Comment se débarasser du virus de rédirection sur les navigateur Fermé

Question

Bonjour, 

je suis nouvelle sur le forum, j'ai essayé plusieurs méthodes déjà conseillées dans le forum mais sans résultat, je demande donc votre aide s'il vous plaît.

J'ai le virus des redirections sur tous les navigateurs, j'ai dû chopper des adware mais je n'arrive pas à nettoyer le PC car après plusieurs scan j'ai encore les rédirections.

Voici ce que j'ai déjà fait :

Scan avec AdwCleaner, voici le rapport : https://www.cjoint.com/?BKAnB46fsvr
Scan avec MalwareBytes : https://www.cjoint.com/?BKAnDkuOAQE 
Scan avec Rogue Killer : 	https://www.cjoint.com/?BKAnD0ji8ay 
Diagnostic avec ZHPDiag : https://www.cjoint.com/?BKAnEUyF8IE 

Merci d'avance de votre aide ! 

Configuration: Windows XP / Firefox 17.0

g3n-h@ckm@n · Answer

salut ta version de windows n'est pas légale....

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !! 
Attention !!! : cet outil peut etre détecté à tort comme virus 
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous 

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique. 

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp 

telecharge et enregistre Pre_Scan sur ton bureau : 

https://forums-fec.be/gen-hackman/Pre_Scan.exe 

si le lien ne fonctionne pas : 

http://www.archive-host.com 

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill" 

si l'outil est bloqué par l'infection utilise cette version avec extension .pif : 

https://forums-fec.be/gen-hackman/Pre_Scan.pif 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

Il se peut que des fenêtres noires clignotent , laisse-le travailler. 

Laisse l'outil redemarrer ton pc. 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ ) 

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) 

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider 

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi : 

C:\Pre_Scan\Process\Close.log  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

gattro · Answer

ta version de windows n'est pas légale....  noté merci :-/

Voici les rapports demandés.

Pre scan : https://www.cjoint.com/?BKAoi5Ixd3S
Close log : https://www.cjoint.com/?BKAokHOp0rt 

merci

g3n-h@ckm@n · Answer

t'as pas desactivé antivir recommence

gattro · Answer

Je l'ai désactivé et le parapluie dans l'icône était bien fermé comme indiqué dans le tutoriel, je le refais quand même.

gattro · Answer

et voilà

prescan: https://www.cjoint.com/?BKApesNuL9Q
close log: https://www.cjoint.com/?BKApfiiyIIg

g3n-h@ckm@n · Answer

ok

relance l outil , clique sur DiaG et heberge le rapport et donne le lien

gattro · Answer

et hop! :-)

https://www.cjoint.com/?BKApt4X7T9Y

g3n-h@ckm@n · Answer

desinstalle ad-aware machin truc chose ca vaut pas un clou 
desinstalle blekko 
  
refais un diag

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

gattro · Answer

desinstalle ad-aware fait
desinstalle blekko  je l'ai supprimé de la liste des moteurs de recherche dans firefox, mais comment je fais pour le désinstaller ?

g3n-h@ckm@n · Answer

ok refais un diag   ^^
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

gattro · Answer

voilà : https://www.cjoint.com/?BKApUUgLGyw

g3n-h@ckm@n · Answer

je peux meme te dire que c'est un windows tru.st (sans le point)

gattro · Answer

???
en fait c'est un ancien PC qu'on m'a offert et le XP était déjà installé, je ne sais pas trop de quoi tu parles car un plus je m'y connais pas trop en OS.

g3n-h@ckm@n · Answer

ben ce windows c'est une pale copie trafiquée et allegée du coup il manque la moitié des trucs certains ont été restaurés mais bon....

 ====================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32	pmddl.dll 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

===============

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BKAqMUIkPZs

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

gattro · Answer

Virus Total: 
https://www.virustotal.com/gui/file/214b1a7b905816107fd9f955858f584ca2b071a52b169d6297b1dec1b768f818

Prescript: https://www.cjoint.com/?BKAq4EvfYtl

et en même temps je suis en train de chercher un vieux CD XP authentique que j'avais acheté il y a longtemps !

g3n-h@ckm@n · Answer

encore des soucis ?

gattro · Answer

Beaucoup moins, mais il y a encore des redirections, genre une fois sur 5 clics alors qu'avant c'était à chaque clic. :-(

g3n-h@ckm@n · Answer

supprime ca :

C:\WINDOWS\system32	pmddl.dll

gattro · Answer

ça a l'air d'aller maintenant!!! Merci merci merci!!!!
Tu me conseille quels logiciels (même payants) pour une navigation plus sure sur Internet ? En sachant que je fais quand même attention à ne pas cliquer et /ou installer n'importe quoi ! :-)

ENCORE MERCI!!!!

g3n-h@ckm@n · Answer

on va quand meme controler si elle avait pas une concordance bizarre une dll toute suele

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape tpmddl.dll 

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

gattro · Answer

Le voici:

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 17:54:09 le 26/11/2012
4. 
5. Valeur(s) recherchée(s):
6. tpmddl.dll
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. 
20. [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D950BD7C2B9A2646986AB99686EF43B]
21. "60B84753CFCF00742858AD4D61984EEF"="C?\WINDOWS\system32	pmddl.dll" (REG_SZ)
22. 
23. [HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls]
24. "C:\WINDOWS\system32	pmddl.dll"="1" (REG_DWORD)
25. 
26. [HKU\S-1-5-21-1935655697-1390067357-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
27. "h"="C:\WINDOWS\system32	pmddl.dll" (REG_SZ)
28. 
29. [HKU\S-1-5-21-1935655697-1390067357-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
30. "a"="C:\WINDOWS\system32	pmddl.dll" (REG_SZ)
31. 
32. =========================
33. 
34. Fin à: 17:57:43 le 26/11/2012
35. 212912 Éléments analysés
36. 
37. =========================
38. E.O.F

g3n-h@ckm@n · Answer

selectionne ce texte :

 Key::
[HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls]|[C:\WINDOWS\system32	pmddl.dll]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D950BD7C2B9A2646986AB99686EF43B]|[60B84753CFCF00742858AD4D61984EEF]

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

gattro · Answer

Voilà:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1126 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Elena : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 18:27:49

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls]:C:\WINDOWS\system32	pmddl.dll
Value Deleted : [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D950BD7C2B9A2646986AB99686EF43B]:60B84753CFCF00742858AD4D61984EEF 

¤


End : 18:27:50

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok plus de soucis on peut faire le menage ?

gattro · Answer

Cool! Faisons le ménage ! ^_^

g3n-h@ckm@n · Answer

https://gen-hackman.kanak.fr/

gattro · Answer

j'ai suivi tout ton tutoriel.

- Ce lien ne fonctionne pas, je n'ai pas pu effectuer cette partie: https://www.security-helpzone.com/2013/03/29/slowin-killer-outil-optimisation-optimiseur-windows/

- PureRa : Total space cleaned: 409.46 MB

- En essayant d'installer WOT sur Chrome j'ai pas accès au Chrome Store et un message qui me dit que 
"Le certificat de sécurité du site a été révoqué ! Vous avez tenté d'accéder à chrome.google.com, mais le certificat présenté par le serveur a été révoqué par son émetteur. Cela signifie que le certificat présenté par le serveur ne doit pas être approuvé. Il est donc possible que vous communiquiez avec un pirate informatique.
Impossible de continuer, car l'opérateur du site Web exige une sécurité renforcée pour ce domaine."

et voici le rapport Delfix

# DelFix v6.2 - Rapport créé le 26/11/2012 à 19:12:05
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Elena - ELEPC
# Exécuté depuis : C:\Documents and Settings\Elena\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\Elena\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\SEAF

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Pre_Scan_26_11_2012_15_09_24.txt
Supprimé : C:\Documents and Settings\Elena\Bureau\Pre_script.txt
Supprimé : C:\Documents and Settings\Elena\Bureau\winlogon.exe
Supprimé : C:\Documents and Settings\Elena\Mes documents\Téléchargements\RogueKiller.exe
Supprimé : C:\Documents and Settings\Elena\Mes documents\Téléchargements\seaf.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1218 octets] - [26/11/2012 19:12:05]

########## EOF - C:\DelFix[S1].txt - [1342 octets] ##########

g3n-h@ckm@n · Answer

bizarre pour wot ce probleme n'a jamais ete relevé jusqu"à maintenant

==

pour slowin'killer , le lien est accessible maintenant

gattro · Answer

Slowin Killer: https://www.cjoint.com/?BKBj7V0XH0v 

En fait j'ai accès à aucun site sur "google chrome" avec toujours le même message... et... je viens d'avoir une redirection. :-(

g3n-h@ckm@n · Answer

vers quoi comme site ?

gattro · Answer

Vers ebay.

g3n-h@ckm@n · Answer

sur quel navigateurs ?

gattro · Answer

Firefox, car sur chrome je n'ai plus accès à aucun site en fait (toujours le même message de certificat).

g3n-h@ckm@n · Answer

reinitialise :

https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

gattro · Answer

Ok pour Firefox, par contre pour Chrome je n'arrive pas à trouver le bon dossier sur mon PC:

"C:\Documents and Settings\NOM_DE_LA_SESSION\Local Settings\Application Data\Google\Chrome\User Data\"

- nom de la session ??
- j'ai fait une recherche de "user data" sur mon poste de travail, mais je n'ai rien trouvé

g3n-h@ckm@n · Answer

c'est ton nom de session ^^

ton nom d'utilisateur quoi ^^

gattro · Answer

pardon pour la question bête ! :D

Firefox : réinitialisé mais encore une redirection vers http://worddictionary.co.uk/?utm_source=cb&utm_medium=cb&utm_campaign=cb1

Chrome: J'ai réinitialisé, mais j'ai toujours la même erreur

:-(((((((((((((((((((((((((((

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

gattro · Answer

voilà: https://www.cjoint.com/?BKBqheNR4AJ

gattro · Answer

et il en a ouvert un deuxième: https://www.cjoint.com/?BKBqh4v1ql3

gattro · Answer

Avira Antivirus a détecté ça : https://www.cjoint.com/?BKBqCAmhTjY
je viens d'avoir un message sur mon PC.

g3n-h@ckm@n · Answer

normal t'as pas fait tout le menage

gattro · Answer

JavaRa: fait
Adobe Reader: mis à jour
Adobe Flash Player: mis à jour
DelFix: fait et rapport posté
Slowin Killer: fait et rapport posté
PureRa: fait et rapport posté
Ccleaner: fait
Nettoyage des disques: fait
Vérification des erreurs: fait
Défragmentation: fait
MalwareBytes: quarantaine vidée
Avira: quarantaine vidée

J'ai raté quoi ?

gattro · Answer

"Désactive et réactive la restauration de système" ==> MRD!

Il faut que je recommence tout ou il suffit d'effectuer juste cette étape ?

g3n-h@ckm@n · Answer

nan que ca ^^

gattro · Answer

Bon, restauration faite aussi, mais je continue de ne pas avoir accès à Chrome (même après réinitialisation). :-(

J'ai repassé MalwareBytes et il a rien détecté.

g3n-h@ckm@n · Answer

desinstalle-le avec revo uninstaller en mode avancé

 https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/

supprime otut ce qu il trouve

reinstalle Chrome

https://www.google.com/intl/fr/chrome/?hl=fr

gattro · Answer

Yes!! Chrome ok à nouveau et Firefox a l'air d'aller bien maintenant. :-)
Je passe le post en résolu ?

Merci merci merci mille fois!

g3n-h@ckm@n · Answer

si tout est bon tu peux :)

gattro · Answer

Tout a l'air ok.

Avant de fermer le poste, une dernière question pour mieux protéger mon PC à l'avenir.

Tu m'as fait désinstaller Ad-adware de lavasoft, quel Antispyware tu me conseille d'utiliser maintenant ? 

Free Avira est suffisant comme antivirus ? Ou il vaut mieux passer à la version payante ?

Merci pour tout !

gattro · Answer

c'est pas possible!!!!!
Dès que je dis que c'est ok ça revient !!!!!!

Redirection vers Firefox et pas d'accès à Facebook sur Chrome pour "certificat serveur pas valide".

g3n-h@ckm@n · Answer

achete un vrai windows !

gattro · Answer

je l'ai déjà. c'est un vieux CD XP qui date de je sais plus quelle année, mais je voulais d'abord résoudre ce problème... 

Si je formate tout et je réinstalle XP le virus va partir ? En espérant que le CD marchera car sinon je me retrouve sans PC.

g3n-h@ckm@n · Answer

normalement oui

Comment se débarasser du virus de rédirection sur les navigateur

54 réponses

Discussions similaires