Google est devenu fou (Trojan ?)

Question

Bonjour,
Comme des milliers de personnes sur cette planète, Google est mon moteur de recherche préféré. Et comme des milliers d’autres encore, mon navigateur par défaut est Firefox.
Hier encore, lorsque je faisais des recherches sur Google des centaines de liens m’étaient proposés.
MAIS, quand je cliquais dessus apparaissaient sur une nouvelle page :
	
-soit une pub pour un antivirus bidon (avec une petite animation de scan qui vous 	indique qu’il y a des centaines de virus sur votre PC)

-soit une fenêtre d’erreur qui indique que cette page n’existe pas (Error 404,…)

C’est à cause de ce deuxième cas que je me suis alarmé. 
En effet, je faisais des recherches très simples sur Google, par exemple : qu’est ce qu’un métamoteur ? (c’était un test)
--> lien Wikipédia sur lequel je clique -->lien mort
ALORS, je copie dans la barre d’adresse l’URL que Google met sous ce lien et là j’arrive enfin à la page web tant recherchée…

Hier soir j’ai fait un petit scan de mon ordinateur avec Malwarebytes et AVIRA (tout deux mis à jours).Je trouve un petit Trojan. Je le supprime.

Depuis plus aucune pub pour un faux antivirus mais toujours des « faux liens morts ». 
Et cela commence doucement à me taper sur le système. Venez moi en aide, chers amis S.V.P.     :’-(

Narco!4 · Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

sKe69 · Answer

Hello , 


infecté ... 



 /!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).


commence par ceci pour avoir un diagnostique précis de la situation :


1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


======================


2- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !! 

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ... 

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

Hendell · Answer

Voici le premier rapport : http://www.cijoint.fr/cjlink.php?file=cj200912/cijn5ZgB9s.txt

Je tiens quand même à te préciser cher sKe69 que j'ai fait un petit coup de SmitFraudFix avant d'avoir pris connaissance de ton message...

Voilà, je poursuis selon tes consignes. A tout à l'heure !  ;-)

Hendell · Answer

Et voilà le 2nd rapport : http://www.cijoint.fr/cjlink.php?file=cj200912/cijGYIKvUA.txt

J'attends la suite des tes instructions !  ;-)

Hendell · Answer

UP !  ;-)

sKe69 · Answer

re,


pas vu que Narco4! avais posté .... :p


donc fais ce qui suit dans l'ordre :



1- fais ce qui a été demandé ici :  https://forums.commentcamarche.net/forum/affich-15578499-google-est-devenu-fou-trojan#1

poste le rapport obtenu et fait la suite ...


========================

2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau  :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
ou ici http://eric71.geekstogo.com/tools/ToolBarSD.exe

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Clique droit / "executer entant qu'admin..." sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...  
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée]. 

Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ... 

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


===========================

3- protocole à suivre pour  Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
 
Aller dans "démarrer" puis "panneau de configuration" : 
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs" 
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC ! 

Tutos : 
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517 


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...

===================

4- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Clique droit / "executer entant qu'admin...." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Hendell · Answer

Voilà le nouveau rapport de Toolbar:

   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T5750  @ 2.00GHz )
   BIOS : Phoenix ROM BIOS PLUS Version 1.10 A03
   USER : Cyril ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:138 Go (Free:20 Go)
   D:\ (Local Disk) - NTFS - Total:9 Go (Free:5 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 12/12/2009|17:17 )

   [ UAC => 1 ]

   -----------\  Recherche de Fichiers / Dossiers ...


Je poursuis les autres opérations.

Hendell · Answer

Suivi du rapport : http://www.cijoint.fr/cjlink.php?file=cj200912/cijxKrSU6T.txt

Hendell · Answer

Et enfin, le rapport USBfix:

############################## | UsbFix V6.062 |

User : Cyril (Administrateurs) # PC-DE-CYRIL
Update on 12/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:35:05 | 12/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T5750  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 138,82 Go (20,26 Go free) # NTFS
D:\ -> Disque fixe local # 10 Go (5,32 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,91 Go (147,38 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 468
C:\Windows\system32\csrss.exe 600
C:\Windows\system32\wininit.exe 664
C:\Windows\system32\csrss.exe 676
C:\Windows\system32\services.exe 712
C:\Windows\system32\lsass.exe 728
C:\Windows\system32\lsm.exe 740
C:\Windows\system32\svchost.exe 868
C:\Windows\system32\winlogon.exe 964
C:\Windows\system32\svchost.exe 980
C:\Windows\System32\svchost.exe 1024
C:\Windows\system32\Ati2evxx.exe 1076
C:\Windows\System32\svchost.exe 1104
C:\Windows\System32\svchost.exe 1140
C:\Windows\system32\svchost.exe 1168
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_c204e27d\STacSV.exe 1184
C:\Windows\system32\SLsvc.exe 1428
C:\Windows\system32\svchost.exe 1464
C:\Windows\system32\Ati2evxx.exe 1516
C:\Windows\system32\svchost.exe 1640
C:\Windows\System32\WLTRYSVC.EXE 1740
C:\Windows\System32\bcmwltry.exe 1760
C:\Windows\System32\spoolsv.exe 1848
C:\Windows\system32	askeng.exe 1856
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1916
C:\Windows\system32\svchost.exe 1936
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_c204e27d\aestsrv.exe 608
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 804
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 1272
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 1524
C:\Windows\system32\PnkBstrA.exe 2144
C:\Windows\system32\svchost.exe 2176
C:\Windows\system32\svchost.exe 2200
C:\Windows\System32\svchost.exe 2280
C:\Windows\system32\SearchIndexer.exe 2324
C:\Windows\system32\Dwm.exe 2776
C:\Windows\system32	askeng.exe 2804
C:\Windows\Explorer.EXE 2900
C:\Windows\servicing\TrustedInstaller.exe 3036
C:\Program Files\Windows Defender\MSASCui.exe 3484
C:\Windows\System32\WLTRAY.EXE 3512
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 3556
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe 3564
C:\Program Files\DellTPad\Apoint.exe 3584
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 3628
C:\Program Files\IDT\WDM\sttray.exe 3652
C:\Program Files\Freecorder\FLVSrvc.exe 3660
C:\Program Files\DellTPad\ApMsgFwd.exe 4048
C:\Program Files\DellTPad\Apntex.exe 2096
C:\Program Files\DellTPad\HidFind.exe 2444
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 768
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE 2304
C:\Windows\system32\WUDFHost.exe 2664
C:\Windows\system32\conime.exe 3176
C:\Windows\system32\WUDFHost.exe 1512
C:\Windows\system32\wbem\wmiprvse.exe 1928

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{29a69639-be27-11dd-b99d-806e6f6e6963}
shell\AutoRun\command =E:\autoRcd.exe 

HKCU\..\..\Explorer\MountPoints2\{825573bb-ccf9-11dd-a768-00059a3c7800}
shell\AutoRun\command =G:\RNMOREINFO.EXE 

HKCU\..\..\Explorer\MountPoints2\{cb354064-098e-11de-aeac-001644f82d22}
shell\AutoRun\command =H:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{e4d127ee-0988-11de-a85b-001644f82d22}
shell\AutoRun\command =F:\BSAutoRun.exe 

################## | Cracks / Keygens / Serials |

"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Bioshock.exe"  
24/08/2007 17:45 |Size 16302080 |Crc32 dbbc998e |Md5 a5fb8b5849326d81e263f79fe6f60bab  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1
v_gfgo_156.09_Vista32(www.station-drivers.com).exe"  
11/10/2007 21:31 |Size 44663756 |Crc32 57e009a3 |Md5 41596fbd8c7d1b2a1747bb03ed4da808  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32
vudisp.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32
vudisp_1.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\NVUninst.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\NVUninst_1.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\setup.exe"  
20/06/2007 11:21 |Size 116880 |Crc32 5682d58d |Md5 cafb55aa463c6df8802122838d50d2bb  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\setup_1.exe"  
20/06/2007 11:21 |Size 116880 |Crc32 5682d58d |Md5 cafb55aa463c6df8802122838d50d2bb  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 2\Bioshock.exe"  
22/08/2007 12:09 |Size 16302080 |Crc32 dbbc998e |Md5 a5fb8b5849326d81e263f79fe6f60bab  
 
"G:\photoshop\adobe photo shop\keygen.exe"  
17/03/2005 02:48 |Size 36352 |Crc32 3135cd62 |Md5 1da06c8c5f9c7bd694e069de897a1163  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 2\bioshock_keygen_v2.rar" 
-> contain :  bioshock keygen v2.exe


################## | ! Fin du rapport # UsbFix V6.062 ! |


Voilà, j'attends de nouveau tes instructions cher ami !    ;-)

sKe69 · Answer

re,


la suite dans l'ordre :



1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Clique droit/ "executer entant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


==========================

2- Télécharge Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Hendell · Answer

Ok, c'est partit !

Hendell · Answer

Oulah, on dirait que USBfix a trouvé des petits fichiers infectés....
Regardons plutôt:


############################## | UsbFix V6.062 |

User : Cyril (Administrateurs) # PC-DE-CYRIL
Update on 12/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:01:19 | 12/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T5750  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 138,82 Go (20,16 Go free) # NTFS
D:\ -> Disque fixe local # 10 Go (5,32 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,91 Go (147,38 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 468
C:\Windows\system32\csrss.exe 608
C:\Windows\system32\wininit.exe 672
C:\Windows\system32\csrss.exe 684
C:\Windows\system32\services.exe 720
C:\Windows\system32\lsass.exe 736
C:\Windows\system32\lsm.exe 748
C:\Windows\system32\svchost.exe 868
C:\Windows\system32\winlogon.exe 900
C:\Windows\system32\svchost.exe 984
C:\Windows\System32\svchost.exe 1024
C:\Windows\system32\Ati2evxx.exe 1088
C:\Windows\System32\svchost.exe 1112
C:\Windows\System32\svchost.exe 1152
C:\Windows\system32\svchost.exe 1164
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_c204e27d\STacSV.exe 1216
C:\Windows\system32\LogonUI.exe 1272
C:\Windows\system32\SLsvc.exe 1436
C:\Windows\system32\svchost.exe 1488
C:\Windows\system32\svchost.exe 1600
C:\Windows\system32\Ati2evxx.exe 1672
C:\Windows\System32\WLTRYSVC.EXE 1760
C:\Windows\System32\bcmwltry.exe 1772
C:\Windows\system32	askeng.exe 1816
C:\Windows\System32\spoolsv.exe 1860
C:\Windows\system32\WUDFHost.exe 1884
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1900
C:\Windows\system32\svchost.exe 1932
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_c204e27d\aestsrv.exe 712
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 856
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 1552
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 2124
C:\Windows\system32\PnkBstrA.exe 2272
C:\Windows\system32\svchost.exe 2308
C:\Windows\system32\svchost.exe 2328
C:\Windows\System32\svchost.exe 2364
C:\Windows\system32\SearchIndexer.exe 2388
C:\Windows\system32\WUDFHost.exe 2492
C:\Windows\servicing\TrustedInstaller.exe 2908
C:\Windows\system32	askeng.exe 3072
C:\Windows\system32\Dwm.exe 3104
C:\Windows\Explorer.EXE 3188
C:\Windows\system32unonce.exe 3308
C:\Windows\system32\conime.exe 3356
C:\Windows\system32\wbem\wmiprvse.exe 3644

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1260506049-799274883-2582676535-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1260506049-799274883-2582676535-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1513509564-1773247969-3217945053-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2907353938-3341968291-1815868441-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2907353938-3341968291-1815868441-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3366778928-964775552-1129572932-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4158817726-1057112840-1098699484-1000 

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{29a69639-be27-11dd-b99d-806e6f6e6963}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{825573bb-ccf9-11dd-a768-00059a3c7800}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{cb354064-098e-11de-aeac-001644f82d22}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e4d127ee-0988-11de-a85b-001644f82d22}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr 
[30/11/2008 01:05|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[05/12/2008 15:18|-rahs----|0] C:\IO.SYS 
[05/12/2008 15:18|-rahs----|0] C:\MSDOS.SYS 
[12/03/2009 18:57|--ah-----|728] C:\os264931.bin 
[?|?|?] C:\pagefile.sys 
[12/12/2009 17:53|--a------|1550] C:apport.txt 
[12/12/2009 17:17|--a------|32416] C:\TB.txt 
[12/12/2009 18:04|--a------|4323] C:\UsbFix.txt 
[08/11/2008 14:38|-ra------|528] D:\MediaID.bin 
[05/09/2005 15:20|--a------|260096] G:\capture.exe 
[26/11/2009 10:37|--a------|13030] G:\PDOXUSRS.NET 
[05/10/2009 12:01|--a------|47104] G:\TPL334_OLIVETTO_THOUVENIN_QLIO2_TPB.xls 
[08/10/2009 13:42|--a------|26112] G:\Jelly Belly; THOUVENIN_VILOTTA_ROULET_OLIVETTO.doc 
[25/08/2008 11:21|--a------|57789] G:\M311-oral-subject.pdf 
[?|?|?] G:\RAPPORT D'INCIDENTfab.ppt 
[20/11/2008 18:23|--a------|1347598] G:\081113225609_99.jpg 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |

"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Bioshock.exe"  
24/08/2007 17:45 |Size 16302080 |Crc32 dbbc998e |Md5 a5fb8b5849326d81e263f79fe6f60bab  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1
v_gfgo_156.09_Vista32(www.station-drivers.com).exe"  
11/10/2007 21:31 |Size 44663756 |Crc32 57e009a3 |Md5 41596fbd8c7d1b2a1747bb03ed4da808  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32
vudisp.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32
vudisp_1.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\NVUninst.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\NVUninst_1.exe"  
20/06/2007 11:21 |Size 356352 |Crc32 eb19b885 |Md5 ff872b9d9792df011cf0f21c43f9ac34  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\setup.exe"  
20/06/2007 11:21 |Size 116880 |Crc32 5682d58d |Md5 cafb55aa463c6df8802122838d50d2bb  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\setup_1.exe"  
20/06/2007 11:21 |Size 116880 |Crc32 5682d58d |Md5 cafb55aa463c6df8802122838d50d2bb  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 2\Bioshock.exe"  
22/08/2007 12:09 |Size 16302080 |Crc32 dbbc998e |Md5 a5fb8b5849326d81e263f79fe6f60bab  
 
"G:\photoshop\adobe photo shop\keygen.exe"  
17/03/2005 02:48 |Size 36352 |Crc32 3135cd62 |Md5 1da06c8c5f9c7bd694e069de897a1163  
 
"C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 2\bioshock_keygen_v2.rar" 
-> contain :  bioshock keygen v2.exe


################## | Upload | 

Veuillez envoyer le fichier : C:\Users\Cyril\Desktop\UsbFix_Upload_Me_PC-de-Cyril.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.062 ! |


Et je poursuis....

Hendell · Answer

Rien d'alarmant avec Malwarebyte :

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3349
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

12/12/2009 18:51:55
mbam-log-2009-12-12 (18-51-55).txt

Type de recherche: Examen rapide
Eléments examinés: 93019
Temps écoulé: 4 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Hendell · Answer

Bon, voici le rapport de fin : http://www.cijoint.fr/cjlink.php?file=cj200912/cijf6Itvio.txt
Rien de neuf... Le problème est toujours là. :'-(

Utilisateur anonyme · Answer

En attendant ton helper^^
Télécharge OTMoveIt https://www.luanagames.com/index.fr.html (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32
vudisp.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32
vudisp_1.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\NVUninst.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\NVUninst_1.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\setup.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Vista32\setup_1.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 2\Bioshock.exe
G:\photoshop\adobe photo shop\keygen.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 2\bioshock_keygen_v2.rar
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1\Bioshock.exe
C:\Users\Cyril\Desktop\Bioshock_dx9\Bioshock\Crack Bioshock 1
v_gfgo_156.09_Vista32(www.station-drivers.com).exe

Et fait MoveIt!

Montre le rapport qui s'affiche ensuite !

sKe69 · Answer

re,


copie/colle moi le rapport de malwarebytes que tu avais obtenu avant de poster sur le forum stp ... 




Puis on continue :


1- Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097 

* clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip   qui est sur ton bureau .

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip  


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^


========================

2-  Télécharge et installe la dernière version de  CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


=======================

3- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : 
http://www2.gmer.net/gmer.zip
 
* Clique droit / "executer entant qu'admin..." sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte. 
* Clique sur l'onglet "rootkit", puis clique sur scan. 
* A la fin du scan, clique sur le bouton copy. 
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. 
* poste le rapport stp ...

Utilisateur anonyme · Answer

sKe69, je lui fais faire un OTM

Post : https://forums.commentcamarche.net/forum/affich-15578499-google-est-devenu-fou-trojan#15

Hendell · Answer

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3347
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

12/12/2009 02:09:42
mbam-log-2009-12-12 (02-09-42).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 244758
Temps écoulé: 3 hour(s), 26 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Cyril\AppData\Local\Temp\0.19916338321208316.exe (Trojan.Dropper) -> Not selected for removal.

Hendell · Answer

Mon Dieu, la dernière phrase du rapport semble dire que je n'ai pas sélectionné le fichier infecté ! Mais je croyais l'avoir fait pourtant. Ne suffirait il pas de me rendre dans mon C:/ et de le supprimer...

sKe69 · Answer

Pas grave .... fais la suite ....

Hendell · Answer

Je suis désolé, mais je poursuivrai les opérations demain en début d'aprem peut être. Là je dois y aller.
Merci de ton soutien sKe69. Traîne un peu sur ce topic et si jamais il est pas mis à jour c'est que je m'en suis sortit. 
A la prochaine.

sKe69 · Answer

re,


à demain avec les rapports demandés ! ... Si c'est ce que je pense comme infection , t'es loin d'être tiré d'affaire ....

Hendell · Answer

Je suis de retour, je continue selon tes consignes.  ;-)

Hendell · Answer

Oulalah, on risque d'avoir un petit problème. Je me suis servit de gmer (il a l'air d'être bien ce logiciel il trouve pas mal de truc on dirait pendant le scan).
MAIS : écran figé, et par conséquent impossible d'avoir le rapport. Puis redémarrage en mode sans échec et crash Windows (blue screen) !

Je crois que mon PC fait une indigestion de gmer...

sKe69 · Answer

re,


tu l'as bien lancé entant qu'admin ... ?

recommence en désactivant également ton antivirus ...


poste le rapport obtenu si cela à fonctionner ....

Hendell · Answer

C'est bon, je crois que le problème a été résolu. 
Comme nous le savions, j'avais fait un petit scan avec Malwarebytes avant de lancer ce topic. Mais je n'avais pas réussi à supprimer le problème via l'anti-spyware. Je suis donc allé voir manuellement dans C:/--> users--> moi--> appdata --> temp. Et là j'ai supprimé tous les fichiers (tous les dossier(log, low,...) étaient vides). Depuis plus de problème. Apparemment (je suis pas sûr) le nom du fichier dangereux étaient : ~DF6A4A.tmp

Depuis plus de problèmes. Google ne plante plus et plus aucune pubs.

En ce qui concerne gmer je ne pouvais pas "l'exécuter en tant qu'admin" car après mon clic droit il n'y avait qu'une option "ouvrir". J'ai bien pensé comme toi (désactiver l'antivirus) mais ça n'a rien changé --> plantage de gmer ou crashs windows.


Voilà, je crois bien que ce message clos ce topic. Merci de tout coeur pour ton aide mon cher sKe69 ! ;-)
Et je ne te dis pas à bientôt (pas envie d'avoir de nouveaux problèmes).

sKe69 · Answer

re,

rien n'est clos ! ... Gmer ne doit pas planter le systeme normalement ...

je souspçonne un autre infection ...

supprime le et recommence la manipe en le téléchargent ici > https://www.cjoint.com/?mnxiIMpZxL


puis poste moi le rapport obtenu ...

Hendell · Answer

Je te refais ça pour ce week end.
A Vendredi ou samedi.  ;-)

Hendell · Answer

Rien à faire avec Gmer, même avec la dernière version que tu as posté. Il "cesse de fonctionner"...

sKe69 · Answer

hello,

bizard ...


dis moi , toujours des prb de redirection ou pas ? ....



supprime ZHPDiag en utilisant son utilitaire de désinstalle :

C:\Program files\ZHPDiag\Unins000.exe 




puis on va reprendre avec la dernière version disponible ici :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> Clique droit / "executer entant qu'admin..." sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag( "entant qu'admin..." ) depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Google est devenu fou (Trojan ?)

30 réponses

Votre réponse

Newsletters