Création
d'entreprise
Posez votre question Signaler

Virus mevio.com Redirection Google

Andréa - Dernière réponse le 20 déc. 2011 à 13:56
Bonjour,
Il y a déjà quelques semaine de cela, mon ordi a attrapé un virus, Data Recovery. Suite à ça, j'ai des problèmes de page explorer qui ouvre toute seule et de redirection vers des pages locales lorsque je clique sur google. Par contre, j'ai trouvé ce qui est le problème, je ne sais juste pas comment m'en débarasser... Quelqu'un sur un autre site décrivait le problème comme ceci:
My google searches keep getting redirected to places like localpages.com and mevio.com and ocassionally, a random window will just pop up.
Alors voilà mon problème, lorsque je fais une recherche sur google, et que je clique sur une proposition de google, ça m'ammène à un site des Pages jaunes.... Et ça peut importe quel programme j'utilise (Google Chrome, IExplorer....)
Le virus a rapport avec mevio.com (Site que je ne connais pas, mais qui apparait lorsque mon ordi décide d'ouvrir des pages tout seul.) Croyez-vous pouvoir m'aider à ce sujet?
Merci de donner suite à ma question!
Andréa
Lire la suite 

Virus mevio.com Redirection Google »

64 réponses
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 3 déc. 2011 à 07:05
Bonjour

On va faire une analyse de ton systéme.


* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
http://telechargement.zebulon.fr/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Ajouter un commentaire
AndréaDS- 3 déc. 2011 à 21:58
http://www.toofiles.com/fr/oip/documents/txt/7789_zhpdiag.html

Merci de votre aide :)
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 3 déc. 2011 à 22:16
Infection BT
Infection PUP

* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
===============================================

* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php


Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 4 déc. 2011 à 09:41
On va faire une vérification .
Post un nouveau rapport zhpdiag.
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 4 déc. 2011 à 19:40
1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKLM\Software\Freeze.com]
[MD5.46E2D72A986DCEF5B2827311E3B5C2EC] [SPRF][2009-01-15] (.Kiwee - Installer Control.) -- C:\Windows\Downloaded Program Files\InstallerControl.dll [204800]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKLM\Software\WOW6432Node\freeze.com]
R3 - URLSearchHook: (no name) [64Bits] - {91da5e8a-3318-4f8c-b67e-5964de3ab546} . (...) (No version) -- (.not file.)
O23 - Service: Lavasoft Ad-Aware Service (Lavasoft Ad-Aware Service) . (.Lavasoft Limited - Ad-Aware Service Application.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
[MD5.98070A7FCE5B4AFB24A142C6F4C25CC1] [APT] [Ad-Aware Update (Weekly)] (.Lavasoft Limited.) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
[MD5.00000000000000000000000000000000] [APT] [{E176650C-D1C2-4F9E-BE4E-9CC88AE12F96}] (...) -- C:\Users\Andréa\AppData\Local\Temp\IXP074.TMP\QuickTimeInstallerAdmin.exe (.not file.)
O43 - CFD: 2010-08-24 - 17:59:24 - [0,017] ----D- C:\Program Files (x86)\Amazon
O87 - FAEL: "{F94C4A2C-DC77-403E-BCEE-122534FD77B8}" |In - None - P17 - TRUE | .(...) -- E:\setup\hpznui40.exe (.not file.)
O87 - FAEL: "{4D249FEB-B838-4E67-991E-B5B2A2E7C192}" |In - Private - P6 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{6B745D0A-9390-4AE7-A40C-69BEE866F9C3}" |In - Private - P17 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{DB7E5EAB-448A-45BA-871B-16276A1DE274}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{AF8E6B31-E17A-4A31-9E12-597C2BBD2D6B}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
SR - | Auto 2011-11-09 2152152 | (Lavasoft Ad-Aware Service) . (.Lavasoft Limited.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
M2 - MFEP: prefs.js [Andréa - 5qytam89.default\{32b29df0-2237-4370-9a29-37cebb730e9b}] [] FreeSoundRecorder Community Toolbar v3.8.0.8 (.Conduit Ltd..)
M2 - MFEP: prefs.js [Andréa - 5qytam89.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.8.0.8 (.Conduit Ltd..)
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
O2 - BHO: Vuze Remote [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]
C:\Users\Andréa\AppData\LocalLow\Vuze_Remote
EmptyTemp
FirewallRaz
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ajouter un commentaire
Afficher les 4 commentaires
nanard4700- 4 déc. 2011 à 22:28
Tu as encore des redirections??
AndréaDS- 4 déc. 2011 à 23:03
Non! Plus de redirection :O Par contre, il y a encore un problème. Lorsque je recherche des images sur google, seulement les 3-5 premières rangées apparaissent, le reste de la page est complètement blanc. Bon ça parait un peu niaiseux comme problème, mais reste que c'est encore un problème.
AndréaDS- 4 déc. 2011 à 23:55
...Faux espoir, il y a encore des redirections...
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 5 déc. 2011 à 07:47
il y a encore un problème. Lorsque je recherche des images sur google, seulement les 3-5 premières rangées apparaissent, le reste de la page est complètement blanc. Bon ça parait un peu niaiseux comme problème, mais reste que c'est encore un problème.

C'est juste un problème de serveur.On ne peut pas faire grand chose.De mon coté certaines images sont longues a apparaitre voir reste blanche.





-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance TDSSKiller.exe

-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas

* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt





Ajouter un commentaire
AndréaDS- 5 déc. 2011 à 23:56
http://www.toofiles.com/fr/oip/documents/txt/tdsskiller26210_05122011_175242_log.html

Rien a supprimer. Le scan a duré moins de 10 secondes...

Pour ce qui est des images de google, ce n'est pas que les images sont là mais n'apparaissent pas, dans le fond je pourrais tout simplement dire qu'il n'y a rien sur la page. C'est tout blanc.
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 6 déc. 2011 à 07:00
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix

Ajouter un commentaire
AndréaDS- 6 déc. 2011 à 13:22
juste pour etre sur, comment je désactive ça les logiciels de protection?
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 6 déc. 2011 à 15:41
clic droit sur le parapluie en bas de ton pc et clic sur désactiver antivir.Ton parapluie doit être a présent fermé.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 7 déc. 2011 à 15:25
* Télécharge OTL sur ton bureau.

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT



* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum

PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés


Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 7 déc. 2011 à 16:31
Vérifie tes liens!! ;)

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 8 déc. 2011 à 15:30
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:

:OTL
[2010-08-24 19:15:28 | 000,010,134 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{9BFCDA7C-FEA6-D810-407C-220476FC73A2}\ARPPRODUCTICON.exe
[2011-09-19 07:48:40 | 000,043,385 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_0CE5D65C672A59FCFADCFA.exe
[2011-09-19 07:48:40 | 000,043,385 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_112D608FD02CD87FDC7735.exe
[2011-09-19 07:48:40 | 000,032,579 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_853F67D554F05449430E7E.exe
[2010-01-30 23:13:40 | 000,010,134 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
[2011-04-12 21:41:16 | 000,032,579 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{E9BD5C23-EB57-45EF-8887-BF6691C50754}\_853F67D554F05449430E7E.exe
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.8.0.8
O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found.
DRV - (PCDSRVC{1E208CE0-FB7451FF-06020101}_0) -- c:\program files\dell support center\pcdsrvc_x64.pkms (PC-Doctor, Inc.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F0 E6 78 89 21 79 CC 01 [binary data]
O32 - AutoRun File - [2010-04-20 15:37:17 | 000,054,544 | R--- | M] (Electronic Arts) - E:\Autorun.exe -- [ UDF ] => Microsoft Windows NT or Infection USB
O32 - AutoRun File - [2010-03-26 23:03:00 | 000,000,049 | R--- | M] () - E:\Autorun.inf -- [ UDF ] => Légitime or Malware (Worm.Mabezat)

:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]


===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .

Ajouter un commentaire
Afficher les 7 commentaires
AndréaDS- 8 déc. 2011 à 23:21
http://www.toofiles.com/fr/oip/documents/log/12082011_162544.html ce rapport m'est apparu plusieurs minutes plus tard
nanard4700- 9 déc. 2011 à 06:55
On va faire une vérification
Postes un nouveau rapport OTL.
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 9 déc. 2011 à 16:34
Le dernier rapport ne montre aucune infection.Tu as toujours les redirections??

Ajouter un commentaire
Afficher les 7 commentaires
nanard4700- 11 déc. 2011 à 16:54
Ton rapport ne montre aucune redirection.

Bonjour

* Téléchargez SEAF puis lancez le.
* Copie/colle le mot ci-dessous en gras et place le dans le champs de recherche, cliquez sur "Lancer la recherche" puis patientez.
________________________________________________________________

extensions

________________________________________________________________
*Héberge le rapport SEAF sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
AndréaDS- 11 déc. 2011 à 21:41
Voici un printscreen d'un des genre de fenêtres qui apparaissent : http://www.toofiles.com/fr/oip/documents/png/mevio.html
AndréaDS- 11 déc. 2011 à 22:00
http://www.toofiles.com/fr/oip/documents/txt/seaflog.html : cest le rapport de Seaf
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 11 déc. 2011 à 23:18
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:

:OTL
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded =

:commands
[EmptyTemp]
[CREATERESTOREPOINT]
[Reboot]


===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
J'espére que cette fois mevio ne t'embêtera plus!!!

Ajouter un commentaire
AndréaDS- 12 déc. 2011 à 22:17
J'ai encore des fenetre de mevio....
L'adresse écrite était: itpc://mevio.com/feeds/reformschool.xml
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 12 déc. 2011 à 22:53
Je ne sais pas ou il se colle mevio mais aucune trace de lui dans les rapports.

Télécharge Ad-Remover sur ton bureau:

http://www.teamxscript.org/adremoverTelechargement.html


/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt

Ajouter un commentaire
Afficher les 6 commentaires
nanard4700- 13 déc. 2011 à 17:19
Tu as des redirections avec les 3 navigateurs??
Si non cites moi les navigateurs qui ont des redirections.
AndréaDS- 13 déc. 2011 à 23:02
les 3
AndréaDS- 13 déc. 2011 à 23:03
mais internet explorer a comme particularité d'être incroyablement plus lent depuis mon virus... Quand je tape du texte dans une zone de texte (ex, barre de recherche google) les lettre apparaisse 1 à 2 secondes plus tard...
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 13 déc. 2011 à 23:12
On va commencer par firefox

Clic sur outil====>option====>general.

Dans l'encadré de page d'accueil tu as quelle adresse?

Ajouter un commentaire
AndréaDS- 13 déc. 2011 à 23:58
Il n'y a pas d'adresse, c'est la page de démarrage de Firefox-Google
AndréaDS- 14 déc. 2011 à 15:06
J'ai tout a coup un problème bcp plus sérieux que les redirection...... Ce matin, je ne sais pas pour quelle raison, mais j'ai perdu la moitié des icônes sur mon bureau... Ah non maintenant tout a disparu sauf le dossier Ordianteur. un programme appelé Systeme Scan s'est ouvert (Virus... j'ai eu un truc semblable avant de me retrouver avec des redirection..) Je devine quil a caché tous mes icônes, mais je ne sais vraiment pas quoi faire... C'est un peu paniquant...! J'ai des photos à l'appuie, mais je n'arrive pas a les joindre à ce message... Elle sont ds ma boite de réception de courriel... Le System scan "effectue un scan" et me dit que jai 14 erreurs détectée...
AndréaDS- 14 déc. 2011 à 15:09
http://www.pchelpforum.com/progress-hijackthis-logs/123986-system-scan-virus-hijacked-desktop.html Ce site semble offrir une solution, mais je n'ose pas essayer
Ajouter un commentaire
Réponse
+1
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 14 déc. 2011 à 16:16
Tu viens de te faire virusé par un rogue ;)

* Télécharger sur le bureau RogueKiller
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 1 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 14 déc. 2011 à 18:01
Et oui a nouveau infecté!!!!

* Quitter tous les programmes en cours
* lancer sRogueKiller.exe
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
====================================================



-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance TDSSKiller.exe

-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas

* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

===================================================

fais un scan complet avec malawarebyte et postes le rapport


Ajouter un commentaire
AndréaDS- 14 déc. 2011 à 18:15
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Andréa [Droits d'admin]
Mode: Suppression -- Date : 14/12/2011 12:15:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 13 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : wKgaGVYnyvop.exe (C:\ProgramData\wKgaGVYnyvop.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Andréa\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 2631b9dca6ae6db305b408756ac20c84
[BSP] c3ba5f37cd917729e9bf6d6558ea4f68 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 73 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 145408 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31602688 | Size: 984022 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] c7b1fcc75b928fd80eaef1b1a7333c9e
[BSP] 42aa4f383af15532904d4eed97f3e47b : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 73 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 145408 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31602688 | Size: 984022 Mo

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
AndréaDS- 14 déc. 2011 à 18:49
TDSSKiller ne trouve rien
AndréaDS- 14 déc. 2011 à 18:52
et je n'arrive pas a réinstaller Malaware... À la derniere seconde du téléchargement, il m'annule ça...
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 14 déc. 2011 à 19:22
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com/link/a73760cf8976bc72cf25dc4ce63b4cf49704b75b.exe

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

? Clique sur Parcourir et cherche le fichier ci-dessus.

? Clique sur Ouvrir.

? Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

? Copie ce lien dans ta réponse.

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Ajouter un commentaire
AndréaDS- 15 déc. 2011 à 04:42
Ça a été long à faire mais finalement le voilà! http://pjjoint.malekal.com/files.php?id=20111215_j9j5g12s7k11
AndréaDS- 15 déc. 2011 à 04:49
Il y a encore beaucoup (Pas mal tous) de dossiers qui sont Cachés (Pas sur mon bureau, mais dans le disque C, les fichiers sont tous transparents)
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 8359Messages postés 17 juillet 2007Date d'inscription 30 mai 2012Dernière intervention 15 déc. 2011 à 07:08
# Quitter tous les programmes en cours
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
# lancer RogueKiller.exe
# Lorsque demandé, taper 6 et valider
# Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
# Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Ajouter un commentaire
AndréaDS- 15 déc. 2011 à 14:45
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Andréa [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/12/2011 08:45:13

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 107 / Fail 0
Lancement rapide: Success 27 / Fail 0
Programmes: Success 44 / Fail 0
Menu demarrer: Success 245 / Fail 0
Dossier utilisateur: Success 10469 / Fail 0
Mes documents: Success 117 / Fail 0
Mes favoris: Success 109 / Fail 0
Mes images: Success 116 / Fail 0
Ma musique: Success 6267 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 18449 / Fail 1
Sauvegarde: [FOUND] Success 30 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[H:] \Device\HarddiskVolume6 -- 0x2 --> Restored
[I:] \Device\HarddiskVolume7 -- 0x2 --> Restored

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
AndréaDS- 20 déc. 2011 à 13:56
Est-ce que tout est sensé etre réglé suite à ça?
Ajouter un commentaire
Posez votre question
Ce document intitulé « Virus mevio.com Redirection Google » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?