Problème de redirection avec Google Résolu/Fermé

Question

Bonjour a tous

Depuis quelques temps, Google.fr me redirige vers des pages web qui n'ont rien avoir avec mes demandes. 
J'ai lancé Ccleaner, antispyware et Avast pro, ils ne détectent rien.
J'ai lu pas mal de post la dessus, mais j'ai un peu peur de me lancer la dedans sans aide! 

Merci beaucoup !!


Configuration: Windows 7 / Internet Explorer 8.0

sKe69 · Answer

hello, 



on va regarder cela .... 



fait ce qui suit pour avoir un diagnostique précis de la situation : 


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


!! déconnecte toi et ferme toutes tes applications en cours !!  


> Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" .   

> A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement . 

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite . 
( celui avec le tournevis ) 

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) . 

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days 

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan . 


Laisses travailler l'outil ... 
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.  

Ferme le programme ...  



-> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/  

* Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .  
* Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...  
* Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....  




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

jo2bu · Answer

Merci pour ta réponse rapide!! voici...

http://www.cijoint.fr/cjlink.php?file=cj201008/cijKPHnkYM.txt

sKe69 · Answer

hello,  


avec un OS Seven Pro 64 bit, on va être limité au niveau des outils de désinfections ! ... pas grand chose de compatible ...  



Plusieurs infections ...  



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .  
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .  
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .  
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).  


==========================  


Commence par ceci dans l'ordre :  


1- Désactiver le "contrôle des comptes utilisateurs" ou" UAC" (le réactiver seulement à la fin de la désinfection) :  

regarde ici pour le faire > http://pagesperso-orange.fr/NosTools/uac_win7.html  


* Important :  
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :  
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .  
Fais ceci systématiquement ! ...  


une fois ceci fait et pris en compte , enchaine ...  


===========================  

2- Désinstalle proprement SuperAntiSpyware depuis le panneau de configuration .  

A part alourdir le systeme et la navigation, il ne te sera d'aucune aide ...  



============================  

3- Télécharge Ad-remover ( de C_XX ) sur ton bureau :   

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe  
ou ici https://www.androidworld.fr/   

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) !   

* Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'installation .

*  Une fois l'outil installé, Clique droit / "executer en tant qu'admin..." sur le raccourci pour le lancer .  

*  Clique directement sur [Nettoyer]  .  

*  Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !...   


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...  

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)   
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )   



==================================  

4- Télécharges Malwarebytes' :   
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/  
ou ici : http://www.malwarebytes.org/mbam.php  
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe  

   
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )  

* Potasse le tuto pour te familiariser avec le prg :   
https://forum.pcastuces.com/sujet.asp?f=31&s=3  
( cela dis, il est très simple d'utilisation ).  

! Déconnecte toi et ferme toutes applications en cours !   

* Lance Malwarebytes' .  

Fais un examen dit "RAPIDE" .  

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).   
--> à la fin tu cliques sur "résultat" .   
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .  

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !  

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...  


===========================  

5- Refais un scan ZHPDiag 'en tant qu'admin..." .  

* coche bien toutes les options ( sauf la 045, 061 et 080 ),   

* au niveau du bouton "calendrier" choisis > 30 days  

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...   



"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

jo2bu · Answer

Voici donc les 3 rapport: 


1. rapport Ad-remover:

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:58:00 le 03/08/2010, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
User@JONATHAN ( ) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

0,Dossier supprimé: C:\Program Files (x86)\Application Updater
0,Dossier supprimé: C:\Program Files (x86)\pdfforge Toolbar
3,Fichier supprimé: C:\Windows\Installer\bb6a3f.msi  

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
0,Clé supprimée: HKLM\Software\Application Updater
0,Clé supprimée: HKLM\Software\pdfforge
0,Clé supprimée: HKLM\Software\Search Settings
0,Clé supprimée: HKCU\Software\Search Settings
0,Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 25 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 03/08/2010 (3548 Octet(s)) 

Fin à: 10:59:17, 03/08/2010 
 
============== E.O.F ============== 




2. rapport Malwarebytes:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4384

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

3/08/2010 11:11:27
mbam-log-2010-08-03 (11-11-27).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 144126
Temps écoulé: 2 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Et enfin le rapport du scan ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijerrXn2D.txt

sKe69 · Answer

bon ....



quelques chose que je n'avais pas vu ....


donc fait ceci maintenant :


1- Désinstalle également Spybot S&D depuis le panneau de config ...

Même remarque que SuperAntiSpyware ...


de plus, il entrave le bon fonctionnement des outils de désinfections ....


Puis redémarre PC ! ....


========================

2- une fois fait, relance un nettoyage avec Ad-Remover histoire d'être sur que le registre est OK ....


Poste le nouveau rapport obtenu et attends la suite ....



Dis moi aussi ou en sont les détournements ....

jo2bu · Answer

ok, voici donc: 
Euh.. Par contre en ce qui concerne les détournements, je ne sais absolument pas de quoi il s'agit !?
Sorry, suis pas une flèche en info !;-)


======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:51:34 le 03/08/2010, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
User@JONATHAN ( ) 
 
============== RECHERCHE ==============




============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 25 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 03/08/2010 (3678 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 03/08/2010 (1768 Octet(s)) 

Fin à: 11:53:06, 03/08/2010 
 
============== E.O.F ==============

sKe69 · Answer

re,


les détournements , c'est ce que tu as dis dans ton sujet :

Depuis quelques temps, Google.fr me redirige vers des pages web qui n'ont rien avoir avec mes demandes. 


^^"

jo2bu · Answer

ah oui, ok bien vu!:-)

mais je ne suis quand meme pas sur d'avoir bien compris ta question!
Je n'arrive plus à acceder a ma boite gmail, ni google images,... 
cela fonctionne pour quelques rechreches puis ca replante par après. 

mais je réessai maintenant et ca a l'air de fonctionner (possible?). j'espere que cela va continuer!

jo2bu · Answer

arrgh! parlé trop vite! ca replante!!

sKe69 · Answer

oki .... 


il y a un possible détournement DNS .... 


cet ordi est un ordi pro ou perso ? 


Puis refais un scan ZHPDiag 'en tant qu'admin...' . 

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

jo2bu · Answer

ok
c'est un ordi pro:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijjXZJUBN.txt

sKe69 · Answer

bon ....




fais ceci dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O4 - HKCU\..\Run: [AdobeBridge]  (.not file.)
O4 - HKUS\S-1-5-21-560267474-3694299852-3932482942-1000\..\Run: [AdobeBridge]  (.not file.)
O4 - HKCU\..\Run: [SUPERAntiSpyware] . (.SUPERAntiSpyware.com - SUPERAntiSpyware Application.) -- C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe       
O17 - HKLM\System\CCS\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  
O17 - HKLM\System\CS1\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  
O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  
O23 - Service: SAS Core Service (!SASCORE) . (.SUPERAntiSpyware.com - Core Service.) - C:\Program Files\SUPERAntiSpyware\SASCORE64.exe
O41 - Driver: SASDIFSV (SASDIFSV) . (.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASDIFSV64.SYS.) - C:\Program Files\SUPERAntiSpyware\SASDIFSV64.sys  
O41 - Driver: SASKUTIL (SASKUTIL) . (.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASKUTIL64.SYS.) - C:\Program Files\SUPERAntiSpyware\SASKUTIL64.sys  
O43 - CFD:Common File Directory ----D- C:\Program Files\SUPERAntiSpyware
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Norton Security Scan  
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\NortonInstaller
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Spybot - Search & Destroy       
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Common Files\Symantec Shared 
O64 - Services: CurCS - C:\Program Files\SUPERAntiSpyware\SASDIFSV64.sys - SASDIFSV (SASDIFSV)  .(.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASDIFSV64.SYS.) - LEGACY_SASDIFSV  
O64 - Services: CurCS - C:\Program Files\SUPERAntiSpyware\SASKUTIL64.sys - SASKUTIL (SASKUTIL)  .(.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASKUTIL64.SYS.) - LEGACY_SASKUTIL  
[HKCU\Software\SUPERAntiSpyware.com]   
[HKCU\Software\Safer Networking Limited]  
[HKLM\Software\Safer Networking Limited] 
[HKLM\Software\Symantec] 
[HKLM\Software\mcafeeupdater]
[HKLM\Software\Norton]
[HKLM\Software\McAfee.com]  


Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


==============================


2- Redémarre le PC !  (important)


==============================

3- Refais un scan ZHPDiag "en tant qu'admin..." .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

jo2bu · Answer

ok c'est fait! 
j'ai oublié de te dire que j'ai eu un message d'erreur lors de la désinstallation de superantispyware!! (tu le verras ci-dessous j'imagine!)


Rapport de ZHPFix v1.12.3132 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : 
Run by User at 3/08/2010 14:06:27
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: SAS Core Service (!SASCORE) . (.SUPERAntiSpyware.com - Core Service.) - C:\Program Files\SUPERAntiSpyware\SASCORE64.exe  => Clé absente
O41 - Driver: SASDIFSV (SASDIFSV) . (.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASDIFSV64.SYS.) - C:\Program Files\SUPERAntiSpyware\SASDIFSV64.sys  => Clé supprimée avec succès
O41 - Driver: SASKUTIL (SASKUTIL) . (.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASKUTIL64.SYS.) - C:\Program Files\SUPERAntiSpyware\SASKUTIL64.sys  => Clé supprimée avec succès
O64 - Services: CurCS - C:\Program Files\SUPERAntiSpyware\SASDIFSV64.sys - SASDIFSV (SASDIFSV)  .(.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASDIFSV64.SYS.) - LEGACY_SASDIFSV  => Clé non supprimée
O64 - Services: CurCS - C:\Program Files\SUPERAntiSpyware\SASKUTIL64.sys - SASKUTIL (SASKUTIL)  .(.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASKUTIL64.SYS.) - LEGACY_SASKUTIL  => Clé non supprimée
HKCU\Software\SUPERAntiSpyware.com  => Clé supprimée avec succès
HKCU\Software\Safer Networking Limited  => Clé supprimée avec succès
HKLM\Software\Safer Networking Limited  => Clé supprimée avec succès
HKLM\Software\Symantec  => Clé supprimée avec succès
HKLM\Software\mcafeeupdater  => Clé supprimée avec succès
HKLM\Software\Norton  => Clé supprimée avec succès
HKLM\Software\McAfee.com  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [AdobeBridge]  (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-560267474-3694299852-3932482942-1000\..\Run: [AdobeBridge]  (.not file.)  => Valeur absente
O4 - HKCU\..\Run: [SUPERAntiSpyware] . (.SUPERAntiSpyware.com - SUPERAntiSpyware Application.) -- C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe  => Valeur absente

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\SUPERAntiSpyware  => Fichier supprimé au reboot
C:\Program Files (x86)\Norton Security Scan  => Supprimé et mis en quarantaine
C:\Program Files (x86)\NortonInstaller  => Supprimé et mis en quarantaine
C:\Program Files (x86)\Spybot - Search & Destroy  => Supprimé et mis en quarantaine
C:\Program Files (x86)\Common Files\Symantec Shared  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
12 : Clé(s) du Registre
3 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
5 : Dossier(s)


End of the scan



rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijHq7p36f.txt

sKe69 · Answer

re,


recommnce la manip de ZHPFix , mais en collant uniquement cette ligne :


O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8



fait le nettoyage et poste moi le nouveau rapport obtenu ....

jo2bu · Answer

Rapport de ZHPFix v1.12.3132 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : 
Run by User at 3/08/2010 16:43:33
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8  => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre


End of the scan


et:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijbsWsEnt.txt

sKe69 · Answer

bon ...



dis moi , tu n'aurais pas installer récemment GOOGLE PUBLIC DNS part hasard ? ....


et tu connectes depuis où exactement ... car je vois au niveau des serveurs DNS une adresse Ip pointant en Lettonie ...? T'es allé là bas ? ....

jo2bu · Answer

hello, 

non, je ne pense pas avoir installé google public dns.
mmh la letonie me semble un petit peu loin! je suis à Liège, en Belgique!
ca semble grave? un petit formatage a la sauce barbare ne resoudrai t-il pas le problème??

sKe69 · Answer

re, 


un petit formatage a la sauce barbare ne resoudrai t-il pas le problème?? 


sûrement ... mais se serait bien régler ce prb de détournement sans en arriver à ça ... 



C'est tout de même bisard que MBAM ne le vois pas ... 




On va utiliser un autre outil de diagnostique .... 



Fais ceci donc : 


Télécharge OTL de OLDTimer sur ton bureau :  

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ 

! Déconnecte toi et ferme toutes applications en cours ! 
  
> Clique droit / "executer en tant qu'admin..." sur OTL.exe pour le lancer .  

* Coche les 2 cases Lop et Purity . 

* Coche la case en haut devant tous les utilisateurs  

Ne touche à rien d'autre . 

> Clique sur Analyse et laisse travailler l'outil ...  

A la fin du scan, 2 rapports s'ouvrent avec le Bloc-Notes et sont sauvegardés sur le bureau :"OTL.txt" et "Extras.txt" 

->  fait moi parvenir ces deux rapporst en les uplaodant avec le site de "Cijoint" : http://www.cijoint.fr/  








"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

jo2bu · Answer

ok, voici donc

fichier OTL.Txt:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijn2FViSn.txt 

fichier Extras.Txt:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijhmiSnCr.txt

sKe69 · Answer

Tient ....



pas de 017 infectieuses ... ^^'

Toujours des redirections avec Google ?


j'aimerai comparer avec un nouveau ZHPDiag :

Refais un scan ZHPDiag 'en tant qu'admin...'.

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

jo2bu · Answer

Ce matin et debut d'apres midi google plantait, maintenant tout va bien!
ca fonctionne par intermittence!

http://www.cijoint.fr/cjlink.php?file=cj201008/cijkiqKqHg.txt

jo2bu · Answer

voici:
http://www.cijoint.fr/cjlink.php?file=cj201008/cij5tbEQLk.txt 

Pour info: Google plantait ce matin. Après mettre déconnecter, lancé OLT et reconnecter, tout va bien!

sKe69 · Answer

Hello, 


Pour info: Google plantait ce matin 


normal , il y a encore la présence du détournement sur un server lettonien ... 


on va virer le GOOGLE PUBLIC DNS ... dans l'ordre 



1- Modif du DNS , 

* ouvre le panneau de configuration . 
* va dans "réseau et internet" / puis "centre réseau et partage " 
* dans cette fenètre, sur le gauche , clique sur " gérer les connexions réseau " 
* dancette fenètre , clique droit sur le type de connection que tu utilises / choisis "propriété". 

* La tu sélectionnes "protocole internet version 4" puis tu cliques sur le bouton "proriété". 

Là tu règles au niveau de l'onglet général comme ceci > http://www.cijoint.fr/cj201008/cij6aZ4YCi.jpg 

Puis clique sur OK pour valider la modif .... 


=============================== 

2- Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8 



Puis Lance ZHPFix'en tant qu'admin...." depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .  

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 
  
 Pense à réactiver tes défenses !...  


=============================== 

3- Redémarre le PC ! 


================================ 

4- Refais un scan ZHPDiag 'en tant qu'admin....'. 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

jo2bu · Answer

ok, voici le report de ZHPfix:

Rapport de ZHPFix v1.12.3132 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : 
Run by User at 5/08/2010 10:45:16
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre


End of the scan


et ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201008/cij2Mt07fW.txt

jo2bu · Answer

ca a l'air pas mal du tout! en tout cas jusque maintenant tout fonctionne normalement! 

Oui j'ai bien redémarrer avant le Diag....

sKe69 · Answer

bien ....



fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser )



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "en tant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


=====================

2- Refais un coup de CCleaner ( registre compris ) .


=====================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique droit / "executer en tant qu'admin..." sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 

Pour le fair, il faut 
a- désactiver la restauration système / rebooter le PC .
b- réactiver la restauration système  / rebooter le PC .

Suit les indications de ce tuto > https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/ 

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368 


poste moi le rapport obtenu pour analyse ...

jo2bu · Answer

Rapport de ZHPFix v1.12.3132 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : 
Run by User at 5/08/2010 11:52:47
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\users\user\desktop\otl.exe  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O63 - Logiciel: Ad-Remover By C_XX  => Logiciel supprimé avec succès
O63 - Logiciel: OTL - (OldTimer)  => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Fichier(s)
2 : Logiciel(s)


End of the scan

et penda:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-08-05 13:01:39
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! antivirus                                                           Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\user\appdataoaming\microsoft\windows\cookies\user@atdmt[2].txt
00172449  Cookie/MetriWeb                    TrackingCookie      No        0         Yes            No           c:\users\jonathan\appdataoaming\microsoft\windows\cookies\jonathan@metriweb[1].txt
00698958  W32/IRCFlood.EO.worm               Virus/Worm          No        1         Yes            No           e:ecycler\s-1-5-21-1482476501-1644491937-682003330-1013\svsys.exe
01692698  Generic Malware                    Virus/Trojan        No        0         Yes            No           c:\users\user\appdata\locallow\macromedia\shockwave player\xtras\download	hegroovealliance\3dgroovextrav181\groove.x32
03845537  Trj/Downloader.MDW                 Virus/Trojan        No        1         Yes            No           e:estore\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

sKe69 · Answer

yop,


reste une infection via support amovible ... :(



fait ceci donc :


Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours ! 


Impératif : 
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .  


# Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil. 

# Clique sur le bouton [ Recherche ] . 

# Laisse travailler l'outil et ne touche à rien pendant le scan . 

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra. 

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ). 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )  


Note :  
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

jo2bu · Answer

############################## | UsbFix 7.019 | [Recherche]

Utilisateur: User (Administrateur) # JONATHAN [ ]
Mis à jour le 03/08/10 par El Desaparecido / C_XX
Lancé à 13:29:16 | 05/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM) i7 CPU 860 @ 2.80GHz
CPU 2: Intel(R) Core(TM) i7 CPU 860 @ 2.80GHz
Microsoft Windows 7 Professionnel  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 8182 Mo 
C:\ (%systemdrive%) -> Disque fixe # 279 Go (190 Go libre(s) - 68%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 968 Mo (498 Mo libre(s) - 51%) [DNT_J] # FAT

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

sKe69 · Answer

bon ...



il passe au travers ....


on va faire autrement .... mais avant , il me faut une analyse d'un fichier douteux :


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
c:\users\user\appdata\locallow\macromedia\shockwave player\xtras\download	hegroovealliance\3dgroovextrav181\groove.x32

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

jo2bu · Answer

ok voici:

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2010.08.05.03 2010.08.05 - 
AntiVir 8.2.4.32 2010.08.05 - 
Antiy-AVL 2.0.3.7 2010.08.03 - 
Authentium 5.2.0.5 2010.08.05 - 
Avast 4.8.1351.0 2010.08.05 - 
Avast5 5.0.332.0 2010.08.05 - 
AVG 9.0.0.851 2010.08.05 Generic2.KBT 
BitDefender 7.2 2010.08.05 - 
CAT-QuickHeal 11.00 2010.08.05 - 
ClamAV 0.96.0.3-git 2010.08.05 - 
Comodo 5654 2010.08.05 - 
DrWeb 5.0.2.03300 2010.08.05 - 
Emsisoft 5.0.0.36 2010.08.05 - 
eSafe 7.0.17.0 2010.08.04 - 
eTrust-Vet 36.1.7768 2010.08.05 - 
F-Prot 4.6.1.107 2010.08.05 - 
F-Secure 9.0.15370.0 2010.08.05 - 
Fortinet 4.1.143.0 2010.08.05 - 
GData 21 2010.08.05 - 
Ikarus T3.1.1.84.0 2010.08.05 - 
Jiangmin 13.0.900 2010.08.03 - 
Kaspersky 7.0.0.125 2010.08.05 - 
McAfee 5.400.0.1158 2010.08.05 Artemis!401262E388D0 
McAfee-GW-Edition 2010.1 2010.08.05 Artemis!401262E388D0 
Microsoft 1.6004 2010.08.05 - 
NOD32 5342 2010.08.05 - 
Norman 6.05.11 2010.08.04 W32/Ezula.EE 
nProtect 2010-08-05.01 2010.08.05 - 
Panda 10.0.2.7 2010.08.04 Generic Malware 
PCTools 7.0.3.5 2010.08.04 - 
Prevx 3.0 2010.08.05 - 
Rising 22.59.03.04 2010.08.05 - 
Sophos 4.56.0 2010.08.05 - 
Sunbelt 6688 2010.08.05 - 
SUPERAntiSpyware 4.40.0.1006 2010.08.05 - 
Symantec 20101.1.1.7 2010.08.05 - 
TheHacker 6.5.2.1.332 2010.08.05 - 
TrendMicro 9.120.0.1004 2010.08.05 ADW_COULOMB 
TrendMicro-HouseCall 9.120.0.1004 2010.08.05 ADW_COULOMB 
VBA32 3.12.12.8 2010.08.04 - 
ViRobot 2010.8.4.3971 2010.08.05 - 
VirusBuster 5.0.27.0 2010.08.04 - 
Information additionnelle 
File size: 868352 bytes 
MD5...: 401262e388d0c5f1c0f84d01d9514f7e 
SHA1..: 0601787acfcb163c2c971a505b4e34e27dc347ab 
SHA256: 45e73fac51f2b3c0d91bd96442ebb57c1d8a004730e47025b07005a752d91f24 
ssdeep: 24576:J34UC2WTyM3RKoFCa41ZupvSpx7wp1DgPwVOb5eQ/O+bc:Z4UC2qyMA+CT
1ZupvSpx7wp1DgPwVObd
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x961f4
timedatestamp.....: 0x3a4249fc (Thu Dec 21 18:20:44 2000)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9f780 0xa0000 6.79 0aee9b5bb4e83fe7336a333b29a55bbd
.rdata 0xa1000 0xe0d7 0xf000 5.46 d5693065af86616982fa18d576f93386
.data 0xb0000 0xe7684 0x12000 5.32 3e4a2ecfa70d39e519841f81a2993768
.rsrc 0x198000 0x1fb8 0x2000 4.01 1d5cdc157e2cd6431b59162ba2e55215
.reloc 0x19a000 0xf782 0x10000 5.34 a7fefb34eb85ad5eb7d3ea7af6924496

( 9 imports ) 
> KERNEL32.dll: CreateDirectoryA, GetModuleHandleA, GetSystemDirectoryA, GetTempPathA, WriteFile, SetFilePointer, ReadFile, FindNextFileA, FindClose, FindFirstFileA, MultiByteToWideChar, GetSystemTimeAsFileTime, FileTimeToLocalFileTime, FileTimeToDosDateTime, GetFileTime, lstrlenA, CloseHandle, GlobalMemoryStatus, GetModuleFileNameA, lstrcpyA, VirtualQuery, GetLastError, LoadLibraryA, FreeLibrary, GetVersion, GetSystemInfo, OutputDebugStringA, CreateFileA, GetCurrentThreadId, GetSystemTime, TlsGetValue, SetEndOfFile, LCMapStringW, LCMapStringA, SetEnvironmentVariableA, GetOEMCP, GetACP, CompareStringW, CompareStringA, GetStringTypeW, GetStringTypeA, GetCPInfo, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, SetStdHandle, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, WideCharToMultiByte, FlushFileBuffers, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, HeapSize, HeapReAlloc, GlobalLock, SetLastError, TlsFree, TlsAlloc, TlsSetValue, RaiseException, DeleteCriticalSection, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentProcess, TerminateProcess, ExitProcess, InterlockedIncrement, InterlockedDecrement, DeleteFileA, HeapFree, HeapAlloc, GetLocalTime, GetTimeZoneInformation, RtlUnwind, CreateMutexA, GlobalFree, WaitForSingleObject, ReleaseMutex, GetProcAddress, GlobalUnlock, GetFileSize, GetTickCount, GetCommandLineA, FatalAppExitA, GetCurrentDirectoryA, SetCurrentDirectoryA, GlobalSize
> USER32.dll: GetWindowRect, ReleaseDC, LoadBitmapA, GetActiveWindow, GetSystemMetrics, SetCursorPos, GetCursorPos, InvalidateRect, MessageBoxA, ShowCursor, SetCursor, ShowWindow, CreateWindowExA, SystemParametersInfoA, LoadCursorA, SetForegroundWindow, GetKeyState, GetAsyncKeyState, GetKeyboardState, GetDC, wsprintfA, GetClientRect, EndPaint, BeginPaint, FillRect, FrameRect, GetWindowPlacement, GetScrollPos, SetScrollPos, ToAscii
> GDI32.dll: DeleteObject, DeleteDC, StretchBlt, GetObjectA, CreateCompatibleDC, SelectObject, GetStockObject, CreateSolidBrush, GetSystemPaletteEntries, GetDeviceCaps, RealizePalette, SelectPalette, CreatePalette, GetDIBits, CreateCompatibleBitmap, SelectClipRgn, CreateRectRgn, SetPixelFormat, ChoosePixelFormat, GdiFlush, SwapBuffers, CreateDIBSection, BitBlt
> comdlg32.dll: GetOpenFileNameA
> ADVAPI32.dll: RegOpenKeyExA, GetUserNameA, RegCloseKey, RegEnumKeyExA, RegQueryValueExA
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize, OleInitialize
> DDRAW.dll: DirectDrawCreate
> GLU32.dll: gluErrorString, gluBuild2DMipmaps
> OPENGL32.dll: glMatrixMode, glEnableClientState, glFinish, wglDeleteContext, wglCreateContext, wglMakeCurrent, glBindTexture, glDisableClientState, glHint, glGetError, glGetIntegerv, glGetString, glEnable, glClear, glDrawBuffer, glPixelTransferf, glAlphaFunc, glPixelStorei, glDisable, glDepthFunc, glClearColor, glScissor, glViewport, glFrustum, glLoadIdentity, glGetTexImage, glBlendFunc, glDepthMask, wglGetProcAddress, glTexEnvi, glArrayElement, glEnd, glShadeModel, glFogfv, glFogf, glFogi, glFlush, glTexParameteri, glTexImage2D, glColor4f, glTexSubImage2D, glDeleteTextures, glRecti, glBegin, glVertex2f, glTexCoord2f, glOrtho, glColorPointer, glColor4ub, glTexCoordPointer, glDrawElements, glVertexPointer

( 5 exports ) 
DllCanUnloadNow, DllGetClassForm, DllGetClassInfo, DllGetClassObject, DllGetInterface
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Windows OCX File (68.1%)
Win32 Executable MS Visual C++ (generic) (20.7%)
Win32 Executable Generic (4.7%)
Win32 Dynamic Link Library (generic) (4.1%)
Generic Win/DOS Executable (1.1%) 
sigcheck:
publisher....: 
copyright....: Copyright 2001
product......: GROOVE
description..: GROOVE
original name: GROOVE.x32
internal name: GROOVE
file version.: 1, 8, 1, 0
comments.....: 
signers......: -
signing date.: -
verified.....: Unsigned

sKe69 · Answer

bon ....


pour ce fichier , je pense plutôt à un 'FP' ....


bref, fait ceci :


Télécharge OTM (de Old_Timer) sur ton Bureau. 

 http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Clique droit / "executer en tant qu'admin..." sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
e:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\svsys.exe 
e:\restore\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe 

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

jo2bu · Answer

Et voila!! : 

All processes killed
========== FILES ==========
File/Folder e:ecycler\s-1-5-21-1482476501-1644491937-682003330-1013\svsys.exe not found.
File/Folder e:estore\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Jonathan
->Temp folder emptied: 38723 bytes
->Temporary Internet Files folder emptied: 2535113 bytes
->Flash cache emptied: 56960 bytes
 
User: Public
 
User: User
->Temp folder emptied: 138666 bytes
->Temporary Internet Files folder emptied: 5652591 bytes
->Java cache emptied: 21343579 bytes
->Flash cache emptied: 60432 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2552 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 29,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08052010_165136

Files moved on Reboot...
C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

jo2bu · Answer

non je n'ai pas fait la manip 2 fois, tout c'est bien passé comme tu le decris plus haut. 
Je n'ai rien débranché des port USB. 

Es que tu veux que je recommence la manoeuvre? 

Je dois partir. bonne soirée, a demain!

sKe69 · Answer

re,

Je n'ai rien débranché des port USB. 


donc recommence la manipe d'OTL en branchant tout ....


poste le nouveau rapport obtenu ....

jo2bu · Answer

All processes killed
========== FILES ==========
File/Folder e:ecycler\s-1-5-21-1482476501-1644491937-682003330-1013\svsys.exe not found.
File/Folder e:estore\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Jonathan
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: User
->Temp folder emptied: 53730 bytes
->Temporary Internet Files folder emptied: 492140 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 489 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3296 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08062010_083624

Files moved on Reboot...
C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

jo2bu · Answer

oui, 
j'ai une tablette graphique sur un port,(je n'arrive pas a voir la lettre) et une clef USB sur l'autre (E:).

sKe69 · Answer

oki .... 


laisse bien tout cela branché et lance un nouveau scan en ligne avec Panda stp ... 


Poste le nouveau rapport obtenu via "Cijoint" .... 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

jo2bu · Answer

voila: 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijLxDz5qr.txt

sKe69 · Answer

bon ....



c'est OK ....


si t'as plus de soucsi , on finalise ... dans l'ordre :


1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 21

-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista/Seven) .

Ton ancienne version : Java(TM) 6 Update 18 


-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/


-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration ( affichage classique ) > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


====================================

2- Une fois fait, utilise Hijackthis ainsi :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

jo2bu · Answer

ok. voila qui est fait. 
google ma redirige tjs!


http://www.cijoint.fr/cjlink.php?file=cj201008/cijEvdz4Dd.txt

sKe69 · Answer

re,


google ma redirige tjs! 


A bon ??? .... grrrrr

et sur quel genre de site exactement ? avec quel navigateur ? 




Supprime la version de ZHPDiag que tu as ( utilise l'utilitaire de désinstalle qui est ici > C:\Program files(x86)\ZHPDiag\Unins000.exe )




Puis on va reprendre avec la dernière version de l'outil disponible :



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!  


> Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" .   

> A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement . 

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite . 
( celui avec le tournevis ) 

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) . 

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days 

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan . 


Laisses travailler l'outil ... 
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.  

Ferme le programme ...  



-> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/ 

* Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .  
* Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...  
* Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

jo2bu · Answer

Je suis sur explorer, mais j'ai également essaie avec chrome et firefox, rien ne change.
Quand par exemple je tape « you tube » sur google, le premier lien qu'il m'affiche c'est « youtu.be/fBoFOSwNFTA ».
Et quand je click sur un lien qu'il m'affiche Avast me le bloque !


http://www.cijoint.fr/cjlink.php?file=cj201008/cijIRrLlfq.txt 

Je ne saurais pas avoir acces à l'ordi le week end. 
désolé pour le temps que ca te prend, et un grand merci! je reprend ca lundi!
et dans le pire des cas, formatage!!!
bon week end

sKe69 · Answer

Arrggg ... 


c'est revenu .... 


1- dis moi , peut-tu vérifier si les paramêtres que j'avais demandé de modifier à ce niveau là > http://www.cijoint.fr/cj201008/cij6aZ4YCi.jpg n'ont pas été remis comme avant ...  
Si c'est le cas , fait moi parvenir une copie d'écran des réglages stp ( regarde cette astuce pour le faire > https://www.commentcamarche.net/informatique/windows/149-faire-des-captures-d-ecran-avec-windows-10/ ) 


=========================== 

2- On va essayer ceci : 


* Utilise la commande "Exécuter" . 
Va dans "Démarrer" >"tous les programmes" > "accessoires" > commande "Executer" . 
Ou appuie simultanement sur la touche "Windows" et sur R > la boite de commande "Executer" va s'ouvrir... 

-->là tu tapes : cmd et valide par "ok" 

* Dans la fenêtre noir ( type DOS ) tape exactement ce-ci :  

ipconfig /flushdns  (bien mettre l'espace entre "ipconfig" et " / "). 

-> valide en tapant sur [entrée] . 



Redémarre ensuite le PC ! 

============================ 

3- Refais un scan ZHPDiag'en tant qu'admin...' . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...   



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

jo2bu · Answer

Hello, 

Effectivement, les réglages on changés:
https://www.cjoint.com/?ijiR2gH8cn 

Es que je continu la procédure ci-dessus (cmd)??

sKe69 · Answer

hell,o


ne toutche à rien cette fois et fait la suite stp ....

jo2bu · Answer

ok, 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijdb5BlQS.txt

sKe69 · Answer

bon ... 

c'est la m*erde, l'infection est revenu et elle s'accroche .... 

Et pas grand chose à faire avec un OS comme Seven 64 Bit ....



On va réutiliser Malwarebytes ainsi :


mets le à jour ! ( onglet 'mise à jour' ) . 


! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Mais cette fois, fais un examen dit "COMPLET" ( sélectionne bien tous tes disks avant le scan ! ).

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

jo2bu · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4409

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

9/08/2010 10:46:03
mbam-log-2010-08-09 (10-46-03).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 294212
Temps écoulé: 23 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\User\AppData\Roaming\1C4B50278DD2816B9090169CF7EA43C9\setupupdate70702.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\User\Desktop\jonathan\PROGRAMMES\photoshop\product\Cracking Kit\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

sKe69 · Answer

bien ....



mainteannt on va essayer de shooter de nouveau le server DNS ....



donc dans l'ordre :


1- ouvre le panneau de configuration . 
* va dans "réseau et internet" / puis "centre réseau et partage " 
* dans cette fenètre, sur le gauche , clique sur " gérer les connexions réseau " 
* dancette fenètre , clique droit sur le type de connection que tu utilises / choisis "propriété". 

* La tu sélectionnes "protocole internet version 4" puis tu cliques sur le bouton "proriété". 

Là tu règles au niveau de l'onglet général comme ceci > http://www.cijoint.fr/cj201008/cij6aZ4YCi.jpg 

Puis clique sur OK pour valider la modif .... 
 

=============================

2- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O17 - HKLM\System\CCS\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  
O17 - HKLM\System\CS1\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  
O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  


Puis Lance ZHPFix"en tant qu'admin...." depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


=============================

3- Redémarre le PC .

Refais un scan ZHPDiag 'en tant qu'admin...' .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

jo2bu · Answer

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
Fichier d'export Registre : 
Run by User at 9/08/2010 12:44:43
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8  => Donnée supprimée avec succès


========== Récapitulatif ==========
3 : Elément(s) de donnée du Registre


End of the scan


et: 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijli52kgc.txt

sKe69 · Answer

re,


* vire cette archive , ellecontient un crack infectieux !

> C:\Users\User\Desktop\jonathan\PROGRAMMES\photoshop\Now4ever.Vn__Ad_Pho_CS4_Keygen.rar       



* reboot ton PC plusieurs fois, navigue un peut , fait des recherches sur google et dis moi si les redirection reviennent ...


je te donnerai la suite en fonction de l'amélioration ou non du PC ....




A tout'

jo2bu · Answer

Ca marche nickel, plus aucun problème !
Un grand merci tout, ce site est génial !!;-)

merci merci!!!!

jo2bu · Answer

... et voici donc le Scan

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-08-11 12:25:30
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! antivirus                                                           Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00172449  Cookie/MetriWeb                    TrackingCookie      No        0         Yes            No           c:\users\jonathan\appdataoaming\microsoft\windows\cookies\jonathan@metriweb[1].txt
01692698  Generic Malware                    Virus/Trojan        No        0         Yes            No           c:\users\user\appdata\locallow\macromedia\shockwave player\xtras\download	hegroovealliance\3dgroovextrav181\groove.x32
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

sKe69 · Answer

oki,


pas de prb pour Panda chez moi ... 
j'epère que l'infection n'est pas ré-apparue ... ^^'



On finalise :



1- Refais un scan ZHPDiag 'en tant qu'admin...' .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 

=========================

2- on va utiliser Hijackthis ainsi ,


tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

jo2bu · Answer

ZHP Diag:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijpyEkiZI.txt

Hijackthis:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijuGpGORW.txt

sKe69 · Answer

c'est OK,


1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis 'en tant qu'admin..' mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files (x86)\CCleaner\ccleaner.exe" /AUTO       



Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....
> Poste aussi un dernier rapport Hijackthis de contrôle ...

jo2bu · Answer

ok, c fait, tout a l'air de fonctionner normalement!

sKe69 · Answer

vu,


suite et FIN dans l'ordre :


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "exécuter en tant qu' Administrateur" pour le lancer.
 
* Clique sur Recherche et laisse le scan se terminer (cela peut être long). 
* Clique sur Suppression pour finaliser. 
* Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( garde CCleaner et Malwarebytes : très utiles ! )

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Fait ce check - up pour finir :

Attention : ne pas toucher au PC pendant qu'il travaille !


A-Vérifications et défragmentation de tes Disques 
  
* Vérifications des erreurs  
fait cette vérification en suivant ce qui est indiqué sur ce tuto > https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US 

* Défragmentation  
suit ce tuto > https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... 
( attention , cela peut durer assez longtemps ) 



B-Créer un point de restauration de ton PC : 

Tout est expliqué ici > https://support.microsoft.com/en-us/windows/back-up-and-restore-your-pc-ac359b36-7015-4694-de9a-c5eac1ce9d9c




---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

jo2bu · Answer

Voila, c fait. Le pc pète la forme! c'est nickel!!

rapport Tcleaner:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Program Files (x86)\Ad-remover: trouvé !
C:\Program Files (x86)\ZHPDiag: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis: trouvé !
C:\Program Files (x86)\Trend Micro\HiJackThis\HijackThis.exe: trouvé !
C:\Program Files (x86)\Trend Micro\HiJackThis\hijackthis.log: trouvé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.log: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: trouvé !
C:\Users\User\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HijackThis.exe: trouvé !
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis\HijackThis.lnk: trouvé !
C:\Users\User\Desktop\HijackThis.lnk: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files (x86)\Trend Micro\HiJackThis\HijackThis.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: supprimé !
C:\Users\User\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HijackThis.exe: ERREUR DE SUPPRESSION !!
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis\HijackThis.lnk: supprimé !
C:\Users\User\Desktop\HijackThis.lnk: supprimé !
C:\Program Files (x86)\Trend Micro\HiJackThis\hijackthis.log: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.log: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: supprimé !
C:\Program Files (x86)\Ad-remover: supprimé !
C:\Program Files (x86)\ZHPDiag: supprimé !
C:\Program Files (x86)\Trend Micro\HijackThis: supprimé !
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\HijackThis: supprimé !

sKe69 · Answer

hello,


impec ...


Content d'avoir pu te rendre service ... ^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

==================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

==================================================

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
==================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

==================================================

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

==================================================

=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

==================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

==================================================


voilou ...


bonne suite à toi ... =)


A+