Virus redirection google Inenlevable

Question

Bonjour, 

Voilà cela fait une semaine que quand je fais une recherche google et que je clique sur les liens proposés je suis continuellement redirigé vers des pages  de site commerciaux bidon ou même google.....

j'ai tout essayé Tdsskiller, Combofix, Ccleaner, Ad Remover, Malwarebytes, j'ai fait des nettoyage et scan Skybot et Avast.

Et rien...... Toujours le même j'en peu plus..... si quelqu'un aurait la bonté de m'aider ça serai vraiment génial parce que la je craque !




Configuration: Windows XP / Firefox 3.6.16

XaliceX · Answer

maintenant impossible d'aller sur google, on m'affiche une page html sans titre à la place...



Heeeeeeeelp

Lyonnais92 · Answer

Bonjour,

poste les rapports de 

- Tdsskiller

- Combofix

- Ad Remover

-  Malwarebytes

===
Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

XaliceX · Answer

Voilà les rapports sauf celui de combofix. Au moment ou il dit ne rien lancer car le rapport est en court je fais ce qu'il me dit sauf que le rapport ne viens jamais même en attendant 1h donc bon.....   

Rapport AD-remover : http://www.cijoint.fr/cjlink.php?file=cj201104/cijsIf3f9X.txt  


Rapport Malwarebytes : http://www.cijoint.fr/cjlink.php?file=cj201104/cijHWqelrw.txt  

Rapport TDSS Killer : http://www.cijoint.fr/cjlink.php?file=cj201104/cijbpcng3E.txt  

Rapport ZHPDIag : http://www.cijoint.fr/cjlink.php?file=cj201104/cij8keC9k6.txt  



Merci !

Lyonnais92 · Answer

Re,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\System32
scompat.xeb

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

XaliceX · Answer

Ok ! Voilà le Rapport de Virus Total sur C:\Windows\System32
scompat.xeb


http://www.cijoint.fr/cjlink.php?file=cj201104/cijrfEfStj.txt

Lyonnais92 · Answer

Bonjour,

quelques questions :

pourquoi autant de logiciels ne sont pas à jour ?

tu as un lien avec l'Université d'Angers ?

tu as une ip inconnue (qui n'est pas celle de ton FAI). As tu un autre mode de connexion à Internet que ton FAI ou l'université ?

XaliceX · Answer

Bonjour,

Des logiciels non à jours ? lesquels ? 

Sinon le pc m'as été donné par un pote qui était à l'Université d'Angers. 

Mais cela va faire 8 - 10 mois que le PC est chez moi dans le 94 et pas du tout à Angers.

Pour les autres mode de connexion, non je n'en ai pas.

Je suis branchée en Ethernet directement à ma FreeBox, et mon amis ce connecte en Wifi de ce PC portable à la Freebox c'est tout.

Lyonnais92 · Answer

Re,

Internet Explorer déjà (IE6 !!!!!!!!) sauf si tu as des applis qui le nécessitent.

Idem pour ta console java.

Idem OpenOffice.org 2.4

Pour le reste, PSI Secunia va t'en faire la liste :

https://www.commentcamarche.net/telecharger/securite/19879-secunia-personal-software-inspector/

===

On va déjà faire ça :

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O2 - BHO: (no name) - {5C57ED97-E255-4EF1-BDF4-E08F2E7DFA51} Clé orpheline
O2 - BHO: (no name) - {C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} Clé orpheline
O17 - HKLM\System\CS2\Services\Tcpip\..\{B8493858-B562-43F9-880B-387C3A93E9B1}: DhcpNameServer = 172.18.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{B8493858-B562-43F9-880B-387C3A93E9B1}: DhcpDomain = univ-angers.fr
O20 - Winlogon Notify: hgGxXoOe . (.Pas de propriétaire - Pas de description.) -- hgGxXoOe.dll
O42 - Logiciel: RM-X Player Pack V5.0 - (.PRODIFF.) [HKLM] -- RM-X® Player Pack V5.0_is1
[HKCU\Software\Prodiff]
O43 - CFD: 29/08/2010 - 15:48:44 - [0] ----D- C:\Program Files\PopCap Games
O43 - CFD: 06/05/2009 - 15:10:40 - [0] ----D- C:\Documents and Settings\All Users\Application Data\PopCap Games
O64 - Services: CurCS - (.not file.) - {14FB623A5D76C4FF5292573BB61A6B80} ({14FB623A5D76C4FF5292573BB61A6B80})  .(...) - LEGACY_{14FB623A5D76C4FF5292573BB61A6B80}
[HKCR
ctaudiofile2.audiofile2]
[HKCR
ctaudiofile2.audiofile2.2]
[HKCR
ctaudiofile2.audiofile2lameenc]
[HKCR
ctaudiofile2.audiofile2lameenc.1]
[HKLM\Software\Classes\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]
[HKLM\Software\Classes\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKLM\Software\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]
[HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}] 
C:\Program Files\PopCap Games

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Pour ta console java, fais comme ça :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

xalicex · Answer

Salut !

J'ai pas été la pendant un moment. Je viens de rentrer et faire ce que tu m'as dit dans tes indications donc voilà les rapports :

Rapport ZHPfix : http://www.cijoint.fr/cjlink.php?file=cj201104/cijXO1ooX1.txt

Rapport JavaRa : http://www.cijoint.fr/cjlink.php?file=cj201104/cij2xq6H5K.txt


Merci pour ton aide

Lyonnais92 · Answer

Bonjour,

toujours des redirections ?

===

Refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.

xalicex · Answer

Nouveau rapport ZHPdiag : 

http://www.cijoint.fr/cjlink.php?file=cj201104/cijAF8Y4mh.txt



Pour l'instant plus de redirection et internet ne rame plus.


Si jusqu'à dimanche j'ai toujours pas de redirection c'est que c'est réglé ! :-)

En tout cas je te tiens au courant. Merci pour le coup de main !

Mais comment ça se choppe ces cochonneries ?

Lyonnais92 · Answer

Bonjour,

Mais comment ça se choppe ces cochonneries ?

A mon avis, dans ton cas, à des failles de sécurité liées aux logiciels non à jour (Internet Explorer, Firefox, Adobe Reader, Avast et je suis sûr que j'en oublie), à des logiciels dont la protection est devenue illusoire (Spybot S&D, Ad-aware) et à l'absence d'un parefeu contrôlant les connexions sortantes.

===

Encore des choses à supprimer.

Tu relances ZHPFix avec ces instructions et tu postes le rapport (pas besoin de lien Cijoint).

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O2 - BHO: (no name) - {5C57ED97-E255-4EF1-BDF4-E08F2E7DFA51} Clé orpheline
O2 - BHO: (no name) - {C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} Clé orpheline
O17 - HKLM\System\CS2\Services\Tcpip\..\{B8493858-B562-43F9-880B-387C3A93E9B1}: DhcpNameServer = 172.18.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{B8493858-B562-43F9-880B-387C3A93E9B1}: DhcpDomain = univ-angers.fr
O42 - Logiciel: Java 6 Update 4 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160040}
O42 - Logiciel: Java 6 Update 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160060}
O43 - CFD: 16/05/2009 - 17:30:48 - [63699] ----D- C:\Program Files\OpenOffice.org 2.4
O64 - Services: CurCS - (.not file.) - {14FB623A5D76C4FF5292573BB61A6B80} ({14FB623A5D76C4FF5292573BB61A6B80})  .(...) - LEGACY_{14FB623A5D76C4FF5292573BB61A6B80}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]

xalicex · Answer

voilà le rapport de ZHPfix : 

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-19-04-2011-00-57-48.txt
Run by LiTh at 19/04/2011 00:57:48
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O42 - Logiciel: Java 6 Update 4 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160040}  => Clé supprimée avec succès
O42 - Logiciel: Java 6 Update 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160060}  => Clé supprimée avec succès
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline  => Clé supprimée avec succès
O2 - BHO: (no name) - {5C57ED97-E255-4EF1-BDF4-E08F2E7DFA51} Clé orpheline  => Clé supprimée avec succès
O2 - BHO: (no name) - {C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} Clé orpheline  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {14FB623A5D76C4FF5292573BB61A6B80} ({14FB623A5D76C4FF5292573BB61A6B80})  .(...) - LEGACY_{14FB623A5D76C4FF5292573BB61A6B80}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}  => Clé supprimée avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}  => Clé absente

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS2\Services\Tcpip\..\{B8493858-B562-43F9-880B-387C3A93E9B1}: DhcpNameServer = 172.18.0.254  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{B8493858-B562-43F9-880B-387C3A93E9B1}: DhcpDomain = univ-angers.fr  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\OpenOffice.org 2.4  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
8 : Clé(s) du Registre
2 : Elément(s) de donnée du Registre
1 : Dossier(s)


End of the scan

Lyonnais92 · Answer

Re,

mets à jour ce que PSI Secunia te trouve comme faille de sécurité (sauf les logiciels en fin de vie).

FyKdef · Answer

Yep ,

Hello Vincent  :)

Je te place un "kikoulol" pour le fun ;)

mets à jour ce que PSI Secunia te trouve comme faille de sécurité (sauf les logiciels en fin de vie). 

T'aurais pus les citer non ? 

Have fun Vincent ;;;;;;;;;;;;;;)

Cédric .

xalicex · Answer

bon....


Re navigateur qui rame et c'est repartit pour des redirections....

pour l'instant plus vers des sites biton mais vers page d'accueil google .....

à chaque fois que je clique sur un lien

Lyonnais92 · Answer

Bonjour,

tu as fait les mises à jour ?

Refais un scan ZHPDiag et poste le rapport dans un lien Cijoint.

xalicex · Answer

http://www.cijoint.fr/cjlink.php?file=cj201104/cijUe497CM.txt

Lyonnais92 · Answer

Re,

tant que tu me présenteras un rapport avec 

MSIE: Internet Explorer v6.0.2900.5512 (Defaut) (voir par Windows update)

O42 - Logiciel: Java 6 Update 4 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160040}    => Sun Microsystems
O42 - Logiciel: Java 6 Update 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160060 (voir par le Panneau de configuration, Ajout/suppression de programmes)

O43 - CFD: 16/05/2009 - 17:30:48 - [63699] ----D- C:\Program Files\OpenOffice.org 2.4  (probablement de la même manière que java)


je ne te donnerai pas de nouvelles consignes.

xalicex · Answer

Voilà j'ai suivi tes indications :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijjNHpAnT.txt

Les lignes que tu m'as demandé son présente dans le rapport.

si ça peut aider les redirections ne sont effectué sur les recherches google que quand je clique sur  les écritures titre en bleu mais pas sur les liens en vert en dessous du titre et de l'aperçus texte.

Lyonnais92 · Answer

Salut

 tu n'as rien fait :

pas installé IE8 à la place de IE6

pas désinstallé ja update 4 et update 6

pas désinstallé open office 24

xalicex · Answer

Ah ok j'avais pas compris qu'il fallait que je fasse ça......

Par contre openoffice 2.4 le probléme c'est qu'il n'est pas installé c'est juste un dossier dans program files avec 2 pauvre fichier... CCleaner ne le vois même pas

Lyonnais92 · Answer

Re,

alors tu supprimes le dossier.

xalicex · Answer

J'ai désinstallé les logiciels que tu m'as demandé d'enlever et mis à jour internet explorer voilà le nouveau rapport :

http://www.cijoint.fr/cjlink.php?file=cj201104/cij1mfQSCR.txt 



Merci pour ton aide :-)

Lyonnais92 · Answer

Bonsoir,

supprime TDSSKiller.

Ouvre ce lien :

https://support.kaspersky.com/fr/14421

Fais ce qui est dit après : La désinfection du système infecté

Poste le rapport.

===

Mets à jour MBAM, fais un scan complet.

Poste le rapport dans ta réponse.

xalicex · Answer

Bonjour,


Voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201104/cijrAZkHdU.txt

Et le rapport MBAM : http://www.cijoint.fr/cjlink.php?file=cj201104/cijl4TEv0i.txt

Lyonnais92 · Answer

Re,

le lien pour TDSSKiller que j'ai donné indique de choisir Cure et non Quarantine.

Reéxécute TDSSKiller avec l'option skip pour sptd.sys et l'option cure pour Rootkit.Win32.BackBoot.gen(\HardDisk0)

Poste le nouveau rapport TDSSKiller (pas besoin de lien Cijoint)

Ne redémarre pas l'ordi, pas certain qu'il redémarre après la mise en quarantaine.

xalicex · Answer

bah pour les éléments suspicieux sur ton lien ils disent : 

" En ce qui concerne les éléments suspicieux, une demande de confirmation sera affichée afin de séléctionner l'action à effectuer. Par défaut, l'action "Skip" est séléctionnée.

Veuillez séléctionner "Quarantine" afin de mettre les éléments en quarantaine."

Et le problème c'est quand dans les options proposer pour gérer le Rootkit.Win32.BackBoot.gen  on me propose 

- Skip
- Copy to quarantine
- Restore

C'est tout pas d'option cure, je t'ai fait une impr écran systm. 

voilà le lien -> http://www.cijoint.fr/cjlink.php?file=cj201104/cijvvaS42s.jpg

Lyonnais92 · Answer

Re,

OK, je comprends.

OK pour la quarantaine de Rootkit.Win32.BackBoot.gen(\HardDisk0)

Par contre, tu restaures sptd.sys. C'est un fichier légitime (lié à un gestionnaire de disque virtuel).

Ensuite, tu fais redémarrer l'ordi, tu refais tourner ZHPDiag et tu postes le rapport dans un lien Cijoint.

Tu me dis aussi comment va l'ordi.

xalicex · Answer

Voilà le rapport ZHP : http://www.cijoint.fr/cjlink.php?file=cj201104/cijfwA0Kii.txt

SInon bah l'ordi c'est de pire en pire là c'est 8 fois sur 10 que je suis redirigé en cliquant sur un lien google et la naviguation sur son internet est de plus en plus lente, je navigue plus vite avec mon téléphone portable ( Acer sous Android ) en 2g qu'avec mon pc.

Lyonnais92 · Answer

Re,

relance ZHPFix avec ces lignes :

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]

Poste le rapport obtenu.

Ca change quelque chose ?

xalicex · Answer

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-26-04-2011-23-51-54.txt
Run by LiTh at 26/04/2011 23:51:54
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}  => Clé supprimée avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}  => Clé supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre


End of the scan



ça change rien du tout...

xalicex · Answer

Bon bah maintenant c'est toute mes recherches sans exception qui sont redirigées....

Lyonnais92 · Answer

Bonjour,

elles sont redirigées où ?

Supprime les fichiers de TDSSKiller et recommence la manip.

Poste le rapport.

Relance ZHPDiag, clique sur nla flèche verte, télécharge bla dernière version et installe la mise à jour.

Relance ZHPDiag et poste le nouveau rapport dans un lien Cijoint.

xalicex · Answer

redirigé vers google page d'accueil annuaire ça change assez souvent, 

c'est pas période par exemple je peux naviguer 10 minutes sans aucune redirection et d'un seul coup toute mes recherches vont être redirigé systématiquement pendant un laps de temps indéfini et puis après ça s'arrête.

Par contre je surf à 2 à l'heure ce qui n'étais pas le cas avant le problème des redirection, c'est arrivé en même temps. La derniére fois quand on avait fait le nettoyage et que pendant 1 journée le pc était clean je n'avais plus de redirection et la naviguation était de nouveau rapide.

les rapports : 

ZHPFIX : http://www.cijoint.fr/cjlink.php?file=cj201104/cijobQrCba.txt
ZHPDIAG : http://www.cijoint.fr/cjlink.php?file=cj201104/cijfF31s0D.txt

Utilisateur anonyme · Answer

prend hitman pro https://download.cnet.com/HitmanPro-3-32-bit/3000-2239_4-10895604.html

xalicex · Answer

Merci pour l'info ! 

Mais euh  j'en fais quoi ?

Utilisateur anonyme · Answer

fait une analise

xalicex · Answer

Voilà le rapport de hitman après avoir fait une analyse et supprimer les fichiers malware trouvés :

xalicex · Answer

Rapport Hitman : http://www.cijoint.fr/cjlink.php?file=cj201104/cijvZPLK8o.txt

Lyonnais92 · Answer

Bonsoir,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

xalicex · Answer

Ok,

Voilà le rapport ComboFix :

 http://www.cijoint.fr/cjlink.php?file=cj201104/cijB3IX0eV.txt

Lyonnais92 · Answer

Re,

on va changer d'outil de diagnostic.

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

 Lance OTL

 Sous Peronnalisation, copie-colle les lignes  ci-dessous :


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs


Clique sur le bouton Analyse.

Pour me transmettre les rapports  clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

xalicex · Answer

voilà le rapport OTL :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijkmhLl9U.txt

il y a eu un rapport en plus nommé extra :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijHmfC1RW.txt

Lyonnais92 · Answer

Bonjour,

tu es redirigée avec Internet Explorer et avec Firefox ?

xalicex · Answer

Oui avec les deux !

Lyonnais92 · Answer

Re,

j'active mon réseau pour voir si ils ont des idées.

xalicex · Answer

Ok merci beaucoup !

Lyonnais92 · Answer

Re,

déjà une :

télécharge Gooredfix sur ton Bureau :

http://jpshortstuff.247fixes.com/GooredFix.exe

Ferme toutes les fenêtres (Applications et Navigateurs particulièrement Firefox).

Clique sur le fichier GooredFix.exe (pour les utilisateurs de Vista faire un clic-droit et choisir Exécuter en tant qu'Administrateur...)

Clique Oui sur la fenêtre qui s'ouvre.

Attends l'affichage du rapport GooredFix.txt (sauvegardé automatiquement sur le Bureau).

Poste son contenu dans ta réponse.

xalicex · Answer

Impossible dès que je lance gooredfix et que je clique sur oui pour lancer j'ai un message :



GooredFix - Specialist Removal Tool a rencontré un problème et doit fermer.
Nous vous prions de nous excuser pour le désagrément encouru.

Lyonnais92 · Answer

Re,

supprime ton fichier, mets toi en mode sans échec avec prise en charge réseau et recommence la procédure (téléchargement et exécution).

Lyonnais92 · Answer

Re,

si gooredfix ne fonctionne toujours pas (et/ou que le problème persiste),

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\PhysicalDisk0_MBR.bin


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  

===

Ensuite,

 Télécharge Dr.Web CureIt tsur ton Bureau:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Installe-le.
==> branche les USB et Disque dur externes .

Déconnecte toi physiquement d'Internet.

Double clique sur drweb-cureit.exe et autorise l'exécution du scan rapide. Cette étape scanne les fichiers résidants en mémoire. Si l'outil trouve quelque chose, clique sur le bouton Yes quand il  demande si tu veux réparer (cure it). Ce scan est rapide.

    * Quand le scan rapide est terminé, il faut changer les réglages par défauts.
    * Clique sur le menu Options >> Changer la configuration;
    * Clique sur Actions
    * Change chaque item sous Objets and Malware en Rapport.
    * Ensuite, il faut sélectionner les partitions à scanner.
    * Choisis l'option Tous. Un point rouge désigne les disques sélectionnés.
    * Clique sur la flèche verte sur la droite, et le scan débutera..
    * Clique sur Non pour tous si l'outil demande si tu veux nettoyer/déplacer les fichiers.
    * A la fin du scan, du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapportt
    * Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
    * Ferme Dr.Web Cureit

Poste le rapport dans ta réponse.

Lyonnais92 · Answer

Re,

ton sujet suscite de l'intérêt (merci à ceux qui ont pris du temps pour regarder).

===

Dans tes comptes, il y a HelpAssistant. Est ce toi qui l'a ouvert ?

De toute façon, fais ceci :

Télécharge HAMeb_check.exe (de noahdfear) du lien suivant et sauvegarde-le sur le Bureau :
http://noahdfear.net/downloads/HAMeb_check.exe

> Lance l'outil par double-clic
> Copie/colle le contenu du rapport généré.

xalicex · Answer

Rapport Hameb : 

http://www.cijoint.fr/cjlink.php?file=cj201104/cijNv67WXD.txt

Rapport Virus Total :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijhIpkgqM.txt

Rapport Dr Web : 

copy.exe;M:\;Trojan.Copyself.94;;
host.exe;M:\;Trojan.MulDrop.4181;;
kabal.exe;M:\flatrate;Trojan.Packed.20312;;

jwgkvsq.vmx;G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665;Win32.HLLW.Shadow.based;;



Gooredfix fonctionne toujours pas, Je n'ai rien ouvert qui s'appelle HelpAssitant je ne sais même pas ce que c'est !

Merci au gens qui participe à trouver des solutions à mon problème !

(Pour l'instant aprés avoir supprimer un truc sur le premier scan rapide de DrWeb mon naviguateur rame moins voir plus. )

Lyonnais92 · Answer

Bonjour,

le rapport de Hameb écarte une des infections possibles.

===

Ce que tu cites du rapport de DrWebCureit parle d'un périphérique M:/ .Tu sais de quel périphérique il s'agit ? (ton 2ème DD ?)

===

Est ce que quelqu'un, à ta connaissance, a activé le "Bureau à distance" (ou a essayé de t'aider "à distance") ?

===

C'est toi qui as installé PingFu (Artofping) ?

===

 Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone Personalisation


:OTL
O2 - BHO: (no name) - {C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[18 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

:Commands
[emptytemp]
[EMPTYFLASH]
[RESETHOSTS]


Clique sur Correction pour lancer la suppression.


Poste le rapport dans ta réponse (pas besoin de lien Cijoint).

===

Relance ZHPDiag, clique sur les jumelles pour lancer ZHPSearch.

Tape kabal.exe dans la fenêtre.

Vérifie que les 4 cases de la colonne Mode de recherche sont cochées.

Clique sur la loupe pour lancer l'analyse.

Poste le rapport dans ta réponse (pas besoin de lien Cijoint).

===

Toujours des redirections ?

xalicex · Answer

M:/ c'est une clé USB

-----------------------------

à ma connaissance personne a activé le bureau à distance ou a essayé de m'aider à distance.

------------------------------

Je n'ai pas installé PingFu (Artofping)

-------------------------------

Je n'ai eu aucun rapport après la correction OTL.
 Il m'a proposé de redémarrer après la correction, j'ai accepté et je n'ai eu aucun rapport.

-----------------------------------

Rapport ZHPSearch pour Kabal.exe :

Rapport de ZHPSearch 1.23.19 par Nicolas Coolman, Update du 25/02/2011
Run by LiTh at 30/04/2011 11:33:41
Windows XP Professional Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
kabal.exe

---\ Liste des Fichiers & Dossiers:
[MD5.00000000000000000000000000000000] 30/12/1899  | RSHAD | -- M:\flatrate\kabal.exe [0]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers, Registre
Elément(s) trouvé(s) : 1
Nombre de fichiers analysés : 211571
Nombre de clés, valeurs ou données analysées : 196054
Mode : Recherche complète
End of the scan (05mn 52s)

---------------------------------------------------------------------------------------

Pour l'instant la navigation ne rame plus et plus de redirection mais cela depuis que tu m'as dit et que j'ai fait :

" Déconnecte toi physiquement d'Internet.

Double clique sur drweb-cureit.exe et autorise l'exécution du scan rapide. Cette étape scanne les fichiers résidants en mémoire. Si l'outil trouve quelque chose, clique sur le bouton Yes quand il demande si tu veux réparer (cure it). Ce scan est rapide."

Le pc lors de ce scan avait trouvé un fichier ou j'avais dit supprimer ou cure it je sais plus et depuis ce moment là plus de redirection.

Bon de toute façon à la moindre redirection je te préviens, 

mais je me méfie un peu parce la dernière fois ça avait fait pareil,
je sais pas si tu te rappelle genre pendant une journée je t'avais dit plus de ralentissement et redirection et après une journée  c'est repartit de plus belle.. 

Bon de toute façons je te tiens au courant.

Lyonnais92 · Answer

Re,

tu relances ZHPDiag, tu cliques sur la flèche verte.

Tu télécharges la nouvelle version (si on te propose) et tu l'installes.

Tu relances ZHPDiag, tu l'exécutes et tu postes le nouveau rapport dans un lien Cijoint.

xalicex · Answer

Voilà le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijC8UTMfO.txt

Lyonnais92 · Answer

Re,

les suggestions convergent vers des malwares capables de cacher les objets infectés (y compris en mémoire) et de montrer une copie saine aux outils.

Certains outils voient le fichier infecté, d'autres le fichier sain (sauvegardé par le malware ailleurs qu'à sa place).

Ca concerne en particulier les infections touchant le MBR.

En plus de ce qui a déjà été fait, on va regarder ce que dit un autre outil.

Ouvre ce lien :

http://lanceyien.info/Forum/index.php?topic=1120.0

suis le.

Pour la décompression du fichier .rar, fait cloic droit et Ouvrir avec. Choisis Fichiers compressés.

Poste le rapport.

La prochaine étape sera une analyse sur VT de la copie du MBR qui aura été faite.

xalicex · Answer

Quand je clique sur le fichier .exe il ouvre une fenetre en plus du programme qui me dit qu'il peut pas, je t'ai fait une impr ecran syst : 

http://www.cijoint.fr/cjlink.php?file=cj201104/cij5vp58aw.jpg

Lyonnais92 · Answer

Re,

recommence la procédure.

Quand le message apparaît, clique sur OK.

L'exécution devrait se poursuivre.

xalicex · Answer

Impossible de copier coller le rapport après avoir cliqué sur oui...

Je t'ai fait une Impression écran : 

http://www.cijoint.fr/cjlink.php?file=cj201105/cijiyuaDpB.jpg


Ps : Toujours pas de redirection et le navigateur ne rame plus du tout

Lyonnais92 · Answer

Bonjour,

tu pourrais recommencer la manip avc TDSSKiller avec la nouvelle version (tu supprimes l'ancienne) et poster le nouveau rapport.

Virus redirection google Inenlevable

63 réponses

Votre réponse

Newsletters