Problème infection ?

Résolu
emma -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

je pense avoir un problème sur mon ordinateur.
1/ spybot retrouve un click.giftload (hijackersc),
2/ avast : URL malveillante en permanence,
3/ sur internet : je suis redirigé sur les sites non voulus.
j'ai fait plusieurs nettoyages en mode normal, puis sans échec.
j'ai utilisé Malwares antimalwares, Ccleaner, glaryutilities....
cela est trop compliqué.
je n'y arrive pas.
est-il possible de m'aider. Je suis plutôt novice.
merci


50 réponses

Précédent
Réponse 21 / 50
emma
 
j'ai un problème pour heberger les rapports, je ne comprends pas ???

je le met dans un .doc mais reste en .txt
0
emma
 
http://www.cijoint.fr/cjlink.php?file=cj201104/cijCjKNRIc.txt


bon désolé mais pour ce soir, c'est plus possible,

je bosse dans 5 H

merci

a +
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
bon travail :)

je demandais le rapport zhpdiag :)
0
Réponse 22 / 50
emma
 
bonsoir,

voilà, le dernier rapport zhpdiag comme vous me le demandiez :

http://www.cijoint.fr/cjlink.php?file=cj201104/cij08Fg3ul.doc


faudra-t-il tout désinstaller à la fin du nettoyage ? (combofix, zhpdiag, etc...)

merci
0
Réponse 23 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Pourquoi tu n'envoie pas directement le .txt ? :)

Désactive ton antivirus car l'outil est détecté à tort comme infectieux

Télécharge ForceMove de Juju666

Exécute le.
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre: 

C:\Documents and Settings\User\Application Data\E74199E6D03E9C7CF5A4F86DB783E92B
C:\Documents and Settings\User\Application Data\PriceGong


Ferme le fichier texte. Accepte la modification par Oui.

Une infobulle t'avertira que tout sera fermé. Accepte par Ok

Poste le contenu du rapport qui s'ouvrira à terme (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

==============================

Désactive tes protections

télécharge ici : MBR_Repair

enregistre-le sur ton bureau ,

lance-le , choisis "Verify"

MBR_Verify.txt se mettra sur ton bureau poste ici son contenu
0
Réponse 24 / 50
emma
 
je n'y arrive pas car lorsque je clique sur la disquette à gauche, il ne s'enregistre pas, .........impossible donc je fais copier coller et .doc

je fais le reste ; merci.
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
normalement il se met directement sur le bureau :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 50
emma
 
########## ForceMove de Juju666
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 18 avril 2011 à 23:48 par Juju666
Microsoft Windows XP [2600.xpsp_sp3_gdr.101209-1647.x86]
Démmarage à 19:01:56

##### Arrêt des processus
Arrêté : PID 156 'explorer.exe'
Arrêté : PID 156 'explorer.exe'


##### Fichiers|Dossiers

Absent !!! : ""

Mis en quarantaine et supprimé ! : C:\Documents and Settings\User\Application Data\E74199E6D03E9C7CF5A4F86DB783E92B
Mis en quarantaine et supprimé ! : C:\Documents and Settings\User\Application Data\PriceGong


########## Terminé avec succès à 19:08:21

########## ( EOF )
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
en attente de mbr_verify :)
0
Réponse 26 / 50
emma
 
¤¤¤¤¤¤¤¤¤ MBR_Repair | Verify | 1.0.0.1¤¤¤¤¤¤¤¤¤¤

Mis à jour le 10/04/2011 | 16.30 par g3n-h@ckm@n

Utilisateur : User (Administrateurs)
Ordinateur : LAURENT

Système d'exploitation : Microsoft Windows XP (32 bits)

Scan : 19:10:33 | 22/04/2011

MBRCheck, version 1.2.3

(c) 2010, AD



Command-line: -za MBR.bin

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x0000001d



Analysis of file "MBR.bin":

Windows XP MBR code detected





Done!



C'est ce que tu voulais
0
Réponse 27 / 50
emma
 
a ce stade là, je fais quoi ?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
refais un zhpdiag de controle on va finaliser :)
héberge le rapport
0
Réponse 28 / 50
emma
 
lien rapport ZHPDIAG toujours en .doc car impossible autrement. Désolé.

http://www.cijoint.fr/cjlink.php?file=cj201104/cijh2DSuYZ.doc

merci
0
Réponse 29 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Re,

C'est étrange ça !!!! il te dis "connexion réinitialisée" ?
Si tu zippe le rapport [clic droit > envoyer vers > dossier compressé] tu sais l'héberger ?!
0
Réponse 30 / 50
emma
 
tu veux que je fasse quoi exactement, car là, je ne comprends pas tout.
0
Réponse 31 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
sur le rapport ZHPDiag.txt présent sur ton bureau
Clic droit > Envoyer vers > Dossier compressé.

Tu obtiendras un dossier ZHPDiag.zip : essaye de l'héberger
0
Réponse 32 / 50
emma
 
non, je n'ai pas de rapport en zhpdiag.txt quand je clique sur la disquette pour enregistrer, il ne veut pas, dans type de fichier, il n'y a rien, ni .doc ni .txt, ni autre donc il ne veut pas me l'enregistrer ????? la seule solution que j'ai trouvé c'est donc de créer un .doc en l'enregistrer sur le bureau après d'où mon problème.
0
Réponse 33 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.

Télécharge Pre_scan (de gen-hackman)

♦ Enregistre le sur ton bureau

▶ Exécute Pre_scan. Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

♦ Colle le contenu du rapport "Pre_Scan.txt" qui apparaîtra; à terme, sur ton bureau.
0
Réponse 34 / 50
emma
 
veux-tu par contre, que je l'herberge dans www-cijoint.... avec un .doc
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
fais ça => https://forums.commentcamarche.net/forum/affich-21871320-probleme-infection?page=2#54
0
Réponse 35 / 50
emma
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.37 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤ XP | Vista | Seven - 32/64 ¤

Mis à jour le 24/04/2011 | 09.05 par g3n-h@ckm@n
Utilisateur : User (Administrateurs)
Ordinateur : LAURENT

Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox :

Scan : 13:53:43 | 24/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCU\..\..\Winlogon] | Shell -> Modification apportée : -> explorer.exe

¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Modification apportée : C:\WINDOWS\system32\userinit.exe -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*

¤

[IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1 -> "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1
[Chrome | Command] | @ -> Modification apportée : "C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -> "C:\Program Files\Google\Chrome\Application\chrome.exe"

¤

[Assoc | Applications] | @ -> Aucune modification : http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s

¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[ERSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Bits] | Start -> Modification apportée : 3 -> 2 : Service Actif
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[EapHost] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
[SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wzcsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU | Main] | Start Page -> Modification apportée : http://www.orange.fr/ -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Modification apportée : http://www.google.com -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM | Main] | Start Page -> Modification apportée : http://www.msn.com/ -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Modification apportée : -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Modification apportée : -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Modification apportée : -> http://go.microsoft.com/fwlink/?LinkId=54896

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

C:\WINDOWS\explorer.exe -> Processus stoppé

¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤

MBRCheck, version 1.2.3

(c) 2010, AD



Command-line: -za C:\MBR\MBR.bin

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x0000001d



Analysis of file "C:\MBR\MBR.bin":

Windows XP MBR code detected





Done!
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Fin : 13:54:47

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
0
Réponse 36 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
▶ Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

▶ Lance OTL
▶ Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
0
Réponse 37 / 50
emma
 
http://pjjoint.malekal.com/files.php?id=6637c7ac707911
0
Réponse 38 / 50
emma
 
http://pjjoint.malekal.com/files.php?id=k10u10v6j15s6r11q11c1510
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
tu m as donné deux fois OTL.txt
0
Réponse 39 / 50
emma
 
je recommence et j'envoie la suite..;
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
non, t'as juste a envoyé Extras.txt sur cijoint...
0
Réponse 40 / 50
emma
 
http://www.cijoint.fr/cjlink.php?file=cj201104/cijC8B5o8z.txt

c'est bon, parce que tout plante, j'ai été obligé de rallumer pc , plus de nom des logiciels sur le bureau, plus d'écriture sur google... c'est pas net.
0

Discussions similaires

infection
gladiator1952 -
gladiator1952 -

6 réponses
infection ou pas?
jpn1000 -
mcvivien2 -

5 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse
Infection pc
Nanie24 -
Nanie24 -

22 réponses
[pnkbstra]infection
swazolie -
billou631 -

9 réponses