Votre question
Fermé

nettoyage pour supprimer redirection navigateur

Tags :
  • redirection
  • pup
  • Adware
  • web assistant
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Décembre 2012 14:15:46

J'ai un soucis de redirection avec mes navigateurs. Je voulais résoudre mon problème sans ennuyer personne mais en vain. J'ai utilisé malewarebytes, ccleaner, mon antivirus en mode sans echec, déinstallé/ installé chrome et toujours le même problème avec IE, Firefoxe et chrome.
J'ai donc fait ce que Darkangel conseillait ci dessous

Citation :
On va voir ça de plus près.

Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche Avec liste blanche sous Registre: approfondi.
Fais de même pour celle devant Tous les utilisateurs.

Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
netsvcs

msconfig

drivers32

activex

/md5start

explorer.exe

wininit.exe

winlogon.exe

userinit.exe

/md5stop

%SYSTEMDRIVE%\*.exe

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\syswow64\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\syswow64\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

CREATERESTOREPOINT

Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.



Puis avoir votre aide à mon tour s'il vous plait ?

D'avance merci
http://pjjoint.malekal.com/files.php?id=20121214_p9f10n...
http://pjjoint.malekal.com/files.php?id=20121214_q14l9c...

Il y a un mot de passe que je pourrais vous donner par MP si vous souhaitez m'aider

Autres pages sur : nettoyage supprimer redirection navigateur

a b 8 Sécurité
14 Décembre 2012 16:28:27

Bonjour,

Tes liens ne fonctionnent pas. Pourquoi mettre des mots de passe ?
Score
0
Contenus similaires
a b 8 Sécurité
14 Décembre 2012 16:41:55

Rien de très sensible tkt :)  c'est toi qui a touché aux fichiers hosts nan ? (logiciel Adobe cracké)

  • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
  • Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse
  • A la fin, un rapport AdwCleaner[R1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[R1].txt
    Score
    0
    a b 8 Sécurité
    14 Décembre 2012 18:18:50

    Re,

    Faut éviter les cracks et cie, c'est le meilleur moyen d'avoir des merdes.
    Tu peux faire la suppression puis me passer le rapport.

    • Télécharge OTL (de Old Timer) sur ton Bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Score
    0
    a b 8 Sécurité
    15 Décembre 2012 10:52:46

    On va s'occuper des restes.
    Vas sur le site VirusTotal, analyse le fichier suivant puis copie/colle le résultat :
    C:\Users\Cathy\AppData\Roaming\twext6.dll

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE - HKU\S-1-5-21-2299506206-3551602328-874929579-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
      IE - HKU\S-1-5-21-2299506206-3551602328-874929579-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/?a=19emXehK3dp
      FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/?a=19emXehK3dp"
      64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
      O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
      O4 - HKLM..\Run: [] File not found
      O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O33 - MountPoints2\{6e6fbeaa-893e-11e1-bf63-806e6f6e6963}\Shell - "" = AutoRun
      O33 - MountPoints2\{6e6fbeaa-893e-11e1-bf63-806e6f6e6963}\Shell\AutoRun\command - "" = E:\setup.exe
      @Alternate Data Stream - 1079 bytes -> C:\Users\Cathy\AppData\Local\rrQKVXIUVDp3:q82lUlOKppohf9jUbGEUMI
      @Alternate Data Stream - 1019 bytes -> C:\Users\Cathy\AppData\Local\wrBYJQQ8g5sa4Ui:WtQTDUuIY9AVfTCjMGzjb2jvaZ

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    Score
    0
    15 Décembre 2012 11:24:44

    Bonjour,

    je copie colle virustotal ci dessous et je ferme tout pour lancer OTL.
    Donc à tout à l'heure....

    SHA256: d11edebbf799b2beb3ca05e2cf43e7adb10f876a56370021118ff64875864af7
    SHA1: e65c151c2a788801caf96dde69a184042f103873
    MD5: be9db912861090a99d6e968e9788db70
    Taille du fichier: 116,0 KB (118784 octets)
    Nom du fichier: twext6.dll
    Type de fichier: Win32 DLL
    Détection du rapport: 9/46
    Date d'analyse: 15/12/2012 10:15:28 UTC (il ya 2 Heures)
    00
    Moins de détails
    Analyse
    Commentaires
    Votes
    Informations complémentaires
    Antivirus Résulter Mettre à jour
    Agnitum - 20121215
    AhnLab-V3 - 20121214
    AntiVir - 20121214
    Antiy-AVL - 20121214
    Avast - 20121215
    AVG Agent4.DQN 20121215
    BitDefender Gen: Variant.Kazy.127742 20121215
    ByteHero - 20121212
    CAT-QuickHeal - 20121214
    ClamAV - 20121215
    Commtouch - 20121215
    Comodo - 20121215
    DrWeb - 20121215
    Emsisoft - 20121215
    eSafe - 20121212
    ESET NOD32- une variante de Win32/Ponmocup.FP 20121215
    F-Prot - 20121215
    F-Secure Gen: Variant.Kazy.127742 20121215
    Fortinet - 20121215
    GData Gen: Variant.Kazy.127742 20121215
    Ikarus - 20121215
    Jiangmin Trojan / Generic.azgam 20121215
    K7AntiVirus - 20121214
    Kaspersky HEUR: Trojan.Win32.Generic 20121215
    Kingsoft Win32.Troj.Undef. (Kcloud) 20121210
    Malwarebytes - 20121215
    McAfee - 20121215
    McAfee-GW-Edition - 20121215
    Microsoft - 20121215
    MicroWorld eScan- Gen: Variant.Kazy.127742 20121215
    NANO-Antivirus - 20121215
    Normand - 20121215
    NPROTECT - 20121214
    Panda - 20121214
    PCTools - 20121215
    Hausse - 20121214
    Sophos - 20121215
    SUPERAntiSpyware - 20121215
    Symantec - 20121215
    TheHacker - 20121214
    TotalDefense - 20121214
    TrendMicro - 20121215
    TrendMicro HouseCall- - 20121215
    VBA32 - 20121214
    VIPRE - 20121215
    ViRobot - 20121215
    Score
    0
    a b 8 Sécurité
    15 Décembre 2012 12:56:12

    Pas tout à fait, on va virer le fichier suspicieux et on attaque la sécurisation :) 

    Refais un script de correction OTL :
    :OTL
    O4 - HKU\S-1-5-21-2299506206-3551602328-874929579-1000..\Run: [XDFISG] C:\Users\Cathy\AppData\Roaming\twext6.dll ()


    &

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    Score
    0
    15 Décembre 2012 16:59:59

    Mince ! je rencontre un problème
    update flash,java et adobe quand je clique m'annonce que c'est à jour. En revanche, est apparu une fenêtre m'annonçant un soucis de proxy et connexion. Et là ....je ne comprends pas pourquoi il y aurait une connexion proxy ?!?
    voici la fenêtre d'avertissement que ça m'a affiché
    http://imageshack.us/photo/my-images/29/alerte.jpg/

    Sinon voilà le dernier rapport OTL
    http://security-x.fr/up/file.php?h=R883a3269481199f0922...

    message édité à 17h13 pour y ajouter le rapport
    http://security-x.fr/up/file.php?h=Rd687585110d356e3f99...
    Score
    0

    Meilleure solution

    a b 8 Sécurité
    15 Décembre 2012 21:12:21

    Ca vient de ton bidouillage pour photoshop je pense.
    Désinstalle juste : Java(TM) 6 Update 31

    Pour finir, tu peux si tu le souhaites valider une meilleure réponse. Cette option disponible ou non en fonction du type de sujet marquera automatique le sujet comme résolu.

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.
    • Relance le logiciel puis clique sur Désinstallation.

  • Ta restauration du système contient des restes de ton infection, il faut donc la vider.
    Tu trouveras une aide dans le lien suivant pour Windows Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670

    /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\
    partage
    16 Décembre 2012 12:54:12

    Bonjour

    J'ai désinstallé java TM6 update 31 et utiliser Delfix
    voici le rapport :
    http://security-x.fr/up/file.php?h=Ra327a553664caa6b061...

    Pour info, j'ai toujours sur mon bureau le SXCU
    Bon, maintenant je vais désinstaller delfix et voir en suivant votre lien comment vider la restauration du système bien que ça me fasse peur car je ne voudrais rien perdre.
    Est ce que cette infection aurait pu toucher un disque dur externe que nous avons à la maison (relié sur la box mais pas directement à mon PC) ?
    Score
    0
    a b 8 Sécurité
    16 Décembre 2012 16:08:27

    Tu peux supprimer SX&CU :) 

    Citation :
    Bon, maintenant je vais désinstaller delfix et voir en suivant votre lien comment vider la restauration du système bien que ça me fasse peur car je ne voudrais rien perdre.

    Tu la vides mais en la réactivant, tu peux faire un nouveau point de resto tout propre.

    Citation :
    Est ce que cette infection aurait pu toucher un disque dur externe que nous avons à la maison (relié sur la box mais pas directement à mon PC) ?

    Normalement non avec cette infection.
    Score
    0
    16 Décembre 2012 16:20:58

    Merci pour ce dépannage efficace et rapide. :) 
    Score
    0
    a b 8 Sécurité
    16 Décembre 2012 16:47:02

    Bonne continuation :)  je ferme le sujet
    Score
    0
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS