Redirection intempestive sur gomeo, jump

Résolu/Fermé
nichaca - 26 sept. 2010 à 11:31
 Utilisateur anonyme - 6 oct. 2010 à 13:23
Bonjour,






Moi aussi, comme d'autres à ce que je vois sur le forum, j'ai des problèmes actuellement avec des trojan (le dernier semble s'appeler just-A) dont je n'arrive pas à me débarrasser.

Je suis souvent redirigée sur des sites comme Gomeo, jump et autres à partir de Google. J'ai Avira Antivir Personal qui bipe et j'ai téléchargé MAlwareBytes AntiMalware, et AD Remover et recherché. Ils ont détecté puis je pensais éliminé mais en fait, cela recommence.

Help! Merci

31 réponses

Novice en pc
26 sept. 2010 à 11:39
J'ai le même problème!!!! Comment faire???
0
Utilisateur anonyme
26 sept. 2010 à 11:45
bonjour,
@nichaca puisque c'est ton poste :

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
0
Bonjour
Voila le rapport
http://www.cijoint.fr/cjlink.php?file=cj201009/cij99GyTSc.txt

merci de ton aide pour la suite
0
rebonjour
je ne sais pas si tu as reçu mon message avec le rapport je l'ai envoyé à 12h08
comment fait-on exactement pour se répondre et ensuite lire les réponses??! il faut repasser par le sommaire du forum et aller voir régulièrement s'il y a une réponse?
pourquoi on ne colle pas directement le rapport ici et qu'il faut passer par ci-joint?

merci
0
Utilisateur anonyme
26 sept. 2010 à 13:24
étant donné que nous sommes tous des bénévoles, il suffit d'être patient pour avoir ta réponse

*tu as déjà utilisé ADRemover,
relance le et clique sur désinstaller,

**attention à l'utilisation de Boonty, problème de confidentialité !!!

***déinstalle tous les plugin de FF, ton problème sera résolu !!!

****tu as d'autres infections sur ton pc :

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

----------------------------------------------------------

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
M2 - MFEP: prefs.js [Morel Beatrice - dfdwlx0y.default\{577d79c9-888d-4136-92b9-5e162f179905}] [xul] XUL Cache 1.0 (.Canonical Ltd..)
[HKLM\Software\BearShare Mediabar]
O44 - LFC:[MD5.F7C23CD5D2EA3C77C68405111B8616C6] - 10/09/2010 -
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]

O51 - MPSK:{08781a01-244b-11dd-997c-001d6080d73c}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe (.not file.)


----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html




0
Merci de t'occuper de mon problème, Electricien69. C'est vraiment sympa de prendre de son temps pour aider les autres. Si je t'ai posé la question, c'est que c'est la 1è fois que je viens sur ce forum et je ne savais pas comment cela fonctionnait. Et si j'avais correctement envoyé mon message.
Tu as constaté que j'avais d'autres infections, j'en ai bien l'impression car dernièrement, depuis ce problème de redirection, je trouve que le pc rame. C'est grave, docteur ?

-tu me dis que Boonty pose des problèmes de confidentialité. En fait, c'est mon fils qui l'a téléchargé car il me dit qu'il en a besoin pour Football Manager et donc jouer en ligne avec ses copains. C'est vraiment embêtant ? Cela a l'air de l'ennuyer de l'enlever mais si tu me le conseilles, on le fera !

-tu me demandes de désinstaller tous les plugin de FF. Comment je fais ? !! il y en a bcp et j'ai peur de tout virer et de faire une fausse manip.


Quant à ZHPFix, voila, c'est fait:

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-26-09-2010-20-39-22.txt
Run by Morel Beatrice at 26/09/2010 20:39:22
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\BearShare Mediabar => Clé supprimée avec succès
O51 - MPSK:{08781a01-244b-11dd-997c-001d6080d73c}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe (.not file. => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\Morel Beatrice\Application Data\Mozilla\Firefox\Profiles\dfdwlx0y.default\extensions\{577d79c9-888d-4136-92b9-5e162f179905} => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows\system32\rundll32.exe shell32.dll => Supprimé et mis en quarantaine

========== Autre ==========
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté
15:17:56 -SH-- . (.Pas de propriétaire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776] => Format Non supporté


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)
8 : Autre


End of the scan
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
26 sept. 2010 à 22:26
bonsoir,
pour boonty, je sais que c'est un site de jeu en ligne, mais je t'informe de ce que c'est, à toi de voir si oui ou non, tu le vires !

Leur politique :
"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent ds services payants et partage des données regroupées montrant le type
et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."
si tu es d'accord avec eux, pas de problèmes sinon, il faut desintaller le service en allant dans
(démarrer / exécuter / tape services.msc ) recherche le service, va dans les propriétés et désactive le.
Lance une recherche Boonty et supprime tout.
Il se peut que les jeux ne marchent plus



j'ai eu des cas similaires de redrections causées par les plugin de FF, à désinstaller via ajout suppression de programme



Rends toi sur ce site :
https://www.virustotal.com/gui/
clique sur parcourir et cherche ce fichier :

C:\WINDOWS\System32\unrar.exe

clique sur send file
un rappoort va s-élaborer ligne à ligne
attends un peu, il doit comprendre la taille du fichier envoyé
sauvegarde le rapport avec le bloc note
copie le dans ton prochain message.





0
Rebonsoir
POur boonty je vais attendre un peu, si j'arrive à me débarrasser de ces satanés virus sans le virer.

il y a un pbm:
C:\WINDOWS\System32\unrar.exe
est introuvable !!

que dois-je faire alors?

je te dis à demain. je me reconnecterai vers 12h30 et merci encore
0
Utilisateur anonyme
27 sept. 2010 à 14:51
bonjour,
pour le fichier introuvable, pas de soucis, il a du être viré avec zhpfix :-)

as tu désinstaller via ajout suppression de programmes les plugin de FF ?


repasse un autre zhpdiag, enregistre son rapport sur tonbureau, héberge le sur un site comme cijoint, cille le lien sur ton prochain message,


donne moi des nouvvelles du fonctionnement du pc et ton problème de redirection :-)
0
bonsoir
merci pour ton msg
-alors pour les plugin ff je ne sais pas trop ce qu'il faut que je supprime; en fait j'ai énormément de programmes installés. lesquels sont des plugin?
j'ai fait des copies des écrans où apparait la liste mais je ne sais pas comment te l'envoyer.
il y a des prog dont j'ai besoin comme adobe flash player, shockwave, quicktime, realplayer, des prog pour copier des dvd, ceux liés à l'imprimante et scanner bien sûr, foxit, mon fils avait chargé google chrome mais moi je ne m'en sers pas!!? les programmes hauppauge de ma carte tuner tv, le pack office et openoffice, ...
je ne vois pas trop ce qui correspond à ff en fait.

je viens de refaire un zhpdiag et j'ai enregistré comme tu as dit:
Le dépôt du fichier ZHPDiag 27 09.Txt a été réalisé avec succès !

http://www.cijoint.fr/cjlink.php?file=cj201009/cijhtvS9Kj.txt


pour ce qui est du pc ça semble s'aggraver. toujours des redirections sur des sites de pub ou gomeo . quand je suis sur l'accueil google et que je lance une recherche, des fois je n'ai plus la barre grise en bas avec marqué en attente de ... ou terminé.
et des fois j'ai des petites fenetres de pub qui s'ouvrent sur l'écran.
et il rame


j'attends tes instructions pour poursuivre la désinfection.
merci encore.
0
Utilisateur anonyme
27 sept. 2010 à 22:33
tous ce sprogrammes sont des plugin pour FF :

P2 - FPN:Firefox Plugin Navigator . (.Sun Microsystems, Inc. - NPRuntime Script Plug-in Library for Java(TM) Deploy.) -- C:\Program Files\Mozilla Firefox\Plugins\npdeploytk.dll
P2 - FPN:Firefox Plugin Navigator . (.Foxit Software Company - Foxit Reader Plug-In For Firefox and Netscape.) -- C:\Program Files\Mozilla Firefox\Plugins\npFoxitReaderPlugin.dll
P2 - FPN:Firefox Plugin Navigator . (.mozilla.org - Default Plug-in.) -- C:\Program Files\Mozilla Firefox\Plugins\npnul32.dll
P2 - FPN:Firefox Plugin Navigator . (.Microsoft Corporation - Office Plugin for Netscape Navigator.) -- C:\Program Files\Mozilla Firefox\Plugins\NPOFF12.DLL
P2 - FPN:Firefox Plugin Navigator . (.Adobe Systems Inc. - Adobe Acrobat Plug-In Version 5.00 for Netscape.) -- C:\Program Files\Mozilla Firefox\Plugins\nppdf32.dll
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - RealPlayer(tm) LiveConnect-Enabled Plug-In.) -- C:\Program Files\Mozilla Firefox\Plugins\nppl3260.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin2.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin3.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin4.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin5.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin6.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins\npqtplugin7.dll
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - RealJukebox Netscape Plugin.) -- C:\Program Files\Mozilla Firefox\Plugins\nprjplug.dll
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - 6.0.12.69.) -- C:\Program Files\Mozilla Firefox\Plugins\nprpjplug.dll
P2 - FPN: [HKLM] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
P2 - FPN: [HKLM] [@adobe.com/ShockwavePlayer] - (.Adobe Systems, Inc. - Adobe Shockwave for Director Netscape plug-in, version 11.5.) -- C:\WINDOWS\system32\Adobe\Director\np32dsw.dll
P2 - FPN: [HKLM] [@Google.com/GoogleEarthPlugin] - (.Google - GEPlugin.) -- C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
P2 - FPN: [HKLM] [@microsoft.com/WPF,version=3.5] - (.Microsoft Corporation - Windows Presentation Foundation (WPF) plug-in for Mozilla browsers.) -- C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
P2 - FPN: [HKLM] [@ngm.nexoneu.com/NxGame] - (.Nexon - Nexon Game Controller 1.0.0.1.) -- C:\Documents and Settings\All Users\Application Data\NexonEU\NGM\npNxGameeu.dll
P2 - FPN: [HKLM] [@real.com/nppl3260;version=6.0.12.69] - (.RealNetworks, Inc. - RealPlayer(tm) LiveConnect-Enabled Plug-In.) -- C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
P2 - FPN: [HKLM] [@real.com/nprjplug;version=1.0.3.69] - (.RealNetworks, Inc. - RealJukebox Netscape Plugin.) -- C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
P2 - FPN: [HKLM] [@real.com/nprpjplug;version=6.0.12.69] - (.RealNetworks, Inc. - 6.0.12.69.) -- C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
P2 - FPN: [HKLM] [@tools.google.com/Google Update;version=8] - (.Google Inc. - Google Update.) -- C:\Program Files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
P2 - FPN: [HKCU] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll



il y a encore des trojans sur ton cp :

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

► ferme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



@++
0
bonsoir
je n'ai pas eu le temps de m'occuper beaucoup de mon ordi aujourd'hui, j'ai juste supprimé les plugin que tu m'as indiqués
mais impossible de supprimer:
P2 - FPN: [HKLM] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

P2 - FPN: [HKCU] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

tout le reste a l'air d'être parti.

je m'occupe demain matin de combofix et je te tiens au courant.

par contre ce soir c'est l'horreur. le peu de temps que je suis sur l'ordi mon antivirus s'est déchainé, il n'a pas arrêté de biper, aussi je suis en train de faire un scan pour voir, j'en suis à 44 virus trouvé et seulement à 71%.
j'espère que combofix va faire des miracles demain!

A demain
0
Utilisateur anonyme
29 sept. 2010 à 07:40
bonjour,
combofix ne fait pas de miracle,

mais ton pc contient pas mal d'infection !

suis ce poste et poste les rapports,

https://forums.commentcamarche.net/forum/affich-19298940-redirection-intempestive-sur-gomeo-jump#11


tout va bien se passer :-)

@++
0
bonsoir
Alors me voila à nouveau
J'ai donc utilisé combofix qui ne m'a pas l'air d'avoir fonctionné vraiment comme il faut. Je m'explique: pas de problème pour le télécharger, ensuite le lancer comme indiqué, mais à la fin après étape 50 il ne m'annonce qu'ilprépare le fichier rapport passe directement à un message Suppression de fichiers et éteint l'ordi. Au début je n'ai pas non mpus eu de modification de l'horloge comme précisé sur le tuto.
Normal tout ça?
et j'ai qd même essayé de rechercher dans C\Combofix le ficher text, rien. Il y a bien l'icone Combofix mais elle m'ouvre la même chose que le poste de travail.

et j'ai eu un big souci ensuite: plus de connexion internet! le modem qui ne s'allumait plus. ça a duré pas mal de tps et ce soir c'est revenu

ensuite j'ai passé malwarebytes (vachement long)et voici le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4717

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/09/2010 00:00:34
mbam-log-2010-09-30 (00-00-34).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 267303
Temps écoulé: 1 heure(s), 12 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\cryptnet32.dll (Trojan.Delf) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\3FWHZQA3LT (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3fwhzqa3lt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\cryptnet32.dll (Trojan.Delf) -> Delete on reboot.
C:\WINDOWS\system32\crt.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shimg.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

il a détecté encore des trojan.
je ne sais pas si on va en voir le bout.
en tout cas, ça a qd même l'air d'aller mieux, le pc rame moins sur google et pour l'instant plus de redirection. Touchons du bois...

alors quid maintenant?

Merci encore de me consacrer de ton tps.
a+
0
Utilisateur anonyme
30 sept. 2010 à 07:42
bonjour,
relance MBAM, vide sa quarantaine,

repasse un autre zhpdiag, enregistre le rapport sur ton bureau, héberge le rapport sur un site comme Cijoint ou Too files.com, colle le lien su rapport sur ton prochain message

@++
0
bonsoir
j'ai relance mbam et supprimé la quarantaine
voici le rapport Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4723

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/09/2010 20:01:35
mbam-log-2010-09-30 (20-01-35).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 267312
Temps écoulé: 1 heure(s), 16 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Voici maintenant le rapport zhpdiag:

dépôt du fichier ZHPDiag du 30 09.Txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijvQur5mJ.txt


Vois-tu des fichiers, programmes... que je devrai désinstaller?

en tout cas, cela a l'air d'aller bcp mieux, je n'ai plus pour l'instant de redirection. En a-t-on fini avec ces fichus trojans?

Merci
à++
0
la suite :

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner


repasse una utre zhpdiag, enregistre son rapport sur ton bureau, héberge le sur cijoint et colle le lien sur ton prochain message

on poursuit demain

@ ++


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
0
voila, j'ai tout fait
je te communique le rapport du fichier ZHPDiag 01 10.Txt

http://www.cijoint.fr/cjlink.php?file=cj201010/cijOQeO6JF.txt

tu vois toujours des infections?

à+
0
Utilisateur anonyme
2 oct. 2010 à 08:48
bonjour,
tu as encore un toolbar infectieux !!!!
sache que les toolbar ne sont pas obligatoire !

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


0
OK pour les toolbar. Moi je veux bien tous les supprimer si ce 'nest pas utile, c'est qu'ils s'installent tout seuls. In dique-moi la marche à suivre stp

POur ce qui est du clean du Ad Remover le voila:

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:47:36 le 02/10/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Morel Beatrice@MOREL-FADD45F5E ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier supprimé: C:\Documents and Settings\Nicolas\Application Data\Mozilla\FireFox\Profiles\b895tm80.default\extensions\toolbar@ask.com
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Documents and Settings\Morel Beatrice\Local Settings\Application Data\AskToolbar
3,Fichier supprimé: C:\WINDOWS\Installer\4223e8.msi

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Nicolas\Application Data\Mozilla\FireFox\Profiles\b895tm80.default\Prefs.js --
Ligne supprimée: user_pref("extensions.asktb.cbid", "A2");
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}...
Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYYYFR");
Ligne supprimée: user_pref("extensions.asktb.l", "dis");
Ligne supprimée: user_pref("extensions.asktb.locale", "en_US");
Ligne supprimée: user_pref("extensions.asktb.o", "10148");
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true);
Ligne supprimée: user_pref("extensions.enabledItems", "toolbar@ask.com:3.8.0.12304,{53724739-8c9b-4b6d-904d-de60ae2a4...
-- Fichier Fermé --


1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
3,Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.13 (fr)] **

-- C:\Documents and Settings\Morel Beatrice\Application Data\Mozilla\FireFox\Profiles\dfdwlx0y.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\Morel Beatrice\\Mes documents\\Alice
browser.startup.homepage, hxxp://google.fr
browser.startup.homepage_override.mstone, rv:1.9.1.13

-- C:\Documents and Settings\Nicolas\Application Data\Mozilla\FireFox\Profiles\b895tm80.default\Prefs.js --
browser.download.lastDir, H:\\Concours national de la résistance et de la déportation\\Images
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.1.13
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 114 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/10/2010 (1848 Octet(s))
C:\Ad-Report-SCAN[1].txt - 02/10/2010 (6019 Octet(s))

Fin à: 13:49:55, 02/10/2010

============== E.O.F ==============
0
Utilisateur anonyme
2 oct. 2010 à 17:23
relance ADR, clique sur désinstaller,

il y en a pas mal déjà supprimés avec ADR :-)

as tu déjà désisntallé les plugin de FF ?

repasse una utre zhpdiag
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/


on verra ce qui reste :-)



0
Bonsoir
Tous les plugin qui sont listés dans le rapport ZHPDiag du 01 10 sont impossibles à éliminer. et je constate qu'on les retrouve encore dans le dernier rapport. Il y en a d'ailleurs pleins qui sont notés "not file" et sont introuvables ds mon ordi.

voici le dernier rapport:
ZHPDiag 03 10.Txt

http://www.cijoint.fr/cjlink.php?file=cj201010/cijzHHJDvP.txt

pas easy de se débarrasser de tous ces virus.
Merci à+
0