Bonjour, Depuis quelque temps, une page internet s'ouvre même si je ne suis pas connectée. Et depuis aujourd'hui, quand je fais une recherche sur google par exemple, je clic sur le lien, mais là soit une autre page (de pub) s'affiche à la place de la page demandée, soit une rien ne s'affiche. J'ai plusieurs rapports : Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Version de la base de données: 6752 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 02/06/2011 13:26:39 mbam-log-2011-06-02 (13-26-39).txt Type d'examen: Examen complet (C:\|D:\|E:\|F:\|Q:\|) Elément(s) analysé(s): 352132 Temps écoulé: 54 minute(s), 31 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 9 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_CLASSES_ROOT\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA} (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO.1 (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\program files (x86)\PCTuto\pctutobho.dll (Trojan.Eorezo) -> Quarantined and deleted successfully. c:\Users\Laura\adobe photoshop cs5 extended\Keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. c:\Users\Laura\AppData\Local\Temp\432D.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. c:\Users\Laura\AppData\Local\Temp\58C0.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. Configuration: Windows 7 / Firefox 3.6.16

Virus multiples

Réponse 21 / 40

Utilisateur anonyme

je vois que tu as passé combofix aussi...

attention ce n'est pas un jouet

mal utilisé il peut planter ta machine

tu sais recuperer une machine si un outil quelqu'il soit la plante et que tu ne peux plus demarrer?

tu as le rapport de combofix ?

laura38

Hum, avec la console de récupération? Pas vraiment

Le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijic8PU85.txt

Réponse 22 / 40

Utilisateur anonyme

ok

combofix n'a pas pu finir son travail en plus

desinstalle spybot search and destroy , redemarre ton pc

laura38

Ok, je l'avais déja désinstallé, une fois redemarré le pc, je relance combofix?

Réponse 23 / 40

Utilisateur anonyme

non on fait comme ca :

▶ Télécharge DelFix sur ton bureau.

▶ Lance le, tape suppression puis valide

Patiente pendant le scan jusqu'à l'ouverture du rapport.

▶ Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

===========================================

▶ Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

▶ Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

▶ lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

▶ Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

laura38

J'ai juste ca comme rapport, c'est normal?

# DelFix v8.0 - Rapport créé le 03/06/2011 à 14:44
# Mis à jour le 01/06/11 à 13h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
# Nom d'utilisateur : Laura - LAURA-TOSH (Administrateur)
# Exécuté depuis : C:\Users\Laura\Desktop\delfix.exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

~~~~~~ Fichier(s) ~~~~~~

~~~~~~ Registre ~~~~~~

~~~~~~ Autre ~~~~~~

########## EOF - "C:\DelFixSuppr.txt" - [541 octets] ##########

laura38

Rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijA1V9g3G.txt

Réponse 24 / 40

Utilisateur anonyme

tu as executé delfix avec le clic droit executer en tant qu'administrateur" ?

laura38

ah non!
voici le rapport :
# DelFix v8.0 - Rapport créé le 03/06/2011 à 18:10
# Mis à jour le 01/06/11 à 13h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
# Nom d'utilisateur : Laura - LAURA-TOSH (Administrateur)
# Exécuté depuis : C:\Users\Laura\Desktop\delfix.exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Laura\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Laura\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.t

Réponse 25 / 40

Utilisateur anonyme

peut etre mieux la non ? lol ^^

laura38

Heu oui je sais pas lol^^ mais là pourquoi y'a ZHPDiag?
Du coup y'a des 'trucs' qui se sont supprimés, c'en est ou?

Réponse 26 / 40

Utilisateur anonyme

comment ca pourquoi y a zhpdiag ? je comprends pas ta question :S

laura38

Heu dans les fichiers supprimés dans le rapport juste au dessus! Fin je sais pas je comprend pas ses rapports..

Réponse 27 / 40

Utilisateur anonyme

ben c'est un programme qui vire les tools qu on a utilisés , il est inutile de les garder ils sont mis à jour tous les jours donc dans 2 jours il te serviront plus à rien si tu les gardes ;)

laura38

D'accord! Et en ce qui concerne le problème alors y'a plus de solutions?

Réponse 28 / 40

Utilisateur anonyme

je peux avoir ce que j ai demandé apres delfix ?

laura38

Ceci ?
Rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijA1V9g3G.txt

Utilisateur anonyme

tu es en france ?

laura38

Heu pourquoi

laura38

Ah, le rapport n'est plus accessible, c'est parce que j'ai supprimé ZHPDiag?

Utilisateur anonyme

tu es en france oui ou non ?

Réponse 29 / 40

Utilisateur anonyme

comment se fait-il qu'il y ait 3/4h de decalage entre le moment ou tu as mis le rapport sur cijoint , et l'heure à laquellle tu m'a mis le lien ici ?
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

laura38

Heu le rapport avec ZHPDiag je l'ai mis a 15h08! J'en ai pas fait depuis, et c'est le même lien que j'ai remis plus haut. C'est bien ca la question?

Réponse 30 / 40

Utilisateur anonyme

tu l'as lancé plein de fois delfix ?

laura38

Hum alors une 1ere fois mais j'avais cliqué sur rechercher je crois au lien de "supprimer" et là une autre fois, car je n'avais pas fait clic droit "executer en tant qu'administrateur"

Réponse 31 / 40

Utilisateur anonyme

demarrer / programmes / acessoires / executer

tape regedit

valide

developpe avec les petits "+" cette arborescence :

HKEY_CURRENT_USER\Software\Frameworks

clic droit sur "Frameworks" , exporter , choisis ton bureau , puis mets le nom que tu veux

valide

ferme regedit

va sur la clé sauvegardée sur ton bureau , clic droit dessus , modifier ,

elle va s'ouvrir en document texte , selectionne tout le contenu puis colle -le ici
dans ta réponse

ferme la clé

G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

laura38

Vu que ca me met "Veuillez écrire correctement s'il vous plaît (pas de SMS, orthographe, grammaire)" ==> http://www.cijoint.fr/cjlink.php?file=cj201106/cijMFGgWKA.txt

Réponse 32 / 40

Utilisateur anonyme

meme chose avec celle-ci stp

HKCU\Software\Pictures

laura38

http://www.cijoint.fr/cjlink.php?file=cj201106/cijMFGgWKA.txt

Réponse 33 / 40

Utilisateur anonyme

tu m'as remis le meme lien que tout à l heure ^^

laura38

en effet^^
http://www.cijoint.fr/cjlink.php?file=cj201106/cij8npb5if.txt

Réponse 34 / 40

Utilisateur anonyme

ok et enfin celle-ci

HKEY_LOCAL_MACHINE\Software\HAL
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

laura38

J'ai pas HAL..
Par contre y'a Softonic, on peut pas y supprimer directement comme ca les clés?

Utilisateur anonyme

si faut changer de branche pour HAL regarde bien c'est pas la meme arborescence

laura38

Ouais, mais j'ai pas non plus sur HKEY_LOCAL_MACHINE

Réponse 35 / 40

Utilisateur anonyme

impossible

Réponse 36 / 40

laura38

http://www.cijoint.fr/cjlink.php?file=cj201106/cijF0BrX5D.png
J'ai fait un screen

Réponse 37 / 40

Utilisateur anonyme

bizarre que zhpdiag voit de clés qu on ne voit pas....

[HKLM\Software\HAL]

Réponse 38 / 40

laura38

Du coup je fais quoi? y'a pas moyen de voir les clés "cachés"

Réponse 39 / 40

Utilisateur anonyme

je me renseigne au concepteur de zhpdiag pour voir ce qu il en est de cette detection fantome

laura38

d'accord, merci bien en tout cas !

Utilisateur anonyme

si je tarde à repondre fais remonter le sujet :)

laura38

Je répondrais que demain matin peut être, mais très peu dans la journée!

Réponse 40 / 40

Utilisateur anonyme

ok je me renseigne :)

laura38

Yep, je suis de retour

Utilisateur anonyme

ok re , j'ai pas de nouvelles encore :)

laura38

D'accord, merci de me tenir au courant alors ;)
Comment ca va se passer par la suite? Normalement ca peut se supprimer ?

Utilisateur anonyme

oui mais j'ai besoin de savoir ce qu il en est de manière à te rediger un script de suppression le plus efficace possible qui soit sans faire d'erreur

laura38

Okay ;) Je demande pke je comprend pas grand chose à tout ces trucs :D

Virus multiples - Page 2

Discussions similaires

Newsletters