asktoolbar Résolu/Fermé

Question

Bonjour, 

J'ai un problème avec srvmv.com qui me redirige vers des pages que je n'ai pas demandé. D'apès des infos sur Entraide Orange,  ça pourrait être lié à la présence d'une toolbar cachée. 

J'ai fait un scan avec ADremover. 
Ci dessous le log de ce scan.  




======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:32:51 le 13/05/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
J.Bourdet@BUREAU-JB ( ) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\J.Bourdet\Application Data\OfferBox

Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\J.Bourdet\Application Data\Mozilla\FireFox\Profiles\wlb08wzt.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

========================================

**** Internet Explorer Version [7.0.5730.13] ****

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 13/05/2011 18:32:55 (600 Octet(s)) 

Fin à: 18:33:30, 13/05/2011 
 
============== E.O.F ============== 


Puis je avoir de l'aide pour interpréter le log et supprimer ce qui est à supprimer

Merci 

Gyro94

Configuration: Windows XP / Firefox 4.0.1

Utilisateur anonyme · Answer

Salut 
 


1) /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

*  Double-clique sur l'icône Ad-remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
*  Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


aprés

2)   *  Télécharge ZHPDiag  (de Nicolas coolman)


  ICI   >> ZHPDiag  (de Nicolas coolman)

*  Une fois le téléchargement achevé, 
* double clique sur ZHPDiag.exe et suis les instructions.
*  /!\Utilisateurs de Windows Vista et Windows 7 
*  >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 
*  Laisse toi guider lors de l'installation, 
*  coche >> créer une icône sur le bureau
*  il se lancera automatiquement à la fin.    
*   Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)   
*  Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette   
*   Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  


* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport  

ou 

ICI >> pjjoint.malekal
* Cliques sur >>  Parcourir 
*  Trouve >> le rapport que tu viens d'enregistrer par exemple  sur ton bureau 
* Cliques sur >>  envoyer le fichier 
* Un lien  te sera généré,       
*  il te suffit de le poster ici


            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Salut!!


Voici le rapport de AD-R

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:07:27 le 13/05/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
J.Bourdet@BUREAU-JB ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\J.Bourdet\Application Data\OfferBox

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\J.Bourdet\Application Data\Mozilla\FireFox\Profiles\wlb08wzt.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

========================================

**** Internet Explorer Version [7.0.5730.13] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 13/05/2011 19:07:33 (649 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 13/05/2011 18:32:55 (2001 Octet(s)) 

Fin à: 19:08:41, 13/05/2011 



Et voici le lien du rapport ZHPDiag : 
http://www.cijoint.fr/cjlink.php?file=cj201105/cijX6GfwKS.txt

Merci de réponse rapide

Gyro94

Utilisateur anonyme · Answer

Salut




1)   /!\    ZHPFix /!\ 


* ferme toutes les applications ouvertes.
* Copies  tout le texte présent en gras dans l'encadré ci-dessous  
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )

============================================
 
O43 - CFD: 09/04/2011 - 15:24:10 - [1749] ----D- C:\Documents and Settings\J.Bourdet\Application Data\Media Get LLC    
O43 - CFD: 09/04/2011 - 15:24:10 - [23] ----D- C:\Documents and Settings\J.Bourdet\Local Settings\Application Data\Media Get LLC    
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 09/05/2011 - 20:15:48 ---A- . (...) -- C:\Log.txt   [0]    
O64 - Services: CurCS - (.not file.) - {D0981139089DFDBF62EE70CD1E4E9115} ({D0981139089DFDBF62EE70CD1E4E9115})  .(...) - LEGACY_{D0981139089DFDBF62EE70CD1E4E9115}    
C:\Documents and Settings\J.Bourdet\Application Data\Media Get LLC 
C:\Documents and Settings\J.Bourdet\Local Settings\Application Data\Media Get LLC    

EmptyFlash
Emptytemp


 
============================================

* Double Clique sur l'icone ZhpFix du bureau pour le lancer  ( l icone en forme de seringue) .
* Utilisateurs de Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"  
* Une fois l'outil ZHPFix ouvert ,   

* clique sur le bouton [ H ]  ==>  Image ( "coller les lignes Helper" ) .  

* Dans l'encadré principal   
* tu verras donc les lignes que tu as copié précédemment apparaitre  .  
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.   
* cliques >> sur le  Bouton " GO "
* colle le rapport obtenu .  




2) * Télécharges  Malwarebytes' (mbam)    

 ICI  >> Malwarebytes' (mbam)    

*   installes  + mise a jour  
*   Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir  
*   Lances--> Malwarebytes (MBAM)    
*   Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet    
*   puis "Rechercher"    
*   Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"    
*    A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport    
*  Si MalwareBytes'  détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection    
*   S'il t' es demandé de redémarrer, clique sur "oui "    
*   aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici    
!!! Ne pas vider la quarantaine de MBAM sans avis !!!   
            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Après application du traitement,
voici les deux rapports
ZHPFix 

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-05-2011-20-02-06.txt
Run by J.Bourdet at 13/05/2011 20:02:06
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - {D0981139089DFDBF62EE70CD1E4E9115} ({D0981139089DFDBF62EE70CD1E4E9115}) .(...) - LEGACY_{D0981139089DFDBF62EE70CD1E4E9115}  => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\J.Bourdet\Application Data\Media Get LLC  => Supprimé et mis en quarantaine
C:\Documents and Settings\J.Bourdet\Local Settings\Application Data\Media Get LLC  => Supprimé et mis en quarantaine
Dossiers Flash Cookies supprimés : 12
Dossiers temporaires Windows supprimés: 107

========== Fichier(s) ==========
c:\log.txt  => Supprimé et mis en quarantaine
c:\documents and settings\j.bourdet\application data\media get llc  => Fichier absent
c:\documents and settings\j.bourdet\local settings\application data\media get llc  => Fichier absent
Fichiers Flash Cookies supprimés : 2
Fichiers temporaires Windows supprimés : 38


========== Récapitulatif ==========
1 : Clé(s) du Registre
4 : Dossier(s)
5 : Fichier(s)


End of the scan


Et Malwarebytes


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6569

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14/05/2011 00:01:25
mbam-log-2011-05-14 (00-01-25).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|)
Elément(s) analysé(s): 376159
Temps écoulé: 2 heure(s), 30 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\j.bourdet\mes documents\divers exécutables\créateur pdf\créateur pdf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\j.bourdet\mes documents\divers exécutables\encodeur mp3\installer_tunebite_7_french.exe (PUP.SmsPay.PGen) -> Not selected for removal.
c:\documents and settings\j.bourdet\mes documents\Jacques\Cécilia\EOLE\Package\Support\eoleweb downloader.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\system volume information\_restore{8205caa4-acd0-4c75-b992-8cc77b687f15}\RP3\A0002010.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\system volume information\_restore{8205caa4-acd0-4c75-b992-8cc77b687f15}\RP5\A0002774.exe (PUP.SmsPay.PGen) -> Not selected for removal.
c:\system volume information\_restore{8205caa4-acd0-4c75-b992-8cc77b687f15}\RP5\A0002725.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
l:\sauvegardes ultraback\exécutables 2\divers exécutables\créateur pdf\créateur pdf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
l:\sauvegardes ultraback\exécutables 2\divers exécutables\encodeur mp3\installer_tunebite_7_french.exe (PUP.SmsPay.PGen) -> Not selected for removal.
l:\sauvegardes ultraback\jacques 2\Jacques\Cécilia\EOLE\Package\Support\eoleweb downloader.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
l:\system volume information\_restore{6f0aa31a-f16f-4528-8b4c-9d2bcd95ac5a}\RP425\A0081770.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
m:\sauvegardes ultraback\exécutables 1\divers exécutables\encodeur mp3\installer_tunebite_7_french.exe (PUP.SmsPay.PGen) -> Not selected for removal.
m:\sauvegardes ultraback\exécutables 1\divers exécutables\créateur pdf\créateur pdf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
m:\sauvegardes ultraback\jacques 1\Jacques\Cécilia\EOLE\Package\Support\eoleweb downloader.exe (Spyware.Passwords) -> Quarantined and deleted successfully.



Voilà, bon courage et merci encore une fois 

Cordialement
Gyro94

Utilisateur anonyme · Answer

Salut


* Lances Malwarebytes
* cliques sur >> quarantaine>> selectionnes tout et supprimes tout ok !!
* si il te demande de redémarrer >> redémarre ton PC
et
* Fais la  mise a jour    

* tu refais avec Malwarebytes une analyse rapide + Suppression(s) de ce que tu trouveras éventuellement

* Poste le rapport
            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Bonjour!

Voici le second rapport de Malwarebytes après effacement de la quarantaine. Apparemment tout est propre. 


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6576

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14/05/2011 14:48:38
mbam-log-2011-05-14 (14-48-38).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 141913
Temps écoulé: 2 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Malheureusement mes deux problèmes subsistent :

Ouverture XP en deux temps avec un "temps mort"d'environ 1mn30 à 2 mn  avant le démarrage des processus restants

Et ce que je croyais résolu par la manip que tu m'a indiquée, c'est-à-dire : plantages à répétition de Firefox (en cours d'utilisation et/ou à la fermeture

En tout cas j'ai eu un bon nettoyage de mon ordi et j'ai appris quelques petites choses. Donc merci et merci encore!

Gyro94

Utilisateur anonyme · Answer

Salut



si tu veux il serai bien de terminer la désinfection ,dernier contrôle ,ensuiite suppressions des outils ,etc!!!!!!


Télécharge OTL (de OldTimer) sur ton Bureau. 

 >> OTL (de OldTimer)  

*  Utilisateurs Windows  XP => double clique >>sur OTL.exe  
* Utilisateurs Windows  Vista / windows 7  => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.  

coches les cases lop & purity check ainsi que en haut Tous les Utilisateurs et minimal output

Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous >> Personalisation :




netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE\%Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT 




* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

*   Héberge le rapport >> OTL.Txt sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport  

fais aprés de même avec le rapport >> Extras.Txt

ou 

ICI >> pjjoint.malekal
* Cliques sur >>  Parcourir 
*  Trouve >> les rapports que tu viens d'enregistrer par exemple  sur ton bureau 
* Cliques sur >>  envoyer le fichier 
* Un lien  te sera généré,       
*  il te suffit de le poster ici


            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Re-bonjour,

J'ai oublié l'essentiel : le logiciel discret qui me redirigeait sur des sites non désirés (srvmv.com) a lâché prise et j'accède aux pages désirées sans aucun problème!!

Donc la manip a été pleinement fructueuse et a répondu à ce problème!

Bonne fin de semaine

Gyro94

Gyro94 · Answer

Bonsoir!

Je croyais que c'était fini (honte à moi)
Voici le rapport OTL à l'adresse suivante

http://www.cijoint.fr/cjlink.php?file=cj201105/cij6H6crPd.txt

Bonne soirée

Gyro94

Gyro94 · Answer

Oups,

Il y avait aussi un rapport "Extras" dont voici le lien.

Ah! ces amateurs!!


Mille excuses

Gyro94

Gyro94 · Answer

Vraiment nul !



http://www.cijoint.fr/cjlink.php?file=cj201105/cijbmOj8RA.txt

Utilisateur anonyme · Answer

Salut


Pas de soucis !!



1)* Relance OTL , 
* Windows XP  >> double clic sur OTL.exe pour le lancer
* Windows7/VIsta >> clic droit>>  exécuter en tant qu'administrateur  sur OTL.exe pour le lancer, 

* Copie et colle du texte en gras çi-dessous

* Tu commençes bien à : OTL , les : inclus devant OTL jusqu'à >>[Reboot] inclus dans la partie inférieure d'OTL sous "Personalisation" 
* Cliques sur >> CORRECTION:




:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] --  -- (xcpip)
[2011/04/08 19:19:34 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\J.Bourdet\Application Data\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} 
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)  
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) 
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

:Files  
C:\Documents and Settings\All Users\Application Data\Media Get LLC    

:Commands
[emptytemp]
[emptyflash]
[Reboot]


copie/colle le contenu du rapport texte qui apparrait au redemarrage du pc 
           

ensuite

2)  Mets à jour Explorer Vers 8
 >> Explorer
* >> Prends uniquement Explorer 8  car Explorer 9 n'est pas compatible avec Windows XP.  


3)  * Sécurise le navigateur Firefox(Utilise le en Priorité) avec  AdBlock Plus
>> Securiser Firefox

* tu rajouteras aussi WOT il permet d'identifier aisément les sites dangereux dans les résultats de recherche et dans Firefox,explorer et Google Chrome
>> WOT 


 4)  * Télécharge TFC crée par OldTimer 
    ICI >> TFC by OldTimer  
    * Double clique dessus pour le lancer. 
    *  /!\Utilisateurs de Windows Vista et Windows 7  
    * >> Clique droit sur le logo de TFC.exe  « exécuter en tant qu'Administrateur »  
    * L'outil va fermer tous les programmes lors de son exécution, donc vérifies que tu ais sauvegardé tout ton travail en cours avant de commencer. 
    * Clique sur le bouton  Start  pour lancer le processus. 
    *  Laisse le programme s'exécuter sans l'interrompre. 
    *  Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC toi même pour finir le nettoyage. 




5) *   Poste un nouveau ZHPDiag

*   Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport  



                
      Contributeur sécurité CCM

Gyro94 · Answer

Bonjour,

Tout est très clair mais j'ai la version 7 d'Internet Explorer. J'en suis resté à cette version car je me sers quasi exclusivement de Firefox.

Les consignes s'appliquent elles à IE7 et comment?

Désolé de ce contre temps!

En attendant je vais faire toutes les manip hors IE pour avancer les choses.

Cordialement

Gyro94

Gyro94 · Answer

Mauvaise lecture de ma part !!
J'installe IE _ OK!!

Gyro94 · Answer

Salut,

Tout a été fait dans l'ordre

OTL dont voici le rapport :


All processes killed
========== OTL ==========
Error: Unable to stop service xpsec!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpsec deleted successfully.
Error: Unable to stop service xcpip!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xcpip deleted successfully.
C:\Documents and Settings\J.Bourdet\Application Data\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53707962-6F74-2D53-2644-206D7942484F}\ deleted successfully.
C:\Program Files\Spybot - Search & Destroy\SDHelper.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ not found.
File C:\Program Files\Spybot - Search & Destroy\SDHelper.dll not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\BootExecute:autocheck autochk * deleted successfully.
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\Media Get LLC folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: J.Bourdet
->Temp folder emptied: 2342460 bytes
->Temporary Internet Files folder emptied: 11853991 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 52371932 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1152 bytes
 
User: JF701~1~BOU
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3593635 bytes
%systemroot%\System32 .tmp files removed: 3991040 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 197933 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 92176519 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 28181 bytes
 
Total Files Cleaned = 159,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: J.Bourdet
->Flash cache emptied: 0 bytes
 
User: JF701~1~BOU
 
User: LocalService
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 05152011_121700

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS	emp\458ffae8 scheduled to be moved on reboot.
File move failed. C:\WINDOWS	emp\ed62c25d scheduled to be moved on reboot.

Registry entries deleted on Reboot...




Internet Explorer 8 : installé avec les dernières mises à jour

Firefox : sécurisé avec Adlock et WOT

TFC : exécuté

ZHPDiag : exécuté   lien du rapport :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijDhPj2Fi.txt

Plus on avance plus je me rend compte que je suis dépassé !!

Cordialement

Gyro94

Utilisateur anonyme · Answer

Salut



Tu as encore cette M**de de Offerbox !!

Fais ce qui suit


1) Désinstalles OfferBox via Ajouter/Supprimer des programmes


2) Lances Explorer >> Outils >> Options internet >> clique sur l'onglet Avancé puis sur >>  Réinitialiser.
* Refermes Explorer


3) Lances Firefox, Cliques sur >>  Outils  puis >>  Options.
*  Dans cette fenêtre, clique  sur>  Restaurer la configuration par défaut.
* Fermes Firefox .
            
     

           
4) tu as Ccleaner

* Lances CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)


5) *   Poste un nouveau ZHPDiag

*   Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport  



      Contributeur sécurité CCM

Gyro94 · Answer

Salut,

Je venais de désactiver Offerbox que j'ai découvert par hasard sur mon Firefox alors que je ne l'ai jamais installé !!!!???

Donc, en plus, j'ai fait tout ce que tu me conseillais et voici le dernier rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201105/cijiOigkl9.txt


Je ne sais pas ce qui s'est passé dans mon ordi mais je n'ai pas le souvenir d'avoir fait une manip piégée. Cependant je me pose des questions!!


Merci pour ce nettoyage de printemps salutaire.

Gyro94

Utilisateur anonyme · Answer

Re


* C est mieux !!!


   /!\    ZHPFix /!\ 


* ferme toutes les applications ouvertes.
* Copies  tout le texte présent en gras dans l'encadré ci-dessous  
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )

============================================
 
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe  
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe    => Microsoft®Windows CTF Loader  
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe    
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe     
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe   
OPT:O4 - HKUS\S-1-5-21-1659004503-796845957-839522115-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe    
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk . (.Adobe Systems, Inc..)  -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe   
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Microsoft Office\Office10\OSA.EXE    
[HKCU\Software\OfferBox] 
[HKLM\Software\OfferBox]  
O43 - CFD: 15/05/2011 - 15:08:14 - [156] ----D- C:\Documents and Settings\J.Bourdet\Application Data\OfferBox  
C:\Documents and Settings\J.Bourdet\Application Data\OfferBox  


EmptyFlash
Emptytemp


 
============================================

* Double Clique sur l'icone ZhpFix du bureau pour le lancer  ( l icone en forme de seringue) .
* Utilisateurs de Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"  
* Une fois l'outil ZHPFix ouvert ,   

* clique sur le bouton [ H ]  ==>  Image ( "coller les lignes Helper" ) .  

* Dans l'encadré principal   
* tu verras donc les lignes que tu as copié précédemment apparaitre  .  
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.   
* cliques >> sur le  Bouton " GO "
* colle le rapport obtenu .   

            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Voilà! 

J'ai lancé ZHPfix et le rapport suit

Malheureusement j'avais gardé firefox ouvert (pour voir ce que je devais faire)


Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-05-2011-19-35-30.txt
Run by J.Bourdet at 15/05/2011 19:35:30
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\OfferBox  => Clé supprimée avec succès
HKLM\Software\OfferBox  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1659004503-796845957-839522115-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente

========== Dossier(s) ==========
C:\Documents and Settings\J.Bourdet\Application Data\OfferBox  => Supprimé et mis en quarantaine
Dossiers Flash Cookies supprimés : 1
Dossiers temporaires Windows supprimés: 1

========== Fichier(s) ==========
c:\documents and settings\all users\menu démarrer\programmes\démarrage\adobe gamma loader.exe.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\all users\menu démarrer\programmes\démarrage\microsoft office.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\j.bourdet\application data\offerbox  => Fichier absent
Fichiers Flash Cookies supprimés : 0
Fichiers temporaires Windows supprimés : 34

Cordialement

Utilisateur anonyme · Answer

Salut



Rends toi ici ==> Eset Online scanner 
 
avec Internet Explorer 

>> Eset Online scanner 

 * Désactives ton Antivirus et fermes tes autres applications

 utilises Internet Explorer pour pouvoir le lancer (Contrôles ActiveX). 

*Coches la case: Yes, I accept the Terms of use puis cliques sur Start. 
* Installes les contrôles Active X proposés. 
* Choisis et coches les actions de nettoyage: 


Supprimer les menaces détectées

   
*  A la fin de l analyse colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt 

a la fin de l analyse 

coches la case >> Désinstaller l application à la fermeture


  >> Image


* Réactives ton Antivirus 


Tu posteras le rapport ou une capture d écran des résultats 



           
                
      Contributeur sécurité CCM

Gyro94 · Answer

Bonsoir, 

J'ai effectué les dernières opérations et voici les liens vers les copies écran et de l'"image"


http://www.cijoint.fr/cjlink.php?file=cj201105/cijR9H28gA.png

http://www.cijoint.fr/cjlink.php?file=cj201105/cijJmqFR3k.png

http://www.cijoint.fr/cjlink.php?file=cj201105/cijtKTuvkr.png


et le rapport : 

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=6736e863676cd145bb38cdd82399d00e
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-15 09:33:20
# local_time=2011-05-15 11:33:20 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 189926 189926 0 0
# compatibility_mode=1032 16777189 100 100 1251 63173226 0 0
# compatibility_mode=8192 67108863 100 0 265 265 0 0
# scanned=81625
# found=2
# cleaned=2
# scan_time=3631
C:\Documents and Settings\J.Bourdet\Mes documents\Divers exécutables\Convertisseur vidéo\Setup_FreeFlvConverter-1.exe	Win32/Adware.Toolbar.Dealio application (deleted - quarantined)	00000000000000000000000000000000	C
C:\Documents and Settings\J.Bourdet\Mes documents\Divers exécutables\Mathtype\keygen.exe	a variant of Win32/Keygen.BH application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C



Je vais être absent pour quelques jours alors à bientôt pour la suite et fin j'espère !!

Bonne semaine

Gyro94

Gyro94 · Answer

Bonjour!!

Je suis à nouveau devant mon ordi pour la suite et, j'espère, la fin des soucis.

Cordialement

Gyro94

Utilisateur anonyme · Answer

Salut


1) Comment se comporte ton PC ??



2) *   Poste un nouveau ZHPDiag

*   Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport  
            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Re, 

J'ai toujours les mêmes pb de démarrage en deux temps avec un "temps mort" d'environ 2 minutes et des problèmes au moment de la fermeture de Firefox (qui sont à l'origine de tous les posts actuels)

Donc, en clair pas d'amélioration à part le fait que je ne suis plus redirigé dur des pages que je ne souhaite pas.

Je pense désinstaller tous les programmes installés puis nettoyer l'ordi "brut" avec seul XP sur le DD puis voir si le démarrage est redevenu normal puis ré-installer les programmes en surveillant systématiquement le démarrage après chaque réinstallation. 

Penses tu que cette procédure soit intéressante ?

En tout cas voici le lien du rapport ZHPdiag que je viens d'effectuer.


http://www.cijoint.fr/cjlink.php?file=cj201105/cij8UXlqp0.txt


Merci de consacrer du temps à me répondre

Gyro94

Utilisateur anonyme · Answer

Salut  


Non je ne crois pas en cette Soluce !!  

soit tu Formates et réinstalles   

soit on continue !!  


1) * Cliques sur Démarrer > Tous les programmes >>  Accessoires >> Invite de commandes  
* Une fenêtre noire  de type DOS s'ouvre.  
-Au prompt, tu tapes   



netsh int ip reset all



 valide  par entrée 
puis refais de même avec ceci:  



netsh winsock reset catalog


 valide par entrée
Puis redémarre Ton PC   





2) * Télécharge Defogger (de jpshortstuff) sur ton Bureau  
  ICI  >> Defogger (de jpshortstuff)  
* Lance le  
* Pour Windows Vista et Windows 7,   
*  faire un clic droit et >>  Exécuter en tant qu'administrateur.   
* Une fenêtre apparait : clique sur "Disable"  
* Fais redémarrer l'ordinateur si l'outil te le demande  
* PS >> Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"   




3) /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\  

 * Télécharge GMER Rootkit Scanner  :   

* GMER est  l'un des meilleurs scanneurs rootkits actuels.  
* Il est capable de détecter la casi totalité des rootkits.  

>>  gmer   
   
*  Ferme également toutes les applications actives dont ton navigateur.   
*  Clique sur le bouton "Download EXE"   
*  Sauvegarde-le sur ton Bureau.   
*  Double-clique sur l'exécutable téléchargé .   
*  sous Vista , clic  droit sur l'exécutable et choisir exécuter en tant qu'administrateur.   
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...  
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.  
* Héberge le rapport de Gmer  sur ce site,  
cijoint.fr  
* Copie/colle les liens générés ici  


/!\  Réactives  tous tes logiciels de protection /!\  





              
                  
      Contributeur sécurité CCM

Gyro94 · Answer

Salut

Mauvaise nouvelle, je suis confronté à la présence de "Goméo" qui apparait au lieu de la recherche Google que je viens de lancer donc c'est à nouveau la m...
alors que je n'ai rien installé sur mon ordi depuis le début de la recherche et des manips que j'ai faites avec ton aide.

Apparemment "goméo" ennuie bcp d'internautes.

Dont moi :-(

Gyro94

Utilisateur anonyme · Answer

Re


Nous avons posté nos messages en même temps


Regarde ce que j ai marqué au dessus de ton message à faire 

poste le rapport de GMER

en dernier

 * Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau. 

>> ICI >>  TDSSKiller  

* Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

* Décompresse l'archive sur ton bureau 
* Une fois extrait, ouvre le dossier TDSSKiller et double-clic sur TDSSKiller.exe (l'extension ne peut ne pas apparaître) pour lancer l'application. 
* Clic sur le bouton Start Scan 

* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles >>  Malicious objects  ont été trouvés, vérifier que l'option [ Cure]  est sélectionnée,
* Si des objects suspects >>  Suspicious objects   ont été détectés, 
laisse l'option >>>Skip
*Puis clique sur le bouton  [Continue] , 
*  Il est possible que le redémarrage du PC soit nécessaire pour compléter le processus. Cliques sur le bouton >> Reboot Now 
* Si le redémarrage n'es pas requis, clic sur le bouton Report. Le rapport devrait s'ouvrir. Copie/colle le contenu dans ta prochaine réponse. 

* Si le pc a redémarré, le rapport peut être trouvé à la racine de ton lecteur (en général C:\) sous la forme 
"TDSSKiller.[Version]_[Date]_[Time]_log.txt". Copie/colle le contenu de ton rapport  


            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Salut 
Oui il faut être patient !!

voici le lien du rapport et de deux copies d'écran complémentaires qui comportent des commentaires inexistants sur le rapport


http://www.cijoint.fr/cjlink.php?file=cj201105/cijDUNuBJw.txt

http://www.cijoint.fr/cjlink.php?file=cj201105/cijeu5wv4A.png

http://www.cijoint.fr/cjlink.php?file=cj201105/cijue1lTIW.png

J'ai réactivé les protections et je passe aux consignes suivantes

A+

Gyro94

Gyro94 · Answer

Bonsoir!


Voici le lien du rapport de TDSSKiller

http://www.cijoint.fr/cjlink.php?file=cj201105/cij7jlzM9e.txt


L'ordi a été redémarré à la demande de TDSSKiller et ce redémarrage m'a paru normal en durée

Je vais voir aussi si Firefox ne plante plus à la fermeture. Si c'est le cas les deux problèmes seraient résolus.

Je poste rapidement le résultat.

Merci à nouveau et à plus tard.

Gyro94

Utilisateur anonyme · Answer

Salut


ok !! Ca devrai aller maintenant.

On regarde demain si plus de soucis ,pour la suite de la désinfection > mises à  jour ,suppressions des outils,etc...
            

Win32.Sinowal, ça vise les sites des banques. Surveille quand même tes Comptes
Change tous tes mots de passe, mail etc . 


                
      Contributeur sécurité CCM

Gyro94 · Answer

OK à demain !!

Utilisateur anonyme · Answer

Salut


Vérification:


* Télécharge mbr.exe de Gmer :
  
  * ICI >> mbr.exe

  *  sur le bureau et pas ailleurs.



  * Ouvre le Bloc-Notes et copie / colle ce qu'il y a ci-dessous :

  

   @ECHO OFF
    mbr -c 0 1 copy_mbr
    EXIT




  * Enregistre le fichier sur ton bureau sous le nom >> dump.cmd 
  * Double clic sur >> dump.cmd 
  * ça doit ouvrir une fenêtre noire qui va se refermer au bout de quelques secondes.
  * Cela va créer un fichier >>  copy_mbr sur ton bureau.


  
  *Rends toi sur >> Virustotal
  * ICI >>Virustotal 


  Fais analyser ce fichier 


    copy_mbr 




  * Clique sur Parcourir en haut, choisis >>  bureau et cherche ce fichier : 
  
  * Clique maintenant sur >> Send file. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. 
  * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. 
  * Lorsque l'analyse est terminée * Une nouvelle fenêtre de ton navigateur va apparaître 
    poste le résultat >> en collant l'url de la page du résultat (barre d'adresse). 
    Ou en cliquant sur  >> View last report et fais un copié/collé du rapport 

           
 
                
      Contributeur sécurité CCM

Gyro94 · Answer

Bonjour,
Levé de bonne heure pour un dimanche à ce que je vois !

Voici le lien du résultat Virustotal

http://www.virustotal.com/...


Bonne journée

Gyro94

Gyro94 · Answer

http://www.virustotal.com/...

ça devrait aller cette fois

Gyro94 · Answer

bon je coupe en deux 

http://www.virustotal.com/file-scan/report.html?id=


a135d72731f35a0875a2f2e8d66be3428dc2ef851d6561bcedf9efc1f165075e-1306057216

Utilisateur anonyme · Answer

Salut



ok maintenant !!



1)  * Télécharge TFC crée par OldTimer 
    ICI >> TFC by OldTimer  
    * Double clique dessus pour le lancer. 
    *  /!\Utilisateurs de Windows Vista et Windows 7  
    * >> Clique droit sur le logo de TFC.exe  « exécuter en tant qu'Administrateur »  
    * L'outil va fermer tous les programmes lors de son exécution, donc vérifies que tu ais sauvegardé tout ton travail en cours avant de commencer. 
    * Clique sur le bouton  Start  pour lancer le processus. 
    *  Laisse le programme s'exécuter sans l'interrompre. 
    *  Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC toi même pour finir le nettoyage. 





2) *   Poste un nouveau ZHPDiag

*   Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport  


            
                
      Contributeur sécurité CCM

Gyro94 · Answer

Re, 

Voici le lien du ZHPDiag du jour.


http://www.cijoint.fr/cjlink.php?file=cj201105/cijJNuV47f.txt


J'espère qu'il nous confirme la sortie du tunnel !

Cordialement

Gyro94

Utilisateur anonyme · Answer

Salut ok !! 1) /!\ ZHPFix /!\ * ferme toutes les applications ouvertes. * Copies tout le texte présent en gras dans l'encadré ci-dessous *( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C ) ============================================ OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe OPT:O4 - HKUS\S-1-5-21-1659004503-796845957-839522115-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe O64 - Services: CurCS - (.not file.) - uxdyrpow (uxdyrpow) .(...) - LEGACY_UXDYRPOW EmptyFlash Emptytemp ============================================ * Double Clique sur l'icone ZhpFix du bureau pour le lancer ( l icone en forme de seringue) . * Utilisateurs de Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur" * Une fois l'outil ZHPFix ouvert , * clique sur le bouton [ H ] ==> Image ( "coller les lignes Helper" ) . * Dans l'encadré principal * tu verras donc les lignes que tu as copié précédemment apparaitre . * Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. * cliques >> sur le Bouton " GO " * colle le rapport obtenu . 2) * Sécurise le navigateur Firefox(Utilise le en Priorité) avec AdBlock Plus >> Securiser Firefox * tu rajouteras aussi WOT il permet d'identifier aisément les sites dangereux dans les résultats de recherche et dans Firefox,explorer et Google Chrome >> WOT 3) * Télécharge Defraggler. ICI >>Defraggler Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide". 4)En prévention pour tes Amovibles utilise USB-set ICI >> USB-set >> Dans configuration Autorun >> Cocher la case inhibé la fonction Autorun >> sauvegarder Tutoriel >> USB-set 5)* Installe ce Soft qui te tiendra au courant des mises à jour de tes Logiciels installés * Télécharge Update Checker ICI >> Update Checker * Installe le avec les paramètres par défaut en cliquant chaque fois sur Suivant. * Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles. * Double-cliques sur l'icône pour être redirigé sur le site de téléchargement des mises à jour. * Un conseil : n'installe pas les BETA qui sont listées en dessous.>> Beta Updates Detected * Tu installes les mises à jour * Pour éviter qu'elles apparaissent dans Update Checker : lance le --> clique sur Settings --> Results --> coche "Hide beta versions" --> OK 6) * Télécharges Delfix de Xplode * Utilitaire pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : ICI > DelFix.exe * double clique sur DelFix.exe pour le lancer. * Laisse toi guider lors de l'installation, * cliques >> option2 (Suppression) * Patiente pendant le scan jusqu'à l'ouverture du rapport. * Copie/Colle le contenu du rapport . @+ Contributeur sécurité CCM

Gyro94 · Answer

Bonsoir,

J'ai fait tout le programme final. 

Voici le rapport Delfix :



# DelFix v7.9B - Rapport créé le 22/05/2011 à 21:56
# Mis à jour le 22/05/11 à 14h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : J.Bourdet - BUREAU-JB (Administrateur)
# Exécuté depuis : C:\Documents and Settings\J.Bourdet\Bureau\DelFix-7.9B.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files	rend micro\Hijackthis
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\ZHPExportRegistry-15-05-2011-19-35-30.txt
Supprimé : C:\ZHPExportRegistry-22-05-2011-20-53-57.txt
Supprimé : C:\Documents and Settings\J.Bourdet\Bureau\mbr.exe
Supprimé : C:\Documents and Settings\J.Bourdet\Bureau\mbr.log
Supprimé : C:\Documents and Settings\J.Bourdet\Bureau\TFC.exe
Supprimé : C:\Documents and Settings\J.Bourdet\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\J.Bourdet\Mes documents\Téléchargements\Defogger.exe
Supprimé : C:\Documents and Settings\J.Bourdet\Mes documents\Téléchargements\defogger_disable.log
Supprimé : C:\Documents and Settings\J.Bourdet\Mes documents\Téléchargements\defogger_enable.log
Supprimé : C:\Documents and Settings\J.Bourdet\Mes documents\Téléchargements\OTL.exe
Supprimé : C:\Documents and Settings\J.Bourdet\Mes documents\Téléchargements\TFC.exe
Supprimé : C:\Documents and Settings\J.Bourdet\Mes documents\Téléchargements\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

-> ESET Online Scanner ... Désinstallé avec succès
-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2448 octets] ##########



Pour ce qui concerne le rapport ZHPFix, je l'avais gardé sur mon bureau et après avoir exécuté Delfix, je ne le retrouve nulle part ???

Y a t il un moyen de le trouver ou bien est ce foutu?

Je ne soupçonnais pas un tel truc! 


Je reste  à l'écoute bien sûr pour toute action nécessaire.

Bonne nuit

Gyro94

Utilisateur anonyme · Answer

Salut 


*Lors de L installation de ZHPDiag l'outil va crée 3 icônes ZHPDiag >  
 >>  ZHPFix >  et >> MBRcheck sur ton Bureau. 
* Donc a la suppression de ZHPDiag les deux autres suivent. 

Si tu as besoin de ZHPFix seul 

*ici >> ZHPFix 



 * DelFix >> Pour le désinstaller, il te suffit de le relancer 
 * Clique sur le bouton de désinstallation.


Fais ceci >>  

1) * désactive la  Restauration de ton système : 

* sert à supprimer les infections qui se trouvent dans la restauration du système. 
* Cliques sur démarrer. 
* Clic droit sur "Poste de travail" puis choisir "Propriétés". 
* Sélectionnes l'onglet "Restauration du système". 
* Coches ==>Désactiver la Restauration du système sur tous les lecteurs  ou Désactiver la Restauration du système puis appliquer. 
* OK==> Redémarres ton PC 

ensuite 

2) * Puis retournes sur ==>Poste de travail ==> Propriétés  
* décoches cette fois ==>Désactiver la Restauration du système sur tous les lecteurs  ou Désactiver la Restauration du système ==>appliquer ==> puis ok. 

aprés  

3) * Création du point de restauration : 

* vas dans le Menu Démarrer puis dans Programmes, 
* Accessoires et enfin dans Outils système, 
* Choisis Restauration du système, 
* Sélectionnes==> Créer un point de restauration, 
* Cliques sur Suivant, 
* Entres un nom pour le point de restauration : ce nom assez simple pour que tu le retrouves 
* Cliques ==>Créer et le point de restauration se créé automatiquement 



*Pour terminer 

4) tu conserveras >> Malwarebytes en Free n est pas en résident  
tu le tiendra à jour (mise à jour manuelle) 
une analyse /Semaine 


5) Voila un utilitaire pour défragmenter , utilises pour ce faire Defraggler 
* ICI Defraggler 


6) * régle de sécurité :on réfléchit puis on clique et pas l'inverse  
* Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas  


7) *  Fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)  
* Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas.   
* Certaines infections cryptent les documents et demandent une rançon pour les récupérer,   
* d'autres les modifient pour diffuser des infections, obligeant donc à les effacer...   
* Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.  

8) * un peu de lecture  
Tu prendras le temps de lire  
 Synthèse du Projet Antimalwares   
 Projet Antimalwares    

9) * Les Dangers du P2P 
Les Dangers du P2P 


10) * Pourquoi Faut il  maintenir son navigateur à jour ???? 
>> Maintenir son navigateur à jour  

11) *  Les Toolbars  
>> Les Toolbars ce n'est pas obligatoire 



et pour terminer  

12) * Tu peux mettre ton problème  Résolu !!  
>> Résolu  


             
                 
      Contributeur sécurité CCM

Gyro94 · Answer

Salut !

Avant d'effectuer les dernières manoeuvres, je voudrais clarifier un point. 
Hier, le 22 mai, j'ai respecté les consignes et j'ai bien  lancé ZHPfix avec les lignes en gras correctement copiées. Tout s'est déroulé normalement sauf que le rapport a été supprimé (comme tu me l'explique aujourd'hui) sans que je puisse tele transmettre. 
Voici ma question : faut il recommencer la séquence avec ZHPfix  puis Delfix ou  ne pas recommencer et simplement effectuer le programme d'aujourd'hui?

Désolé d'être un peu lourd mais je ne veux pas compromettre tout ce qui a été fait. Merci, bonne journée!

Gyro94

Utilisateur anonyme · Answer

Salut


Non tu as fais ZHPFix c est bon !!

et c est celui ci que Delfix à supprimé 

Supprimé : C:\Documents and Settings\J.Bourdet\Bureau\ZHPFixReport.txt 


Pour DelFix >>* DelFix >> Pour le désinstaller, il te suffit de le relancer 
 * Clique sur le bouton de désinstallation.

          
Sur ce si plus de soucis ,tu mets le sujet en "Résolu" à partir de la page1 en Haut

Bon Surf !!! Ouvres l oeil !!lol !!  
                

      Contributeur sécurité CCM

Gyro94 · Answer

Bonsoir,

Ok super !!

J'ai bien copié tous les documents et liens d'information et je les lirai avec attention tant ça m'est nécessaire.  

Je vais marquer le sujet comme résolu mais j'ai une info et une question à poster avant.

L'info : le lien ci dessus sur "les dangers du P2P" ne fonctionne pas (ou plus) (erreur 404)

La question : comment puis je marquer le coup et te remercier plus concrètement que par les mille mercis que je dois pour avoir patiemment détricoté mes ennuis?

J'espère une réponse!!

Cordialement

Gyro94   Alias J.Bourdet

Utilisateur anonyme · Answer

Salut 


OK  j ai réctifié 

Le lien était bon mais je l avais mal formulé !! 

9) * Les Dangers du P2P 
Les Dangers du P2P 


Tu as dis merçi c'est très bien et suffisant content d avoir pu t' aider 



Bon Surf!! Sors couvert !! lol !! 

            
VIRUS/C/C   
                 
      Contributeur sécurité CCM

Asktoolbar

44 réponses

Discussions similaires

Newsletters