Votre question

Problème de redirection firefox

Tags :
  • Firefox
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Mai 2011 19:59:13

Bonjour à tous,

Je vais m'en remettre à votre expertise les amis car depuis quelques jours j'ai mon firefox 3.6.17 qui me fait des redirections à tout va vers pleins de pub différentes alors que je clique sur des liens normaux (recherches google, accès à mes raccourcis etc...)

De quoi avez vous besoin pour m'assister? (hijack? autre?...)

Merci d'avance.

Autres pages sur : probleme redirection firefox

3 Mai 2011 20:23:24

Salut,



on va voir de quoi il retourne exactement ...


fait ceci dans un premier temsp :




Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



    Contenus similaires
    3 Mai 2011 21:56:57

    re,


    plusieurs infections ! ....


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    commence par faire ceci dans l'ordre :



    1- Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    regarde ici pour le faire > http://www.teamxscript.org/uacseven.html


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    > clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , enchaine ...


    ============================


    2- Désinstalle proprement Sypbot S&D depuis le paneau de configuration / " prg et fonctionnalité " .

    Sert à rien à part alourdir le systeme et la navigation ...


    deplus, il va géner fortement la désinfection ! ....



    ====================

    3- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    [MD5.1FA6C44EC56597264512FABC5DDA579C] - (...) -- C:\Users\Squallen\AppData\Roaming\dwm.exe [181760]
    [MD5.9C76069B9E8D050918CA1A8CEFB4964C] - (...) -- C:\Users\Squallen\AppData\Roaming\Microsoft\conhost.exe [170496]
    [MD5.6FB012806A8F6880907CB9015F52C896] - (...) -- C:\Users\Squallen\AppData\Local\Temp\csrss.exe [176128]
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:64242
    O4 - HKLM\..\Run: [conhost] . (...) -- C:\Users\Squallen\AppData\Roaming\Microsoft\conhost.exe
    O43 - CFD: 7/31/2010 - 11:46:44 AM - [68070121] ----D- C:\Program Files\Spybot - Search & Destroy
    O43 - CFD: 5/3/2011 - 5:51:58 PM - [6015] ----D- C:\ProgramData\Spybot - Search & Destroy
    [HKLM\Software\Safer Networking Limited]
    [HKCU\Software\Safer Networking Limited]
    ProxyFix



    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [GO] pour lancer le nettoyage .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ====================================

    4- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Poste le rapport généré après la suppression des objets infectés pour analyse ...

    Note importante :
    si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !


    =================================


    5- Refais un scan ZHPDiag " en tan tqu'admin..." .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...






    3 Mai 2011 22:55:08

    bien ...




    c'est déjà beaucoup mieux ...


    la suite dans l'ordre :


    1- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://www.teamxscript.org/adremoverTelechargement.html
    ou ici http://forum-aide-contre-virus.be/download/AD-Remover.h...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe pour lancer l'installation .

    Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).

    • Au menu principal, clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )



    ============================


    2- Télécharge et installe la dernière version de CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    ( installe directement par dessus la version déjà présente )

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    - choisis bien "français" en langue .
    - dans la première fenêtre : décoche toutes les "options supplémentaires" sauf les 2 premières.
    - dans la deuxieme fenêtre : refuser l'installation de la barre d'outil google en décochant la case .

    Un tuto ( aide ):
    http://www.commentcamarche.net/faq/27688-tutoriel-cclea...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    ==============================


    3- Refais un scan ZHPDiag "en tant qu'admin..." .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...







    3 Mai 2011 23:45:48

    Et voilà la suite:

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:18:33 le 03/05/2011, Mode normal

    Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X86)
    Squallen@SQUALLEN-PC (ASUSTeK Computer INC. 1201N)

    ============== ACTION(S) ==============


    Dossier supprimé: C:\Users\Squallen\AppData\Roaming\Mozilla\FireFox\Profiles\unqkkkb5.default\conduit
    Dossier supprimé: C:\Users\Squallen\AppData\LocalLow\Conduit

    (!) -- Fichiers temporaires supprimés.


    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Toolbar
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKLM\Software\Messenger Plus!\OpenCandy


    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.17 (fr)] ****


    -- C:\Users\Squallen\AppData\Roaming\Mozilla\FireFox\Profiles\unqkkkb5.default --
    Extensions\extension@virtusdesigns.com (Virtus Search Opt-in)
    Extensions\{5b175400-2368-11de-8c30-0800200c9a66} (Oskar)
    Extensions\{5c8bfb7c-9a54-11dc-8314-0800200c9a66} (Aero Fox XL)
    Extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1} (User Agent Switcher)
    Extensions\{F0B6E3F9-ECD1-40b6-A25F-5C3FF68FB079} (OpenDownload)
    Prefs.js - browser.download.dir, C:\\Users\\Squallen\\Desktop
    Prefs.js - browser.download.lastDir, C:\\Users\\Squallen\\Desktop
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/ig
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17

    ========================================

    **** Internet Explorer Version [9.0.8112.16421] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_URLSearchHooks|{59994074-c06d-4a75-9768-49e5a8c21264} - "Messenger Plus Live France Toolbar" (C:\Program Files\Messenger_Plus_Live_France\tbMess.dll)
    HKLM_URLSearchHooks|{59994074-c06d-4a75-9768-49e5a8c21264} - "Messenger Plus Live France Toolbar" (C:\Program Files\Messenger_Plus_Live_France\tbMess.dll)
    HKCU_Toolbar\WebBrowser|{59994074-C06D-4A75-9768-49E5A8C21264} (C:\Program Files\Messenger_Plus_Live_France\tbMess.dll)
    HKLM_Toolbar|{59994074-c06d-4a75-9768-49e5a8c21264} (C:\Program Files\Messenger_Plus_Live_France\tbMess.dll)
    HKCU_ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6} - C:\Program Files\Spotify\spotify.exe (Spotify Ltd)
    HKLM_ElevationPolicy\eea54ad2-3262-4284-8fe1-c69b164d768a - C:\Program Files\Messenger_Plus_Live_France\Messenger_Plus_Live_FranceToolbarHelper.exe (?)
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{C30A6807-3489-46D3-98D4-66AEBE6EC107} - C:\Program Files\ArcSoft\TotalMedia Theatre 3\uDTStart.exe (x)
    BHO\{59994074-c06d-4a75-9768-49e5a8c21264} - "Messenger Plus Live France Toolbar" (C:\Program Files\Messenger_Plus_Live_France\tbMess.dll)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 03/05/2011 23:19:13 (4199 Octet(s))

    Fin à: 23:21:27, 03/05/2011

    ============== E.O.F ==============


    Et le fichier de diag:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijZmBAe...
    6 Mai 2011 21:14:41

    hello,


    il semblerait que le détournement soit de nouveau là non ? .... dis moi ce qu'il en est stp ...


    tu te connectes derrière un proxy ?


    Citation :
    ---\\ Internet Explorer, Proxy Management (R5)
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:64242
    7 Mai 2011 11:57:17

    Salut,

    a priori depuis ma dernière réponse je n'ai plus de détournement.

    Pour ce qui est du proxy, je n'en utilise pas, mais étonnament, depuis les manips mon msn ne fonctionnait plus.

    J'ai été voir dans les configurations internet de IE et là j'avais bien le mode de connexion par Proxy de coché, que j'ai décoché.

    J'ai peut-être fait quelque chose de travers.... mais je n'en ai pas l'impression.

    Quoi qu'il en soit plus de détournement depuis 3-4 jours.

    A toi de voir si tu veux cloturer le sujet ou laisser en stand by pendant encore quelques jours
    8 Mai 2011 23:14:01

    hello,


    ce proxy que j'avais pris le soin de shooter au début , puis qui revient sans intervention de ta part , cela ne sent pas vraiment bon !

    :o 



    on va regarder de plus près et voir si je ne suis pas passé à côté de quelque chose ...



    fait ceci :


    1- Ré-ouvre ZHPDiag "en tant qu'admin...".

  • On va le mettre à jour : pour cela, clique sur le bouton

  • A la fenêtre "Télécharger la version du..." , clique sur OUI et laisse toi guider pour installer la nouvelle version ...

    ( note : ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).


    ====================================


    2- relance un scan ZHPDiag "en tant qu'admin...".

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    9 Mai 2011 21:26:38

    hello,


    reste toujours ce proxy foireux ... :o 




    fait ceci stp :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
    R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
    O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
    O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
    O43 - CFD: 6/22/2010 - 7:21:06 AM - [2723893] ----D- C:\Program Files\Messenger_Plus_Live_France
    O43 - CFD: 5/3/2011 - 10:02:42 PM - [1168216] ----D- C:\Program Files\Spybot - Search & Destroy
    O61 - LFC:Last File Created 5/5/2011 - 10:37:42 PM ---A- C:\Users\Squallen\2gweorjqjutp92vjy9gake [0]
    [HKCU\Software\AppDataLow\Software\Messenger_Plus_Live_France]
    [HKLM\Software\Messenger_Plus_Live_France]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Messenger_Plus_Live_France Toolbar]
    ProxyFix



    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [GO] pour lancer le nettoyage .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    ========================================

    2- Télécharge UsbFix ( de C_XX & El desaparecido ) sur ton bureau :

    ici http://www.teamxscript.org/usbfixTelechargement.html
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://www.teamxscript.org/usbfix.html





    11 Mai 2011 22:09:20

    Oups....

    Message d'erreur lors de l'exécution du diag: Violation de l'accès de l'adresse 00427C96 dans le module 'ZHPfix.exe'. Lecture de l'adresse 0000000B.

    Je n'ai donc pas fait la suite
    13 Mai 2011 22:52:30

    hello,


    désolé pour le retard .... :) 


    est-ce que tu as bien fait clique droit / "executer en tant qu'admin..." pour ouvrir ZHPFix ?

    14 Mai 2011 09:16:44

    Pas de soucis (le problème n'est plus trop gênant vu que je n'ai plus la redirection).

    Oui j'ai bien exécuté en tant qu'admin. J'ai désinstallé ZHP l'ai réinstallé, et maintenant ça se déroule.

    Donc ZHP Fix:

    Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
    Fichier d'export Registre :
    Run by Squallen at 5/14/2011 8:57:51 AM
    Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...

    ========== Clé(s) du Registre ==========
    O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll => Clé absente
    HKCU\Software\AppDataLow\Software\Messenger_Plus_Live_France => Clé supprimée avec succès
    HKLM\Software\Messenger_Plus_Live_France => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Messenger_Plus_Live_France Toolbar => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll => Valeur absente
    O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll => Valeur absente
    ProxyFix : Configuration proxy supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files\Messenger_Plus_Live_France => Supprimé et mis en quarantaine
    C:\Program Files\Spybot - Search & Destroy => Fichier supprimé au reboot

    ========== Fichier(s) ==========
    c:\program files\messenger_plus_live_france\tbmess.dll => Fichier absent
    c:\users\squallen\2gweorjqjutp92vjy9gake => Supprimé et mis en quarantaine


    ========== Récapitulatif ==========
    4 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    2 : Dossier(s)
    2 : Fichier(s)


    End of the scan









    Et UsbFix:

    ############################## | UsbFix 7.044 | [Recherche]

    Utilisateur: Squallen (Administrateur) # SQUALLEN-PC [ASUSTeK Computer INC. 1201N]
    Mis à jour le 25/04/2011 par TeamXscript
    Lancé à 09:00:37 | 14/05/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Atom(TM) CPU 330 @ 1.60GHz
    CPU 2: Intel(R) Atom(TM) CPU 330 @ 1.60GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7601 32-Bit) # Service Pack 1
    Internet Explorer 9.0.8112.16421

    Pare-feu Windows: Activé
    RAM -> 1791 Mo
    C:\ (%systemdrive%) -> Disque fixe # 100 Go (27 Go libre(s) - 27%) [] # NTFS
    D:\ -> Disque fixe # 123 Go (81 Go libre(s) - 66%) [] # NTFS
    E:\ -> CD-ROM

    ################## | Éléments infectieux |



    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |



    Pour info je n'ai pas de périphérique de stockage USB connecté sur ce PC depuis un bout de temps
    16 Mai 2011 17:25:53

    Bon alors je crois savoir d'où viens la cause du problème.... ne jamais laisser son fils trainer sur un PC perso.
    Il est allé sur je ne sais quel site et maintenant j'ai une saloperie de Windows 7 recovery qui me dit que mon disque dur est endommagé (bien entendu, uniquement la version payante pourra me sauver...)

    Help!!!!!
    16 Mai 2011 18:42:34

    Et la redirection se fait à nouveau..... Je suis de plus en plus tenté de formater ce PC....

    Sauf que c'est un EEEPC, donc je ne sais pas trop comment me procurer la bonne version de Windows 7 et comment réinstaller....

    A ton avis, quelle est la solution la plus simple?
    16 Mai 2011 21:18:45

    hello,


    Citation :
    ne jamais laisser son fils trainer sur un PC perso.

    j'ai une saloperie de Windows 7 recovery



    > PC = Personal Computer ... C'est comme un slip , cela ne se prète pas ... :whistle: 




    T'inquiète , on va s'occuper de cela ...


    pour voir ce qu'il en est, il me faut un ZHPDiag tout neuf :


    Refais un scan ZHPDiag "en tant qu'admin..." .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    16 Mai 2011 21:40:57

    Merci pour ton aide!!

    Pour info quand je lance ZHPDiag j'ai un message d'erreur "Serveur non disponible" et ce Windows 7 Recovey est la pire merde que j'ai jamais connue (vidage complet du bureau, des fonds d'écrans, disques durs indisponibles, faux messages d'erreurs à gogo) pourtant j'en ai vu des merdes en informatique.

    Quand tout sera remis à plat, tu pourrais me donner des conseils (logiciels à installer) pour éviter de re-chopper ces saloperies?

    J'ai encore des soucis avec ci-joint donc je repasse par mon compte megaupload:
    http://www.megaupload.com/?d=DHZZSE6G
    16 Mai 2011 23:31:12

    re,


    Citation :
    J'ai encore des soucis avec ci-joint donc je repasse par mon compte megaupload:


    c'est merdique MU ...

    pour les prochains rapports , utilise plutôt ces autres cites d'uplaod :
    > http://pjjoint.malekal.com/
    > ou http://www.sendspace.com/


    qui fait joujou avec TeamViewer et cette daube de Trojan Killer ? ... pas bon de suivre plusieurs désinfections !!! :fou: 





    fait ceci dans l'ordre :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    C:\ProgramData\32628472.exe
    O4 - HKCU\..\Run: [mmTqFwKCYWAdjGW] . (.QNP - Cluster analysis.) -- C:\ProgramData\mmTqFwKCYWAdjGW.exe
    O4 - HKUS\S-1-5-21-447431309-4146310219-2127033755-1001\..\Run: [mmTqFwKCYWAdjGW] . (.QNP - Cluster analysis.) -- C:\ProgramData\mmTqFwKCYWAdjGW.exe
    O4 - Global Startup: C:\Users\Squallen\Desktop\Windows 7 Recovery.lnk . (...) -- C:\ProgramData\32628472.exe
    O61 - LFC:Last File Created 5/15/2011 - 10:18:54 PM --H-- C:\Users\Squallen\AppData\Local\Temp\jar_cache5130408203181778473.tmp [16874]
    O61 - LFC:Last File Created 5/15/2011 - 10:18:59 PM --HA- C:\Users\Squallen\2gweorjqjutp92vjy9gake [0]
    O61 - LFC:Last File Created 5/15/2011 - 10:18:59 PM --HA- C:\Users\Squallen\AppData\Local\Temp\0.555801970572394.exe [51200]
    O61 - LFC:Last File Created 5/15/2011 - 10:19:13 PM --HA- C:\Users\All Users\mmTqFwKCYWAdjGW.exe [434176]
    O61 - LFC:Last File Created 5/16/2011 - 4:14:23 PM --HA- C:\Users\All Users\32628472.exe [378368]
    O61 - LFC:Last File Created 5/16/2011 - 4:15:03 PM --HA- C:\Users\All Users\~32628472 [112]
    O61 - LFC:Last File Created 5/16/2011 - 4:15:03 PM --HA- C:\Users\All Users\~32628472r [136]
    O61 - LFC:Last File Created 5/16/2011 - 4:18:31 PM --HA- C:\Users\All Users\32628472 [392]
    O61 - LFC:Last File Created 5/16/2011 - 4:25:22 PM --HA- C:\Users\Squallen\AppData\Local\Temp\flaF190.tmp [7325556]
    O61 - LFC:Last File Created 5/16/2011 - 4:29:16 PM --HA- C:\Users\Squallen\AppData\Local\Temp\smtmp\1\Programs\GridinSoft\GridinSoft Inc. on the Web.url [52]
    O61 - LFC:Last File Created 5/16/2011 - 4:29:16 PM --HA- C:\Users\Squallen\AppData\Local\Temp\smtmp\1\Programs\GridinSoft\Trojan Killer on the Web.url [55]
    O61 - LFC:Last File Created 5/16/2011 - 4:29:16 PM --HA- C:\Users\Squallen\AppData\Local\Temp\smtmp\1\Programs\GridinSoft\Trojan Killer.lnk [1115]
    O61 - LFC:Last File Created 5/16/2011 - 4:29:16 PM --HA- C:\Users\Squallen\AppData\Local\Temp\smtmp\4\Trojan Killer.lnk [1097]
    O61 - LFC:Last File Created 5/8/2011 - 9:09:56 AM --H-- C:\Users\Squallen\AppData\Local\Temp\jar_cache1732118221734384407.tmp [15949]
    O61 - LFC:Last File Created 5/8/2011 - 9:10:01 AM --HA- C:\Users\Squallen\AppData\Local\Temp\0.20861255314418292.exe [48128]
    O64 - Services: CurCS - (.not file.) - 9e02e400 (9e02e400) .(...) - LEGACY_9E02E400
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe




    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [GO] pour lancer le nettoyage .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    =========================================

    2- Télécharge sur ton bureau l'outil TdssKiller ( de Kaspersky lab ) :

    > http://support.kaspersky.com/downloads/utils/tdsskiller...


    ! Ferme toutes applications en cours, déconnecte toi et désactive ton antivirus le temps de la procédure !


  • Lance TdssKiller.exe en fesant clique droit dessus / "executer en tant qu'admin..." .


    > La fenêtre suivante va s'ouvrir::




    > Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.


    ( Note : si aucune infection n'est détectée après le scan, clique sur close pour fermer l'outil ... )


  • Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir:



    o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

    o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

    o Si Suspicious file est indiqué, laisse l'option cochée sur Skip .


    > Clique sur Continue puis sur Reboot now pour redémarrer le PC.

    laisse travailler ...


    > Une fois finit, fait moi parvenir le rapport généré dans ta prochaine réponse

    Ce rapport sera sauvegardé à la racine de ta partition système sous le nom C:\TDSSKillerJJ.MM.AA_HH.MM.SS.txt (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).


    ( tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=2082... )
    18 Mai 2011 22:15:13

    Hello,

    Alors déjà pour info je suis passé en mode sans echec, ça m'évite d'avoir les faux messages d'erreur à gogo de Windows 7 recovery, et j'ai dû réinstallé ZHPDiag sur mon lecteur D:\ car le lecteur est inaccessible (depuis le trojan de merde mon lecteur C:\ est marqué comme "dossier vide" dans mon explorer).

    Voilà déjà les traces de ZPHFix et je fais la suite dans la foulée:

    Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
    Fichier d'export Registre : D:\ZHPExportRegistry-5-18-2011-10-12-24 PM.txt
    Run by Squallen at 5/18/2011 10:12:23 PM
    Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...

    ========== Clé(s) du Registre ==========
    O64 - Services: CurCS - (.not file.) - 9e02e400 (9e02e400) .(...) - LEGACY_9E02E400 => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [mmTqFwKCYWAdjGW] . (.QNP - Cluster analysis.) -- C:\ProgramData\mmTqFwKCYWAdjGW.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-447431309-4146310219-2127033755-1001\..\Run: [mmTqFwKCYWAdjGW] . (.QNP - Cluster analysis.) -- C:\ProgramData\mmTqFwKCYWAdjGW.exe => Valeur absente
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Fichier(s) ==========
    c:\programdata\32628472.exe => Fichier absent
    c:\programdata\mmtqfwkcywadjgw.exe => Supprimé et mis en quarantaine
    c:\users\squallen\desktop\windows 7 recovery.lnk => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\jar_cache5130408203181778473.tmp => Supprimé et mis en quarantaine
    c:\users\squallen\2gweorjqjutp92vjy9gake => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\0.555801970572394.exe => Supprimé et mis en quarantaine
    c:\users\all users\mmtqfwkcywadjgw.exe => Fichier absent
    c:\users\all users\32628472.exe => Fichier absent
    c:\users\all users\~32628472 => Supprimé et mis en quarantaine
    c:\users\all users\~32628472r => Supprimé et mis en quarantaine
    c:\users\all users\32628472 => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\flaf190.tmp => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\smtmp\1\programs\gridinsoft\gridinsoft inc. on the web.url => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\smtmp\1\programs\gridinsoft\trojan killer on the web.url => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\smtmp\1\programs\gridinsoft\trojan killer.lnk => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\smtmp\4\trojan killer.lnk => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\jar_cache1732118221734384407.tmp => Supprimé et mis en quarantaine
    c:\users\squallen\appdata\local\temp\0.20861255314418292.exe => Supprimé et mis en quarantaine


    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    4 : Valeur(s) du Registre
    18 : Fichier(s)


    End of the scan
    18 Mai 2011 22:25:50

    hello,


    essaye de passer TdssKiller en mode normal parcontre ( le rougue doit te foutre la paix maintenant ) ...
    18 Mai 2011 22:30:38

    Je viens de comprendre pourquoi mon disque semblait vide...
    Cette saloperie de trojan à passé l'intégralité de mon disque en caché, et décoché la case "affichage des fichiers et dossiers cachés" alors que normalement celle ci est cochées.

    Je ne les ais pas encore retiré du mode "fichier caché" au cas où tes futures manip le ferait
    18 Mai 2011 22:32:32

    re,


    faut bosser en mode normal maintenant ...




    tout d'abors , une nouvel version de ZHPDiag est dispo ... faut mettre à jour :


    1- Ré-ouvre ZHPDiag "en tant qu'admin..." .

  • On va le mettre à jour : pour cela, clique sur le bouton

  • A la fenêtre "Télécharger la version du..." , clique sur OUI et laisse toi guider pour installer la nouvelle version ...

    ( note : ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).


    ================================

    2- Refais un scan ZHPDiag "en tant qu'admin..." .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    18 Mai 2011 22:52:07

    Je te refais ça tout de suite.
    Par contre est-ce normal que sur mes icones de bureau j'ai un petit bouclier (comme celui du clic droit "exécuter en tant qu'admin?")?
    18 Mai 2011 23:11:48

    re,


    Citation :
    Par contre est-ce normal que sur mes icones de bureau j'ai un petit bouclier



    rien de grave ... regarde si l'UAC n'est pas de nouveau actif ...



    18 Mai 2011 23:26:50

    UAC bien désactivé, c'est bizarre.... mais bon comme tu le dis ce n'est pas grave et pas gênant
    18 Mai 2011 23:28:56

    re,


    on avance ...


    mais il y a du trj kazy qui envahi le dossier temp ... :fou: 


    faut poursuivre le nettoyage ...


    dans l'ordre :



    1- redésactive l'UAC si besoin ...

    tuto >> http://www.teamxscript.org/uacseven.html


    =================================


    Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} Clé orpheline
    [MD5.8D27445816558B42BE673C39AF545422] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Squallen\AppData\Local\Temp\0.31832244677183397.exe [48128]
    [MD5.325484BB78A3904C17A798494B47E0DD] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Squallen\AppData\Local\Temp\0.33033840825059435.exe [48128]
    [MD5.A339443E058D4FA579015CD100014A2B] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Squallen\AppData\Local\Temp\0.35744505985141595.exe [48128]
    [MD5.099A6BD49DC28515E6BCECA23D2BDCAB] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Squallen\AppData\Local\Temp\0.4113636677532049.exe [48128]
    [MD5.F24F01967D0E9F27688AEC81A485AE5E] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Squallen\AppData\Local\Temp\0.7274299041826126.exe [48128]
    [HKLM\Software\Classes\AppID\SoftwareUpdate.exe]
    ProxyFix
    EmptyTemp



    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [GO] pour lancer le nettoyage .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    ==================================


    2- On va ré-utiliser MALWAREBYTES ainsi :


    mets le à jour ( onglet "mise à jour " . Recommence jusqu'à ce qu'il n'y est plus de maj disponible )


    ! Déconnecte toi et ferme toutes applications en cours !

    * Utilisation .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Poste le rapport généré après la suppression des objets infectés pour analyse ...

    Note importante :
    si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !


    =================================


    3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Clique droit / "executer en tant qu'admin..." sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse ...


    ==============================

    4- Refais un scan ZHPDiag "en tan tqu"admin..." .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    18 Mai 2011 23:36:11

    Déjà la log de zhpfix:

    Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
    Fichier d'export Registre : D:\ZHPExportRegistry-5-18-2011-11-32-34 PM.txt
    Run by Squallen at 5/18/2011 11:32:34 PM
    Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...

    ========== Processus mémoire ==========
    C:\Users\Squallen\AppData\Local\Temp\0.31832244677183397.exe [48128] => Supprimé et mis en quarantaine
    C:\Users\Squallen\AppData\Local\Temp\0.33033840825059435.exe [48128] => Supprimé et mis en quarantaine
    C:\Users\Squallen\AppData\Local\Temp\0.35744505985141595.exe [48128] => Supprimé et mis en quarantaine
    C:\Users\Squallen\AppData\Local\Temp\0.4113636677532049.exe [48128] => Supprimé et mis en quarantaine
    C:\Users\Squallen\AppData\Local\Temp\0.7274299041826126.exe [48128] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    HKLM\Software\Classes\AppID\SoftwareUpdate.exe => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} Clé orpheline => Valeur absente
    ProxyFix : Configuration proxy supprimée avec succès

    ========== Dossier(s) ==========
    Dossiers temporaires Windows supprimés: 160

    ========== Fichier(s) ==========
    Fichiers temporaires Windows supprimés : 397


    ========== Récapitulatif ==========
    5 : Processus mémoire
    1 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)


    End of the scan
    18 Mai 2011 23:47:42

    La log Malwarebytes:

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 6501

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 9.0.8112.16421

    18/05/2011 23:47:08
    mbam-log-2011-05-18 (23-47-08).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 166218
    Temps écoulé: 6 minute(s), 16 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Squallen\AppData\Roaming\Adobe\plugs\mmc126.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\Squallen\AppData\Roaming\Adobe\plugs\mmc15.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    18 Mai 2011 23:50:00

    re,


    recommence Malwarebytes stp ! ....


    il n'a pas été mis à jour avant ! ....




    Edit :

    si tu as déjà fait Combofix , ne relance pas MBAM pour le moment et enchaines ...
    18 Mai 2011 23:58:45

    Je ne peux pas le mettre à jour, j'ai un message d'erreur "une erreur s'est produite. Veuillez transmettre ce code erreur PROGRAM_ERROR_UPDATING (5,0, Create File) Accès refusé
    18 Mai 2011 23:59:13

    Et je n'ai pas encore fait la suite, j'attends ta prochaine manip
    19 Mai 2011 00:00:49

    re,

    passe à la suite direct alors ( Combofix etc ... )

    19 Mai 2011 06:49:12

    Merci pour ton assistance, je pars en déplacement ce matin et ne reviens que dimanche soir, donc je te ferais la suite à ce moment là.

    Merci encore.

    Bonne fin de semaine et bon weekend
    19 Mai 2011 19:39:22

    hello,


    bon courage alors ... :D 


    et à Dimanche donc avec les rapports demandés ...


    24 Mai 2011 21:41:24

    hello,


    on y arrive ... :) 


    la suite :


    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    KillAll::

    Firefox::
    FF - prefs.js: network.proxy.http_port - 64242

    Folder::
    C:\Program Files\Spybot - Search & Destroy

    Driver::
    AsrOcDrv

    RegLock::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    25 Mai 2011 20:48:27

    re,


    on a toujours un proxy douteux au niveau de FireFox ( uniquement ) ... :fou: 



    voir si manuellement il peut sauter, et surtout voir si il ne revient pas ...



    donc fait ceci :


    1- * ouvre Firefox ,
  • clique sur le menu "outil" / choisis "option".
  • dans cette fenêtre, Clique sur l'onglet "avancé"
  • dans cette autre fenêtre , choisis le sous menu " réseau "
  • au niveau de l'encadré "connexion" , clique sur "paramètre".
  • là tu coches "pas de Proxy" puis clique sur "OK"


    2- ferme FireFox .


    3- redémarre l'ordi et dis moi si les config que tu viens de modifier n'ont pas boujoué ...
    25 Mai 2011 23:49:10

    Re,

    Firefox est déjà configuré en mode "sans proxy"
    29 Mai 2011 20:21:15

    hello,


    Citation :
    Firefox est déjà configuré en mode "sans proxy"



    A bon .... poutant il apparait bien dans le rapport Combo ( et pas dans celui de ZHPDiag parcontre )



    j'aimerai voir si un autre outil de diag le choppe ...


    fait ceci stp :

    Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tels qu'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    29 Mai 2011 21:27:53

    J'ai désactivé mon antivirus, lancé le dds.scr j'ai une fenêtre dos qui s'ouvre très rapidement et se ferme, mais aucun rapport n'apparait...
    30 Mai 2011 00:03:33

    re,


    fait clique droit / "executer en tant qu'admin..." pour le lancer ... :) 
    30 Mai 2011 06:51:41

    Pas la possibilité, ce n'est pas un .exe (du moins je pense que c'est la raison)
    30 Mai 2011 20:50:14

    yop,


    laisse courir donc ... supprime DDS manuellement ....


    on va essayer un autre :


    Télécharge OTL de OLDTimer sur ton bureau :

    http://oldtimer.geekstogo.com/OTL.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    > Clique droit / "executer en tnat qu'admin..." sur OTL.exe pour le lancer .

    Une fois l'outil ouvert,

  • Coche les 2 cases Lop et Purity .

  • Coche la case en haut devant tous les utilisateurs

  • copie / colle ce qui ce trouve en sitation ci dessous dans l'encadré blanc


    netsvcs
    %SYSTEMDRIVE%\*.exe
    /md5start
    Cdaudio.sys
    secdrv.sys
    Changer.sys
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles


    Ne touche à rien d'autre .

    > Clique sur Analyse pour lancer le scan et laisse travailler l'outil ...

    A la fin, 2 rapports s'ouvrent avec le Bloc-Notes et sont sauvegardés sur le bureau :"OTL.txt" et "Extras.txt"

    > poste le contenu de chaqu'un d'eux ( via "Cijoint" ) dans tes prochaines réponses et attends la suite ...

    31 Mai 2011 20:56:36

    hello,


    pour OTL , toujours ce port d'ouvert ...


    et un fichier à contrôler ...


    donc tout d'abors :


    1- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
    --> vas sur l'onglet " Affichage " .
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


    ===============================


    2- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    C:\Users\Squallen\AppData\Roaming\8416.B16

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...

        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS