Question suppression anti virus [Résolu/Fermé]

Signaler
-
 Utilisateur anonyme -
Bonjours à tous.

Après avoir "forcé" l'arrêt d'une analyse anti-virus (Antivir) ce dernier ainsi que mon pare feu se sont mit à planté et j'avais régulièrement des écran bleu.

J'ai été forcé de supprimé ZoneAlarm et Antivir.

Cependant j'avais trois virus de longue qui était en quarantaine. (Antivir ne pouvais pas les supprimé)

Je suis parvenu à réinstaller Antivir et ZoneAlarm mais plus aucun virus n'est détecté sur mon odinateur.

Es ce que la suppression de mon Antivirus à "libéré" les virus en quarantaine?

Merci d'avance pour vos réponses.

28 réponses

*de longue date


Bonjour/Bonsoir
* Ne pas surfer ailleurs que sur le site
* Couper MSN ou tout autre connexion hormis celle sur le site
* Appliquer exactement et dans l'ordre les procédures indiquées.
* Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

* Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
* Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
* Etre précis dans les réponses. Ne s'en tenir qu'au sujet et rien qu'au sujet.
* A proscrire : le language SMS.

* Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il dépasse les compétences de celui ou ceux qui vous aident.
* Ne pas ouvrir plusieurs discussions sur le même sujet sauf si on vous le demande (Problème non résolu. Ca arrive)

* Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions appropriées prends un certain temps. Inutile donc de reposter le même message. Nous ne vous oublions pas, nous vous cherchons une solution

* Ne pas oublier : nous sommes bénévoles. Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.

* Les procédures qui vont suivre, bien que largement éprouvées, sont mises en oeuvre aux risques et périls du possesseur de la machine.

* Les instructions qui suivent ne servent qu'à préparer et diagnostiquer la machine. Aucune désinfection n'est effectuée à l'issue de ce préambule

* Sous Vista et Seven, tous les outils devront être lancé par un click/droit et "Exécuter en tant qu'administrateur"


Préparation de la machine
* Vider la corbeille
* Fermer toutes les applications

================ PareFeu XP - Vista/Seven ===================
* Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

* Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu Vista

* Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================
Pour le petit coup de polish.
* Appliquer la procédure ci-dessous.
* l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

* Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
* Fermer toutes les applications
* Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
* cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
* Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
* Avancé: Vieilles données du Prefetch
* Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
* Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
* Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
* Click sur Analyse
* Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
* Click sur Registre
* Sélectionner tout
* Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
* Click sur Réparer les erreurs sélectionnées


============= ZHPDIAG =============
1)- Uniquement sous Vista et Seven, désactiver l' UAC (à réactiver après la désinfection)
2)- Sous XP, passer directement paragraphe 5
---------------------------------------------------
3)- --- Vista: Désactiver le contrôle des comptes utilisateurs ---
---------------------------------------------------
a)- Cliquer sur Démarrer puis sur panneau de configuration
b)- Double Cliquer sur l'icône Comptes d'utilisateurs
c)- Cliquer ensuite sur désactiver et valider.
d)- Redémarrer le PC
---------------------------------------------------
4)- --- Seven : Désactiver le contrôle des comptes utilisateurs ---
---------------------------------------------------
a)- Sous Seven : Désactiver le contrôle des comptes utilisateurs
b)- Cliquer sur Démarrer puis sur panneau de configuration
c)- Cliquer sur Comptes et protection des utilisateurs puis sur Comptes d'utilisateurs.
d)- Cliquer sur Modifier les paramètres de contrôle de compte d'utilisateur.
e)- Une fenêtre apparait avec un curseur vertical à 4 positions.
f)- Noter sur quelle position le curseur se trouve. En fin de désinfection, il faudra repositionner ce curseur sur la même position.
g)- Glisser le curseur sur la positon du bas Ne jamais m'avertir
h)- Cliquer sur OK et confirmer une dernière fois son identité.
i)- Redémarrer le PC
--------------------------------------------------
5) Télécharger ZHPDIAG
a)- Pour vista et Seven : clic droit sur le raccourci ZHPDiag sur le Bureau et choisir "exécuter en tant qu'administrateur".
b)- Pour XP, double/cliquer sur le raccourci ZHPDiag sur le Bureau
c)- Suivre les instructions lors de l'installation, lancement automatiquement à la fin.
d)- Cliquer sur l'icône représentant un tournevis.
e)- Cliquer sur Tous en bas de la fenêtre.
f)- Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »).
g)- Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette.
h)- Sauvegarder le rapport ici: cijoint et coller le lien dans la réponse sur ce forum


J'ai effectué les instruction ci dessus.
Voici le rapport.


http://www.cijoint.fr/cjlink.php?file=cj201005/cijfscfEVl.txt


Autre petite question : En quoi ZHPDiag peu endommagé mon processeur?
Bonjour

Non, non, tu as du lire ceci :

( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

*ce n'est pas le processeur mais le programme (windows par exemple).
*ce n'est pas ZHPDiag tout seul qui endommage mais la manip. Tu dois attendre patiemment que ton Helper te dise quoi faire pour TON PC et ne pas copier la manipe prévue pour UN AUTRE PC c'est tout.

Autre précision 99.9 fois sur 100 c'est bien le virus qui avait déjà endommagé le système avant le nettoyage (en remplaçant les fichiers d'origine par les sien infectés). Le nettoyage supprime le fichier infecté et le windows ne fonctionne plus car il n'y a plus du tout de fichier à cet endroit ou il en manque une partie.

ZHPDIAG ne fait que diagnostiquer la machine.

Fais ceci

=================== AD-Remover ======================
* Télécharger AD-Remover sur le Bureau. (Merci à C_XX)

Miroir

/!\ Se Déconnecter d'internet et fermer toutes applications en cours /!\

Désactiver provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de l'antivirus et des Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Sous XP, double-cliquer sur l'icône Ad-remover située sur le Bureau ou par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven..
- Sur la page, cliquer sur le bouton « NETTOYER »
- Confirmer lancement du scan
- Laisser travailler l'outil.
- Poster le rapport qui apparaît à la fin en réponse sur ce forum.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)



Voici le rapport.

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 30/04/10 à 18:40
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:15:45 le 01/05/2010 | Mode normal | Option: CLEAN
Exécuté de: D:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 2 - X86
Nom du PC: 28114467B6F144F
Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ASKSUTBLOG
D:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\5filjzte.default\extensions\toolbar@ask.com
D:\Documents and Settings\Administrateur\Local Settings\Application Data\AskToolbar
D:\Program Files\Ask.com
D:\Program Files\Trymedia
D:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
D:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Ask.com
HKCU\Software\AskToolbar
HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKCU\Software\PopCap
HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|D:\Program Files\Ask.com\GenericAskToolbar.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|D:\Program Files\Ask.com\UpdateTask.exe
.
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6 (fr) *
.
D:\Documents and Settings\Administrateur\..\5filjzte.default\prefs.js - browser.search.defaultenginename: Google
D:\Documents and Settings\Administrateur\..\5filjzte.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
D:\Documents and Settings\Administrateur\..\5filjzte.default\prefs.js - browser.search.selectedEngine: Google
D:\Documents and Settings\Administrateur\..\5filjzte.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.8.1.2
.
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: D:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
D:\Ad-Remover\Quarantine: 2 Fichier(s)
D:\Ad-Remover\Backup: 13 Fichier(s)
.
D:\Ad-Report-CLEAN[1].txt - 4583 Octet(s)
.
Fin à: 16:22:16, 01/05/2010
.
============== E.O.F - CLEAN[1] ==============

Ok

Fais ceci

============= ZHPFIX =============
* Lancer ZHPDIAG (Sous Vista et Seven lancer avec Clique/droit et executer en tant qu'administrateur)
* Cliquer sur l'icône représentant un bouclier vert
* Dans la nouvelle fenêtre qui s'ouvre ZHPFIX, cliquer sur le H bleu "Coller les lignes Helper"
* Copier/coller dans la fenetre jaune ceci

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified


* Cliquer sur OK, la fenêtre change d'aspect.
* Cliquer en bas de la fenêtre sur tous puis sur nettoyer
* Fermer la fenêtre ZHPFIX
* Rebooter la machine faire un nouveau rapport ZHPDIAG.
Voilà je viens de finir le rapport.

http://www.cijoint.fr/cjlink.php?file=cj201005/cijN9Aye9r.txt

OK, on avance

Fais ceci

================== MalwareBytes =====================

Telecharger MalwareBytes (Qui peut être conservé)
* (NB : S'il manque"COMCTL32.OCX" lors de l'installation, alors le télécharger ici)
* L'enregistrer sur le bureau
* Double cliquer sur le fichier téléchargé pour lancer le processus d'installation.
* Sous XP double/cliquer sur le programme pour le lancer.
* Vista ou Seven Cliquer/droit sur le programme et le lancer "En tant qu'administrateur"
* Dans l'onglet "mise à jour", cliquer sur le bouton Recherche de mise à jour
* Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepter
* Une fois la mise à jour terminé
* Sélectionner l'onglet, Recherche
* Sélectionner Exécuter un examen rapide
* Cliquer sur Rechercher
* Le scan démarre.
* A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
* Cliquer sur Afficher les résultats pour afficher tous les objets trouvés.
* Cliquer sur Ok pour poursuivre.
* Si des malwares ont été détectés, cliquer sur Afficher les résultats
* Sélectionner tout (ou laisser cochés) et cliquer sur Supprimer la sélection.
* Malwarebytes va détruire les fichiers et clés de registre et en faire une copie dans la quarantaine.
* Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
* Sélectionner l'onglet rapport/log
* Une fois le rapport affiché
* Taper Ctrl A pour tout sélectionner
* Taper Ctrl C pour tout copier
* Revenir sur le forum et dans la prochaine réponse taper CTRL V pour tout coller.

Si besoin d'aide regarder ces tutoriels :
Aide
Autre aide
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4057

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

01/05/2010 17:37:37
mbam-log-2010-05-01 (17-37-37).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 119095
Temps écoulé: 7 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\msnmsgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.

En ce qui concerne le dernnier paragraphe, es que cela signifie que j'avais choppé le malware sur msn et qui que maintenant que le logiciel à efface "msnmsgs.exe", msn ne fonctioera plus?

Je ne pense pas, mais on verra pour le réactiver si c'est le cas.
De toute façon D:\WINDOWS\system32\msnmsgs.exe est un trojan dont il fallait débarrasser ta machine.
Pour l'instant l'important est de déverminer ton PC

Fait ceci

Supprime tous les rapports ZHPDIAG.TXT présents sur la machine

Reboote et refais un ZHPDIAG comme déjà indiqué plus haut
http://www.cijoint.fr/cjlink.php?file=cj201005/cijBknoQxi.txt

Il en reste un petit bout

===================== ToolBar S&D ==================

Note : Présence d'une ToolBar infectieuse. Les Toolbars son généralement proposées en accompagnement d'autres logiciels à leur installation.
Lors d'une installation d'un logiciel, prendre le temps de lire les options d'installation et décocher les programmes additionnels inutiles (ne pas cliquer bêtement sur "suivant").

* Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :

* Tuto

* Se déconnecter et fermer toutes tes applications en cours le temps de la manipe !!

* Sous XP, double-cliquer sur ToolBar SD.exe pour lancer l'outil ou sous Vista et 7 cliquer/droit et éxécuter en tant qu'administrateur et se laisser guider ...
--> Taper directement sur 2 ( option " suppression " ) puis taper sur [Entrée].

Le nettoyage commence .

* ne rien toucher lors de la suppression !

* Un rapport sera généré à la fin du processus : poster son contenu dans la prochaine réponse
accompagné d'un nouveau rapport ZHPDIAG après avoir rebooter la machine pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )
Le rapport Tool Bar
http://www.cijoint.fr/cjlink.php?file=cj201005/cijj0JnH29.txt

Le rapport ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201005/cijqbsLCv3.txt

============= ZHPFIX =============
* Lancer ZHPDIAG (Sous Vista et Seven lancer avec Clique/droit et executer en tant qu'administrateur)
* Cliquer sur l'icône représentant un bouclier vert
* Dans la nouvelle fenêtre qui s'ouvre ZHPFIX, cliquer sur le H bleu "Coller les lignes Helper"
* Copier/coller dans la fenetre jaune ceci

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\{1E796980-9CC5-11D1-A83F-00C04FC99D61}

* Cliquer sur OK, la fenêtre change d'aspect.
* Cliquer en bas de la fenêtre sur tous puis sur nettoyer
* Fermer la fenêtre ZHPFIX
* Rebooter la machine faire un nouveau rapport ZHPDIAG.
http://www.cijoint.fr/cjlink.php?file=cj201005/cijDM7F4jp.txt

Tu as bien relancer la machine avent le nouveau rapport ZHPDIAG ?
Oui, j'ai fait un reboot.

Il reste une clef réticente.

Constate tu des anomalies de fonctionnement ?
Non, rien ne fonctionne anormalement.

Chaque redémarrage/analyse c'est déroulé sans problème lors de chacune des étapes que tu m'a indiqué.

=========== OAD ( outil d'aide au diagnostic ) ===========


Télécharger OAD < http://sosvirus.changelog.fr/OAD.exe >
* L'enregistrer sur le bureau
* Lancer OAD.exe en faisant un double-click sur le fichier ou sous Vista et seven Click/droit et "en tant qu'administrateur"
* Saisir la valeur recherchée -> emusic.exe ( faire un copier/coller )
* Type de recherche : sélectionner l'option 6 puis valide entrée
* OAD va maintenant rechercher le fichier.
* Le laisser travailler jusqu'à ce qu'il en ait terminé.
* Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

* Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
* Faire un copier/coller de ce rapport dans le prochain message.

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore