Redirection vers pub quand je clique sur lien Fermé

Question

Bonjour, 

j'ai un problème assez embêtant, puisque que quand je clique sur un lien google (je n'ai pas essayé avec d'autre moteur de recherche) parfois cela me redirige vers la page www.google.com ou bien bien vers une publicité, je suis donc obligé de revenir sur la recherche et de recliquer, mais parfois cela me le refait jusqu'à 4 fois ! J'ai fait des scan de virus avec AntiVir, Malwarebytes et Emisoft Anti-Malware mais rien n'y fait.

PS : j'utilise Google Chrome.

Configuration: Windows Vista / Safari 537.1

juju666 · Answer

Hello,

J'ai fait des scan de virus avec AntiVir, Malwarebytes et Emisoft Anti-Malware mais rien n'y fait.  

Poste les rapports que tu peux STP.

Fais ceci également :

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

A+

jeremymagi · Answer

Voilà le résultat de ADwcleaner : 

# AdwCleaner v1.801 - Rapport créé le 18/08/2012 à 16:15:36
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : utilisq - PC_DE_JÉRÉMY
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\utilisq\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\utilisq\AppData\Local\Conduit
Dossier Supprimé : C:\Users\utilisq\AppData\Local\OpenCandy
Dossier Supprimé : C:\Users\utilisq\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\utilisq\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\utilisq\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\utilisq\AppData\LocalLow\searchquband
Dossier Supprimé : C:\Users\utilisq\AppData\LocalLow\ShoppingReport2
Dossier Supprimé : C:\Users\utilisq\AppData\LocalLow\Toolbar4
Dossier Supprimé : C:\Users\utilisq\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\utilisq\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\utilisq\AppData\Roaming\CrazyLoader
Dossier Supprimé : C:\Users\utilisq\AppData\Roaming\Nosibay
Dossier Supprimé : C:\Users\utilisq\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\utilisq\AppData\Roaming\OpenCandy
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\IBUpdaterService
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Program Files\Complitly
Fichier Supprimé : C:\Windows\system32\conduitEngine.tmp
Fichier Supprimé : C:\user.js

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT1060933
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2102473
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2724386
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2849852
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\AppDataLow\AskBarDis
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\ShoppingReport2
Clé Supprimée : HKCU\Software\AppDataLow\Software\Toolbar
Clé Supprimée : HKCU\Software\Ask&Record
Clé Supprimée : HKCU\Software\BrowserCompanion
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\ImInstaller
Clé Supprimée : HKCU\Software\JavaSoft\Prefs\crazyloader
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Rechercher sur le Web
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\ibgfbdggapddbjjbopabhlhianklajie
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4BD8E034-E0F4-4509-A753-467A8E854CD8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - bProtector Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT3227982 --> hxxp://www.google.com

-\ Google Chrome v21.0.1180.79

Fichier : C:\Users\utilisq\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [349 octets] - [18/08/2012 11:40:10]
AdwCleaner[S2].txt - [12743 octets] - [18/08/2012 16:15:36]

########## EOF - C:\AdwCleaner[S2].txt - [12872 octets] ##########

jeremymagi · Answer

Rapport de Malwarebytes Anti-Malware :

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.01.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
utilisq :: PC_DE_JÉRÉMY [administrateur]

01/08/2012 18:58:55
mbam-log-2012-08-01 (18-58-55).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 398152
Temps écoulé: 3 heure(s), 36 minute(s), 39 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 18
HKCR\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKCR\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VLC Player (Trojan.FakeVLC) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.HbAx (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.IEButton (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 7
C:\Program Files\BrowserCompanion (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ShoppingReport2\Bin (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ShoppingReport2\Bin\2.7.37 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\TrackZapper.com (Rogue.TZSpyware) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\TrackZapper.com\Internet Speed Booster (Rogue.TZSpyware) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\TSearch (Adware.TSearch) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 26
C:\Program Files\intellidownload\vfd.exe (Rootkit.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\OApps\vfd-ob_uninstall.exe (Rootkit.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\smartdl\vfd.exe (Adware.Dropper) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\BrowserCompanion\BCHelper.exe (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Uninstall Information\ib_uninst_514\uninstall.exe (PUP.BundleInstaller.IB) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Uninstall Information\ib_uninst_546\uninstall.exe (PUP.BundleInstaller.IB) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\VlcPlus\Uninstall.exe (Trojan.FakeVLC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_hamster-free-video-converter.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\FLVToMP4Setup.exe (PUP.BundleInstaller.RKN) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_cacaoweb.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_format-factory.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_free-flv-converter.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_free-youtube-download.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_koyote-free-video-converter.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_mcpatcher.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_pdanet.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_photo-pos-pro.exe (PUP.BundleOffer.Downloader.S) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_swapwind.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_vdownloader.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\SoftonicDownloader_pour_wegame.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\VILinoscript_downloader_by_Ffonts.exe (PUP.BundleInstaller.BI) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisq\Downloads\Programs\foxit_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\BrowserCompanion\blabbers-ch.crx (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\BrowserCompanion\logo.ico (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\TrackZapper.com\Internet Speed Booster\ISB.exe (Rogue.TZSpyware) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\TSearch\results (Adware.TSearch) -> Mis en quarantaine et supprimé avec succès.

(fin)

juju666 · Answer

Re,

MBAM n'est pas à jour, tu as la version du 01/08, nous sommes le 18 ^^

Nous allons réaliser un diagnostic de ton PC : 

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 Installe et lance ZHPDiag.exe ( Si tu es sous Vista ou 7, une fois le logiciel ouvert clique sur le bouton "UAC")

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com 

&#9654 Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Envoyer le fichier".

Un lien de cette forme :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

jeremymagi · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120818_c6j5h10g615

Mot de passe : 5665

jeremymagi · Answer

Up svp

jeremymagi · Answer

juju666 qu'est ce que je fais après ?

juju666 · Answer

t'étais tombé aux oubliettes

t'as pas respecté ma consigne, recommence sans rien louper cette fois

jeremymagi · Answer

Mais non j'ai tout fait comme tu m'as dis, je comprends pas ce que j'ai raté.
Tu peux me dire ?

jeremymagi · Answer

Si tu es sous Vista ou 7, une fois le logiciel ouvert clique sur le bouton "UAC" 

Le problème c'est qu'il n'apparaît pas.

jeremymagi · Answer

Voilà donc le rapport : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120820_5j8x15e14u7

Même mot de passe

juju666 · Answer

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

télécharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

miroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redémarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

jeremymagi · Answer

Voici le rapport : https://pjjoint.malekal.com/files.php?id=20120820_k6o5m10m15z8

Mot de Passe : envoyé en MP

juju666 · Answer

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo ou Tutoriel écrit

jeremymagi · Answer

Voilà le rapport : https://pjjoint.malekal.com/files.php?id=20120820_u7i13i14t11s15 

MdP : 8160

juju666 · Answer

parfait !

refais un passage en suppression d'adwcleaner en mode sans échec stp ?

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la première option : Sans Échec, et valide avec "Entrée" 
&#9654 Choisis ton compte habituel, et non Administrateur (si besoin ... )
 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

jeremymagi · Answer

Voici le rapport : 

# AdwCleaner v1.801 - Rapport créé le 20/08/2012 à 21:43:59
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : utilisq - PC_DE_JÉRÉMY
# Mode de démarrage : Mode sans échec
# Exécuté depuis : C:\Users\utilisq\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v21.0.1180.79

Fichier : C:\Users\utilisq\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [349 octets] - [18/08/2012 11:40:10]
AdwCleaner[S2].txt - [12874 octets] - [18/08/2012 16:15:36]
AdwCleaner[S3].txt - [947 octets] - [20/08/2012 21:44:00]

########## EOF - C:\AdwCleaner[S3].txt - [1074 octets] ##########

juju666 · Answer

Yop,

Refais un ZHPDiag comme expliqué ici : https://forums.commentcamarche.net/forum/affich-25863931-redirection-vers-pub-quand-je-clique-sur-lien#4

Afin que je contrôle le travail effectué et qu'on cloture ;)

jeremymagi · Answer

Je suis en train de faire l'analyse et pendant ce temps je navigue sur le web, le problème est toujours là.

juju666 · Answer

pffff oublie ZHPDiag alors


&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

jeremymagi · Answer

Comme j'ai fais l'analyse, je poste le rapport : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120821_c8l5t10i5m7

Mot de passe : 8160

jeremymagi · Answer

Je ne peux pas desactiver l'antivirus AntiVir car quand je vais dans le gestionnaire des tache, il me dit accès refusé, j'essaie donc avec, j'espere que ça ne risque rien.

jeremymagi · Answer

Voilà le rapport Combofix : https://pjjoint.malekal.com/files.php?id=20120821_x12w7i11r10u9  

Mot de passe : 8160

PS : je viens de surfer sur le net et le problème est toujours là.

juju666 · Answer

Ouais y'a de la technologie rootkit derrière ça

&#9654 Télécharge GMER sur ton Bureau

&#9654 Retiens son nom car il est aléatoire.

&#9654 Coupe ton antivirus, et exécute GMER en faisant un double clic sur celui-ci.

&#9654 le chargement va prendre une minute.

&#9654 si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).

&#9654 règle les paramètres (fenêtre de droite) de la manière suivante :

# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée

&#9654 clique sur "SCAN" puis patiente...

&#9654 En fin de traitement clique sur "SAVE" et enregistre le fichier sur le Bureau 

&#9654 Copie le contenu et colle le dans ta réponse.

jeremymagi · Answer

Voila le rapport GMER : https://pjjoint.malekal.com/files.php?id=20120822_s13m7w6q10f6 

Mot de passe : 8160

PS : toujours pareil, je navigue sur le web et le problème est toujours là.

juju666 · Answer

PS : toujours pareil, je navigue sur le web et le problème est toujours là.

Normal, ce n'était qu'un scan !

Bon, désactive la sandbox Avast! qui nous fait chi** .... Ou mieux désinstalle-le de toute façon il a pas su te protéger donc bon là il fera pas grand chose ... !

Et relance un scan avec GMER stp ...

juju666 · Answer

bon ben désinstalle-le car il est actif lors du scan :

SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                             ZwAddBootEntry [0x91E1D536]

jeremymagi · Answer

Voici le 2ème rapport de GMER : https://pjjoint.malekal.com/files.php?id=20120822_m6w8y10o7z12

Mot de passe : 8160

PS: j'ai désinstaller mon antivirus et reboot mon PC avant de faire le scan.

juju666 · Answer

c'est déjà plus propre :)

copie/colle ce fichier sur une clé USB : C:\Windows\system32\DRIVERS\atikmdag.sys 

et, depuis la clé usb, envoie-le sur https://www.virustotal.com/gui/ 
Une fois l'analyse terminée colle le lien ici

jeremymagi · Answer

Ça me fais ça

juju666 · Answer

Mais pourquoi tu m'envoie pas les liens vers les analyses, c'est nettement plus simple, et là sur tes screenshot y'a des trucs que j'peux pas voir ...

juju666 · Answer

Ah ben tu vois. C'est bien lui en cause à mon avis. __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: SRPeek:: atikmdag.sys Quit:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

jeremymagi · Answer

Le rapport de Combofix avec l'ajout du bloc-note.

juju666 · Answer

De retour

C'est qui l'imbéc$$$ qui me moinsoie ? 
C'est ingrat un "-1", celui qui les a mis, t'ose pas venir me dire en face ce qui te dérange dans ma façon de faire ? 

@jeremymagi :

&#9654 Télécharge SystemLook sur ton Bureau.

&#9654 Double-clique sur SystemLook.exe pour le lancer.

&#9654 Copie-colle le texte situé entre les deux espaces ci-dessous dans la zone texte de SystemLook :

:dir
c:\windows\User

:filefind
atikmdag.sys 

&#9654 Clique sur le bouton Look pour démarrer l'examen.

&#9654 A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

jeremymagi · Answer

Le rapport : 

SystemLook 30.07.11 by jpshortstuff
Log created at 11:09 on 25/08/2012 by utilisq
Administrator - Elevation successful

========== dir ==========

c:\windows\User - Parameters: "(none)"

---Files---
None found.

---Folders---
Wii	d------	[18:15 31/07/2012]

========== filefind ==========

Searching for "atikmdag.sys "
C:\Windows\System32\drivers\atikmdag.sys	--a---- 7774208 bytes	[04:10 06/04/2011]	[04:10 06/04/2011] F954C37E0E4A2336F899B752C2F0ABB2
C:\Windows\System32\DriverStore\FileRepository\atiilhag.inf_31a3846f\atikmdag.sys	--a---- 2028032 bytes	[10:25 02/11/2006]	[07:36 02/11/2006] E642B131FB74CAF4BB8A014F31113142
C:\Windows\System32\DriverStore\FileRepository\cl116956.inf_10f0502a\B116567\atikmdag.sys	--a---- 7774208 bytes	[04:10 06/04/2011]	[04:10 06/04/2011] F954C37E0E4A2336F899B752C2F0ABB2

-= EOF =-

juju666 · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: C:\Windows\System32\DriverStore\FileRepository\cl116956.inf_10f0502a\B116567\atikmdag.sys FCopy:: C:\Windows\System32\DriverStore\FileRepository\atiilhag.inf_31a3846f\atikmdag.sys | C:\Windows\System32\drivers\atikmdag.sys Reboot:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

jeremymagi · Answer

Qu'est ce que tu m'as fais ? maintenant j'ai une résolution pas du tout adapté à mon écran et la carte vidéo ne fonctionne plus !

juju666 · Answer

poste le rapport et redémarre.

jeremymagi · Answer

Rapport

PC déjà redémarrer et toujours le même problème d'affichage.

juju666 · Answer

fais un cfscript avec ça pour voir ?

KillAll::

DeQuarantine::
C:\Qoobox\Quarantine\c\windows\System32\DriverStore\FileRepository\cl116956.inf_10f0502a\B116567\atikmdag.sys.vir

FCopy::
c:\windows\System32\DriverStore\FileRepository\cl116956.inf_10f0502a\B116567\atikmdag.sys | C:\Windows\System32\drivers\atikmdag.sys 

Reboot::

jeremymagi · Answer

C'est bon j'ai reinstaller le driver de la carte vidéo et c'est revenu comme avant.

juju666 · Answer

OK

et niveau redirections ...?

afideg · Answer

Salut juju666,   

Pourquoi n'essaierais-tu pas RK ?   
(Uniquement pour suivre son comportement)    
https://www.luanagames.com/index.fr.html   
Faire les remontées si nécessaire.   

Et relancer MBAM remis à jour, et quarantaine vidée. 
Puis une analyse ZHPDiag mis à jour, et en "mode administrateur".  

Amicalement  

Albert   
    
Patience-Vigilance-Amour.

juju666 · Answer

Re,

J'y pensais à RogueKiller.

Tu peux le lancer, et une fois le PreScan terminé, cliquer sur SCAN uniquement
Poster les 2 rapports.

A+

jeremymagi · Answer

Le rapport : RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: utilisq [Droits d'admin] Mode: Recherche -- Date: 25/08/2012 18:32:58 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 7 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9A300 ATA Device +++++ --- User --- [MBR] f46e91126f49427782c91b15d0bcf472 [BSP] 077717aaa57cb1242ae389f2f8c6c750 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 143085 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 293042113 | Size: 95385 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt PS : je ne trouve pas le second rapport.

juju666 · Answer

arf

relance roguekillerV8, et quand il te dit que la version est périmée, clique sur NON
 
poste le rapport avec la V8 stp

jeremymagi · Answer

Le rapport avec RogueKiller V8 : RogueKiller V8.0.0 [21/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : utilisq [Droits d'admin] Mode : Recherche -- Date : 25/08/2012 18:41:14 ¤¤¤ Processus malicieux : 1 ¤¤¤ [RESIDUE][DLL] rundll32.exe -- C:\Windows\System32\rundll32.exe : -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 12 ¤¤¤ [STARTUP][BLACKLIST DLL] Alertes de surveillance de l'encre - HP Deskjet 3520 series (réseau).lnk @utilisq : C:\Windows\system32\RunDll32.exe|"C:\Program Files\HP\HP Deskjet 3520 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN25O1G26C05SY;CONNECTION=NW;MONITOR=1; -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnablELUA (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9A300 ATA Device +++++ --- User --- [MBR] f46e91126f49427782c91b15d0bcf472 [BSP] 077717aaa57cb1242ae389f2f8c6c750 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 143085 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 293042113 | Size: 95385 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt PS : je ne trouve toujours pas le second rapport.

juju666 · Answer

mouais ....................

Télécharge MBRScan (de Eric_71) sur ton Bureau.

&#x25CF;  Lance MbrScan.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton "Report" 

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécessaire.

&#x25CF Héberge son rapport sur ce site et poste le lien obtenu en échange

jeremymagi · Answer

Voilà

juju666 · Answer

que dalle ..................................

&#9654 Télécharge et lance TDSSKiller.

&#9654 Choisis : Commencer l'analyse. .

&#9654 Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
&#9654 Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
&#9654 Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
&#9654 Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
&#9654 Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure en haut , et Delete en bas.

&#9654 Si l'outil te le demande, redémarre pour finir le nettoyage.

&#9654 Sinon ferme le logiciel, un rapport s'affichera sur le bureau.

&#9654 Héberge le rapport sur cjoint.com et donne le lien obtenu en retour.

jeremymagi · Answer

Et voilà.

juju666 · Answer

&#9654 Relance SystemLook

&#9654 Double-clique sur SystemLook.exe pour le lancer.

&#9654 Copie-colle le texte situé entre les deux espaces ci-dessous dans la zone texte de SystemLook :

:filefind
winlogon.exe
explorer.exe
wininit.exe
svschost.exe

&#9654 Clique sur le bouton Look pour démarrer l'examen.

&#9654 A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

afideg · Answer

Hello juju

Le rapport avec RogueKiller V8  a été transmis à Tigzy à l'instant.

Merci.
Al.

jeremymagi · Answer

Voila :  

SystemLook 30.07.11 by jpshortstuff
Log created at 19:42 on 25/08/2012 by utilisq
Administrator - Elevation successful

========== filefind ==========

Searching for "winlogon.exe "
C:\Pre_Scan\winlogon.exe	--a---- 2247460 bytes	[17:32 20/08/2012]	[17:12 20/08/2012] 03C606C9CACCA6AD7D7AC864CE4AE425
C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe	--a---- 217672 bytes	[13:58 01/08/2012]	[11:46 03/07/2012] 8A7F34F0BBD076EC3815680A7309114F
C:\Users\utilisq\Desktop\winlogon.exe	--ah--- 2247460 bytes	[17:59 20/08/2012]	[17:12 20/08/2012] 03C606C9CACCA6AD7D7AC864CE4AE425
C:\Users\utilisq\Downloads\winlogon.exe	--a---- 2247460 bytes	[17:12 20/08/2012]	[17:12 20/08/2012] 03C606C9CACCA6AD7D7AC864CE4AE425
C:\Windows\erdnt\cache\winlogon.exe	--a---- 314368 bytes	[18:36 21/08/2012]	[06:28 11/04/2009] 898E7C06A350D4A1A64A9EA264D55452
C:\Windows\System32\winlogon.exe	--a---- 314368 bytes	[17:04 20/05/2011]	[06:28 11/04/2009] 898E7C06A350D4A1A64A9EA264D55452
C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6000.16386_none_6d8c3f1ad8066b21\winlogon.exe	--a---- 308224 bytes	[08:44 02/11/2006]	[09:45 02/11/2006] 9F75392B9128A91ABAFB044EA350BAAD
C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe	--a---- 314880 bytes	[13:36 13/05/2011]	[07:33 19/01/2008] C2610B6BDBEFC053BBDAB4F1B965CB24
C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe	--a---- 314368 bytes	[17:04 20/05/2011]	[06:28 11/04/2009] 898E7C06A350D4A1A64A9EA264D55452

Searching for "explorer.exe "
C:\Windows\explorer.exe	--a---- 2926592 bytes	[17:05 20/05/2011]	[06:27 11/04/2009] D07D4C3038F3578FFCE1C0237F2A1253
C:\Windows\erdnt\cache\explorer.exe	--a---- 2926592 bytes	[18:36 21/08/2012]	[06:27 11/04/2009] D07D4C3038F3578FFCE1C0237F2A1253
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16386_none_4f7de5167cd15deb\explorer.exe	--a---- 2923520 bytes	[08:47 02/11/2006]	[09:45 02/11/2006] FD8C53FB002217F6F888BCF6F5D7084D
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16549_none_4fac29707cae347a\explorer.exe	--a---- 2923520 bytes	[15:41 08/05/2011]	[15:41 08/05/2011] 6D06CD98D954FE87FB2DB8108793B399
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe	--a---- 2923520 bytes	[15:10 08/05/2011]	[15:10 08/05/2011] 37440D09DEAE0B672A04DCCF7ABF06BE
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20668_none_501f261995dcf2cf\explorer.exe	--a---- 2923520 bytes	[15:41 08/05/2011]	[15:41 08/05/2011] BD06F0BF753BC704B653C3A50F89D362
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe	--a---- 2923520 bytes	[15:10 08/05/2011]	[15:10 08/05/2011] E7156B0B74762D9DE0E66BDCDE06E5FB
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe	--a---- 2927104 bytes	[13:36 13/05/2011]	[07:33 19/01/2008] FFA764631CB70A30065C12EF8E174F9F
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe	--a---- 2927104 bytes	[15:10 08/05/2011]	[15:10 08/05/2011] 4F554999D7D5F05DAAEBBA7B5BA1089D
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe	--a---- 2927616 bytes	[15:10 08/05/2011]	[15:10 08/05/2011] 50BA5850147410CDE89C523AD3BC606E
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe	--a---- 2926592 bytes	[17:05 20/05/2011]	[06:27 11/04/2009] D07D4C3038F3578FFCE1C0237F2A1253

Searching for "wininit.exe "
C:\Windows\erdnt\cache\wininit.exe	--a---- 96768 bytes	[18:36 21/08/2012]	[07:33 19/01/2008] 101BA3EA053480BB5D957EF37C06B5ED
C:\Windows\System32\wininit.exe	--a---- 96768 bytes	[13:35 13/05/2011]	[07:33 19/01/2008] 101BA3EA053480BB5D957EF37C06B5ED
C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6000.16386_none_2ebbf6d3076595ce\wininit.exe	--a---- 95744 bytes	[08:44 02/11/2006]	[09:45 02/11/2006] D4385B03E8CCCEE6F0EE249F827C1F3E
C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe	--a---- 96768 bytes	[13:35 13/05/2011]	[07:33 19/01/2008] 101BA3EA053480BB5D957EF37C06B5ED

Searching for "svschost.exe "
No files found.

-= EOF =-

juju666 · Answer

merde j'ai foiré pour svchost ^^

refais avec 

:filefind
svchost.exe

=)

jeremymagi · Answer

Mais... euh.... ça va durer encore longtemps comme ça ? on a déjà remplit trois pages et toujours aucun résultats significatif...

jeremymagi · Answer

Voila :

SystemLook 30.07.11 by jpshortstuff
Log created at 19:53 on 25/08/2012 by utilisq
Administrator - Elevation successful

========== filefind ==========

Searching for "svchost.exe "
C:\Pre_Scan\svchost.exe	--a---- 872960 bytes	[05:02 09/05/2012]	[14:15 27/02/2010] 1A3729D5990C104839025AA4D8752BBA
C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\svchost.exe	--a---- 217672 bytes	[13:58 01/08/2012]	[11:46 03/07/2012] 8A7F34F0BBD076EC3815680A7309114F
C:\Windows\erdnt\cache\svchost.exe	--a---- 21504 bytes	[18:36 21/08/2012]	[07:33 19/01/2008] 3794B461C45882E06856F282EEF025AF
C:\Windows\System32\svchost.exe	--a---- 21504 bytes	[13:34 13/05/2011]	[07:33 19/01/2008] 3794B461C45882E06856F282EEF025AF
C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.0.6000.16386_none_b38497a50862ad11\svchost.exe	--a---- 22016 bytes	[08:35 02/11/2006]	[09:45 02/11/2006] 10DA15933D582D2FEDCF705EFE394B09
C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.0.6001.18000_none_b5bb59a1054dbde5\svchost.exe	--a---- 21504 bytes	[13:34 13/05/2011]	[07:33 19/01/2008] 3794B461C45882E06856F282EEF025AF

-= EOF =-

juju666 · Answer

ouais ben moi je cherche ce qui pourrait merder, et j'trouve pas.

si tu préfère tu peux formater !

juju666 · Answer

j'avais pas vu.

ben svchost est good aussi : https://www.virustotal.com/gui/file/d4f79d7bc639fe86ac68961e6273836b9d7af491773fd054395b33d317017beb

===================================================

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

jeremymagi · Answer

OTL et Extras

juju666 · Answer

Essaie le mode de navigation privée.

https://support.google.com/chrome/answer/95464?hl=fr

juju666 · Answer

suite 

tu peux aussi faire ça : 

Allez dans le menu Démarrer 
Puis dans la case Recherche en bas 
Copiez/collez ceci dans la recherche : 


%LOCALAPPDATA%\Google\Chrome\User Data 
Renommez le Fichier "Default" en Sauvegarde default par exemple 
Relancez Google chrome pour effectuer la réinitialisation qui recréera un fichier default 

======================================================= 

je lis le rapport j'édite quand j'ai tout lu.  

EDIT :

Envoie ce fichier sur virustotal et colle le lien d'analyse stp : C:\Windows\WSYS049.SYS      

=======================================================

désinstalle tout java 

=======================================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :

:OTL

IE - HKU\S-1-5-21-3631915096-1107723154-162248873-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}   
IE - HKU\S-1-5-21-3631915096-1107723154-162248873-1000\..\SearchScopes\${searchCLSID}: "URL" = https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src={referrer:source?}      
IE - HKU\S-1-5-21-3631915096-1107723154-162248873-1000\..\SearchScopes\{5B9197EF-87A7-40B6-AC9A-A12BD6A5767E}: "URL" = https://telecharger.phpnuke.org/fr/search-results?q=hompag      
IE - HKU\S-1-5-21-3631915096-1107723154-162248873-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = http://www1.search-results.com/web?l=dis&q=&o=APN10649&apn_dtid=%5EBND414%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAGA&d=414-0&lang=en&atb=sysid%3D414%3Aappid%3D0%3Auid%3D0d77f14b40127cae%3Asrc%3Dieb%3Ao%3DAPN10649%3Atg%3D&p2=%5EAGA%5EBND414%5EYY%5EFR{searchTerms}      
IE - HKU\S-1-5-21-3631915096-1107723154-162248873-1000\..\SearchScopes\{D04661AC-DA2C-4097-9AE9-59E263E86AF3}: "URL" = https://telecharger.phpnuke.org/fr/search-results?q=hompag      
O3 - HKU\S-1-5-21-3631915096-1107723154-162248873-1000\..\Toolbar\ShellBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found. 
[2012/07/29 21:21:21 | 000,000,316 | ---- | C] () -- C:\Windows	asks\OXBFAJTYI.job      
[2012/07/19 20:42:36 | 000,005,097 | ---- | C] () -- C:\ProgramData\ojobkspa.ako      

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]  
"{481D1A7D-8BB6-4A01-AFC6-DD018F5ED8F0}"=-
"{8182BCA1-DAAB-4FFD-8B4C-6C51CA71C298}"=-
"{83B7EE93-E756-4532-99EC-478FC84D586A}"=-
"{E06CD9BB-4E50-463E-A780-D82468DD53B2}"-
"TCP Query User{1F762512-3D0B-4C19-BEE0-78649F9F48D7}C:\users\utilisq\appdataoaming\cacaoweb\cacaoweb.exe"=-
"TCP Query User{E6337509-41A6-4E46-B828-83C49E1208CF}C:\windows\keygen.exe"=-
"UDP Query User{5447ED28-0F0C-4169-8BF3-7AE4723FC1FC}C:\windows\keygen.exe"=-
"UDP Query User{C30B0123-0971-4C10-990F-A9D724A41A1A}C:\users\utilisq\appdataoaming\cacaoweb\cacaoweb.exe"=-

:files
c:\program files\windows searchqu toolbar
c:\program files\crazyloader
C:\users\utilisq\appdataoaming\cacaoweb
C:\windows\keygen.exe

:commands
[EMPTYTEMP]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

  
 .::. Contributeur Sécurité .::.

jeremymagi · Answer

Scan Virustotal.

juju666 · Answer

fais otl en mode sans échec

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la première option : Sans Échec, et valide avec "Entrée" 
&#9654 Choisis ton compte habituel, et non Administrateur (si besoin ... )
 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

jeremymagi · Answer

Je penses que nous allons nous arrêter là car aucunes des manipulations ne fonctionne, donc autant mettre un terme à cela.

juju666 · Answer

ouais formate car là t'façon je vois plus rien depuis un moment comme je t'ai dis.

jeremymagi · Answer

Non je n'est vais pas formater, je vais simplement apprendre à vivre avec ce problème.

Redirection vers pub quand je clique sur lien

67 réponses

Discussions similaires