D:\AUTORUN.INF Antivir

Résolu
lucien30 Messages postés 12 Statut Membre -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Depuis quelques temps un message d'avira antivir s'affiche régulièrement dans lequel il est dit que l'accès à "D:\AUTORUN.INF a été bloqué".

Avez-vous une idée de ce que cela peut être?un virus?

Merci d'avance pour les réponses.

20 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Par défaut, la nouvelle version d'Antivir bloque tous les autorun.inf même légitime.
    Tu peux désactiver cette nouvelle fonctionnalité comme ceci :

    * Configuration > Coche Mode expert
    * Guard > Recherche > Action si résultat positif > Autodémarrage
    * Décoche "Bloquer la fonction d'autodémarrage"

    Et par précaution tu vas faire ceci:

    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : "Recherche"

    Smart
    4
  2. lucien30 Messages postés 12 Statut Membre
     
    Bonjour, désolé pour le retard, voici le rapport:

    ############################## | UsbFix 7.044 | [Recherche]

    Utilisateur: Ludovic (Administrateur) # PC-DE-LUDOVIC [Dell Inc. Studio 1737]
    Mis à jour le 25/04/2011 par TeamXscript
    Lancé à 12:30:30 | 07/05/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
    Internet Explorer 8.0.6001.19048

    Pare-feu Windows: Activé
    RAM -> 3066 Mo
    C:\ (%systemdrive%) -> Disque fixe # 288 Go (131 Go libre(s) - 45%) [OS] # NTFS
    D:\ -> Disque fixe # 10 Go (5 Go libre(s) - 47%) [RECOVERY] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque fixe # 233 Go (92 Go libre(s) - 40%) [LUCIEN] # NTFS
    G:\ -> CD-ROM
    H:\ -> Disque amovible # 1002 Mo (172 Mo libre(s) - 17%) [] # FAT

    ################## | Éléments infectieux |

    Présent! D:\AUTORUN.INF
    Présent! F:\utdetect.com

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Vaccin |

    D:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

    ################## | E.O.F |

    Merci d'avance
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    n va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    0
  4. lucien30 Messages postés 12 Statut Membre
     
    Alors voici le rapport:

    ############################## | UsbFix 7.044 | [Suppression]

    Utilisateur: Ludovic (Administrateur) # PC-DE-LUDOVIC [Dell Inc. Studio 1737]
    Mis à jour le 25/04/2011 par TeamXscript
    Lancé à 18:25:00 | 07/05/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
    Internet Explorer 8.0.6001.19048

    Pare-feu Windows: Activé
    RAM -> 3066 Mo
    C:\ (%systemdrive%) -> Disque fixe # 288 Go (130 Go libre(s) - 45%) [OS] # NTFS
    D:\ -> Disque fixe # 10 Go (5 Go libre(s) - 47%) [RECOVERY] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque fixe # 233 Go (92 Go libre(s) - 40%) [LUCIEN] # NTFS
    G:\ -> CD-ROM
    H:\ -> Disque amovible # 1002 Mo (172 Mo libre(s) - 17%) [] # FAT

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-18
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-165497510-1417339096-3445694994-1000
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-165497510-1417339096-3445694994-500
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3395499582-3656299844-1299793059-500
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-165497510-1417339096-3445694994-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-165497510-1417339096-3445694994-500
    Supprimé! F:\$RECYCLE.BIN\S-1-5-21-165497510-1417339096-3445694994-1000
    Supprimé! F:\$RECYCLE.BIN\S-1-5-21-2153335817-2500983506-1290634592-1000
    Supprimé! F:\$RECYCLE.BIN\S-1-5-21-2182366027-1204839855-1169297536-1000
    Supprimé! F:\$RECYCLE.BIN\S-1-5-21-2748722780-1099141813-4233759887-1000
    Supprimé! F:\$RECYCLE.BIN\S-1-5-21-3675131935-358730330-604735466-1000
    Supprimé! F:\Recycler\S-1-5-21-1371895072-2373339432-1548064668-1884
    Supprimé! F:\Recycler\S-1-5-21-2517388763-3878586739-264397317-1005
    Supprimé! F:\Recycler\S-1-5-21-3397996124-1176320646-191935606-1005
    Supprimé! F:\Recycler\S-1-5-21-3555695135-1655331381-841246258-1006
    Supprimé! F:\Recycler\S-1-5-21-497772403-3796435664-3057295177-1007
    Supprimé! D:\AUTORUN.INF
    Supprimé! F:\utdetect.com

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing |

    [07/05/2011 - 18:27:22 | SHD ] C:\$Recycle.Bin
    [27/02/2011 - 19:14:03 | N | 194302] C:\AnalysisLog.sr0
    [18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
    [27/10/2009 - 21:25:46 | SHD ] C:\Boot
    [11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
    [18/09/2006 - 23:43:37 | N | 10] C:\config.sys
    [12/12/2010 - 21:22:00 | D ] C:\DELL
    [03/01/2009 - 08:19:05 | N | 4806] C:\dell.sdr
    [05/08/2008 - 14:33:52 | D ] C:\doctemp
    [07/01/2009 - 18:46:51 | SHD ] C:\Documents and Settings
    [27/10/2008 - 08:39:42 | D ] C:\Drivers
    [05/02/2009 - 13:37:38 | N | 0] C:\IO.SYS
    [05/02/2009 - 13:37:38 | N | 0] C:\MSDOS.SYS
    [07/02/2009 - 14:32:49 | RHD ] C:\MSOCache
    [07/05/2011 - 12:19:29 | ASH | 3529482240] C:\pagefile.sys
    [13/06/2010 - 09:35:37 | D ] C:\PerfLogs
    [07/05/2011 - 14:41:12 | D ] C:\Program Files
    [07/05/2011 - 14:41:16 | HD ] C:\ProgramData
    [23/11/2010 - 18:58:04 | SHD ] C:\System Recovery
    [07/05/2011 - 14:39:02 | SHD ] C:\System Volume Information
    [23/11/2010 - 18:57:21 | D ] C:\Temp
    [07/05/2011 - 18:27:22 | D ] C:\UsbFix
    [07/05/2011 - 18:25:01 | A | 3335] C:\UsbFix.txt
    [07/01/2009 - 18:50:42 | D ] C:\Users
    [06/05/2011 - 11:05:16 | D ] C:\Windows
    [07/05/2011 - 18:27:22 | RSHD ] D:\$RECYCLE.BIN
    [23/11/2010 - 19:05:55 | N | 153] D:\ADRInfos.xml
    [23/11/2010 - 18:58:15 | D ] D:\Boot
    [23/11/2010 - 18:58:11 | D ] D:\dell
    [28/04/2009 - 18:49:00 | SH | 7450] D:\Desktop.ini
    [12/08/2010 - 18:44:30 | N | 81120] D:\Info.exe
    [07/05/2011 - 18:23:26 | N | 186] D:\Master.log
    [23/11/2010 - 18:58:11 | D ] D:\preload
    [23/11/2010 - 18:58:11 | D ] D:\Program Files
    [23/11/2010 - 18:58:11 | RSHD ] D:\ProgramData
    [26/03/2010 - 19:21:14 | N | 34530] D:\protect.arabic
    [05/06/2009 - 13:42:00 | N | 117133] D:\protect.chinese simplified
    [05/06/2009 - 13:42:00 | N | 117641] D:\protect.chinese traditional
    [16/04/2009 - 12:10:00 | N | 116238] D:\protect.danish
    [16/04/2009 - 11:55:00 | N | 119790] D:\protect.dutch
    [17/04/2009 - 13:19:00 | N | 47233] D:\protect.english
    [16/04/2009 - 12:10:00 | N | 116015] D:\protect.french
    [16/04/2009 - 11:58:00 | N | 116305] D:\protect.german
    [19/03/2010 - 16:30:00 | N | 34476] D:\protect.hebrew
    [16/04/2009 - 11:59:00 | N | 115710] D:\protect.italian
    [16/04/2009 - 12:00:00 | N | 117842] D:\protect.japanese
    [16/04/2009 - 12:00:00 | N | 124495] D:\protect.korean
    [16/04/2009 - 12:02:00 | N | 116195] D:\protect.norwegian
    [16/04/2009 - 12:03:00 | N | 116564] D:\protect.portuguese brazilian
    [16/04/2009 - 12:04:00 | N | 116363] D:\protect.spanish
    [16/04/2009 - 12:05:00 | N | 116404] D:\protect.swedish
    [23/11/2010 - 18:58:12 | RD ] D:\Recovery
    [23/11/2010 - 18:58:12 | D ] D:\Sources
    [23/11/2010 - 18:57:52 | N | 9132] D:\ST_InstallBackup.ini
    [03/01/2009 - 00:23:49 | SHD ] D:\System Volume Information
    [23/11/2010 - 18:58:12 | D ] D:\Tools
    [23/11/2010 - 18:58:12 | D ] D:\Users
    [23/11/2010 - 18:58:12 | D ] D:\Windows
    [07/05/2011 - 18:27:22 | SHD ] F:\$RECYCLE.BIN
    [06/04/2010 - 22:23:15 | D ] F:\Chloé
    [29/01/2011 - 20:32:58 | D ] F:\Documents commun
    [14/01/2009 - 17:10:00 | N | 5106176] F:\Dossier évolusac.doc
    [18/04/2010 - 21:27:44 | D ] F:\Jeux
    [04/08/2008 - 16:42:54 | N | 423225] F:\Loup_01.jpg
    [29/01/2011 - 20:33:42 | D ] F:\ludo
    [07/09/2010 - 20:44:17 | D ] F:\Mes CD
    [08/05/2010 - 13:05:23 | D ] F:\Mes CD à trier
    [29/01/2011 - 20:15:47 | D ] F:\Mes images
    [24/01/2011 - 19:39:00 | D ] F:\Programmes
    [05/01/2007 - 18:35:40 | D ] F:\Recycled
    [07/05/2011 - 18:27:20 | SHD ] F:\RECYCLER
    [24/07/2008 - 09:24:51 | SHD ] F:\System Volume Information
    [06/11/2008 - 12:09:51 | ASH | 5632] F:\Thumbs.db
    [15/11/2005 - 18:33:40 | N | 913408] H:\KeySafe.exe
    [15/11/2005 - 18:33:40 | N | 1010827] H:\Multilingual KeySafe User's Guide.pdf
    [16/09/2008 - 11:45:34 | N | 4096] H:\._.Trashes
    [08/03/2011 - 19:30:42 | D ] H:\concours
    [16/09/2008 - 11:45:34 | D ] H:\.Trashes
    [16/09/2008 - 14:17:48 | D ] H:\.fseventsd
    [16/09/2008 - 11:45:34 | D ] H:\.Spotlight-V100
    [25/02/2011 - 13:01:10 | D ] H:\St Genies
    [09/03/2011 - 12:49:14 | D ] H:\2_Rapport stage Ludovic
    [17/04/2011 - 22:08:50 | D ] H:\AMAP
    [30/04/2011 - 12:18:46 | D ] H:\Mes images
    [29/04/2011 - 10:45:28 | D ] H:\documentation
    [12/01/2011 - 11:20:26 | D ] H:\perso
    [14/03/2008 - 10:51:52 | N | 1548] H:\BOOTEX.LOG

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-LUDOVIC.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    C'est bon USBFix a fait son boulot.
    On va quand même faire un diagnostic de ton PC, afin de voir s'il n'y a pas d'autres infections.

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou depuis ce lien si le premier a des soucis:
    http://www.moncompteur.com/compteurclick.php?idLink=18026

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  7. lucien30 Messages postés 12 Statut Membre
     
    Bonjour,

    voici le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijC8nV14Z.txt

    Merci
    0
  8. lucien30 Messages postés 12 Statut Membre
     
    Re bonjour,

    J'en profite aussi pour vous demander: je suis sur firefox et depuis quelques jours il y a des onglets publicitaires qui s'ouvrent régulièrement "tout seul". Pour info, j'utilise le module Adblock.

    Merci
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    cela ne m'étonne ne pas que tu es des pub tu as plusieyrs adware et des barres 'outils néfaustes.
    1. Evite le site EoRezo et ne télécharge aucun prrgrammes même payants
    2 Lis bien ce dossier sur les barres d'outils:
    Les Toolbars ce n'est pas obligatoires

    Ensuite tu vas faire ceci:

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Puis ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très imortant
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Cela fait deux rapports à poster. Tu peux les copier directement dans tes réponse

    Smart
    0
  10. lucien30 Messages postés 12 Statut Membre
     
    voici le rapport de AD_remover:

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:26:40 le 08/05/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    Ludovic@PC-DE-LUDOVIC (Dell Inc. Studio 1737)

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Program Files\Mozilla FireFox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Dossier supprimé: C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com
    Dossier supprimé: C:\Users\Ludovic\AppData\Roaming\Agence-Exclusive
    Dossier supprimé: C:\Users\Ludovic\AppData\Local\Agence-Exclusive
    Dossier supprimé: C:\Program Files\Agence-Exclusive
    Dossier supprimé: C:\Users\Ludovic\AppData\LocalLow\pdfforge
    Dossier supprimé: C:\Program Files\pdfforge Toolbar
    Dossier supprimé: C:\Users\Ludovic\AppData\LocalLow\Search Settings

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Ludovic\AppData\Roaming\Mozilla\FireFox\Profiles\xq2jswm1.default\Prefs.js --
    Ligne supprimée: user_pref("extensions.enabledItems", "{20a82645-c095-46ed-80e3-08825760534b}:1.0,{B922D405-6D13-4A2B...
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
    Clé supprimée: HKLM\Software\pdfforge
    Clé supprimée: HKLM\Software\Search Settings
    Clé supprimée: HKCU\Software\Search Settings
    Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
    Clé supprimée: HKLM\Software\Classes\Installer\Products\B8CF0B8BB96E5124FAA1B4FD2FD097B4
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\B8CF0B8BB96E5124FAA1B4FD2FD097B4
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto
    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [4.0.1 (fr)] ****

    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)

    -- C:\Users\Ludovic\AppData\Roaming\Mozilla\FireFox\Profiles\xq2jswm1.default --
    Prefs.js - browser.download.dir, C:\\Users\\Ludovic\\Downloads
    Prefs.js - browser.download.lastDir, C:\\Users\\Ludovic\\Documents\\téléchargements
    Prefs.js - browser.startup.homepage, hxxp://www.netvibes.com/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.9

    ========================================

    **** Internet Explorer Version [8.0.6001.19048] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
    HKLM_ElevationPolicy\{F2DD9BC5-3851-4766-9F67-A627B3C053DD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech Inc.)
    HKLM_ElevationPolicy\{F365CC6C-656A-4108-8CF0-16DF98696395} - C:\Program Files\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe (?)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
    BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\Program Files\Dell\BAE\BAE.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 88 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 08/05/2011 13:26:50 (6282 Octet(s))

    Fin à: 13:27:48, 08/05/2011

    ============== E.O.F ==============

    et celui de Malwayrbytes:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6531

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.19048

    08/05/2011 17:01:58
    mbam-log-2011-05-08 (17-01-58).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 355464
    Temps écoulé: 2 heure(s), 9 minute(s), 12 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\ad-remover\quarantine\C\program files\mozilla firefox\extensions\{b922d405-6d13-4a2b-ae89-08a030da4402}\components\pdfforgetoolbarff.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

    Merci
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Relance AD-Remover et choisis "Désinstaller"
    Relance MBAM et vide la quarantaine
    Ensuite tu refais un scan ZHPdiag et tu postes le rapport via cijoint

    Smart
    0
  12. lucien30 Messages postés 12 Statut Membre
     
    voici le rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijM30FGl3.txt

    Merci
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encore des traces. Tu vas faire ceci:

    - Ferme toutes tes applications en cours
    - Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    [HKCU\Software\Agence-Exclusive]
    [HKLM\Software\Agence-Exclusive]
    [HKCR\PCTutoBHO.PCTBHO]
    [HKCR\PCTutoBHO.PCTBHO.1]
    [HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]
    [HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]
    [HKCU\Software\Agence-Exclusive]
    O4 - Global Startup: C:\Users\Ludovic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Courrier électronique - Raccourci.lnk - Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [PCDoctorBackgroundMonitorTask] (.Pas de propriétaire.) -- C:\Program Files\Dell Support Center\uaclauncher.exerunsilently (.not file.)
    O43 - CFD: 31/05/2009 - 13:04:48 - [6629] ----D- C:\ProgramData\Spybot - Search & Destroy
    FirewallRAZ
    EmptyTemp
    EmptyFlash

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite redémarre le PC

    Smart
    0
  14. lucien30 Messages postés 12 Statut Membre
     
    et le rapport:

    Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-08-05-2011-22-40-36.txt
    Run by Ludovic at 08/05/2011 22:40:36
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    HKCU\Software\Agence-Exclusive => Clé absente
    HKLM\Software\Agence-Exclusive => Clé absente
    HKCR\PCTutoBHO.PCTBHO => Clé absente
    HKCR\PCTutoBHO.PCTBHO.1 => Clé absente
    HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} => Clé absente
    HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} => Clé absente

    ========== Valeur(s) du Registre ==========
    FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
    FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"

    ========== Dossier(s) ==========
    C:\ProgramData\Spybot - Search & Destroy => Dossier absent
    Dossiers temporaires Windows supprimés: 0
    Dossiers Flash Cookies supprimés : 0

    ========== Fichier(s) ==========
    c:\users\ludovic\appdata\roaming\microsoft\internet explorer\quick launch\courrier électronique - raccourci.lnk => Fichier absent
    Fichiers temporaires Windows supprimés : 0
    Fichiers Flash Cookies supprimés : 0

    ========== Tache planifiée ==========
    Task : PCDoctorBackgroundMonitorTask => Tache absente

    ========== Récapitulatif ==========
    6 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    3 : Dossier(s)
    3 : Fichier(s)
    1 : Tache planifiée

    End of the scan
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Surprenant. redémarre le pc et refais un scan ZHPDiag et poste le rapport via cijoint

    Smart
    0
  16. lucien30 Messages postés 12 Statut Membre
     
    Bonjour,

    pourquoi surprenant?

    Voici le rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijQCXHwO9.txt

    A bientôt
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Non c'est OK. Le scirp ZHPfic a bien fonctionné.
    On va passer à la phase finale. il nous reste à faire:
    - les mises à jour prioritaires
    - l'optimisation du PC
    - la désinstallation des outils de désinfection
    - les conseils de prévention quand on surfe sur Internet

    Fais les mises à jour suivantes:

    Mise à jour Java 6 update 25 ==> https://www.java.com/fr/download/
    Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
    Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 25

    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    et lis ceci: Pourquoi tenir ses programmes a jour

    Optimisation:

    - Ferme toutes tes applications en cours
    - Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe
    OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
    OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
    OPT:O4 - Global Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\QuickSet.lnk . (.Dell Inc..) -- C:\Program Files\Dell\QuickSet\quickset.exe
    OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
    OPT:SR - | Auto 06/04/2011 349472 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    1. Désinstallation des outils

    - Télécharge DelFix (d'Xplode) sur ton bureau.
    - Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
    - Sélectionne Suppression
    - Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

    Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
    Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

    2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
    - Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    - Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    - Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

    3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.

    Quelques conseils de Prévention

    - Réactive l'UAC si ce n'est pas déjà fait.

    - Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

    Pour naviguer sur internet plus en sécurité et à l'abri des publicités, il est préférable d'installer et d'utiliser le navigateur firefox
    ==> http://www.mozilla-europe.org/fr/firefox/

    Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus
    pour bloquer les publicités
    ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

    WOT - Extension pour ton navigateur internet :
    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

    Ci-dessous un tutoriel pour t'aider à installer WOT:
    ==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

    - Par rapport au P2P : http://www.libellules.ch/...

    - Les logiciels gratuits à éviter

    - Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    Prévention et Protection

    Sois plus vigilant(e) sur Internet à l'avenir

    Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

    Smart
    0
  18. lucien30 Messages postés 12 Statut Membre
     
    Donc voici les deux derniers rapports:

    # DelFix v7.8 - Rapport créé le 09/05/2011 à 18:48
    # Mis à jour le 02/05/11 à 18h par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
    # Nom d'utilisateur : Ludovic - PC-DE-LUDOVIC (Administrateur)
    # Exécuté depuis : C:\Users\Ludovic\Downloads\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\USBFix
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\UsbFix.txt
    Supprimé : C:\UsbFix_Upload_Me_PC-DE-LUDOVIC.zip
    Supprimé : C:\ZHPExportRegistry-08-05-2011-22-40-13.txt
    Supprimé : C:\ZHPExportRegistry-08-05-2011-22-40-36.txt
    Supprimé : C:\ZHPExportRegistry-09-05-2011-18-44-47.txt
    Supprimé : C:\Users\Ludovic\Desktop\UsbFix.exe
    Supprimé : C:\Users\Ludovic\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\Ludovic\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
    Supprimé : C:\Users\Ludovic\Downloads\ZHPDiag2.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\USBFix
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1555 octets] ##########

    Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011
    Fichier d'export Registre :
    Run by Ludovic at 09/05/2011 18:56:45
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe => Clé absente

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe => Valeur absente
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll => Valeur absente
    O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll => Valeur absente

    ========== Fichier(s) ==========
    c:\programdata\microsoft\windows\start menu\programs\startup\quickset.lnk => Fichier absent

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    1 : Fichier(s)

    End of the scan

    Merci beaucoup
    0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK Fais la suite

    Smart
    0
  20. lucien30 Messages postés 12 Statut Membre
     
    Voila j'ai donc suivi tout ce que vous m'avez conseillé...

    merci d'avoir pris du temps...
    0
  21. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Heureux de t'avoir aidé

    Smart
    0