Virus repair systeme

Résolu
class 77 Messages postés 21 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
bonjour,
mon pc était infecté du virus repair système, j'ai réussi a le virer mais depuis un site n'arrête pas de venir "Monster market" sur mon navigateur web .merci de me dire comment je peux régler cela car ni mon antivirus mc afee ni adwcleaner ni anti malware ne réussissent a régler ce problème.
merci par avance pour votre aide.

21 réponses

  • 1
  • 2
Résumé de la discussion

La problématique centrale est la présence d'un hijacker de redirection appelé Monster Market qui réapparaît dans le navigateur après la suppression d'un faux virus identifié comme repair système. Pour autant, plusieurs solutions ont été proposées, dont l'utilisation de TDSSKiller de Kaspersky avec paramètres avancés, puis un redémarrage et un diagnostic complet, pour éliminer les composants malveillants et récupérer des rapports à partager. D'autres échanges ont aussi évoqué la lenteur du PC, le retour du site et des conseils complémentaires incluant RogueKiller ou MBAM pour un scan approfondi. En cas de persistance, la discussion conseille d'autres outils de sécurité et le partage de rapports détaillés (fichiers et journaux) pour approfondir le nettoyage et évaluer l'efficacité des solutions appliquées.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
     
    Bonjour,

    ▶ Télécharge ZHPDiag sur ton bureau

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    * Laisse toi guider lors de l'installation.

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

    ** Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    * Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/

    => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

    Cordialement, Sugel.

    Le problème est surement du à un script qui change ta page d'accueil et ton moteur de recherche par défaut à chaque démarrage de ton navigateur.
    0
  2. class 77 Messages postés 21 Statut Membre
     
    ci joint le rapporthttps://www.cjoint.com/c/CEwt3naSX3l

    et merci pour votre interet
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Hello Sugel

      Rassure toi ça arrive :)

      class77

      Il faut que tu lance l'icône en forme de parchemin
      0
  3. class 77 Messages postés 21 Statut Membre
     
    désole j'espere que c'est le bon cette fois ci
    http://cjoint.com/?CEwu6Y66iDg
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      C'est le bon.

      - Ferme toutes tes applications en cours
      - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
      Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
      - Copie/colle les lignes en gras suivantes:


      SysRestore
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77] =>PUP.ClaroSearch
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484] =>PUP.ClaroSearch
      C:\Users\familious\AppData\Local\Temp\GoogleToolbarInstaller1.log =>Toolbar.Babylon
      O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
      O44 - LFC:[MD5.61DC027B45F056E773DC008D11A7F009] - 22/05/2013 - 11:32:49 ---A- . (...) -- C:\Windows\IE10_main.log [10360]
      O44 - LFC:[MD5.338966A77DB0ABEA23E71382DC1F65AF] - 22/05/2013 - 08:58:27 ---A- . (...) -- C:\AdwCleaner[S3].txt [965]
      O44 - LFC:[MD5.B4257BADD7CE734702FB9B0581879B39] - 21/05/2013 - 22:09:01 ---A- . (...) -- C:\AdwCleaner[S2].txt [906]
      O44 - LFC:[MD5.C462A1B213131B16C5FE5AE7C731B1FE] - 21/05/2013 - 22:08:33 ---A- . (...) -- C:\AdwCleaner[R2].txt [845]
      O44 - LFC:[MD5.31F87979E54FB37AFA753AF15FECDEB6] - 21/05/2013 - 06:39:31 ---A- . (...) -- C:\AdwCleaner[S1].txt [8291]
      O44 - LFC:[MD5.AA4397176D654AEF9EBEE5D374991E47] - 21/05/2013 - 06:37:41 ---A- . (...) -- C:\AdwCleaner[R1].txt [8292]
      [MD5.7018328207D7CD7311B28A1CC60A662C] [SPRF][22/05/2013] (...) -- C:\Users\familious\AppData\Local\Temp\2147483647.dat [100]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}] =>Toolbar.Agent
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}] =>Toolbar.Agent
      [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}] =>Toolbar.Agent
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E685771E24E83F4381D1DB5A45F7B41] =>Toolbar.DeltaSearch
      FirewallRAZ
      EmptyCLSID
      EmptyTemp
      EmptyFlash


      Et colle les dans l'espace libre de ZHP Fix,
      puis clique sur GO.

      Poste le rapport dans ton prochain message.

      Cela devrait régler normalement le problème.
      0
  4. class 77 Messages postés 21 Statut Membre
     
    hello quelqu'un peut m'aider
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      tu as vu mon message ???
      #7
      Cela ne marche pas ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. class 77 Messages postés 21 Statut Membre
     
    ci joint le rapport
    Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-22-05-2013-23-18-52.txt
    Run by familious at 22/05/2013 23:18:51
    High Elevated Privileges : OK
    Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

    Corbeille vidée

    ========== Clé(s) du Registre ==========
    SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77
    SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
    SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
    SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E685771E24E83F4381D1DB5A45F7B41

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: ThpSrv
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :

    ========== Dossier(s) ==========
    Aucun dossiers CLSID Local utilisateur vide
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Fichier(s) ==========
    SUPPRIME File: C:\Users\familious\AppData\Local\Temp\GoogleToolbarInstaller1.log
    SUPPRIME c:\windows\ie10_main.log
    SUPPRIME c:\adwcleaner[s3].txt
    SUPPRIME c:\adwcleaner[s2].txt
    SUPPRIME c:\adwcleaner[r2].txt
    SUPPRIME c:\adwcleaner[s1].txt
    SUPPRIME c:\adwcleaner[r1].txt
    SUPPRIME File: C:\Users\familious\AppData\Local\Temp\2147483647.dat
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    6 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    3 : Dossier(s)
    10 : Fichier(s)
    1 : Restauration Système

    End of clean in 01mn 05s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 22/05/2013 23:18:52 [2151]
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      ça a marché ?
      0
  7. class 77 Messages postés 21 Statut Membre
     
    je tiens a vous remercier pour votre aide car mon navigateur web est redevenu rapide comme avant et pour l'instant le site n'apparait plus.
    une dernière question faut il que je passe sur Mozilla ou Internet explorer suffira pour ma protection
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      De mon point de vue, Internet Explorer constitue plus un point faible qu'une protection.
      Pour une navigation sécurisée, je te recommande fortement d'installer firefox, et pour un meilleur confort d'utilisation, WoT (Web of trust), qui t'indique le niveau de fiabilité des sites, et Adblocks plus, qui supprime les pubs sur les sites web.

      Toutefois, il ne faut pas oublier que les chances qu'un PC se fasse infecter dépendent surtout de toi, utilisateur.

      Je te recommande fortement un peu de lecture sur la maintenance des PC, et les bonnes habitudes à prendre (par Malekal):
      https://www.malekal.com/sommaireguide-savoir-utiliser-son-pc-et-bonnes-habitudes-sur-internet/
      0
  8. class 77 Messages postés 21 Statut Membre
     
    bonjour,
    ayant tout respecté le site intrusif est revenu même s'il n'arrive plus à s'ouvrir il ralentit ma navigation voici le rapport zhp diag.
    merci pour votre aide
    http://cjoint.com/?CEyosnHLOB0
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Tu est toujours sous internet explorer ?
      Tu dois aller sur un site qui exploite une faille d'IE, ou un de tes programmes est peut-être infecté. Je te passe les lignes à fixer dans 30 sec, et dis moi comment cela est revenu:
      Après un seul redémarrage du PC ? Après la visite d'un site ? Un logiciel téléchargé ?
      0
  9. class 77 Messages postés 21 Statut Membre
     
    j'ai installé fire fox puis wot et adblock et tout allait bien .puis ce matin s'est revenu les seules site visitees sont le site que tu m'a indique et le figaro
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Cela reviens sur tous les navigateurs ?
      On sors l'artillerie moyenne:

      ▶ Télécharge sur le bureau RogueKiller (merci à Tigzy).

      Quitte tous les programmes en cours !

      ▶ Sous Vista/Seven, clic droit -> lancer en tant qu'administrateur, sinon lance simplement RogueKiller.exe.

      ▶ Clique sur Scan.

      ▶ Puis clique sur Rapport et copie/colle le sur le forum

      (le rapport est également sur le bureau).

      On va faire un scan complet avec un antimalware généraliste

      Suis ce tutoriel imagé et poste le rapport dans ta prochaine réponse :
      http://www.security-helpzone.com/Thread-MalwareBytes-Anti-Malware-MBAM-Scan-complet
      0
    2. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Quand tu dis qu'il reviens, c'est qu'il se met en page d'accueil ?
      Comme moteur par défaut ?
      0
  10. class 77 Messages postés 21 Statut Membre
     
    par contre sur les plugin de fire fox ce dernier m'a demandé de metttre à jour active x tu penses que cela peut venir de cette mise à jour
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      fais un test:
      Vas dans firefox => aide => redémarrer sans les modules complémentaires.
      Et dis moi situ as toujours ton problème.

      Quand tu dis qu'il reviens, c'est qu'il se met en page d'accueil ?
      Comme moteur par défaut ?
      0
    2. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Je retire ce que j'ai dis, ce n'est pas la faute à WoT.
      Suite ici:
      #22
      0
  11. class 77 Messages postés 21 Statut Membre
     
    non il ne se met pas comme page d'acceuil quand je tape "comment ca marche" sur google apres j'ai le site mais quand je clique dessus la au lieu que j'aille sur comment ca marche dans la barre ca marque redirecting et la ces des sites de pub qui s'ouvrent
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      re

      C'est mauvais, ça:
      C'est un redirecting hijacker:
      il n'est pas simplement ans ton navigateur, il est surtout dans ton système !
      Fais la manip de RogueKiler ci dessus, il fera son job car cette menace est aussi présente en tant que faux antivirus (rogue).
      Si cela ne marche pas, on va faire un scan complet avec un antimalware généraliste

      Suis ce tutoriel imagé et poste le rapport dans ta prochaine réponse : www.security-helpzone.com/Thread-MalwareBytes-Anti-Malware-MBAM-Scan-complet
      0
  12. class 77 Messages postés 21 Statut Membre
     
    hello alors qu'est ce que je dois faire
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Hum...
      Tu as ce problème sur tous les navigateurs ?
      Est-ce que tu as toujours le redirecting ?
      0
  13. class 77 Messages postés 21 Statut Membre
     
    non je ne l'ai plus sur mozilla sans wot ni ad block par contre mon pc est redevenu super lent
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      houla...
      On sors le très lourd:
      ▶ Telecharge ici : Combofix
      Avant d'utiliser ComboFix :
      ▶ Enregistre et ferme tous tes programmes en cours.
      ▶ Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, toutes tes protections (Antivirus, pare-feu etc) qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
      _____________________________________________________
      Si tu as Windows Vista ou Windows 7 -> clic droit exécuter en tant qu'administrateur sur le logiciel pour le lancer.
      ¤ Accepte l'installation de la console de récupération si demandé ¤
      ! Ne touche à rien pendant que l'outil travaille (souris, clavier...) !
      ▶ Une fois que ComboFix a terminé, n'oublie pas de réactiver la garde de tes protections avant de te reconnecter à Internet.
      ▶ Reviens sur le forum, et copie / colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
      0
  14. class 77 Messages postés 21 Statut Membre
     
    je n'arrive pas à desactiver mcafee
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Tu poste le rapport ?
      0
    2. logique
       
      sugel, ou comment bousiller un ordinateur.
      Tu as fait une formation helper?
      Tu dis:

      "Toutefois, il ne faut pas oublier que les chances qu'un PC se fasse infecter dépendent surtout de toi, utilisateur.

      Je te recommande fortement un peu de lecture sur la maintenance des PC, et les bonnes habitudes à prendre (par Malekal):
      http://www.malekal.com/2011/08/15/sommaireguide-savoir-utiliser-son-pc-et-bonnes-habitudes-sur-internet/"

      Je te recommande alors, et fortement de faire une formation de désinfection.
      ET
      un bon conseil: Je te dirai: "être helper=>j je peux désinfecter, car je sais ce que je fais"
      Ne crois pas que Ta logique:
      "je peux désinfecter, car je crois ce que je fais=> je suis helper"

      Ta logique n'est pas bonne.

      Car là, tu risque de foutre son système en l'air.
      Tu sais désinfecter? tu sais utiliser combofix. C'est un outil à utiliser pour des qualifiés, pas comme des gens qui n'ont pas passé une formation.

      Tu aurais pu, avant d'utiliser, lui demander de graver un live cd de malekal, et de l'utiliser.
      0
    3. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      ...
      C'est vrai.
      Je te laisse la main, ça me dépasse.
      Je sais ce que je cherche:
      un driver caché au nom aléatoire, qui fait ces redirections, c'est la particularité de ce malware.
      0
    4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Bonjour,

      mfeavfk01 est un driver légitime de l'antivirus McAfee

      ComboFix est un outil puissant avec des commandes complexes et sUBs son développeur est très soucieux du bon usage de son outil.
      Son utilisation sur les forums est soumise à certaines règles implicites.
      Je te demande à l'avenir de respecter le souhait de son développeur.
      0
  15. class 77 Messages postés 21 Statut Membre
     
    bon alors il y a qqchose a faire ou non.
    0
  16. class 77 Messages postés 21 Statut Membre
     
    bonjour,
    est ce que quelqu'un peut me dire comment regler mon probleme de maware
    0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir class 77

    1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

    ● Lance TDSSKiller.exe
    ● Clique sur Change parameters et coche la case Loaded modules
    ● Un message Reboot is required s'affiche, valide en cliquant sur Reboot now

    Le système redémarre, valide cette demande : Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs) pour que l'outil TDSSKiller se relance.

    ● Clique sur Change parameters et coche la case Loaded modules
    ● Coche dans Additionnal options, les cases :
    Verify file digital signatures et Detect TDLFS file system puis valide par OK
    ● Clique sur Start scan
    ● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.

    ▸▸ Conserve l'action proposée par défaut par l'outil en cas de détection :

    ▸ Si des éléments Suspicious object sont trouvés, laisse sur Skip

    ▸ Si des éléments malicieux sont trouvés, tu auras plusieurs options possibles :
    Assure toi que Cure est sélectionné, clique sur Continue puis sur Reboot now afin de redémarrer pour finaliser le nettoyage.
    Si l'option Cure n'est pas disponible, laisse Skip, ne pas choisir Delete sans indication de ma part.

    Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

    2. Héberge le rapport sur un des sites suivants :
    https://security-x.fr/up/
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
  18. class 77 Messages postés 21 Statut Membre
     
    tds killer ne veut pas se telecharger
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      essaie de renommer le fichier lors de l'enregistrement.
      0
  • 1
  • 2