Pb google redirigé vers wwwgoole.com Résolu/Fermé

Question

Bonjour,
tous les liens obtenus avec google ou yahoo m'envoient inévitablement vers ce satané http://wwwgoolle.com/

Rien n'est décelé avec McAfee, Malwarebytes, Spybot... (windows XP, IE7)
Impossible de faire une recherche sur google pour vois si d'autres personnes ont connu le même problème, puisque google me redirige vers goolle..
Quelqun pourrait-il m'aider à résoudre ça ? Merci !

Voila le rapport hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:13, on 3/27/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
G:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Dell Photo AIO Printer 942\dlbubmgr.exe
C:\Program Files\Dell Photo AIO Printer 942\dlbubmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Adobe PDF Link Helper - {16163016-49B6-7408-6BF3-02DD506A3275} - C:\WINDOWS\system32\pxaafs.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Dell Photo AIO Printer 942] "C:\Program Files\Dell Photo AIO Printer 942\dlbubmgr.exe"
O4 - HKLM\..\Run: [DLBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBUtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} - file:///C:/Program%20Files/Ouba%20-%20The%20Great%20Journey/Images/stg_drm.ocx
O16 - DPF: {362C56AA-6E4F-40C7-A0B5-85501DBDAD77} (Scanner.SysScanner) - http://i.dell.com/images/global/js/scanner/SysProExe.cab
O16 - DPF: {5727FF4C-EF4E-4d96-A96C-03AD91910448} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: dlbu_device - Dell - C:\WINDOWS\system32\dlbucoms.exe
O23 - Service: Remote Connections Service (FlexService) - Unknown owner - C:\Program Files\RapidBIT\cisvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - G:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

truecode · Accepted Answer

Alors réalise cette manipulation : 

Etape 1 : 

Si vous avez Spybot S&D:

Désactiver Spybot - Search & Destroy\TeaTimer.exe  
*Lance spybot  
*Menu mode : clique sur "avancé" 
*Puis sur "outils"  
*clique sur l'icone "résident"  
*Ensuite à droite décoches Teatimer 

Etape 2 :


*Téléchargez Rkill https://download.bleepingcomputer.com/grinler/rkill.com
*Double-cliquez dessus pour le lancer. Il va arrêter automatiquement tous les processus associés à Security Tool et à d'autres rogues. soyez patient car le logiciel peut prendre du temps ! Une fois terminé, le logiciel se ferme tout simplement : c'est normal . Vous pouvez passer directement à la suite de la désinfection. 
*Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte. 


Etape 3 :  

*Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

*Double clique sur le fichier téléchargé
*Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
*Quand la mise à jour est terminé va dans l'onglet
*Tu sélectionne "Exécuter un examen complet"
*Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

*L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
*Maintenant tu clique sur "Ok" pour poursuivre.
*Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
*Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
*Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
*Le Bloc-notes va s'ouvrir avec le rapport d'analyse
*Fais un copier coller de ce rapport etposte-le dans ton prochain message.

truecode · Answer

Bonsoir , 

Poste ce rapport on va regarder : 

* Télécharge ZHPDiag(de Nicolas Coolman) https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Thierrylamouette · Answer

Hello, voici le rapport : 
http://www.cijoint.fr/cjlink.php?file=cj201003/cijsY1tfGb.txt

Je dois dire que j'ai trouvé entre temps un trojan clickerwin32/yabector.gen avec windows live onecare, trojan qui a été supprimé, mais le problème de redirection persiste.

Thierrylamouette · Answer

Bonjour et merci pour ton aide,
voila le rapport
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3923
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

3/28/2010 3:20:12 PM
mbam-log-2010-03-28 (15-20-12).txt

Type de recherche: Examen complet (C:\|G:\|H:\|)
Eléments examinés: 224289
Temps écoulé: 2 hour(s), 16 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\pxaafs.dll (Trojan.BHO) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{16163016-49b6-7408-6bf3-02dd506a3275} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{16163016-49b6-7408-6bf3-02dd506a3275} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16163016-49b6-7408-6bf3-02dd506a3275} (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\pxaafs.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9FBECE27-F5B0-4208-AB4A-00C0AFDA5179}\RP364\A0039207.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\webbcheck.dll (Trojan.BHO) -> Quarantined and deleted successfully.

truecode · Answer

Parfait maintenant 

* Télécharge ZHPDiag(de Nicolas Coolman) https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Thierrylamouette · Answer

ok, le voila

http://www.cijoint.fr/cjlink.php?file=cj201003/cijXgja47N.txt

Thierrylamouette · Answer

pas  de problème, j'ai le temps ! plus de redirection vers goole pour l'instant.

truecode · Answer

Bonjour,

Je vois toujours des traces du rogues AdwareAlert

  Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent 

? Télécharge List&Kill'em et enregistre le sur ton bureau 
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

Il ne necessite pas d'installation 

?double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan 

choisis la langue puis choisis l'option 1 = Mode Recherche 

?laisse travailler l'outil 

le rapport va s'afficher , une fois le scan fini 

?colle le contenu sur un forum spécialisé

Thierrylamouette · Answer

Bonjour,
J ai du installer List&Kill'em puis choisir entre plusieurs options "search", "clean", "restore MBR"...

J'ai lancé "search" et obtenu un rapport. 

Sur quel forum me conseilles-tu de le soumettre ?

truecode · Answer

Poste le résultat ici , tu peux l'héberger sur http://www.cijoint.fr/

Thierrylamouette · Answer

ok,
voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201003/cij6fU52D8.txt

truecode · Answer

Bonjour,

REDEMARRE EN MODE SANS ECHEC 

? Relance List&Kill'em  (clic droit pour vista), 

mais cette fois-ci : 

? choisis l'option 2 = Mode Destruction 

laisse travailler l'outil 

apres les verifications , un rapport va s'ouvrir. 

? ferme-le. 

un deuxieme rapport va s'ouvrir , 

? colle son contenu dans ta reponse apres avoir redemarré en mode normal

Thierrylamouette · Answer

Salut, je pense que j'ai installé la dernière version de List&Kill'em (je confirme, il faut installer le logiciel)
Si j'essaie de lancer List&Kill'em en mode sans echec, il redémarre le pc avant de faire l'analyse.
Il n'y a pas de Mode destruction, mais d'autres options dont "Safe mode clean", que j'ai choisie.

Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijPxIOv1z.txt 

Mon PC rame un peu, mais il n'y a plus de probleme de redirection.

truecode · Answer

Bonjour,

Par contre dans le rapport je ne vois pas la suppression de ces trois fichiers , vérifie s'ils sont toujours présent. 

C:\WINDOWS\System32\wpcap.dll 
C:\Documents and Settings\Administrator\Application Data\GDIPFONTCACHEV1.DAT  
C:\Documents and Settings\Administrator\Application Data\GDIPFONTCACHEV1.DAT  

Sinon nous les supprimerons manuellement.

Thierrylamouette · Answer

Bonjour et merci pour ton temps,
wpcap.dll est bien présent.
GDIPFONTCACHEV1.DAT n'est pas la.

Je supprime wpcap ?

truecode · Answer

Avant tout une vérification : 



*Rends toi sur ce site : https://www.virustotal.com/gui/ 
*  Copie ce qui suit et colle le dans l'espace pour la recherche : 


C:\WINDOWS\System32\wpcap.dll  




*Clique sur Send File ( = " Envoyer le fichier " ). 
*Un rapport va s'élaborer ligne à ligne. 
*Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 
*Sauvegarde le rapport avec le bloc-note. 
* Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Thierrylamouette · Answer

Bonjour,
Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201004/cijUFavOGK.txt 

Sur le rapport, on lit 
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED 
alors que sur l'écran, on lit Current status: Finished (un copier coller donne loading et non finished, bizarre)
Je vois un trojan en face de esafe..

compliqué tout ça...

truecode · Answer

Bonjour,

*Télécharger OTMOVEIT http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
*Enregistrer ce fichier sur le Bureau.
*Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
*Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):



:processes

explorer.exe

:files
C:\WINDOWS\System32\wpcap.dll  

:reg

:commands

[emptytemp]

[start explorer]

[reboot]


*Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
*Cliquer sur le bouton rouge Moveit!.
*Fermer OTMoveIt3
*Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Thierrylamouette · Answer

Bonjour,
Après avoir fait Moveit!, un message m'a dit que l'application n'avait pu être effectuée car il manquait un fichier .dll (je ne sais plus lequel). J'ai cliqué ok et l'application s'est quand même déroulée normalement (?).
voici le lien du rapport (il était en .log, extension impossible à mettre sur cijoint.fr, alors j'ai changé l'extension en .txt)
http://www.cijoint.fr/cjlink.php?file=cj201004/cijVftfZhG.txt

Pour info, Avast a détecté un trojan ce matin au démarrage du pc (je n'ai rien téléchargé, pas de piece jointe non plus)

truecode · Answer

Télécharge la dll ici https://www.dll-files.com/wpcap.dll.html
Puis colle la dans C:\Windows\system32

Ensuite tu aurais le rapport de détection de avast ?

Thierrylamouette · Answer

Voila c'est fait.
J'ai dit une anerie, ce n'est pas avast (je ne l'ai plus depuis longtemps) mais McAfee.
Voila les informations que j'ai récupérées :

4/2/2010	10:11:51 AM	Deleted 	USER-X0MDPM67Y0\Administrator	C:\WINDOWS\Explorer.EXE	C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SDSHRED.EXE	Generic.dx!qln (Trojan)
4/2/2010	10:11:55 AM	Deleted 	USER-X0MDPM67Y0\Administrator	C:\WINDOWS\Explorer.EXE	C:\Program Files\Spybot - Search & Destroy\SDShred.exe	Generic.dx!qln (Trojan)

truecode · Answer

Je pense qu'il s'agit d'un faux positif car c'est Spybot va sur ce site et analyse : 

*Rends toi sur ce site : https://www.virustotal.com/gui/ 
*  Copie ce qui suit et colle le dans l'espace pour la recherche : 


C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SDSHRED.EXE 



*Clique sur Send File ( = " Envoyer le fichier " ). 
*Un rapport va s'élaborer ligne à ligne. 
*Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 
*Sauvegarde le rapport avec le bloc-note. 
* Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Thierrylamouette · Answer

Bonjour,
je pense que McAfee a supprimé SDSHRED.EXE;
si je copie C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SDSHRED.EXE, le message "0 bytes size received " s'affiche.
Je ne trouve pas ce fichier dans le répertoire de Spybot.

Thierrylamouette · Answer

La porte est encore ouverte, McAfee vient de détecter et virer un autre trojan
Generic.dx!qln
C:\SYSTEM VOLUME INFORMATION\_RESTORE{9FBECE27-F5B0-4208-AB4A-00C0AFDA5179}\RP382\A0042738.EXE
dans C\WINDOWS\System32\Svchost.exe

Décidément, c'est vraiment une plaie !

truecode · Answer

Relance une analyse complète avec MBAM

Thierrylamouette · Answer

J'ai lancé MBAM en mode sans éche. Rien trouvé.

truecode · Answer

Bonjour,

Mais les alertes continue ? De toutes façons McAfee offre une protection moyenne pour être gentil , tu aurais une meilleur protection avec un antivirus gratuit du genre d'antivir

Thierrylamouette · Answer

Bonjour,
non, pas d'autre alerte. 
Je vais faire tout de même quelques recherches sur ce virus, il est en tête de liste selon le site MacAfee (20% des PC scannés l'ont !). Je marquerai ensuite le sujet comme résolu.
McAfee, Avast, Antivir...etc, les avis sur les forums sont très partagés. Difficile de se faire une opinion.
Merci beaucoup pour ton aide, c'est vraiment sympa !

truecode · Answer

Bonjour ,

Voici des liens avec des tests si tu as envie de te faire un bon opinion des logiciels antivirus :

En ce qui concerne les gratuits : https://forum.malekal.com/viewtopic.php?t=23535&start=

Et si tu veux un test complet mais il faudra faire un peu d'anglais , par contre les graphiques sont facilement compréhensibles : http://www.anti-malware-test.com/?q=node/93/

Val · Answer

McAfee  a supprimé SDSHRED.EXE;
si je copie C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SDSHRED.EXE, le message "0 bytes size received " s'affiche.
Je ne trouve pas ce fichier dans le répertoire de Spybot.

Salut. A mon avis :

+1 pour virer McAfee et remplacer par Antivir.

Car Spybot est maintenant privé d'un de ses fichiers par McAfee donc rendu inefficace.

>Si tu veux garder Spybot désinstalle  McAfee + désinstalle/réinstalle Spybot.
>Si tu gardes McAfee désinstalle Spybot

Thierrylamouette · Answer

ah, bonne remarque Val. Je vire McAfee, de toute façon il ralentit trop mon PC
Et merci pour les liens, truecode (pas de pb pour l'anglais, j'habite new york)

Pb google redirigé vers wwwgoole.com

31 réponses

Discussions similaires

Newsletters