Sujet Précédent Sujet Suivant

Mauvaises redirections des résultats Google

Fermé
benz - Modifié par benz le 18/04/2011 à 20:49
 benz - 24 avril 2011 à 12:28
Bonjour,

Cela fait plusieurs heures que j'essaye de nettoyer le pc de ma mère sous Vista.
Au départ, elle me l'a emmené pour un problème d'"Antimalware doctor" que j'ai (à priori) réussi a nettoyer en lisant divers forums et en testant un certain nombre d'outils.
Le soucis maintenant (mais qui était déjà présent avant le nettoyage de l'antimalware doctor), c'est que les résultats de Google ne renvoient pas sur les sites désirés, mais redirigent vers des pages de pubs :(

J'ai tenté de passer un coup de Malwarebytes, mais le pc s'eteint au milieu du scan...

Voici mon log HijackThis :

http://www.b3nz.net/hijackthis.log

Si vous voyez des choses anormales et avez des idées pour remettre ce pc sur ses pattes sans repasser par la case formatage, je vous en serait très reconnaissant !!

Merci d'avance.

Benoit
A voir également:

23 réponses

  • 1
  • 2
Réponse 1 / 23
Utilisateur anonyme
18 avril 2011 à 21:38
Bonsoir
J'ai vu une ligne suspecte dans le rapport, on va examiner le PC plus en détails

* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Au cas où ce message apparait:
"Impossible d'exécuter le fichier: C:\Program Files\ZHPDiag\ZHPDiag.exe
CreateProcess a échoué; code 740
L'opération demandée necéssite une élévation."

Tu fait clic droit sur l'icône de ZHPDiag présent sur le bureau
Clique sur propriétés, et sur l'onglet compatibilité
En bas, coche Exécuter ce programme en tant qu'administrateur
Clique sur Appliquer, puis sur OK

Ensuite, clic droit sur l'icône de ZHPDiag, et clique exécuter en tant
qu'administrateur

0
Réponse 2 / 23
benz
19 avril 2011 à 08:53
Merci pour ton aide.

Voici le rapport généré par ZHPDiag : http://www.b3nz.net/ZHPDiag.txt

Je croise les doigts pour que tu y trouves une solution ;)
0
Réponse 3 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 avril 2011 à 08:58
Hello pour avancer:
Tu dispose de mlawarebytes, mets le à jour; et exécute un scan complet.

Pour rappel :

▶ Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau.

▶ ▶ Miroir 1 si inaccessible

▶ ▶ Miroir 2 si inaccessible

▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
Une fois la mise à jour terminée
▶ rends-toi dans l'onglet Recherche
▶ Sélectionne Exécuter un examen complet
▶ Clique sur Rechercher
▶ ▶ Le scan démarre.
▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur Ok pour poursuivre.
▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
▶ Tu clique dessus pour l'afficher, une fois affiché
▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

▶ ▶ Si tu n'arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
0
Réponse 4 / 23
benz
19 avril 2011 à 09:14
Merci du conseil, mais comme dit dans mon premier message :

"J'ai tenté de passer un coup de Malwarebytes, mais le pc s'eteint au milieu du scan... "

Je viens tout de même de tenter de le relancer en surélevant le pc (c'est un portable) pour que l'air circule bien dessous car il ventile énormément et je me demande si ce n'est pas a cause de ça qu'il s'éteint lorsqu'il est trop sollicité.

Pour le moment, le scan en est a 45000 fichiers analysés en 4 minutes, et il y a déjà 3 éléments infectés...

Je vous tiens au courant dès que c'est terminé (ou que ça a encore éteint le pc...)

Encore merci de votre aide
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 avril 2011 à 09:19
ok =)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 avril 2011 à 09:22
si jamais MBAM foire :

Désactive ton antivirus car l'outil est détecté à tort comme infectieux

Télécharge ForceMove de Juju666

Exécute le.
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre: 

C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job    
C:\Users\Marite\AppData\Local\Temp\Mph.exe 
C:\Windows\Mrabaa.exe 
C:\Users\Marite\AppData\Local\Temp\Mps.exe 
C:\Windows\keys.ini   
c:\program files\Internet Antivirus Pro\IAPro.exe    
c:\program files\Internet Antivirus Pro


Ferme le fichier texte. Accepte la modification par Oui.

Une infobulle t'avertira que tout sera fermé. Accepte par Ok

Poste le contenu du rapport qui s'ouvrira à terme (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide
0
Réponse 6 / 23
benz
19 avril 2011 à 10:28
Le scan MBAM est terminé (en surélevant le pc pour éviter la surchauffe...), voici le résultat :

-------------------------------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6395

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

19/04/2011 10:15:21
mbam-log-2011-04-19 (10-15-20).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 260930
Temps écoulé: 1 heure(s), 5 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
c:\Windows\System32\drivers\svcgoow.exe (Spyware.Passwords.XGen) -> 2468 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svcgoow (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BSRURUF55J (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\CB0GKKO4NC (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OUU6KC5WPX (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\System32\drivers\svcgoow.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Windows\System32\drivers\svcgoow.exe993 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

-------------------------------------------------------

Malheureusement, j'ai toujours des mauvaises redirections de google sur internet explorer 9 (le problème était aussi présent sur la version 8).
En revanche, le problème ne semble pas présent sur Chrome...

Je viens de lancer un scan de Spybot Search & Destroy pour voir...

Si vous avez d'autres idées, je suis preneur ;)

Merci
0
Réponse 7 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 avril 2011 à 18:03
Spybot ==> poubelle
sert à rien ce truc

refais ça ==> https://forums.commentcamarche.net/forum/affich-21862319-mauvaises-redirections-des-resultats-google#1
0
Réponse 8 / 23
benz
21 avril 2011 à 11:25
OK pour spybot, je l'ai désinstallé ;)

Voici le nouveau rapport ZHPDiag :

http://up.sur-la-toile.com/iLKv

Je croise les doigts encore une fois.

Merci de ton aide !
0
Réponse 9 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
21 avril 2011 à 14:11
Hello,

Je n'arrive pas à accéder à ton lien. Héberge sur cijoint ou cjoint ou pjjoint.

J'aimerai avoir le rapport de ForceMove, merci
0
Réponse 10 / 23
benz
21 avril 2011 à 18:40
Voila le rapport : http://www.b3nz.net/zhpdiagv2.txt

Concernant ForceMove, je ne l'ai pas lancé car MBAM ne semble pas avoir foiré (ou alors je n'ai pas compris ^^)
Je le passe et te post ça dans quelques minutes ;)

Merci juju666 !
0
Réponse 11 / 23
benz
21 avril 2011 à 19:00
Voila le rapport de forcemove :

########## ForceMove de Juju666
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 18 avril 2011 à 23:48 par Juju666
Windows Vista (TM) Home Basic [6002.18327.x86fre.vistasp2_gdr.101014-0432]
Démmarage à 18:51:22

##### Arrêt des processus
Arrêté : PID 2928 'iexplore.exe'
Arrêté : PID 2928 'iexplore.exe'
Arrêté : PID 3112 'explorer.exe'


##### Fichiers|Dossiers

Absent !!! : "C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job"
Absent !!! : "C:\Users\Marite\AppData\Local\Temp\Mph.exe"
Absent !!! : "C:\Windows\Mrabaa.exe"
Absent !!! : "C:\Users\Marite\AppData\Local\Temp\Mps.exe"
Absent !!! : "C:\Windows\keys.ini"
Absent !!! : "c:\program files\Internet Antivirus Pro\IAPro.exe"
Absent !!! : "C:\program files\Internet Antivirus Pro"



########## Terminé avec succès à 18:56:04

########## ( EOF )

Je l'ai lancé 2 fois car la premiere fois cela me semblait bizarre que tous les fichiers a supprimer soient absents. Et comme il y avait des espaces après les noms des fichiers, je les aient supprimés et relancé l'exe.
A savoir que lors du premier rapport, le fichier "C:\Windows\keys.ini" a bien été supprimé.

Voila, j'espère une fois de plus que ça t'aidera, et que je n'ai pas fait de bétises en lancant ton outil 2 fois...

Encore merci !!
0
Réponse 12 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
21 avril 2011 à 19:07
ok c est bon :)

refais forcemove en lui mettant ça :

c:\program files\Internet Antivirus Pro\IAPro.exe

poste le rapport
0
Réponse 13 / 23
benz
21 avril 2011 à 19:19
Il me dit encore que le fichier "c:\program files\Internet Antivirus Pro\IAPro.exe" est absent...
J'ai testé en remplaçant le "c:" par "C:" mais ça ne change rien :(

Mais en même temps, en cherchant soit via "cmd.exe" soit par l'explorateur, je n'ai pas de dossier "Internet Antivirus Pro"
0
Réponse 14 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
21 avril 2011 à 19:31
mmmmh^^

colle ça dans le fichier texte de forcemove qui s'ouvre:


C:\ProgramData\Spybot - Search & Destroy
C:\Users\Marite\AppData\Roaming\90FEE396D1758433C3CF1BD57B0CC622\k70ccreloc.exe
C:\Users\Marite\AppData\Roaming\90FEE396D1758433C3CF1BD57B0CC622
C:\Windows\keys.ini
C:\Windows\keys.ini765
C:\users\marite\appdata\roaming\microsoft\windows\start m
C:\users\marite\appdata\roaming\microsoft\windows\start


poste le rapport

=========================================

▶ Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
Download Mirror
Download Mirror #2

▶ Double-click SystemLook.exe pour le lançer.
▶ Clic droit|copier le texte dans la balise code ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: 

 
:dir 
 C:\ProgramData\HDBR31 /S /MD5
C:\ProgramData\~0 /S /MD5
C:\Users\Marite\AppData\Roaming\updates /S /MD5


▶ Click le bouton Look pour commencer le scan.
▶ Copie-colle dans ta prochaine réponse le rapport contenu du fichier texte qui s'affiche

▶ Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

=========================================

▶ Rentre dans ton panneau de configuration....
▶ Apparence et personnalisation...
▶ Option des dossiers...(double cliquer dessus)
▶ Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option
▶ Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.

▶ ▶ ensuite rends toi sur ce lien:
https://www.virustotal.com/gui/

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr


▶ Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"
recherche les entrées suivante dans ton disque : 

C:\Users\Marite\AppData\Local\spmltic.dll


▶ Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant

▶ Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée

=========================================

▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

[MD5.00000000000000000000000000000000] [APT] [{22116563-108C-42c0-A7CE-60161B75E508}] (.Pas de propriétaire.) -- C:\Users\Marite\AppData\Local\Temp\Mph.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}] (.Pas de propriétaire.) -- C:\Windows\Mrabaa.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}] (.Pas de propriétaire.) -- C:\Users\Marite\AppData\Local\Temp\Mps.exe (.not file.)     
O53 - SMSR:HKLM\...\startupreg\Internet Antivirus Pro  [Key] . (.Pas de propriétaire - Pas de description.) -- c:\program files\Internet Antivirus Pro\IAPro.exe     
O53 - SMSR:HKLM\...\startupreg\k70ccreloc.exe  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Marite\AppData\Roaming\90FEE396D1758433C3CF1BD57B0CC622\k70ccreloc.exe 
O64 - Services: CurCS - (.not file.) - MpKsl042a11d7 (MpKsl042a11d7)  .(...) - LEGACY_MPKSL042A11D7 
O64 - Services: CurCS - (.not file.) - MpKsl096d36d4 (MpKsl096d36d4)  .(...) - LEGACY_MPKSL096D36D4 
O64 - Services: CurCS - (.not file.) - MpKsl28442b4b (MpKsl28442b4b)  .(...) - LEGACY_MPKSL28442B4B 
O64 - Services: CurCS - (.not file.) - MpKsl28814d59 (MpKsl28814d59)  .(...) - LEGACY_MPKSL28814D59 
O64 - Services: CurCS - (.not file.) - MpKsl3a0f8bc8 (MpKsl3a0f8bc8)  .(...) - LEGACY_MPKSL3A0F8BC8 
O64 - Services: CurCS - (.not file.) - MpKsl3ba79a45 (MpKsl3ba79a45)  .(...) - LEGACY_MPKSL3BA79A45 
O64 - Services: CurCS - (.not file.) - MpKsl4af245ba (MpKsl4af245ba)  .(...) - LEGACY_MPKSL4AF245BA 
O64 - Services: CurCS - (.not file.) - MpKsl590ac89c (MpKsl590ac89c)  .(...) - LEGACY_MPKSL590AC89C 
O64 - Services: CurCS - (.not file.) - MpKsl6f033ee2 (MpKsl6f033ee2)  .(...) - LEGACY_MPKSL6F033EE2 
O64 - Services: CurCS - (.not file.) - MpKsl7441ebb9 (MpKsl7441ebb9)  .(...) - LEGACY_MPKSL7441EBB9 
O64 - Services: CurCS - (.not file.) - MpKsl85fad66f (MpKsl85fad66f)  .(...) - LEGACY_MPKSL85FAD66F 
O64 - Services: CurCS - (.not file.) - MpKsla5d69f96 (MpKsla5d69f96)  .(...) - LEGACY_MPKSLA5D69F96 
O64 - Services: CurCS - (.not file.) - MpKslb4426a41 (MpKslb4426a41)  .(...) - LEGACY_MPKSLB4426A41 
O64 - Services: CurCS - (.not file.) - MpKslbe3e910c (MpKslbe3e910c)  .(...) - LEGACY_MPKSLBE3E910C 
O64 - Services: CurCS - (.not file.) - MpKslc86b016d (MpKslc86b016d)  .(...) - LEGACY_MPKSLC86B016D 
O69 - SBI: SearchScopes [HKCU] YouGoo - (YouGoo) - http://www.yougoo.fr 
O69 - SBI: SearchScopes [HKCU] {e62f1ebb-fe38-4739-a70a-30f435e3f4cc} - (iadah) - https://www.hugedomains.com/domain_profile.cfm?d=iadah&e=com 
O87 - FAEL: "TCP Query User{66248947-5D18-435D-91AB-3E51FB043E0C}C:\users\marite\appdata\roaming\microsoft\windows\start menu\programs\startup\mousedriver.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\marite\appdata\roaming\microsoft\windows\start m 
O87 - FAEL: "UDP Query User{4A04B4F5-7B98-473E-A11E-8D45A657824F}C:\users\marite\appdata\roaming\microsoft\windows\start menu\programs\startup\mousedriver.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\marite\appdata\roaming\microsoft\windows\start 
O87 - FAEL: "{CBC5FC2C-E2A2-4A59-BC60-A8D566AA3214}" |In - None - P17 - TRUE | .(...) -- C:\Users\Marite\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousedriver.exe (.not file.) 
O87 - FAEL: "{3D7B611C-683B-46E9-A838-E519BCAFFE93}" |In - None - P17 - TRUE | .(...) -- C:\Users\Marite\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousedriver.exe (.not file.) 
[HKCR\Interface\{2a42d13c-d427-4787-821b-cf6973855778}]     
[HKLM\Software\Classes\Interface\{2a42d13c-d427-4787-821b-cf6973855778}]     
[HKCR\Interface\{3d8478aa-7b88-48a9-8bcb-b85d594411ec}]     
[HKLM\Software\Classes\Interface\{3d8478aa-7b88-48a9-8bcb-b85d594411ec}]     
EmptyTemp
EmptyFlash
FirewallRAZ


▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

▶ Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l'écran dans ton prochain message

▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

▶ Redémarre ton ordinateur et refais un contrôle avec ZHPDiag [héberge son rapport]



0
Réponse 15 / 23
benz
23 avril 2011 à 18:19
Bonjour,

J'ai fait tout ce que tu m'as demandé; tu trouveras le rapport ici : http://www.b3nz.net/ccm_20110423.txt

Et malheureusement, j'ai toujours ces foutus redirections vers cette IP depuis les résultats de Google : 64.111.208.122

J'ai vu que quelqu'un sur ccm.net a déjà eu ce problème; résolu avec fixewareout, mais je ne le trouve pas et ne voudrais pas en plus aggraver la situation : http://www.commentcamarche.net/forum/affich-6301754-rapport-hijackthis

En attente d'instructions ;)

Encore merci !
0
Réponse 16 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
23 avril 2011 à 21:21
Hello :)

Tu as fait du très bon travail, mais nous n'avons pas fini en effet.

Pourrais tu faire analyser le fichier suivant sur virustotal stp :
C:\Users\Marite\AppData\Roaming\updates\updates.exe

Clique sur réanalyser maintenant si celui-ci a déjà été analysé.

=======================================

▶ Télécharger, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:

* http://www.geekstogo.com/forum/files/file/441-mbrcheck/
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
* http://www.kernelmode.info/MBRCheck.exe

▶ Fermer tout et cliquer sur MBRCheck.exe

▶ ▶ S'il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
▶ ▶ S'il te demande de taper sur la touche "entrée" seulement, fais le
▶ ▶ S'il te demande 1, 2 ou 3, Appuie sur 2 puis valide par enter.

▶ Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_07.21.10_18.08.06.txt).

====================================================

redémarre ton ordinateur; relance MBRCheck; n'appuie sur rien du tout mais fait une capture d'écran histoire que je vois ce qu'il raconte ;)

A+
0
Réponse 17 / 23
benz
24 avril 2011 à 09:37
Salut juju !

En fait hier après avoir fait toutes les manips demandées, j'ai passé un scan complet avec l'antivirus gratuit microsoft (security essential) qui m'a détecté et supprimé un virus (Alureon.H).
Et depuis, le problème de redirection a disparu !!!!

J'ai quand meme effectué les dernières manip que tu m'as indiqué pour être sur qu'il n'y ait plus de traces de quoi que ce soit, et ainsi rendre ce pc propre à ma mère pour qu'elle soit tranquille.

Voici le rapport de virustotal :

File name:
updates.exe

Submission date:
2011-04-24 07:02:24 (UTC)

Current status:
finished

Result:
0/ 42 (0.0%)

Concernant MBR Check, voici tout ce que tu m'as demandé (et même un peu plus ^^) :

Rapport avant reboot : http://www.b3nz.net/MBRCheck_avant_reboot.txt

Screenshot après reboot : http://www.b3nz.net/mbrcheck.jpg

Rapport après screenshot : http://www.b3nz.net/MBRCheck_apres_reboot.txt

Voila, en esperant qu'il n'y ait plus rien d'anormal dans ces rapports...

Encore merci de ton aide !!!

Benoit
0
Réponse 18 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
24 avril 2011 à 11:44
OK benoit, refais un rapport zhpdiag, nous allons finaliser
héberge le rapport
0
Réponse 19 / 23
benz
24 avril 2011 à 12:02
Voila le rapport ZHPDiag : http://www.cijoint.fr/cj201104/cijuz3VwAf.txt
0
Réponse 20 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
24 avril 2011 à 12:05
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

O69 - SBI: SearchScopes [HKCU] YouGoo - (YouGoo) - http://www.yougoo.fr
O64 - Services: CurCS - (.not file.) - MpKsl042a11d7 (MpKsl042a11d7)  .(...) - LEGACY_MPKSL042A11D7
O64 - Services: CurCS - (.not file.) - MpKsl096d36d4 (MpKsl096d36d4)  .(...) - LEGACY_MPKSL096D36D4
O64 - Services: CurCS - (.not file.) - MpKsl28442b4b (MpKsl28442b4b)  .(...) - LEGACY_MPKSL28442B4B
O64 - Services: CurCS - (.not file.) - MpKsl28814d59 (MpKsl28814d59)  .(...) - LEGACY_MPKSL28814D59
O64 - Services: CurCS - (.not file.) - MpKsl3a0f8bc8 (MpKsl3a0f8bc8)  .(...) - LEGACY_MPKSL3A0F8BC8
O64 - Services: CurCS - (.not file.) - MpKsl3ba79a45 (MpKsl3ba79a45)  .(...) - LEGACY_MPKSL3BA79A45
O64 - Services: CurCS - (.not file.) - MpKsl4af245ba (MpKsl4af245ba)  .(...) - LEGACY_MPKSL4AF245BA
O64 - Services: CurCS - (.not file.) - MpKsl590ac89c (MpKsl590ac89c)  .(...) - LEGACY_MPKSL590AC89C
O64 - Services: CurCS - (.not file.) - MpKsl6f033ee2 (MpKsl6f033ee2)  .(...) - LEGACY_MPKSL6F033EE2
O64 - Services: CurCS - (.not file.) - MpKsl7441ebb9 (MpKsl7441ebb9)  .(...) - LEGACY_MPKSL7441EBB9
O64 - Services: CurCS - (.not file.) - MpKsl85fad66f (MpKsl85fad66f)  .(...) - LEGACY_MPKSL85FAD66F
O64 - Services: CurCS - (.not file.) - MpKsla5d69f96 (MpKsla5d69f96)  .(...) - LEGACY_MPKSLA5D69F96
O64 - Services: CurCS - (.not file.) - MpKslb4426a41 (MpKslb4426a41)  .(...) - LEGACY_MPKSLB4426A41
O64 - Services: CurCS - (.not file.) - MpKslbe3e910c (MpKslbe3e910c)  .(...) - LEGACY_MPKSLBE3E910C
O64 - Services: CurCS - (.not file.) - MpKslc07f16fe (MpKslc07f16fe)  .(...) - LEGACY_MPKSLC07F16FE
O64 - Services: CurCS - (.not file.) - MpKslc86b016d (MpKslc86b016d)  .(...) - LEGACY_MPKSLC86B016D


▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

▶ Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l'écran dans ton prochain message

▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

▶ Redémarre ton ordinateur et passe au grand ménage :

=====================================================

▶ Télécharge ici : PureRa (par l'editeur de JavaRa)

▶ Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

▶ clique sur "Clean"

▶ L'outil va faire son scan puis son nettoyage

▶ à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

▶ transmets juste cette ligne , le reste importe peu

------

▶ télécharge Ccleaner et enregistre le sur le bureau

▶ double-clique sur le fichier pour lancer l'installation

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur »

▶ sur la fenêtre de l'installation langage bien choisir français et OK
▶ clique sur suivant
▶ lis la licence et j'accepte
▶ cliques sur suivant
▶ là tu ne gardes de coché que "mettre un raccourci sur le bureau" et puis "contrôler automatiquement les mises à jour de Ccleaner "
▶ cliques sur installer
▶ cliques sur fermer
▶ double-cliques sur l'icône de Ccleaner pour l'ouvrir
▶ ▶ une fois ouvert tu cliques sur option et puis avancé
▶ tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
▶ ▶ cliques sur nettoyeur
▶ cliques sur windows et dans la colonne avancé
▶ coches la première case "vieilles données du perfetch"
▶ cliques sur analyse une fois l'analyse terminé
▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
▶ il te demande de sauvegarder ==> OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
▶ Vérifie qu'il ne reste plus rien en relançant "rechercher les erreurs"
▶ tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur windows, sous avancé, tu décoches la première case "vieilles données du perfetch"
▶ tu peux fermer Ccleaner

------

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système.

------

Défragmente tes disque dur :
Télécharge Deffragler, et défragmente tes 2 disques.

------

▶ Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------

Mise à jour Windows :

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

▶ Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp

▶ Désinstaller les anciennes versions de Java :

▶ Télécharge JavaRa.zip

▶ Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

▶ Double-clique sur le répertoire JavaRa obtenu.

▶ Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)

▶ Clique sur Remove Older Versions.

▶ Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

▶ Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.

▶ Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

▶ Tu peux fermer l'application

▶ ▶ Met à jour Adobe :

▶ Reader : https://get2.adobe.com/fr/reader/otherversions/
▶ ▶ Décocher le scan Macàfric

▶ Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

▶ ▶ pour supprimer les outils de désinfection :

▶ Télécharge Delfix sur ton bureau :

▶ Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
▶ ▶ Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

------

Tu peux garder Malwarebytes pour un scan de temps à autres

-----

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter

------

▶ ▶ Pense à marquer le fil comme résolu

------

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+
0

Discussions similaires

Prélèvement Google Ireland Limited
jaffa1961 -
Minette135 -

34 réponses