Recherche google - redirections intempestives

bonjour, tu as pas d'antivirus sur ton pc ???

tu as un détournement du fichier hosts

---\\ Redirection du fichier Hosts (O1)
O1 - Hosts: 10.254.254.253 AFS
Votre fichier Hosts comporte 15308 adresses détournées
~ Scan Hosts File in 00mn 04s
~ Nombre de lignes (Lines number): 15308

et je pense à la présence d'un rootkit , on vois cela tu fais se qui suit !!

1) on répare le fichier hosts

tu as sur ton bureau zhpfix , tu l'ouvres en cliquant droit dessus et en tant que administrateur

et puis sur droite tu as une colonne tu clique sur le 2 ème en haut hostfix

tu me postes le rapport




2) on vois pour le rootkit avec Reload_Tdsskiller

télécharge ici :

http://forums-fec.be/gen-hackman/Reload_Tdsskiller.exe

Lance le
choisis : lancer le nettoyage


l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(HardDisk0MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

Copie/Colle son contenu dans ta prochaine réponse.





3) donnes des nouvelles et un nouveau zhpdiag pour contrôle



Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/

merci ! Voici les resultats :
zhpfix : http://cjoint.com/?3IBvVMobaZ6
TDSSKiller : http://cjoint.com/?3IBvZfmQ6b5
ZHPDiag : http://cjoint.com/?3IBv0n5kvLg

J'ai téléchargé antivir

je suis pas sur du bon résultat de zhpfix et tdsskiller (j'ai pas eu de tdss.tdl2/3/4 détecté y a rien eu du tout !)

merci !

tu as pas cliquer sur le bouton hosfix sur droite dans zhpfix ??

et le rapport de tdss est pas complet il manque le bas !!

mais bon comme sur le zhpdiag c'est toujours la on va faire autrement , tu va utiliser combofix c'est se qu'il y a de plus puissant donc tu suis bien la procédure , mais pour pas que les outils utiliser le géne on les supprimmes avec delfix

-1) DelFix - Option Suppression

Télécharge DelFix (d'Xplode)

Lance le puis sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.



2) fais combofix en suivant bien la procédure


Désactive le contrôle des comptes utilisateurs
(tu le réactiveras après ta désinfection):

.Rendez-vous dans le panneau de configuration.

.Cliquez ensuite sur "Comptes et protection des utilisateurs"

.Puis sur "Comptes d'utilisateurs".

.Cliquez ensuite sur "Modifier les paramètres de contrôle de compte d'utilisateur"

.Sur la fenêtre suivante placez le curseur tout en bas sur "Ne jamais m'avertir".

.Validez puis confirmez une dernière fois votre identité.


Attention, la désactivation de cette fonctionnalité peut entrainer la diminution de la sécurité au sein de votre ordinateur.




PS: pensez à remettre le contrôle après désinfection



tuto : http://www.depannetonpc.net/fiches-pratiques/lire_62_1_desactiver-l-uac-sous-windows-7.html



Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection.

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

. Télécharge http://www.jpshortstuff.247fixes.com/Defogger.exe Defogger (de jpshortstuff) sur ton Bureau

. Lance le

Une fenêtre apparait : clique sur "Disable"

. Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"




Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

et note bien cette manipe https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore car des fois après combofix la connection internet est déactivée



télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

cliques droit sur combofix.exe et exécuter en tant que administrateur et suis les instructions

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

sauf pour répondre quand il de le demande !!


à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware et l'UAC

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.




3) postes un nouveau zhpdiag


Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/

bonjour,

delfix suppression : http://cjoint.com/data3/3ICjTq35ZSh.htm
combofix : il m'a pas sorti de fichier de log (nulle part), je vais recommencer pour voir
zhpdiag : http://cjoint.com/?3ICl4llOSYr

merci

bonjour, tu as pas dans le disque C combofix.txt ??

tu fais zhpfix comme expliqué , et puis tu as qui comme fournisseur d'accés internet car dans les lignes 017 il y a des choses est ce que cela te parle !!

O17 - HKLM\System\CCS\Services\Tcpip\..\{4A9BDA57-3C7B-4C06-A6EE-259AC0521FCE}: DhcpNameServer = 10.42.6.6
et
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A9BDA57-3C7B-4C06-A6EE-259AC0521FCE}: DhcpDomain = epitech.net





bon tu fais zhpfix et si tu peux refaire combofix après !!



. Copie les lignes suivantes en GRAS entre les deux lignes


__________________________________________________________



SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp
O1 - Hosts: 10.254.254.253 AFS
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Program Files\NVIDIA Corporation\nview\nwiz.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe
[HKLM\Software\BrowserChoice]
O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM][64Bits] -- {EF8FC2FA-BE02-444B-8355-08C75A6D7E3A}
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe





__________________________


. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.

. Clique sur gauche sur l'icone du millieu (« coller le presse papier »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport