Google en anglais impossible 2 remettre en Fr

Rabich -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour a tous,

voila ce n'est pas un mauvais parametrage d'internet ou quoi c'est bien un virus mais impossible a localiser et effacer.

J'ai essayé :
Malwarebytes' Anti-Malware = rien ! il en a trouvé mais toujours pareil
Trojan Remover = rien ! il en a trouvé mais toujours pareil
RSIT = rien ! il en a trouvé mais toujours pareil
mon anti virus NOD32 = rien !
et pour info j'ai zone alarm aussi.
voila mes rapports et un grand merci d'avance a celui qui prendra du temps pour moi
http://www.cijoint.fr/cjlink.php?file=cj201101/cijE9r4zUe.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cije9AIc7d.txt

Merci encore

23 réponses

  • 1
  • 2
  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    C'est une infection qui détourne ta connection... Nous allons restaurer le fichier Hosts de ton ordinateur :

    * Télécharge RstHosts (de Xplode) sur ton Bureau.
    * Lance le et clique sur Restaurer
    * Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message (il est également sauvegardé à la racine du disque dur (C:\RstHosts.txt)

    Ensuite, peux-tu utiliser ce logiciel de diagnostic stp, il est plus efficace que RSIT :

    * Télécharge ZHPDiag (de Nicolas Coolman)
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    L'habit ne fait pas le moine.
    Le savoir n'est utile que s'il est transmis
    0
  2. Rabich
     
    Merci anthony5151 de me suivre,
    Dans un premier temps voici ci-dessous le rapport Host:

    ** Rapport MyHosts.txt **

    MyHosts V.1.0.0.2 de jeanmimigab

    Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides

    Résultat de l'opération:restauration du fichier hosts réussi...

    ** Fin du rapport **
    Et la suite arrive
    0
  3. Rabich
     
    Et voila la suite:
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijm9MjUli.txt

    Merci d'avance pour la suite
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Excuse moi, je t'avais oublié :(
    Tu es encore là ?

    0
  6. Rabich
     
    Salut oui je suis toujours en standby :) merci du retour
    0
  7. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    * Rends toi sur le site https://www.virustotal.com/gui/
    * Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\WINDOWS\System32\ctwbjpg.dll

    * Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
    * Fais un copier/coller du rapport sur le forum.

    Si tu ne trouves pas le fichier, fais ceci :
    * Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
    * Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
    * Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

    Ensuite :

    Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

    * Télécharge ComboFix (de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
    * Ne touche à rien pendant le scan.
    * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    0
  8. Rabich
     
    Ok dsl je suis revenu en esperant boucler ca ce soir :) lol
    0
  9. Rabich
     
    Pour le premier est-ce que c'est ca le rapport?
    File name: ctwbjpg.dll
    Submission date: 2011-01-14 19:58:48 (UTC)
    Current status: queued queued (#1) analysing finished
    Result: 0/ 43 (0.0%)

    Sinon je vois pas de rapport à part une liste de tous les antivirus avec leur update
    0
  10. Rabich
     
    Bon decidement j'arrive a rien quand je lance combo fix il me dit que NOD32 est actif alors qu'il est arreté quand je verifie sur Ctr+Alt+Sup il apparait sur la liste "system" et impossible d'arreter le processus.
    J'ai tenté de dire oui au combofix mais il m'a dit ".... a vos risques et perils..." donc j'ai coupé avant un desastre.

    T'as une autre astuce ?
    0
  11. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Tu dois pouvoir désactiver NOD32 via l'icone située dans la barre des tâches, près de l'horloge. Si tu l'as bien désactivé, tu peux lancer Combofix même s'il affiche un avertissement.

    0
  12. Rabich
     
    Je l'ai fais quand meme mais je n'ai pas de rapport le test (en fenetre sur fond bleu) s'arrete à "etape 50" et rien ne se passe ni sa ferme la fenetre ni rapport meme au bout de toute une journée en marche sans rien touché

    Je fais kek chose de mal ?
    0
  13. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Est-ce qu'il y a un rapport enregistré à la racine du disque C ?

    0
  14. Rabich
     
    non rien du coup je l'ai refait et ca s'est passé exactement pareil rien ni fait
    :(
    0
  15. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ce script va cibler certains éléments à supprimer :

    * Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
    * Lance ZHPFix à partir du raccourci sur ton Bureau
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse.

    Fais un scan avec MalwareBytes et poste le rapport stp (au passage, tu peux désinstaller Trojan Remover).

    Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag.
    Dis moi si tu as encore des problèmes ?

    0
  16. Rabich
     
    Salut encore merci d'etre là
    voila le rapport de ZHPFix:
    Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-17-01-2011-18-43-31.txt
    Run by RABAH at 17/01/2011 18:43:31
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\WebMediaPlayer => Clé supprimée avec succès
    HKCU\Software\pdfforge.org => Clé supprimée avec succès
    HKLM\Software\pdfforge.org => Clé supprimée avec succès
    O64 - Services: CurCS - C:\DOCUME~1\RABAH\LOCALS~1\Temp\nenum13E.sys - nenum13E (nenum13E) .(.Pas de propriétaire - Pas de description.) - LEGACY_NENUM13E => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\winlog.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Clé orpheline => Valeur supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

    ========== Fichier(s) ==========
    c:\docume~1\rabah\locals~1\temp\nenum13e.sys => Fichier absent

    ========== Récapitulatif ==========
    4 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Fichier(s)

    End of the scan
    0
  17. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ok :)
    Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag.
    Dis moi si tu as encore des problèmes ?

    0
  18. Rabich
     
    et le rapport de MWB:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5541

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    17/01/2011 19:14:22
    mbam-log-2011-01-17 (19-14-22).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 194507
    Temps écoulé: 22 minute(s), 21 seconde(s)

    Processus mémoire infecté(s): 2
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    c:\WINDOWS\system32\rpcs.exe (Backdoor.Rbot) -> 2632 -> Unloaded process successfully.
    c:\WINDOWS\system32\nssm.exe (Backdoor.IRCBot) -> 2648 -> Failed to unload process.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetworkShareSessionManager (Backdoor.IRCBot) -> Value: NetworkShareSessionManager -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\NetworkShareSessionManager (Backdoor.IRCBot) -> Value: NetworkShareSessionManager -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\rpcs.exe (Backdoor.Rbot) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\nssm.exe (Backdoor.IRCBot) -> Delete on reboot.
    0
  19. Rabich
     
    Salut anthony5151 et mille merci car apparement tout est redevenu normal en tt cas ma page d'accueil est bien Google en francais.
    sais tu de quoi ca vient ce virus ?
    (comme tu as pu le voir) j'ai zone alarm et NOD32 pourtant j'ai tres rarement été infecté mais là il m'a bien eu.

    Encore merci dois-je faire encore kek chose ?
    Ya t'il un fix pour tout desinstaller les petits softs de recherche ?
    0
  • 1
  • 2