Redirections dans firefox

bichoo Messages postés 250 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Il m'arrive souvent d'avoir des redirections vers d'autres sites.c'est énervant.
j'ai fais un scan avec malwarebytes et pas de nuisibles.
est ce un rookit?
qu'est ce que je dois faire?
merci beaucoup de votre aide.

23 réponses

  • 1
  • 2
Résumé de la discussion

Des redirections vers des sites externes surviennent fréquemment, indiquant une potentielle infection ou une page de désinfection trompeuse sur un poste Windows. Une approche recommandée consiste à exécuter l’outil USBFix pour analyser les supports amovibles et générer un rapport, en désactivant temporairement la protection en temps réel de l’antivirus. Le rapport peut révéler des éléments suspects et certains antivirus classent Process.exe comme RiskTool, car cet utilitaire peut terminer des processus de sécurité, même s’il n’est pas nécessairement malveillant. D'autres indications peuvent provenir de scripts malveillants ou de pages de faux scans, et une purge ciblée du système associée à une vérification des supports externes peut s’avérer utile.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut j'opterais pour cette solution :

    * Télécharge ici : USBFIX sur ton bureau

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    « Recherche »

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    - puis clique sur OK
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.
    le rapport se trouve sur C:\ UsbFix.txt

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    2
  2. Utilisateur anonyme
     
    Bonjour
    Tu es redirigée vers une fausse page de scan et qui propose le téléchargement
    de rogues, faux logiciels de sécurité, c'est néfaste

    Pour ceci
    C:\System Volume Information\_restore{03A8A5C4-E6A8-4B42-8440-68557157B69C}\RP3\A0001036.exe?
    Purge le PC, cela va le supprimer, mais le problème, cela ne va pas résoudre
    le problème de redirections
    1
    1. bichoo Messages postés 250 Statut Membre 43
       
      bonjour,
      je viens de faire un nettoyage de disque en supprimant les fichiers temporaires etc... cela a été suffisant pour purger l'ordi?
      0
  3. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Salut, Un virus publicitaires surement, mais pas un rootkit, je ne pense pas :)

    Fait ceci :

    Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme.

    Clique sur Tous pour cocher toutes les cases des options.

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

    Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
    Un lien te sera généré, postes le dans ta prochaine réponse .
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      voila le lien ou se trouve le rapport:
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijV4hYE4s.txt
      0
  4. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ah ma foi, il sembelrait que tu es quand meme un rootkit :s

    On va voir sa, fait ceci :

    >Telecharge Combofix ici et enregistre le sur ton bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    # Ferme toutes les fenêtres de programme ouvertes, y compris celle-ci.

    # Ferme ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

    #Double clic sur l'icône de ComboFix située sur le Bureau. Note bien que, une fois que tu as lancé ComboFix, tu ne dois pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme. En fait, lorsque ComboFix tourne, ne touche plus du tout à ton pc. L'analyse peut prendre un certain temps, donc soit patient.

    #Une fenêtre présentant les différents sites autorisés de téléchargement de ComboFix s'affiche. Dans cette fenêtre, clique sur le bouton OK.

    #Après la fin de la sauvegarde du Registre Windows, ComboFix va essayer de savoir si la Console de récupération est installée. Si tu ne l'a pas déja fait accepte.

    #Ceci peut durer un certain temps, donc surtout soit patient. Si tu vois ton Bureau Windows disparaître, ne t'inquiete pas. C'est normal, et ComboFix restaurera votre Bureau avant de se terminer. Finalement, tu verras un nouvel affichage déclarant que le programme a presque fini et vous annonçant que le fichier rapport, ou log, se trouvera dans C:\ComboFix.txt.

    #Poste ce rapport.
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      voila le rapport: http://www.cijoint.fr/cjlink.php?file=cj201006/cijJAw37jV.txt
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, la suite :

    > Télécharge GMER :
    http://www2.gmer.net/gmer.zip

    * Dézipper le programme.
    * Double cliquer sur Gmer.exe
    * Le programme se lance et fait un auto scan
    (il s'agit de l'onglet : Rootkit/Malware).

    => Des lignes rouges doivent apparaître en cas d'infection :

    * sur ces lignes rouges:
    o Services: Clique droit puis delete service
    o Process: Clique droit puis kill process
    o Adl, file: Clique droit puis delete files
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      ok je ferais ça demain. merci
      0
    2. bichoo Messages postés 250 Statut Membre 43
       
      Bonjour,
      j'ai lancé Gmer, pas de lignes rouges qui sont apparues donc pas d'infections..
      voila le rapport:
      GMER 1.0.15.15281 - http://www.gmer.net
      Rootkit scan 2010-07-01 13:07:08
      Windows 5.1.2600 Service Pack 3
      Running: gmer.exe; Driver: C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\kfldrpow.sys


      ---- System - GMER 1.0.15 ----

      SSDT F7CB9906 ZwCreateKey
      SSDT F7CB98FC ZwCreateThread
      SSDT F7CB990B ZwDeleteKey
      SSDT F7CB9915 ZwDeleteValueKey
      SSDT F7CB991A ZwLoadKey
      SSDT F7CB98E8 ZwOpenProcess
      SSDT F7CB98ED ZwOpenThread
      SSDT F7CB9924 ZwReplaceKey
      SSDT F7CB991F ZwRestoreKey
      SSDT F7CB9910 ZwSetValueKey
      SSDT F7CB98F7 ZwTerminateProcess

      ---- Kernel code sections - GMER 1.0.15 ----

      .text ntoskrnl.exe!_abnormal_termination + 234 804E28A0 4 Bytes CALL 4E45F43D
      .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6B81340, 0xFFF3F, 0xF8000020]
      init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xF6A52510]
      ? C:\WINDOWS\system32\bbcf.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
      .text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012300, 0x234A20, 0xF8000020]

      ---- Devices - GMER 1.0.15 ----

      AttachedDevice \Driver\Tcpip \Device\Tcp bbcf.sys

      Device \Driver\USB_RNDIS \Device\{2851462F-9FEF-4B49-B93B-1CD3835E13B3} RNDISMP.SYS (Remote NDIS Miniport/Microsoft Corporation)

      ---- Registry - GMER 1.0.15 ----

      Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00158315a310
      Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00158315a310@0017e477fc9a 0x75 0x8F 0xDD 0x11 ...
      Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00158315a310 (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00158315a310@0017e477fc9a 0x75 0x8F 0xDD 0x11 ...

      ---- EOF - GMER 1.0.15 ----
      0
  7. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Fait ceci :

    >Telecharge malwarebytes ici :

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
    . enregistres le sur le bureau
    /!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      voila le rapport:
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4052

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 7.0.5730.11

      01/07/2010 18:59:28
      mbam-log-2010-07-01 (18-59-28).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 194624
      Temps écoulé: 1 heure(s), 41 minute(s), 34 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  8. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, la suite :

    1° Télécharge HostsXpert sur ton Bureau :

    http://www.funkytoad.com/download/HostsXpert.zip

    ---> Décompresse-le (Clic droit >> Extraire ici)
    ---> Double-clique sur HostsXpert pour le lancer , laisse travailler l'outil.
    ---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

    PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.
    (pas de rapport pour ce tool)

    Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire
    sous peine de ne pas pouvoir faire fonctionner correctement l'outil.
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    >Ad-Remover<

    >Telecharge Ad-Remover et enregistre-le sur ton bureau :

    https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/

    >Désactive ton antivirus le temps de la manip
    >Déconnecte-toi d'Internet et ferme toutes applications en cours
    >Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
    >Au menu principal, choisis l'option Nettoyer
    >Poste le rapport généré (C:\Ad-Report-CLEAN.log).
    >N'oublie pas de réactiver ton anti-virus
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par C_XX le 23/06/10 à 19:20
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

      C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:54:13 le 02/07/2010, Mode normal

      Microsoft Windows XP Édition familiale Service Pack 3 (X86)
      Françoise@ACTARUS ( )

      ============== ACTION(S) ==============



      (!) -- Fichiers temporaires supprimés.



      ============== SCAN ADDITIONNEL ==============

      ** Mozilla Firefox Version [3.5.10 (fr)] **

      -- C:\Documents and Settings\Françoise\Application Data\Mozilla\FireFox\Profiles\9fiwemf9.default\Prefs.js --
      browser.search.defaultenginename, Google
      browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
      browser.search.selectedEngine, Wikipédia (fr)
      browser.startup.homepage, hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official
      browser.startup.homepage_override.mstone, rv:1.9.1.10
      keyword.URL, hxxp://www.searcheo.fr/renseignement?search&q=

      ========================================

      ** Internet Explorer Version [7.0.5730.11] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      Use Search Asst:

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

      C:\Ad-Report-CLEAN[1].txt - 02/07/2010 (496 Octet(s))
      C:\Ad-Report-SCAN[1].txt - 30/06/2010 (2350 Octet(s))

      Fin à: 12:00:15, 02/07/2010

      ============== E.O.F ==============
      0
  9. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, toujours redirigé ?

    reposte un nouveau rapport ZHP stp.
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      non plus de redirection, ça semble bien fonctionner :D

      voila le rapport:
      http://www.cijoint.fr/cjlink.php?file=cj201007/cijIgF9awr.txt
      0
    2. bichoo Messages postés 250 Statut Membre 43
       
      qu'est ce que je fais de tous les logiciels de désinfections?
      0
  10. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    C'est pas terminé, tu es rootkité;

    Fait analyser ce fichier sur Virus total :

    C:\WINDOWS\system32\bbcf.sys

    Virus Total ici :

    https://www.virustotal.com/gui/

    Poste le rapport.
    *>flo-91<*®

    N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
    il y a peut être déjà la solution à votre problème =)
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      lol, j'espère que c'est pas fait exprès quand meme ^^
      0
    2. Utilisateur anonyme
       
      J'ai vérifié, c'est bien le même PC
      0
    3. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Pourquoi se faire infecter volontairement ?
      Je pense plutôt que l'on arrive pas à traiter définitivement la meme infection...
      0
    4. Utilisateur anonyme
       
      Cette infection doit revenir
      Le mieux, serai de formater le PC, mais il faut un CD Windows
      0
  11. bichoo Messages postés 250 Statut Membre 43
     
    j'ai fais analyser le fichier sur virus total
    ça m'affiche cela: "0 bytes size received / Se ha recibido un archivo vacio"
    je comprends pas ce que cela veut dire.
    par contre, quand j'analyse un autre fichier du même type , y'a bien un rapport qui s'affiche... et pas avec celui la..
    0
    1. Utilisateur anonyme
       
      Cela signifie rootkit
      0
    2. bichoo Messages postés 250 Statut Membre 43
       
      ouais... plus aucunes solutions à part formater l'ordi?
      0
    3. Utilisateur anonyme
       
      Tu as un rootkit qui semble bien se moquer de nous apparemment, probablement
      une nouvelle variante TDSS, une vrai m****
      Cela revient tout le temps
      Tu n'as pas de CD Windows ?
      Il faudrait attendre les conseils de flo91
      0
    4. bichoo Messages postés 250 Statut Membre 43
       
      ben non je n'ai pas de CD windows, c'est un ordi récupéré
      0
    5. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Salut,

      Il faudrait essayer d'avoir un CD de windows, au moins juste pour réparer svchost.exe qui semble touché.
      0
  12. Utilisateur anonyme
     
    Bonjour bichoo

    Analyse sur Virus Total ce fichier
    https://www.virustotal.com/gui/
    Clique sur parcourir
    Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
    Clique sur envoyer le fichier
    une fois le scan terminé, donne moi le résultat
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      voilà le résultat:
      "0 bytes size received / Se ha recibido un archivo vacio"
      0
  13. Utilisateur anonyme
     
    C'est mauvais ça
    Tu n'arrives pas à supprimer ce fichier ?
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      manuellement? si je pense
      0
  14. Utilisateur anonyme
     
    Vire le, il est néfaste
    Vérifie ensuite s'il revient au redémarrage du PC
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      quand j'essaie de le supprimer, ça me met "accès refusé"
      0
  15. Utilisateur anonyme
     
    Attention,à ne pas reproduire sur un autre PC, ce qui pourrai l'endommager
    ? Télécharge OTM (de Old_Timer) sur ton Bureau

    ? Double-clique sur OTM.exe pour le lancer.

    ? Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

    ? Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

    :files
    C:\WINDOWS\Jwofua.exe

    :commands
    [start explorer]
    [reboot]


    ? clique sur MoveIt! pour lancer la suppression.

    ? Le résultat apparaitra dans le cadre "Results".

    ? Clique sur Exit pour fermer.

    ? Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    ? Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      voilà le rapport:
      ========== FILES ==========
      File move failed. C:\WINDOWS\Jwofua.exe scheduled to be moved on reboot.
      ========== COMMANDS ==========

      OTM by OldTimer - Version 3.1.14.0 log created on 07132010_121919

      Files moved on Reboot...
      File move failed. C:\WINDOWS\Jwofua.exe scheduled to be moved on reboot.

      Registry entries deleted on Reboot...
      0
    2. bichoo Messages postés 250 Statut Membre 43
       
      il était encore présent dans le dossier windows, et j'ai pu le supprimer manuellement.
      je redemarre et je regarde s'il est présent au démarrage.
      0
    3. bichoo Messages postés 250 Statut Membre 43
       
      plus d'alertes au démarrage, donc apparemment c'est bon :)

      je trouve ça bizarre d'avoir toujours des virus sur cet ordi (il a le pare feu windows). j'ai un autre ordi qui a un pare feu récupéré sur le net gratuit (secure point firewall) et il n'a jamais de virus.
      peut etre c'est le pare feu windows qui n'est pas très efficace (j'ai lu ça dans d'autres forums) et je devrais peut etre en prendre un autre?
      0
  16. Utilisateur anonyme
     
    Le pare-feu Windows ne laisse rien rentrer, mais laisse tout sortir
    installe un pare-feu, comme celui que tu viens d'indiquer
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      ok et merci de m'avoir aidée encore une fois :)
      0
    2. bichoo Messages postés 250 Statut Membre 43
       
      je viens de m'apercevoir que l'ordi a encore des redirections..c'est desespérant...
      0
    3. Utilisateur anonyme
       
      Tu as une infection qui ne se supprime pas, ou recrée des fichier
      On a été pas mal à essayer d'éradiquer cette infection
      La meilleure solution, c'est de formater ton PC
      0
    4. bichoo Messages postés 250 Statut Membre 43
       
      ouais, je vais demander à un ami de m'aider car je ne sais pas faire ça.
      0
  17. Utilisateur anonyme
     
    Salut
    je suis de retour
    bichoo, j'ai juste changé de pseudo
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      bonjour,
      voilà le rapport:
      ############################## | UsbFix 7.016 | [Recherche]

      Utilisateur: Françoise (Administrateur) # ACTARUS [ ]
      Mis à jour le 05/07/10 par El Desaparecido / C_XX
      Lancé à 22:47:32 | 18/07/2010
      Site Web: http://pagesperso-orange.fr/NosTools/index.html
      Contact: FindyKill.Contact@gmail.com

      CPU: AMD Athlon(tm) XP 2600+
      Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 7.0.5730.11

      Pare-feu Windows: Désactivé /!\
      Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
      RAM -> 1023 Mo
      C:\ (%systemdrive%) -> Disque fixe # 37 Go (7 Go libre(s) - 18%) [] # NTFS
      D:\ -> Disque fixe # 37 Go (33 Go libre(s) - 89%) [] # NTFS
      E:\ -> CD-ROM
      F:\ -> CD-ROM

      ################## | Éléments infectieux |

      Présent! C:\Documents and Settings\Françoise\Application Data\mdbu.bin
      Présent! E:\Autorun.inf

      ################## | Registre |

      Présent! HKCU\Software\VO3N0SLJ2I
      Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
      Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
      Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

      ################## | Mountpoints2 |

      HKCU\.\.\.\.\Explorer\MountPoints2\{09a5795a-670a-11dd-8a2a-806d6172696f}
      Shell\AutoRun\Command = E:\PERMIS.EXE


      ################## | Vaccin |

      (!) Cet ordinateur n'est pas vacciné!

      ################## | E.O.F |
      0
  18. Utilisateur anonyme
     
    Bonsoir Bichoo
    Relance USBFix
    # Clique sur Suppression

    # Branche toutes tes sources et données externes (clé USB, disque dur
    externe...) sans les ouvrir sur ton PC, et clique sur OK

    # La suppression est lancée. Le bureau va disparaitre, c'est normal

    # Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
    pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
    demandant d'envoyer le fichier UsbFix_Upload_Me

    # Clique sur Parcourir pour aller chercher le fichier
    compressé qui se trouve à la racine du disque

    # Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
    le fichier


    # Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .

    # Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      ############################## | UsbFix 7.016 | [Suppression]

      Utilisateur: Françoise (Administrateur) # ACTARUS [ ]
      Mis à jour le 05/07/10 par El Desaparecido / C_XX
      Lancé à 22:59:10 | 18/07/2010
      Site Web: http://pagesperso-orange.fr/NosTools/index.html
      Contact: FindyKill.Contact@gmail.com

      CPU: AMD Athlon(tm) XP 2600+
      Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 7.0.5730.11

      Pare-feu Windows: Désactivé /!\
      Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
      RAM -> 1023 Mo
      C:\ (%systemdrive%) -> Disque fixe # 37 Go (7 Go libre(s) - 18%) [] # NTFS
      D:\ -> Disque fixe # 37 Go (33 Go libre(s) - 89%) [] # NTFS
      E:\ -> CD-ROM
      F:\ -> CD-ROM

      ################## | Éléments infectieux |

      Supprimé! C:\Documents and Settings\Françoise\Application Data\mdbu.bin
      Non supprimé ! E:\Autorun.inf

      ################## | Registre |

      Supprimé! HKCU\Software\VO3N0SLJ2I
      Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
      Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

      ################## | Mountpoints2 |


      ################## | Listing |

      [29/12/2006 - 12:57:58 | D ] C:\Adobe Illustrator 10
      [14/08/2008 - 11:24:53 | A | 646] C:\autoAlbum.log
      [04/02/2010 - 00:05:18 | A | 4] C:\AUTOEXEC.BAT
      [30/01/2010 - 15:50:01 | D ] C:\AV_LOGS
      [28/11/2009 - 21:54:00 | A | 286] C:\Boot.bak
      [12/07/2010 - 22:48:30 | RASH | 286] C:\boot.ini
      [02/03/2006 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
      [12/07/2010 - 22:48:30 | RASHD ] C:\cmdcons
      [03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
      [17/07/2010 - 22:52:27 | A | 15933] C:\ComboFix.txt
      [17/07/2010 - 20:00:08 | D ] C:\Config.Msi
      [29/12/2006 - 11:42:31 | A | 0] C:\CONFIG.SYS
      [13/07/2008 - 19:19:32 | D ] C:\Documents and Settings
      [18/07/2010 - 10:48:14 | ASH | 1073270784] C:\hiberfil.sys
      [29/12/2006 - 11:42:31 | RASH | 0] C:\IO.SYS
      [24/09/2007 - 15:14:05 | D ] C:\Jeux
      [03/02/2010 - 23:51:31 | D ] C:\Kill'em
      [02/01/2007 - 19:13:54 | A | 90] C:\LogiSetup.log
      [30/08/2009 - 00:11:28 | A | 9530] C:\LogIt.log
      [02/01/2007 - 20:03:50 | D ] C:\MICROAPP
      [29/12/2006 - 11:42:32 | RASH | 0] C:\MSDOS.SYS
      [29/12/2006 - 12:16:28 | RD ] C:\MSOCache
      [02/03/2006 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
      [04/09/2008 - 21:15:32 | RASH | 252240] C:\ntldr
      [18/07/2010 - 10:48:12 | ASH | 805306368] C:\pagefile.sys
      [17/07/2010 - 19:56:55 | RD ] C:\Program Files
      [17/07/2010 - 22:52:30 | D ] C:\Qoobox
      [18/07/2010 - 23:02:09 | SHD ] C:\RECYCLER
      [31/05/2007 - 09:01:49 | A | 5640] C:\resetlog.txt
      [12/11/2007 - 16:30:25 | A | 92] C:\ResumeOmgApDeliveryMgrCntrl_SonicStage_EmdDownloadObj.dmf
      [02/01/2007 - 19:49:38 | A | 90] C:\Setup.log
      [10/01/2007 - 14:54:07 | AH | 232] C:\sqmdata00.sqm
      [11/01/2007 - 12:19:44 | AH | 232] C:\sqmdata01.sqm
      [12/01/2007 - 18:27:02 | AH | 232] C:\sqmdata02.sqm
      [12/01/2007 - 18:34:24 | AH | 268] C:\sqmdata03.sqm
      [09/03/2007 - 23:32:43 | AH | 232] C:\sqmdata04.sqm
      [09/03/2007 - 23:41:38 | AH | 232] C:\sqmdata05.sqm
      [10/03/2007 - 01:03:39 | AH | 232] C:\sqmdata06.sqm
      [10/03/2007 - 17:35:44 | AH | 268] C:\sqmdata07.sqm
      [25/03/2007 - 00:14:13 | AH | 232] C:\sqmdata08.sqm
      [24/08/2007 - 19:50:51 | AH | 268] C:\sqmdata09.sqm
      [06/10/2007 - 22:31:39 | AH | 232] C:\sqmdata10.sqm
      [04/11/2007 - 23:24:47 | AH | 232] C:\sqmdata11.sqm
      [03/12/2007 - 15:03:54 | AH | 232] C:\sqmdata12.sqm
      [05/03/2008 - 21:51:40 | AH | 268] C:\sqmdata13.sqm
      [20/05/2008 - 18:18:44 | AH | 268] C:\sqmdata14.sqm
      [07/12/2008 - 14:23:43 | AH | 268] C:\sqmdata15.sqm
      [10/01/2007 - 09:46:38 | AH | 232] C:\sqmdata16.sqm
      [10/01/2007 - 10:40:19 | AH | 232] C:\sqmdata17.sqm
      [10/01/2007 - 13:16:25 | AH | 232] C:\sqmdata18.sqm
      [10/01/2007 - 13:18:18 | AH | 232] C:\sqmdata19.sqm
      [10/01/2007 - 14:54:07 | AH | 244] C:\sqmnoopt00.sqm
      [11/01/2007 - 12:19:43 | AH | 244] C:\sqmnoopt01.sqm
      [12/01/2007 - 18:27:01 | AH | 244] C:\sqmnoopt02.sqm
      [12/01/2007 - 18:34:24 | AH | 244] C:\sqmnoopt03.sqm
      [09/03/2007 - 23:32:43 | AH | 244] C:\sqmnoopt04.sqm
      [09/03/2007 - 23:41:38 | AH | 244] C:\sqmnoopt05.sqm
      [10/03/2007 - 01:03:39 | AH | 244] C:\sqmnoopt06.sqm
      [10/03/2007 - 17:35:43 | AH | 244] C:\sqmnoopt07.sqm
      [25/03/2007 - 00:14:13 | AH | 244] C:\sqmnoopt08.sqm
      [24/08/2007 - 19:50:51 | AH | 244] C:\sqmnoopt09.sqm
      [06/10/2007 - 22:31:39 | AH | 244] C:\sqmnoopt10.sqm
      [04/11/2007 - 23:24:47 | AH | 244] C:\sqmnoopt11.sqm
      [03/12/2007 - 15:03:54 | AH | 244] C:\sqmnoopt12.sqm
      [05/03/2008 - 21:51:40 | AH | 244] C:\sqmnoopt13.sqm
      [20/05/2008 - 18:18:43 | AH | 244] C:\sqmnoopt14.sqm
      [07/12/2008 - 14:23:42 | AH | 244] C:\sqmnoopt15.sqm
      [10/01/2007 - 09:46:37 | AH | 244] C:\sqmnoopt16.sqm
      [10/01/2007 - 10:40:19 | AH | 244] C:\sqmnoopt17.sqm
      [10/01/2007 - 13:16:25 | AH | 244] C:\sqmnoopt18.sqm
      [10/01/2007 - 13:18:18 | AH | 244] C:\sqmnoopt19.sqm
      [10/07/2010 - 17:43:53 | SHD ] C:\System Volume Information
      [13/07/2010 - 13:08:59 | A | 530] C:\TCleaner.txt
      [18/07/2010 - 23:02:10 | D ] C:\UsbFix
      [18/07/2010 - 23:02:14 | A | 1208] C:\UsbFix.txt
      [17/07/2010 - 22:49:07 | D ] C:\WINDOWS
      [02/01/2007 - 19:39:56 | A | 1167] C:\_Sid.txt
      [20/01/2009 - 20:23:04 | ASH | 2053] D:\AlbumArtSmall.jpg
      [27/03/2009 - 10:36:05 | ASH | 74] D:\Copie de desktop.ini
      [23/07/2009 - 12:32:13 | D ] D:\CyberLink
      [27/03/2009 - 10:36:06 | ASH | 155] D:\desktop.ini
      [17/07/2010 - 17:19:38 | D ] D:\divers
      [17/07/2010 - 13:31:35 | D ] D:\Downloads
      [20/12/2009 - 15:48:16 | A | 31352] D:\e-Speaking Commands.xml
      [21/08/2009 - 22:52:27 | D ] D:\fe41831566d3a3e9346a297e8f6b1e
      [20/01/2009 - 20:23:04 | ASH | 8577] D:\Folder.jpg
      [02/07/2010 - 11:47:59 | D ] D:\found.000
      [28/08/2009 - 18:16:35 | D ] D:\Free Video Converter
      [29/11/2009 - 14:02:29 | D ] D:\geray-home
      [30/05/2010 - 20:40:50 | D ] D:\KITT
      [31/01/2010 - 21:10:58 | RD ] D:\Ma musique
      [05/07/2010 - 15:52:31 | D ] D:\Mes fichiers reçus
      [07/11/2009 - 23:55:23 | RD ] D:\Mes images
      [26/06/2009 - 12:50:02 | D ] D:\Mes sources de données
      [20/02/2010 - 19:29:26 | D ] D:\My albums
      [22/08/2009 - 16:17:08 | D ] D:\Opera
      [02/04/2009 - 09:11:54 | D ] D:\Outlook
      [06/07/2010 - 15:51:08 | A | 0] D:\PDVD_MediaDisc.PlayList
      [18/06/2009 - 18:06:24 | AH | 21] D:\Picasa.ini
      [18/07/2010 - 23:02:09 | SHD ] D:\RECYCLER
      [29/11/2009 - 00:01:40 | A | 377646] D:\registre.reg
      [29/11/2009 - 00:03:57 | A | 8632] D:\registre2.reg
      [29/11/2009 - 00:04:33 | A | 914] D:\registre3.reg
      [29/11/2009 - 00:04:54 | A | 1714] D:\registre4.reg
      [29/11/2009 - 00:05:49 | A | 206] D:\registre5.reg
      [09/07/2009 - 20:56:03 | A | 372] D:\spider.sav
      [07/10/2004 - 09:59:35 | SHD ] D:\System Volume Information
      [11/07/2009 - 14:46:52 | ASH | 19456] D:\Thumbs.db
      [18/07/2010 - 22:39:59 | D ] D:\Téléchargements
      [26/06/2009 - 13:11:30 | D ] D:\Updater5
      [22/08/2009 - 20:03:45 | D ] D:\Windows.XP.Professional.SP2.PT-BR+CD-KEY
      [22/08/2009 - 21:03:10 | A | 572444990] D:\Windows.XP.Professional.SP2.PT-BR+CD-KEY.zipx
      [13/07/2010 - 12:19:19 | D ] D:\_OTM
      [31/05/2008 - 10:04:43 | AH | 162] D:\~$sai février 2009.doc
      [08/08/2008 - 11:08:48 | AH | 162] D:\~$uvenirs de Pierre CHARPIN.doc
      [21/11/2007 - 15:04:45 | R | 45] E:\AUTORUN.INF
      [06/11/2003 - 02:17:09 | RH | 1024] E:\Desktop DB
      [06/11/2003 - 02:17:09 | RH | 2] E:\Desktop DF
      [21/11/2007 - 15:04:49 | R | 437760] E:\Permis.exe
      [21/11/2007 - 15:04:49 | R | 165888] E:\Setup.exe
      [21/11/2007 - 15:04:50 | R | 107] E:\Setup.ini
      [21/11/2007 - 15:04:59 | RD ] E:\adobe
      [21/11/2007 - 15:04:46 | R | 595289] E:\data1.cab
      [21/11/2007 - 15:04:46 | R | 90296] E:\data1.hdr
      [21/11/2007 - 15:04:49 | R | 701615213] E:\data2.cab
      [21/11/2007 - 15:04:49 | R | 346602] E:\ikernel.ex_
      [21/11/2007 - 15:04:49 | R | 435] E:\layout.bin
      [21/11/2007 - 15:04:49 | R | 44032] E:\lisezmoi.doc
      [21/11/2007 - 15:08:26 | RD ] E:\permis
      [21/11/2007 - 15:04:49 | R | 766] E:\permis.ico
      [21/11/2007 - 15:04:49 | R | 360056] E:\setup.bmp
      [21/11/2007 - 15:04:50 | R | 156787] E:\setup.inx

      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

      ################## | Upload |

      Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ACTARUS.zip
      https://www.ionos.fr/?affiliate_id=77097
      Merci de votre contribution.

      ################## | E.O.F |
      0
  19. Utilisateur anonyme
     
    As tu fait ceci ?
    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ACTARUS.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    Tu as toujours des redirections ?
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      oui je l'ai fait
      et pour l'instant pas de redirections.
      0
  20. Utilisateur anonyme
     
    Bonjour Bichoo
    Je vais te faire faire un peu de ménage pour y voir plus clair, tu me diras ensuite
    si les redirections reviennent ou pas

    * Télécharge ToolsCleaner2 sur ton Bureau
    https://www.commentcamarche.net/telecharger/
    * Double-clique sur ToolsCleaner2.exe pour le lancer.
    * Clique sur Recherche et laisse le scan agir.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options Facultatives.
    * Clique sur Quitter pour obtenir le rapport.
    * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    supprime toolscleaner2 manuellement
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      bjr

      [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:

      C:\Combofix.txt: trouvé !
      C:\UsbFix.txt: trouvé !
      C:\Qoobox: trouvé !
      C:\UsbFix: trouvé !
      C:\Qoobox\Quarantine\catchme.log: trouvé !
      C:\UsbFix\UsbFix.exe: trouvé !
      C:\WINDOWS\mbr.exe: trouvé !


      Corbeille vidée!
      Fichiers temporaires nettoyés !
      ---------------------------------
      --> Suppression:
      C:\Combofix.txt: supprimé !
      C:\UsbFix.txt: supprimé !
      C:\Qoobox\Quarantine\catchme.log: supprimé !
      C:\UsbFix\UsbFix.exe: supprimé !
      C:\WINDOWS\mbr.exe: supprimé !
      C:\Qoobox: supprimé !
      C:\UsbFix: supprimé !

      Point de restauration crée !


      et j'ai encore des redirections.....................
      0
    2. Utilisateur anonyme
       
      C'est quand même incroyable, explique moi en détail ce que c'est ces
      redirections
      0
    3. gen-hackman
       
      desolé j'ai supprimé le dernier post par mesure de securité , il contenait des liens infectés
      0
    4. M@thew
       
      Bon boulot, merci gen ! :o)
      0
  21. Utilisateur anonyme
     
    Bonsoir bichoo
    il ne fallait pas donner les liens car ils sont infectés
    il fallait m'expliquer avec tes propres mots quelles sont ces redirections
    Donne moi des noms seulement, pas de lien
    J'avoue que j'ai épuisé toutes mes connaissances pour les supprimer
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      bonjour,
      pour mes redirections, par exemple quand je tape 'problème portable' dans une recherche google cela m'envoit toute à la fois vers le site whatoseek puis riva..blueseek et enfin de temps en temps m'affiche une fenêtre me disant que j'ai un risque d'attaque de virus et me fait un scan automatique révélant des milliers de malwares.....

      et que faire pour le virus TR/Monder.diyv que me détecte toujours avira mais cette fois ci dans C:\System Volume Information\_restore{03A8A5C4-E6A8-4B42-8440-68557157B69C}\RP3\A0001036.exe?

      merci
      0
  • 1
  • 2