[Résolu] Je pense avoir fait une bêtise

[Arnipoul]

Bonjour à tous.

 

Je devais être mal réveillé mais ce matin Antivir me signalait un logiciel malveillant détecté et persuadé qu'il avait été placé dans la quarantaine, j'ai cliqué sur "Détails". Et visiblement je lui ai ainsi autorisé l'accès.

 

En effet quand je regarde dans les Évènements d'Antivir je trouve ceci : "un virus ou un programme indésirable 'HTML/Crypted.Gen' [virus] a été détecté. Action exécutée : Autoriser l'accès"

 

Au moment où j'ai fait cette mauvaise manipulation, Antivir était en train de faire un scan planifié. Je l'ai donc arrêté pour en relancer un qui se fait donc actuellement.

Modifié le 3 août 2012 par Arnipoul

[tomtom95]

Bonjour Arnipoul

 

On va regarder, fait une analyse de ton ordinateur.

 

• 
  Télécharge

ZHPDiag de Nicolas Coolman sur ton Bureau
 
Double-cliquer sur ZHPDiag.exe pour installer l'outil
Aprés sur ton bureau tu auras 3 icônes

Lance l'outil : double-clique sur ZHPDiag pour XP
Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
A Droite en haut
clique sur le bouton option
 
Puis a gauche le bouton TOUS
 
Clique sur la Loupe en haut
à gauche pour débuter l'analyse
Le rapport généré par l'outil se nomme ZHPDiag.txt
héberger les fichiers ZhpDiag.txt qui apparait sur le bureau.sur http://cjoint.com/
 
Sur la page du site Clique sur parcourir va jusqu'au rapport
Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint
Ensuite en bas Clique sur Créer le lien Cjoint
Une nouvelle fenêtre apparait avec un lien en bleu
Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser.

 

A+

[Arnipoul]

Merci tomtom95.

 

J'en suis donc à ce niveau : "Clique sur la Loupe Image IPB en haut

à gauche pour débuter l'analyse"

 

Le traitement est en cours.

 

Par contre, une chose : Lors de l'installation de ZHPDiag, Avira a ouvert une fenêtre : "Guard : Autorun bloqué - Pour votre sécurité, l'accès au fichier G:autorun.inf a été bloqué."

[tomtom95]

Bonsoir Arnipoul

 

 

Décoche pour l'instant la case Bloquer la fonction d'auto démarrage d'AntiVir

 

Clique droit sur l'icône AntiVir en bas dans la barre des tâches pour l'ouvrir

Ensuite >> coche Mode expert >> Guard >> Recherche >> Autres actions >> Décoche la case Bloquer la fonction d'auto démarrage

puis clique sur accepter,et ok

Comme sur cette capture

 

 

Aprés relance l'analyse avec ZHPDiag

 

A+

[Arnipoul]

Je dois donc arrêter l'analyse en cours de ZHPDiag ? Puis faire ce que tu m'as dit au niveau d'AntiVir ? Puis recommencer une analyse par ZHPDiag ?

[tomtom95]

L'analyse prend peu de temps,si tu as un blocage oui ,recommence.

Tu as quoi comme système XP,VISTA,W7 ? pour vista,et W7 lance ZHPDiag avec un clique droit sur l'icône et exécute en tant qu'administrateur

[Arnipoul]

Lien CJoint.com BGxv602vBcG

[tomtom95]

RE Arnipoul

 

Ok rien de trés grave ,évite les Toolbars néfaste,et les Keygens

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
  
• Lance ZHPFix fais un clique droit sur l'icône et exécute en tant qu'administrateur
  Un raccourci installé sur le Bureau
   
  
   
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier"
  ces lignes ci dessous :
   

  O2 - BHO: Ask Toolbar BHO [64Bits] - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
  [MD5.5B3F24579167D45D05B000EF2571CF18] [APT] [scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe
  O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}
  O43 - CFD: 15/09/2011 - 16:17:28 - [1,534] ----D C:\Program Files (x86)\Ask.com
  O43 - CFD: 21/07/2012 - 01:21:27 - [1,108] ----D C:\Users\Utilisateur\AppData\Roaming\Iminent
  O43 - CFD: 06/12/2011 - 02:59:10 - [0,001] ----D C:\Users\Utilisateur\AppData\Roaming\pdfforge
  O43 - CFD: 15/09/2011 - 16:41:27 - [0,740] ----D C:\Users\Utilisateur\AppData\Local\AskToolbar
  O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1
  O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
  O61 - LFC:Last File Created 21/07/2012 - 00:21:27 ---A- C:\Users\Utilisateur\AppData\Roaming\Iminent\Mediator\Datas\user.dat [10240]
  O61 - LFC:Last File Created 21/07/2012 - 01:04:19 ---A- C:\Users\Utilisateur\AppData\Roaming\Iminent\Mediator\Datas\globalcache.dat [1152000]
  G:\Sauvegardes Compaq\Sauvegarde 01-10-2010\sauvegarde sanquer\Outils informatique\Cyberlink.PowerCinema.v6.0.3316.multilangages.Incl.Keygen.[eMule-DivX.com].rar
  [MD5.197215658B8015182192E1EBCA3BBCC3] [sPRF][07/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Utilisateur\AppData\Local\Temp\AskSLib.dll [246440]
  [MD5.D1E8C8032C60B934F4CF9A4646903992] [sPRF][06/12/2011] (...) -- C:\Users\Utilisateur\AppData\Local\Temp\SetupDataMngr_Searchqu.exe [3733520]
  [HKLM\Software\WOW6432Node\Classes\AppID\GenericAskToolbar.DLL]
  [HKLM\Software\WOW6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]
  [HKLM\Software\WOW6432Node\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}]
  [HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
  [HKLM\Software\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}]
  [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}]
  [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}]
  [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}]
  [HKLM\Software\WOW6432Node\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}]
  [HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
  [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
  [HKLM\Software\WOW6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
  [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}]
  [HKLM\Software\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}]
  [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}]
  [HKLM\Software\WOW6432Node\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}]
  [HKCU\Software\Ask.com]
  [HKCU\Software\Ask.com.tmp]
  [HKCU\Software\AskToolbar]
  [HKCU\Software\AppDataLow\AskToolbarInfo]
  [HKCU\Software\AppDataLow\Software\AskToolbar]
  [HKLM\Software\Iminent]
  [HKLM\Software\WOW6432Node\Iminent]
  [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
  C:\Program Files (x86)\Ask.com
  C:\Users\Utilisateur\AppData\Roaming\Iminent
  C:\Users\Utilisateur\AppData\Roaming\pdfforge
  C:\Users\Utilisateur\AppData\Local\AskToolbar
  C:\Users\Utilisateur\AppData\LocalLow\AskToolbar
  C:\Users\Utilisateur\AppData\Local\Temp\AskSearch
  C:\Users\Utilisateur\AppData\Local\Temp\Iminent
  C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar
   
   
  FirewallRAZ
  EmptyFlash
  EmptyTemp
  

• En haut Clique sur l'icône
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
   
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sur le bureau

 

 

 

• Télécharge

SFT.exe de pierre13 sur ton bureau
Lance l'outil : double-clique sur SFT.exe pour XP
Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer
Un rapport va s'ouvrir à la fin.
Ne poste pas ce rapport sur le forum.
Le rapport est parfois trés long
l'héberger le sur http://cjoint.com/
Le rapport se trouve sur le bureau (SFT.txt)

 

 

• Télécharge Sur cette page AdwCleaner de Xplode
  clique sur Télécharger et enregistre le fichier sur ton Bureau
   
  
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7
  il faut lancer le fichier par clique-droit -> Exécuter en tant qu'administrateur
   
  
• Sur le menu principal
  
• clique sur SUPPRESSION et patiente le temps de l'analyse
   
  
  
• A la fin du scan
  un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner.txt

 

A+

[Arnipoul]

Je ne me déconnecte pas d'internet avant de désactiver mes défenses ?

 

Par ailleurs, j'ai un disque dur branché sur le PC. Dois-je le débrancher avant de faire ce que tu viens de m'indiquer ?

[tomtom95]

Bonjour Arnipoul

 

Je ne me déconnecte pas d'internet avant de désactiver mes défenses ?

Non, tu ferme seulement ,ton navigateur ,et les programmes ouvert (EX: Messagerie, MSN,)

 

Pour ton disque externe tu le laisse.

 

Après tu désactive ton antivirus.

T'applique les procédures, ensuite avant aller sur le net, tu réactive ton antivirus.

 

A+