Redirection vers sites commerciaux à partir d [Résolu/Fermé]

Signaler
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012
-
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012
-
Bonjour,
Depuis deux ou trois jours, je suis automatqiuement redirigé vers des sites commerciaux divers et variés quand je clique sur un lien trouvé à partir d'une recherhce google...
Autres symptomes inquiétants, spybot ne veut plus démarrer et la restauration systeme ne fonctionne plus...
Je choisis une date de restau mais à l'arrivé ca me dit qu'aucun changement n'a pu être effectué...
J'ai scanné avec antivir (rien trouvé ) et malwarebytes (trouvé trois trucs que j'ai supprimé mais qui n'ont pas résolu le prb)....

De ce que j'ai pour le moment observé ca n'arrive pas à chaque fois...
Hier par exemple ca le faisait 2 fois sur trois...
Là en ce moment c'est ss arrêt...

Je précise que ca le fait avec explorer ou firefox...

Merci d'avance pour vos idées, moi je sèche...




23 réponses

Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
Hello,

Poste le rapport de MBAM stp.

Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Merci pour votre aide !!!!
Voici le rapport ZHP:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijuw1s6Vc.txt


Je poste de suite le rapport MBAM...
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Raport MBAM:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6585

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/05/2011 00:59:32
mbam-log-2011-05-18 (00-59-22).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 241130
Temps écoulé: 1 heure(s), 19 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\JAY\local settings\Temp\0.6403397136906342.exe (Trojan.Dropper) -> No action taken.
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
No action taken. >> tu as bien supprimé la sélection puis redémarré le pc?
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Oui d'ailleurs ca a généré au redémarrage un écran bleu (0x0000007B)...
Obligé de choisir "derniere bonne config connue" sinon écran bleu...
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
Désactive ton antivirus car l''outil est détecté à tort comme infectieux

Télécharge ForceMove de Juju666

Exécute le.
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s''ouvre:

c:\documents and settings\JAY\local settings\Temp\0.6403397136906342.exe


Ferme le fichier texte. Accepte la modification par Oui.

Une infobulle t''avertira que tout sera fermé. Accepte par Ok

Poste le contenu du rapport qui s''ouvrira à terme (s''il ne s''ouvre pas, il se trouve à C:\forcemovelog.txt)

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

########## ForceMove de Juju666
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 18 avril 2011 à 23:48 par Juju666
Microsoft Windows XP [2600.xpsp_sp3_gdr.101209-1647.x86]
Démmarage à 22:29:44

##### Arrêt des processus
ArrÛtÚ : PID 760 'iexplore.exe'
ArrÛtÚ : PID 3496 'iexplore.exe'
ArrÛtÚ : PID 1404 'explorer.exe'
ArrÛtÚ : PID 1404 'explorer.exe'


##### Fichiers|Dossiers

Absent !!! : "c:\documents and settings\JAY\local settings\Temp\0.6403397136906342.exe"
Absent !!! : ""



########## Terminé avec succès à 22:30:18

########## ( EOF )
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
ouais ben en fait le dropper a pas aimé qu'on le bouge :p

tu connais gogo6 ?

======================

▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\Conduit]    => Toolbar.Conduit
[HKLM\Software\Conduit]    => Toolbar.Conduit
[HKLM\Software\Classes\toolband.eb_explorerbar]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.eb_explorerbar.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.ipm_printlistitem]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.ipm_printlistitem.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_launcher]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_launcher.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_printmanager]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_printmanager.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_bindstatuscallback]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_bindstatuscallback.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.tbtoolband]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.tbtoolband.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.useroptions]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.useroptions.1]    => Toolbar.Agent
[HKCU\Software\Conduit]    => Toolbar.Conduit
[HKLM\Software\Conduit]    => Toolbar.Conduit
EMPTYTEMP


▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l''écran dans ton prochain message

▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-18-05-2011-22-37-28.txt
Run by JAY at 18/05/2011 22:37:28
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\Conduit => Clé supprimée avec succès
HKLM\Software\Conduit => Clé supprimée avec succès
HKLM\Software\Classes\toolband.eb_explorerbar => Clé supprimée avec succès
HKLM\Software\Classes\toolband.eb_explorerbar.1 => Clé supprimée avec succès
HKLM\Software\Classes\toolband.ipm_printlistitem => Clé supprimée avec succès
HKLM\Software\Classes\toolband.ipm_printlistitem.1 => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pm_launcher => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pm_launcher.1 => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pm_printmanager => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pm_printmanager.1 => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pr_bindstatuscallback => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pr_bindstatuscallback.1 => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler => Clé supprimée avec succès
HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1 => Clé supprimée avec succès
HKLM\Software\Classes\toolband.tbtoolband => Clé supprimée avec succès
HKLM\Software\Classes\toolband.tbtoolband.1 => Clé supprimée avec succès
HKLM\Software\Classes\toolband.useroptions => Clé supprimée avec succès
HKLM\Software\Classes\toolband.useroptions.1 => Clé supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 139

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 164
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Comment fait -on pour heberger ?
Le post du 1er contributeur ayant disparu je ne sais plus comment j'ai fait ....
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
Hébergement de rapport sur pjjoint.malekal.com

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

https://pjjoint.malekal.com/files.php?id=0937a959746511


Merci beaucoup pour ton aide !!!!!!!!!
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Pour gogo c'est ca:
https://gogo6.com/
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
lol de rien ^^

▶ Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

▶ Double-clique sur OTM.exe pour le lancer.

▶ Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

 
:Reg
[-HKLM\Software\Classes\AppID\SoftwareUpdate.exe] 
:commands
[emptytemp]


▶ Clique sur MoveIt! puis ferme OTM.

▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

▶ Accepte en cliquant sur YES.

▶ Poste le rapport situé dans C:\_OTM\MovedFiles.

▶ Le nom du rapport correspond au moment de sa création : date_heure.log

================================

Par contre je viens de voir un truc

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] . (...) -- C:\WINDOWS\system32\run.cmd => Windows®Version non officielle

ça veut dire quoi ça ??????
tu sais qu'on aide pas les gens qui ont des faux windows ? si j avais vu ça avant, le post aurait été fermé
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Ok !

Merci quand même !
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
désolé, mais je suis en t aidant un receleur !
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Je comprends...c'est pas grave
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
cela ne m empeche pas de te donner quelques conseils d optimisation etc

▶ Télécharge ici : PureRa (par l''editeur de JavaRa)

▶ Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

▶ clique sur "Clean"

▶ L''outil va faire son scan puis son nettoyage

▶ à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

▶ transmets juste cette ligne , le reste importe peu

------

▶ télécharge Ccleaner et enregistre le sur le bureau

▶ double-clique sur le fichier pour lancer l''installation

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »

▶ sur la fenêtre de l''installation langage bien choisir français et OK
▶ clique sur suivant
▶ lis la licence et j''accepte
▶ cliques sur suivant
▶ là tu ne gardes de coché que "mettre un raccourci sur le bureau" et puis "contrôler automatiquement les mises à jour de Ccleaner "
▶ cliques sur installer
▶ cliques sur fermer
▶ double-cliques sur l''icône de Ccleaner pour l''ouvrir
▶ ▶ une fois ouvert tu cliques sur option et puis avancé
▶ tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
▶ ▶ cliques sur nettoyeur
▶ cliques sur windows et dans la colonne avancé
▶ coches la première case "vieilles données du perfetch"
▶ cliques sur analyse une fois l''analyse terminé
▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
▶ il te demande de sauvegarder ==> OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
▶ Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"
▶ tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur windows, sous avancé, tu décoches la première case "vieilles données du perfetch"
▶ tu peux fermer Ccleaner

------

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système.

------

Défragmente tes disque dur :
Télécharge Deffragler, et défragmente tes 2 disques.

------

▶ Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------

Mise à jour Windows :

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

▶ Mets à jour Java : https://www.java.com/fr/download/installed.jsp

▶ Désinstaller les anciennes versions de Java :

▶ Télécharge JavaRa.zip

▶ Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

▶ Double-clique sur le répertoire JavaRa obtenu.

▶ Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)

▶ Clique sur Remove Older Versions.

▶ Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

▶ Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.

▶ Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

▶ Tu peux fermer l''application

▶ ▶ Met à jour Adobe :

▶ Reader : https://get.adobe.com/fr/reader/otherversions/
▶ ▶ Décocher le scan Macàfric

▶ Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

▶ ▶ pour supprimer les outils de désinfection :

▶ Télécharge Delfix sur ton bureau :

▶ Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
▶ ▶ Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

------

Tu peux garder Malwarebytes pour un scan de temps à autres

-----

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter

------

▶ ▶ Pense à marquer le fil comme résolu

------

Si tu as d''autres questions, je t''écoute avec plaisir :)

@+
Messages postés
129
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
14 novembre 2012

Le problème est toujours là...
Je ne vais pas pouvoir éviter la réinstallation car c'est assez pénible...
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 750
le soucis c est que tu as un windows pirate....................