Trojan.JS.Redirector.GS

Résolu
daphniche -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
ce matin a l allumage du pc, message de f-secure : virus trojan détecté mais impossibilité de le supprimer .
c est un trojan.JS.Redirector.GS qui serait dans mes fichiers temporaires internet mais je n arrive pas a le trouver
y aurait il une personne bien aimable afin de me dire la marche a suivre afin d eliminer ce mechant trojan car moi je ne suis pas une experte de massacre de virus ...

merci par avance daphnée

39 réponses

  • 1
  • 2
Résumé de la discussion

Le message d’alerte au démarrage signale la détection d’un trojan et l’impossibilité de le supprimer, le trojan.JS.Redirector.GS semblant se trouver dans les fichiers temporaires d’Internet. Plusieurs réponses préconisent des outils de diagnostic et de nettoyage, notamment ZHPDiag pour générer un rapport et MalwareBytes Anti-Malware pour un examen rapide, en mode sans échec si nécessaire. Les étapes incluent l’installation et l’exécution de ZHPDiag, l’envoi du rapport via pjjoint.malekal.com pour analyse, puis l’utilisation de MalwareBytes pour supprimer les éléments détectés et mettre en quarantaine les composants problématiques. En cas de doute, démarrer en mode sans échec et vérifier les rapports d’analyse pour cibler les objets à supprimer, puis envisager des nettoyages complémentaires et la mise à jour des protections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    non c'est pas ca

    j'attends ce rapport là ZHPdiag.txt qui se trouve sur ton bureau
    0
  3. daphniche
     
    ben cela fait 2 fois que j essaie et je n arrive pas a envoyer ce rapport pour le lien il me dit

    les fichier a extensuin .exe ne peuvent pas etre uploadés
    grrrr

    je ne comprend pas je vais réessayer une 3 eme fois
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    les fichier a extension .exe ne peuvent pas etre uploadés

    effectivement, tu t'es trompée de fichier, c'est ZHPdiag.txt et non zhp.exe qu'il faut choisir, c'est un bloc note
    CONTRIBUTEUR SECURITE

    En désinfection, c'est la fin le plus important !
    "Restez" jusqu'au bout...merci
    0
  6. daphniche
     
    voila est ce cela ? c est tout ce que j ai recu (a la fin du scan il arrive 2 icones sur le bureau (un bloc note et au debut du scan un icone comme un rouleau de papyrus pui s du coup pour pas me tropé j ai enregistrer le scan ds mes documents et c est celui la que je vous ai envoyé )

    https://pjjoint.malekal.com/files.php?id=c4496f78641411
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    desinstalle spybpot inutile et freine le pc

    ________

    2)

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Program Files\TKexe\Kalender.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.


    Copie le lien de Virus Total dans ta réponse.(l'url de la page des résultats)


    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK

    ____________

    3)

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O2 - BHO: BrowserHelper Class - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} Clé orpheline
    [HKCU\Software\PriceGong]
    O43 - CFD: 09/11/2010 - 08:00:10 - [1357936] ----D- C:\Documents and Settings\moi\Application Data\PriceGong
    O43 - CFD: 10/11/2008 - 16:01:48 - [4176882] ----D- C:\Documents and Settings\moi\Local Settings\Application Data\GoldenCasino
    [HKCU\Software\Conduit]
    [HKCU\Software\OOVOOTOOLBAR]
    [HKLM\Software\Conduit]
    O43 - CFD: 13/11/2010 - 17:47:28 - [22110] ----D- C:\Documents and Settings\moi\Local Settings\Application Data\Conduit


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    ____________

    4)

    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://www.teamxscript.org/adremoverTelechargement.html

    /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « NETTOYER »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  8. daphniche
     
    voila l url de total virus
    http://www.virustotal.com/file-scan/report.html?id=a1643d75c807f768e338b3259b30d762f6a1246685407204d61313c2ec31b2ab-1298882872
    0
  9. daphniche
     
    apres l url je continue avec tes explications d avant a partir de "si tu trouves pas le fichier " ou bien direct niveau petit 3

    excuse moi , j avais dit que je n etais pas douée !!!
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    (sourire)

    je te retrouve apres la dernière étape
    0
  11. daphniche
     
    voila le rapport
    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-28-02-2011-10-21-48.txt
    Run by moi at 28/02/2011 10:21:46
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O2 - BHO: BrowserHelper Class - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} Clé orpheline => Clé supprimée avec succès
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}] => Clé supprimée avec succès
    [HKCR\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}] => Clé supprimée avec succès
    HKCU\Software\PriceGong => Clé supprimée avec succès
    HKCU\Software\Conduit => Clé supprimée avec succès
    HKCU\Software\OOVOOTOOLBAR => Clé supprimée avec succès
    HKLM\Software\Conduit => Clé supprimée avec succès

    ========== Dossier(s) ==========
    C:\Documents and Settings\moi\Application Data\PriceGong => Supprimé et mis en quarantaine
    C:\Documents and Settings\moi\Local Settings\Application Data\GoldenCasino => Supprimé et mis en quarantaine
    C:\Documents and Settings\moi\Local Settings\Application Data\Conduit => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    7 : Clé(s) du Registre
    3 : Dossier(s)

    End of the scan
    0
  12. daphniche
     
    est ce normal que le scan de ad remover stagne sur 1 % au bout de 40 mn ?
    0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    non

    arrête le

    puis désactive ton antivirus le temps du scan et relance AD
    0
  14. daphniche
     
    j ai deja arreté mon antivirus et spyware j ai plus rien en route
    j ai deja recommencé le nettoyage 2 fois mais deja pour l arreter je suis obligé d arreter le pc
    0
  15. daphniche
     
    voila c est fait en mode sasns echec
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 26/02/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [3]) -> Lancé à 11:48:29 le 28/02/2011, Mode sans echec

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    moi@CESTLEMIEN ( )

    ============== ACTION(S) ==============

    Service: "Viewpoint Manager Service" Stoppé et supprimé

    Dossier supprimé: C:\Documents and Settings\camille\Application Data\PriceGong
    Dossier supprimé: C:\Documents and Settings\emma\Application Data\PriceGong
    Dossier supprimé: C:\Documents and Settings\moi\Application Data\Viewpoint
    Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Viewpoint
    Dossier supprimé: C:\Documents and Settings\moi\Local Settings\Application Data\Viewpoint
    Dossier supprimé: C:\Program Files\Viewpoint
    Dossier supprimé: C:\Program Files\Fichiers communs\Viewpoint

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2297721
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
    Clé supprimée: HKLM\Software\MetaStream
    Clé supprimée: HKLM\Software\Viewpoint
    Clé supprimée: HKCU\Software\Viewpoint
    Clé supprimée: HKCU\Software\vtechnology\golden
    Clé supprimée: HKU\.DEFAULT\Software\Viewpoint
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{8D7BCC95-4B3A-4597-B533-7B32EBE22488}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5FF4CF81-DAC5-496d-80D3-3BCFEC3CA155}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Viewpoint Manager
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{8D7BCC95-4B3A-4597-B533-7B32EBE22488} - "?" (?)
    HKCU_SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732} - "?" (?)
    HKCU_Toolbar\ShellBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
    HKCU_Toolbar\WebBrowser|{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} (x)
    HKCU_Toolbar\WebBrowser|{A057A204-BACC-4D26-8087-36EE87E26986} (x)
    HKLM_Toolbar|{265EEE8E-3228-44D3-AEA5-F7FDF5860049} (C:\Program Files\SFR\Pack Sécurité\NRS\iescript\baselitmus.dll)
    HKLM_ElevationPolicy\2989830f-3b3c-4d26-a6e4-9c6d21b2710e - C:\Program Files\Recherche_France\Recherche_FranceToolbarHelper.exe (x)
    HKLM_ElevationPolicy\7da5b35c-8b2e-4834-af26-8ac66a28d6c1 - C:\Program Files\Recherche_France\Recherche_FranceToolbarHelper.exe (x)
    HKLM_ElevationPolicy\b02721e4-f796-4e00-9e3a-21f8c925982f - C:\Program Files\Recherche_France\Recherche_FranceToolbarHelper.exe (x)
    HKLM_ElevationPolicy\fb53fe2e-209e-400b-85de-aaa00d3596c6 - C:\Program Files\Recherche_France\Recherche_FranceToolbarHelper.exe (x)
    HKLM_ElevationPolicy\{44270ABA-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
    HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\Neuf\Kit\9launch.exe (SFR)
    HKLM_ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} - C:\Program Files\Iminent\MMServer\Iminent.MMServer.exe (x)
    HKLM_ElevationPolicy\{E82CC23E-EEB4-44c5-8170-17CA5F3E8E77} - C:\Program Files\Blingee Plus\DASingleTon.exe (x)
    HKLM_ElevationPolicy\{ED42606D-2283-4285-A46A-B4113C9AE1C6} - C:\Program Files\Blingee Plus\spresource_update.exe (x)
    HKLM_Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\Neuf\Kit\SFRNavErrorHelper.dll)
    BHO\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - "Windows Live Family Safety Browser Helper Class" (C:\Program Files\Windows Live\Family Safety\fssbho.dll)
    BHO\{C6867EB7-8350-4856-877F-93CF8AE3DC9C} - "Browsing Protection Class" (C:\Program Files\SFR\Pack Sécurité\NRS\iescript\baselitmus.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 200 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 28/02/2011 10:40:46 (427 Octet(s))
    C:\Ad-Report-CLEAN[2].txt - 28/02/2011 11:00:28 (427 Octet(s))
    C:\Ad-Report-CLEAN[3].txt - 28/02/2011 11:49:03 (4456 Octet(s))

    Fin à: 11:52:05, 28/02/2011

    ============== E.O.F ==============
    0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    en mode normal

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen rapide
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    0
  17. daphniche
     
    encore un souci il ne veut pas installer malware
    il me dit

    "cette application n a pas pu demarreer car l application MSVBVM60.DLL est introuvable "

    j ai r éessayer en l enlevant , en retelechargent malware mais oareil 2 fois

    pfffffff merci de ta patience
    0
  18. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    télécharge la dll manquante ici
    https://www.dll-files.com/msvbvm60.dll.html

    dézipe la dll....puis une fois déziper > copie la dll > et colle là dans le répertoire system32 (C:\windows\System32)

    redémarre ton pc

    et ré-essaies l'installation de malwarebytes
    0
  19. daphniche
     
    voila le bloc note du scan

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5903

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    28/02/2011 14:19:12
    mbam-log-2011-02-28 (14-19-12).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 226064
    Temps écoulé: 47 minute(s), 57 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    mon virus est il eradiqué ?
    0
  • 1
  • 2