PB Virus (mugira.org) redirection de page webRésolu/Fermé

Question

Bonjour, 

Je cherche quelqu'un qui serait capable de détruire les virus de mon ordinateur car je n'y arrive pas, ils reviennent tout le temps. J'ai Windows 7, je navigue avec Mozilla, j'ai comme antivirus Eset, Malwarebytes et hisjack a ma disposition.

Demandez moi les rapport qu'il vous faut je vous les transmets.

Smart91 · Answer

Bonjour,

On va faire une analyse de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Utilisateur anonyme · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijcH2PxlM.txt
voilà!

Smart91 · Answer

Tu es bien infecté, mais cela ne m'étonne pas car il me semble que la version de W7 que tu as n'est pas légale. Si c'st ton vendeur qu'ill' a installée, il faut le signaler.Si c'est toi je ne peus que le déconseiller car ces versions sont génératrices d'infections multiples. Et même souvent une désinfection n'empèche pas une réinfection du PC.

On va essayer tout de même:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

Utilisateur anonyme · Answer

ne vous inquieté pas au sujet de ma version windows, elle n'est en aucun cas infecté à l'origine, j'ai deja desactiver l'UAC a la base, j'ai deja malwarebyte avec sa derniere mise a jour, j'ai effectué plusieurs fois des analyses ses 3 derniers jours et à chaque fois g eu droit à 2 ou 3 infections que j'ai évidement supprimer en redemarrant mon pc et puis le lendemain cété encore infecté.

Je vous préviens comme vous devez le savoir l'analyse prend beaucoup de temps.

et comme vous avez pu le constater je n'ai qu'un disque avec une seul partition.

et puis les erreurs du scan de IE sont normaux car je l'ai desinstallé

puis je avoir plus d'infos sur mon infection svp

Smart91 · Answer

"ne vous inquieté pas au sujet de ma version windows, elle n'est en aucun cas infecté à l'origine" 
Je n'ai aucune inquitétude, je n'ai pas dit que votre version est infectée, mais qu'elle pas légale (pour ne pas dire pirate). 
Ce type de version engendre de nombreuses infection même si la version première est saine. C'est pour cela qu'après une désinfection, cela peut revenir 

"puis je avoir plus d'infos sur mon infection svp" 
Sans rentrer dans le détail, voilà les lignes qui montre une infection ou un comportement anormal: 
-------------------------------------------------------------------- 
O1 - Hosts: 87.98.145.153 www.megavideo.com    => Redirection Host 
O43 - CFD:Common File Directory ----D- C:\ProgramData\Trymedia    => Adware Trymedia 
O44 - LFC:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 22/09/2010 - 15:04:02 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers\gpcm.sys   [54016]    => Trojan.Win32.Agent 
O44 - LFC:[MD5.65DABB831DA51500DFA31B40252803E2] - 17/09/2010 - 21:07:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\jestertb.dll   [20992]    => Suspicieux 
O58 - SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 22/09/2010 - 15:04:02 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\drivers\gpcm.sys    => Trojan.Win32.Agent 
-------------------------------------------------------------------- 

J'aimerais quand même avoir le rapport après un scan MBAM en faisant attention d'avoir la dernière version du logiciel (1.46) et de bien faire une mise à jour de la base virale avant de lancer le scan. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Utilisateur anonyme · Answer

l'infection me paraît profonde, je suis tout a fait d'accord avec vous et l'analyse est toujours en cours (35min) et le rapport arrivera dés que l'analyse est terminée.

C:\ProgramData\Trymedia => Adware Trymedia 
Trymedia n'apparaît pas a ce chemin d'accès

Utilisateur anonyme · Answer

sinon j'ai un processus svchost.exe qui prend anormalement + de 100 000 K de mémoire cela est arriver a peut prêt en mette temps que l'infection si sa peut vous aider a résoudre mon problème.

Utilisateur anonyme · Answer

au bout d'1heure l'analyse est tjrs pas terminée, element analysée 350 000 et 0 infecter et je dois m'absenter pendant au moins 2h


merci de votre patience a plus tard

Smart91 · Answer

Un scan MBAM, peut effectivement être très long

Smart

Utilisateur anonyme · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4671

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22/09/2010 19:08:06
mbam-log-2010-09-22 (19-08-06).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 537712
Temps écoulé: 1 heure(s), 26 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[2].exe (Malware.Packer.Gen) -> No action taken.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[3].exe (Malware.Packer.Gen) -> No action taken.
C:\Users\TtVrac\AppData\Roaming\E3B0F7D462C5E2D876C0CA95599508CF\handlerfix70700en00.exe (Malware.Packer.Gen) -> No action taken.

Utilisateur anonyme · Answer

je reviens vers 21h, es ce que je fais supprimer et redemarrer ou ya un autre logiciel exprès pour ce cas?

Utilisateur anonyme · Answer

je vide très souvent les fichiers temporaires, voir 1 à 3 fois par semaines

Smart91 · Answer

Tu n'as pas suivi la procédure que je t'ai donnée pour MBAM
Va dans la quarantaine de MBAM et clique sur supprimer tout. Poste le rapport de suppression.
Ensuite tu refais une scan ZHPDiag et tu postes le rappport via cijoint

Smart

Utilisateur anonyme · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4671

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22/09/2010 19:58:29
mbam-log-2010-09-22 (19-58-29).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 537712
Temps écoulé: 1 heure(s), 26 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[2].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[3].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\TtVrac\AppData\Roaming\E3B0F7D462C5E2D876C0CA95599508CF\handlerfix70700en00.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

il m'a pas donné de rapport quand j'ai tt supprimer ds la quarantaine

Utilisateur anonyme · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijrMq3ECc.txt
et voila le rapport fait aprés avoir redemarrer a la demande de MBAM

Smart91 · Answer

Dommage que n'aies pas le rapport de suppression, normalement il se trouve dans les log. Bon MBAM a quand même fait un peu le boulot d'après ton rapport ZHPDiag. Mais il reste des traces, fais ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O1 - Hosts: 87.98.145.153 www.megavideo.com
O43 - CFD:Common File Directory ----D- C:\ProgramData\Trymedia
O44 - LFC:[MD5.65DABB831DA51500DFA31B40252803E2] - 17/09/2010 - 21:07:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\jestertb.dll   [20992]


----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
-  Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Utilisateur anonyme · Answer

Rapport de ZHPFix v1.12.3155 par Nicolas Coolman, Update du 21/09/2010
Fichier d'export Registre : 
Run by TtVrac at 22/09/2010 20:47:56
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Dossier(s) ==========
C:\ProgramData\Trymedia  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows\jestertb.dll  => Supprimé et mis en quarantaine

========== Fichier HOSTS ==========
127.0.0.187.98.145.153 www.megavideo.com  => Domaine Supprimé
Le fichier Hosts est sain


========== Récapitulatif ==========
1 : Dossier(s)
1 : Fichier(s)
2 : Fichier HOSTS


End of the scan

Smart91 · Answer

Est-ce que tu as toujours les alertes de l'antivirus ?
Refais un scan ZHPdiag et poste le rapport

Smart

Utilisateur anonyme · Answer

les effets constaté de l'infection : 
quand je vais sur des sites a partir de google seulement si j'ai bien compris quand je clic sur le lien sa m'enmene sur des sites de recherches qui menne a rien ou des sites bloquer par l'anti virus ou un tléchargement d'un pdf. sa arrive 9/10. et la sa continu 

ex du lien du pdf : http://flikade.com/sldghglsdj/files/asshole.pdf 


le rapport : http://www.cijoint.fr/cjlink.php?file=cj201009/cijAuM6iZp.txt 

sinon si je pouvais te montrer se qui a ds la quarantaine de mon anti virus?

Smart91 · Answer

Normalement tu nedevrais plus avoir ce problème maintenant car, d'après ZHPFix ==> 
127.0.0.187.98.145.153 www.megavideo.com => Domaine Supprimé 
Le fichier Hosts est sain 
Refais un scan ZHPDiag et poste le rapport

Smart

Utilisateur anonyme · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijAuM6iZp.txt

Utilisateur anonyme · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijngGvh5t.txt

Smart91 · Answer

Plus rien d'apparent en terme de Virus.
As-tu toujours les alertes  ?
Ensuiite on verra les mise à jour prioritaires des logiciels, l'optimisation de ton PC et la désinstallation des outils que je t'ai fait télécharger

Smart

Utilisateur anonyme · Answer

avant d'envoyer le dernier post j'ai nettoyer mon pc avec mes 3 logiciels d'optimisation préférer et depuis plus rien quand je clic sur les liens google sa fonctionne normalement donc sa doit etre bon merci bcp

Utilisateur anonyme · Answer

bizarement sa le fesé encore avant le nettoyage enfin sa fonctionne encore merci

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Utilisateur anonyme · Answer

malheureusement sa recommence!!!!

Smart91 · Answer

Voilà ce que je t'avais dit en en début d'infection:
"Tu es bien infecté, mais cela ne m'étonne pas car il me semble que la version de W7 que tu as n'est pas légale. Si c'st ton vendeur qu'ill' a installée, il faut le signaler.Si c'est toi je ne peus que le déconseiller car ces versions sont génératrices d'infections multiples. Et même souvent une désinfection n'empèche pas une réinfection du PC. "

Relance ZHPDiag, clique sur l'icone tourenvis et coche en plus la case 01. Refais un scan et poste le rapport via cijoint

Smart

Utilisateur anonyme · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cij3RAZIWg.txt

Smart91 · Answer

Je ne vois rien de pârticulier . On va essyer ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local 


----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

Smart

Utilisateur anonyme · Answer

Rapport de ZHPFix v1.12.3155 par Nicolas Coolman, Update du 21/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-23-09-2010-10-55-31.txt
Run by TtVrac at 23/09/2010 10:55:31
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local  => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre


End of the scan

Utilisateur anonyme · Answer

non sa ne résout pas le pb g cliqué 3 sites a partir de google je suis tomber tjrs sur c truc a la con : http://fr.gomeo.fr/view.php?keyword=home+based+business+opportunity+san+diego&f=22&market=fr&ID=20641&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU1qRTVNakExSWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9pTVRJd05URXpJanR6T2pRNkltdHdjR2tpTzNNNk5Ub2lNekF4TVRNaU8zMXpPak02SW0xa05TSTdjem96TWpvaU1HUTVNbUl3TXpNek1UTmxNVEJrTnpsa1ptVXlOakl6WmpFeVpXWTJaamdpTzMwPQ%3D%3D


http://fr.gomeo.fr/view.php?keyword=digital+phone+service&f=2&market=fr&ID=20641&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU1qRTVNakk1SWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9pTVRJd056UTFJanR6T2pRNkltdHdjR2tpTzA0N2ZYTTZNem9pYldRMUlqdHpPak15T2lJME1HRTROemhqWVRNMFpESmhZekUxTnpabE16YzVZemRtWWpNd01XVTBZaUk3ZlE9PQ%3D%3D


http://mugyra.org/sutra/c.php?ID=104070&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU1qRTVNekEySWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9pTVRJeE16RXlJanR6T2pRNkltdHdjR2tpTzNNNk5Ub2lNemN5TlRNaU8zMXpPak02SW0xa05TSTdjem96TWpvaVpEZGtaREF6WVRNeE9HUTRNRGswTVdKaVptVXhOamcxT1daa1kySXlOV1VpTzMwPQ%3D%3D (detecte un virus)

Smart91 · Answer

Est-ce que cela change qq chose ?

Smart

Utilisateur anonyme · Answer

bien non sa fait tjrs la meme chose

Smart91 · Answer

On va faire autrement
Ouvre Firefox, dans le haut clique sur Outils/Options/Avancé clique sur l'onglet Réseau/Paramètres et coche Pas de proxy. 

Smart

Utilisateur anonyme · Answer

non sa fait tjrs la meme chose
voila sur koi j'aboutie: 
http://ww38.unsearchlocal.com/
https://www.hugedomains.com/domain_profile.cfm?d=netwere&e=com
https://www.afternic.com/domains/contentomania.com

au lieu de sites normaux

Utilisateur anonyme · Answer

http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/google-redirige-different-sujet_40149_2.htm

http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/mauvaise-redirection-google-sujet_56524_1.htm

http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/probleme-redirection-bloque-sujet_47342_1.htm

es ce que vous pensez que un de ces liens est utile ??

Smart91 · Answer

En effet on peux essayer de passer combofix
Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil 
Imprime la procédure 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout, accepte d'installer la console de récupération 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

Utilisateur anonyme · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cij82Xrkap.txt


apparemment cela a fonctionner

Smart91 · Answer

Attends un peu voir si tu n'as toujours pas les redirections.   
ComboFix a touvé un fichier infecté qu'il a supprimé c'est celui-ci: C:\install.exe 

Cela peut être également une infection USB  
Je conseille de faire cette vérification:  
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.  
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir  
-  Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement  
-Clique sur "Recherche"  
- Laisse travailler l'outil  
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)  

Aide en images : Tutoriel "Recherche"  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Utilisateur anonyme · Answer

############################## | UsbFix 7.025 | [Recherche]

Utilisateur: TtVrac (Administrateur) # PC-DE-TTVRAC [Micro-Star International GX700]
Mis à jour le 15/09/10 par El Desaparecido / C_XX
Lancé à 13:26:08 | 23/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T9300 @ 2.50GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T9300 @ 2.50GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7600 32-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3071 Mo 
C:\ (%systemdrive%) -> Disque fixe # 298 Go (43 Go libre(s) - 14%) [OS_Install] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 15 Go (10 Go libre(s) - 67%) [AlexVrac2] # NTFS
H:\ -> Disque fixe # 298 Go (31 Go libre(s) - 10%) [SAMSUNG] # NTFS

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cqw32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wpwin8.EXE
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Smart91 · Answer

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Smart

Utilisateur anonyme · Answer

Smart91 · Answer

On va attendre jusqu'a demain ou ce soir pour voir si tu as toujours les redirections des recherches Google
Après cette attente tu referas un scan ZHPDiag et tu poste le rapport
Ensuite il faudra optimiser ton PC et supprimer tous les les outils que je t'ai fait télécharger

Smart

Utilisateur anonyme · Answer

ok!

Utilisateur anonyme · Answer

j'ai preferer attendre un peu plus longtemps, tout fonctionne comme y faut, voila le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijiT5Jpcs.txt

Smart91 · Answer

OK C'est bon. On va faire les mises à joiur prioritaires:

Mise à jour Java 6 update 21 ==> https://java.com/fr/download/uninstalltool.jsp
Et désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 21

Mise à jour flashplayer vers la version 10.1.85.3
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Ensuite on va optimiser, pour cela tu relances ZHPFix et tu copies dans la fenêtre H les lignes suivantes:
----------------------------------------------------------------------
OPT:O4 - HKCU\..\Run: [IDMan] . (.Tonec Inc. - Internet Download Manager (IDM).) -- C:\Program Files\Internet Download Manager\IDMan.exe
OPT:O4 - HKUS\S-1-5-21-1414713512-3597711336-301388433-1000\..\Run: [IDMan] . (.Tonec Inc. - Internet Download Manager (IDM).) -- C:\Program Files\Internet Download Manager\IDMan.exe 
STOP:SR - | Auto 08/04/2010 345376 | Service Bonjour (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
---------------------------------------------------------------------

Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de 
désactiver puis réactiver la restauration système de Windows 7 pour la purger

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Je le redis, ta vesion de W7 n'est pas légale c'est donc un vecteur d'infection, il se peut que sois réinfecté sous peu.

Voilà pour c'est terminé si tu as des questions n'hésites pas

Smart

Utilisateur anonyme · Answer

le mois dernier j'ai installer java 6 up 21 mais quand je sur paneau/desinstaller java6 up 17 i me dit qu'il ne pe pas acceder a l'emplacement reseau.

Utilisateur anonyme · Answer

Mise à jour flashplayer vers la version 10.1.85.3
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin 

j'installe koi je n'utilise pas IE j'utilise que mozilla

Utilisateur anonyme · Answer

que vont changer c commande?
OPT:O4 - HKCU\..\Run: [IDMan] . (.Tonec Inc. - Internet Download Manager (IDM).) -- C:\Program Files\Internet Download Manager\IDMan.exe
OPT:O4 - HKUS\S-1-5-21-1414713512-3597711336-301388433-1000\..\Run: [IDMan] . (.Tonec Inc. - Internet Download Manager (IDM).) -- C:\Program Files\Internet Download Manager\IDMan.exe
STOP:SR - | Auto 08/04/2010 345376 | Service Bonjour (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

Utilisateur anonyme · Answer

je ne fais pas de P2P c'est illégal et sa detruit ton pc

Utilisateur anonyme · Answer

je fais une analyse complete avec malware et c fini?

Smart91 · Answer

Non tu n'as besoin de faire une analyse avec MBAM. Ton PC est relativement sain maintenant.
Garde MBAM et lance le une fois pas mois, mais n'oublie pas la mise à jour de la base virale avant de lance le scan.
Voilà pour moi c'est terminé

Smart

PB Virus (mugira.org) redirection de page web

54 réponses

Discussions similaires

Newsletters