SHD ] D:\$RECYCLE.BIN
    [11/01/2011 - 20:23:39 | D ] D:\Bast
    [27/12/2010 - 11:26:48 | N | 732239872] D:\Bus.Palladium.FRENCH.DVDRiP.XViD.avi
    [03/02/2011 - 20:05:44 | N | 1465843184] D:\Carlos.Le.Film.Subforced.French.DvdRip.XviD.avi
    [24/01/2011 - 20:46:21 | D ] D:\Flims
    [01/01/2011 - 17:29:57 | D ] D:\Kaamelott
    [08/12/2010 - 16:53:41 | N | 4694470885] D:\La.Journee.De.La.Jupe.2008.FRENCH.720p.BluRay.x264-FHD-UpByArG.mkv
    [22/10/2010 - 14:16:42 | N | 724101120] D:\Le Roi Lion (Film DivX Francais Complet de Walt DISNEY).avi
    [08/02/2011 - 18:09:39 | D ] D:\Le.Bruit.Des.Glacons.FRENCH.DVDRip.XviD-AYMO
    [07/09/2010 - 10:39:18 | D ] D:\Photos
    [10/02/2011 - 21:20:01 | SHD ] D:\RECYCLER
    [08/02/2011 - 18:10:57 | D ] D:\Red.2010.DVDRip.XviD-ViP3R
    [08/04/2009 - 16:52:39 | SHD ] D:\System Volume Information
    [22/12/2010 - 22:31:10 | D ] D:\The.Yes.Men.Fix.The.World.P2P.Edition.2010.Xvid-VODO
    [20/07/2010 - 23:28:13 | D ] D:\Universites - Le Grand Soir
    [14/01/2011 - 13:50:12 | N | 4096] F:\._.Trashes
    [14/01/2011 - 13:50:12 | D ] F:\.Trashes
    [14/01/2011 - 15:54:38 | D ] F:\.fseventsd
    [14/01/2011 - 13:50:14 | D ] F:\.Spotlight-V100
    [17/11/2010 - 17:05:54 | N | 1752] F:\XMLTools.java
    [17/11/2010 - 17:11:28 | N | 1488] F:\MultiConvAct.java
    [17/11/2010 - 17:12:30 | N | 8302] F:\CreateMCA.java
    [07/02/2011 - 09:46:18 | N | 4096] H:\._.Trashes
    [07/02/2011 - 09:46:18 | D ] H:\.Trashes
    [07/02/2011 - 09:46:18 | D ] H:\.Spotlight-V100
    [08/02/2011 - 09:14:14 | N | 113483] H:\Ecole.pdf
    [04/02/2011 - 10:24:58 | N | 3644] H:\interface.config
    [07/02/2011 - 09:46:38 | N | 5148] H:\._interface.config
    [07/02/2011 - 09:46:46 | D ] H:\textinput
    [07/02/2011 - 10:37:18 | D ] H:\VerbsBase
    [08/02/2011 - 09:38:06 | D ] H:\Methodes expe ACA com
    [08/02/2011 - 09:58:32 | D ] H:\Videos
    [04/02/2011 - 14:44:46 | N | 27136] H:\presencesTM-Inf-f1-5jan2011.xls
    [09/02/2011 - 09:47:30 | N | 70656] H:\notesInf-f1-1011sess&.xls

    ################## | Vaccin |
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Le rapport n'est pas complet, mais j'espère que ton ordinateur et tes clés USB ont été désinfectés.

    Tu vas refaire pour une dernière vérification avec un scan ZHPDiag et poster le rapport via cijoint

    Smart
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Comme le rapport est trop, tu ne peux pas le poster directement dans ta réponse. Il faut passer par le site cijoint comme je l'avais pécisé dans ma réponse précédente

    Smart
    0
  17. Niwaad
     
    Oups dsl...

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijNOncHVM.txt
    0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encore des traces:

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    O23 - Service: (RoxLiveShare9) - Clé orpheline => Orphean Key not necessary
    O64 - Services: CurCS - (.not file.) - 0c176a06 (0c176a06) .(.Pas de propriétaire - Pas de description.) - LEGACY_0C176A06 => Fichier absent
    O64 - Services: CurCS - (.not file.) - No object (32a4505c) .(.Pas de propriétaire - Pas de description.) - LEGACY_32A4505C => Fichier absent
    O64 - Services: CurCS - (.not file.) - 80c0985f (80c0985f) .(.Pas de propriétaire - Pas de description.) - LEGACY_80C0985F => Fichier absent
    O64 - Services: CurCS - (.not file.) - Application Updater (Application Updater) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPLICATION_UPDATER => Spigot Application Updater Service
    O64 - Services: CurCS - (.not file.) - dbbe366e (dbbe366e) .(.Pas de propriétaire - Pas de description.) - LEGACY_DBBE366E => Fichier absent
    O64 - Services: CurCS - (.not file.) - Boot Helper (dwsjufnd) .(.Pas de propriétaire - Pas de description.) - LEGACY_DWSJUFND => Fichier absent
    O64 - Services: CurCS - (.not file.) - fd584146 (fd584146) .(.Pas de propriétaire - Pas de description.) - LEGACY_FD584146 => Fichier absent

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  19. Niwaad
     
    OK voilà le rapport

    Rapport de ZHPFix 1.12.3250 par Nicolas Coolman, Update du 05/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-11-02-2011-00-13-08.txt
    Run by Jérémy at 11/02/2011 00:13:08
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O23 - Service: (RoxLiveShare9) - Clé orpheline => Orphean Key not necessary => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - 0c176a06 (0c176a06) .(.Pas de propriétaire - Pas de description.) - LEGACY_0C176A06 => Fichier absent => Clé absente
    O64 - Services: CurCS - (.not file.) - No object (32a4505c) .(.Pas de propriétaire - Pas de description.) - LEGACY_32A4505C => Fichier absent => Clé absente
    O64 - Services: CurCS - (.not file.) - 80c0985f (80c0985f) .(.Pas de propriétaire - Pas de description.) - LEGACY_80C0985F => Fichier absent => Clé absente
    O64 - Services: CurCS - (.not file.) - Application Updater (Application Updater) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPLICATION_UPDATER => Spigot Application Updater Service => Clé absente
    O64 - Services: CurCS - (.not file.) - dbbe366e (dbbe366e) .(.Pas de propriétaire - Pas de description.) - LEGACY_DBBE366E => Fichier absent => Clé absente
    O64 - Services: CurCS - (.not file.) - Boot Helper (dwsjufnd) .(.Pas de propriétaire - Pas de description.) - LEGACY_DWSJUFND => Fichier absent => Clé absente
    O64 - Services: CurCS - (.not file.) - fd584146 (fd584146) .(.Pas de propriétaire - Pas de description.) - LEGACY_FD584146 => Fichier absent => Clé absente

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    8 : Clé(s) du Registre
    1 : Elément(s) de donnée du Registre

    End of the scan
    0
  • 1
  • 2