Infections Ask + rogue

[claire]

http://www.cijoint.fr/cjlink.php?file=cj201007/cijqEjhLTg.txt

Tel que demandé. J'espère avoir fait les bonnes procédures.
Merci
Claire

EDIT Elowen : j'ai déplacé cette seule portion du sujet en raison des infections détectées. Le sujet d'origine est ici http://www.forum-vista-seven.net/systeme-f24/excel-2002-sp3-resolu-sur-excel-mais-infections-decouvertes-t3168.htm#17006

[Elowen]

Re,

Désactive l'UAC :

• Clic sur Démarrer
  
• Clic sur l'image du compte Utilisateur
  
• Cliquez sur Activer ou désactiver le controle des comptes.
  
• Décocher la case Utiliser le controle des comptes d'utilisateurs pour vous aider a proteger votre ordinateur
  
• Clic sur Ok et accepter de redémarrer le PC pour valider les changements.
  

• Télécharge Malwarebytes'Antimalwares
  
• Tu trouveras au besoin un tutoriel à cette adresse :
  
• La mise à jour du programme va se faire directement ; si ce n'est pas le cas, clique sur Recherche de mises à jour
  
• Fais une analyse complète en cliquant sur Exécuter un examen complet
  
• Sélectionne les lecteurs à analyser et clique sur Lancer l'examen
  
• L'analyse peut durer un certain temps
  
• Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats
  
• Assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK
  
• Le bloc-note va s'ouvrir qui contiendra un rapport
  
• Copie (Ctrl C)/Colle (Ctrl V) le rapport dans ta prochaine réponse
  

/!\ Il est possible que certains fichiers devront être supprimés au redémarrage du PC. Il faut le faire en cliquant sur Oui à la question posée

[claire]

Bonsoir,
Tel que demandé, voici le rapport - Merci.

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par C_XX le 21/07/10 à 14:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 22:12:14 le 22/07/2010, Mode normal
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
acer@PC-DE-ACER (Acer, inc. Aspire 5570)

============== RECHERCHE ==============

0,Dossier trouvé: C:\Program Files\Conduit
0,Dossier trouvé: C:\Users\acer\AppData\Roaming\iWin
0,Dossier trouvé: C:\ProgramData\Trymedia
1,Clé trouvée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
0,Clé trouvée: HKLM\Software\Classes\ToolBand.EasyHideBtn
0,Clé trouvée: HKLM\Software\Classes\ToolBand.EasyHideBtn.1
0,Clé trouvée: HKLM\Software\Classes\ToolBand.Localizer
0,Clé trouvée: HKLM\Software\Classes\ToolBand.Localizer.1
0,Clé trouvée: HKLM\Software\Classes\ToolBand.NameHighlighter
0,Clé trouvée: HKLM\Software\Classes\ToolBand.NameHighlighter.1
0,Clé trouvée: HKLM\Software\Classes\ToolBand.NameHighlighterStatistics
0,Clé trouvée: HKLM\Software\Classes\ToolBand.NameHighlighterStatistics.1
0,Clé trouvée: HKLM\Software\Classes\ToolBand.SkypeIEHelper
0,Clé trouvée: HKLM\Software\Classes\ToolBand.SkypeIEHelper.1
0,Clé trouvée: HKLM\Software\Classes\ToolBand.SNameProxy
0,Clé trouvée: HKLM\Software\Classes\ToolBand.SNameProxy.1
0,Clé trouvée: HKLM\Software\PopCap
0,Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

============== SCAN ADDITIONNEL ==============
** Internet Explorer Version [8.0.6001.18928] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://ca.msn.com/?lang=fr-ca
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://sympatico.ca/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://fr.ca.acer.yahoo.com
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.ca.acer.yahoo.com
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 22/07/2010 (2982 Octet(s))
Fin à: 22:16:25, 22/07/2010

============== E.O.F ==============

[Elowen]

Bonjour

Toujours avec l'UAC désactivé :

• Double-cliquer sur l'icône Ad Remover
  
• Au menu principal du programme, cliquer sur Nettoyer
  
• Confirmer le démarrage de l'analyse
  
• Laisser l'outil travailler le temps nécessaire
  
• Un rapport va s'ouvrir à la fin de l'analyse
  
• Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse
  (le rapport est également sauvegardé sous C:\Ad-Report-CLEAN.txt)

[claire]

Bonjour,
Et voilà le rapport de nettoyage - Claire

== RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par C_XX le 21/07/10 à 14:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:31:28 le 23/07/2010, Mode normal
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
acer@PC-DE-ACER (Acer, inc. Aspire 5570)

============== ACTION(S) ==============

0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Users\acer\AppData\Roaming\iWin
0,Dossier supprimé: C:\ProgramData\Trymedia
(!) -- Fichiers temporaires supprimés.

1,Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.Localizer
0,Clé supprimée: HKLM\Software\Classes\ToolBand.Localizer.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.NameHighlighter
0,Clé supprimée: HKLM\Software\Classes\ToolBand.NameHighlighter.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.NameHighlighterStatistics
0,Clé supprimée: HKLM\Software\Classes\ToolBand.NameHighlighterStatistics.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SNameProxy
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SNameProxy.1
0,Clé supprimée: HKLM\Software\PopCap
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

============== SCAN ADDITIONNEL ==============
** Internet Explorer Version [8.0.6001.18928] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 23/07/2010 (3268 Octet(s))
C:\Ad-Report-SCAN[1].txt - 22/07/2010 (3111 Octet(s))
Fin à: 14:35:51, 23/07/2010

============== E.O.F ==============

[Pierre13]

Salut

Anthony5151 ou Apollo prendra la suite...

Pierre

[Pierre13]

Re

Puisque personne n'a pris la suite, on va faire avancer la chose...

Relance ZHPDiag et poste le rapport pour voir où on en est...

Je te redonne la procédure au cas où:

• Télécharge ZHPDiag (de Nicolas Coolman)
  
• Clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
  
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
  
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
  
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
  
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
  

Pierre

[claire]

Bonsoir,
Vouci ce que j'ai trouvé dans le rapport de l'analyse de mon Anti Virus. Est-ce important? Devrais- faire une autre analyse quand même.
Claire


non trouvé : virus Heur.Invader (modification) Le fichier: C:\Program Files\ZHPDiag\catchme.exe

non trouvé : virus Heur.Invader (modification) Le fichier: C:\Users\acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LHC18HS6\ZHPDiag%201.26[1].exe//data0012

non trouvé : virus Heur.Invader (modification) Le fichier: C:\Users\acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\4RX5G1LM\ZHPDiag_1.26[1].exe//data0012

[Pierre13]

Re

Oui, il faut faire l'analyse tout de même...

Ce que tu as trouvé, c'est justement des composants de ZHPDiag...mais ce ne sont pas des virus.

C'est aussi pour cette raison qu'il faut désinstaller les outils après la désinfection...d'où l'intérêt d'aller au bout.

Pierre

[Pierre13]

Bonjour

On dirait que tu ne veux pas terminer la désinfection...C'est ton affaire...

Dans ce cas, il est très possible que tu sois encore infectée et que ça va te causer des soucis...

Je te donne la procédure pour désinstaller les outils utilisés...

-Télécharge ToolsCleaner sur ton bureau
-Double-clique sur « Toolscleaner.exe »
-Clique sur "restauration" pour créer un point de restauration.
-Puis clique sur « recherche »
-Quand la recherche sera terminée, clique sur "suppression".
-A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter".


Vista:

Réactiver l'UAC comme ceci:

• Clic sur Démarrer
  
• Clic sur l'image du compte Utilisateur
  
• Cliquez sur Activer ou désactiver le contrôle des comptes.
  
• Cocher la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider a protéger votre ordinateur
  
• Clic sur Ok et accepter de redémarrer le PC pour valider les changements.
  

Si tu as MBAM, fais une mise à jour et un scan COMPLET.

Même chose avec ton antivirus après l'avoir mis à jour.

Dernier détail: Comme c'était les fichiers Office qui étaient infectés, il serait bon de les scanner avec l'antivirus et MBAM...

Inutile de poster les rapports: Je ferme ce sujet.

Si tu veux poursuivre, ouvre un nouveau sujet pour repartir sur de bonnes bases.

Pierre