A voir également:
- Recherches google redirigées vers pub...
- Dns google - Guide
- Google maps satellite - Guide
- Bloqueur de pub youtube - Guide
- Google earth - Télécharger - 3D
- Netflix standard avec pub - Guide
35 réponses
didiego
Messages postés
488
Date d'inscription
dimanche 11 novembre 2007
Statut
Membre
Dernière intervention
21 février 2020
125
17 juil. 2011 à 01:12
17 juil. 2011 à 01:12
Plusieurs posts sur le même sujet et fiche pratique (https://www.commentcamarche.net/faq/6063-page-internet-google-redirigee
Merci pour votre attention,
Alors j'ai fais plusieurs scan avec malwarebytes, donc plusieurs rapports (3) :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7163
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088
16/07/2011 21:08:36
mbam-log-2011-07-16 (21-08-36).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 24111
Temps écoulé: 12 minute(s), 19 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\Users\Grégory\AppData\Roaming\34969090 (Rogue.Multiple) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\34972366 (Rogue.Multiple) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc1.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc123.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc129.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc40792077.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc40792124.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc71.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7163
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088
16/07/2011 21:44:21
mbam-log-2011-07-16 (21-44-21).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 21
Temps écoulé: 27 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Grégory\AppData\Local\Temp\0.31821437256957086.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7163
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19088
16/07/2011 22:34:35
mbam-log-2011-07-16 (22-34-35).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 23582
Temps écoulé: 10 minute(s), 15 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Grégory\AppData\LocalLow\Sun\Java\deployment\cache\6.0\18\504c492-5ab45909 (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\LocalLow\Sun\Java\deployment\cache\6.0\18\504c492-6681f5cc (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.
Par ailleurs, j'ai lancé combotfix, qui à la fin de son analyse, m'a supprimé 2 ou 3 fichiers (je ne me souviens pas desquels mais il me semble qu'il y avait un .dll), puis a redémarré l'ordi. Et là, impossible de lancer windows, le message suivant apparaissant : "Windows n'a pas pu démarrer. Une modification récente du matériel ou du logiciel pourrait être la cause de l'incident". Je pouvais choisir entre démarrer normalement, en mode sans échec ou en revenant à la dernière config stable connue, mais rien ne marchait, ça rebootait à chaque fois. J'ai du mettre le cd d'install de vista et lancer une réparation (qui s'est contentée de faire une restauration je pense, en tout cas combotfix a disparu de mon pc, et le problème de redirection vers des pubs est malheureusement toujours là...).
Merci,
Alors j'ai fais plusieurs scan avec malwarebytes, donc plusieurs rapports (3) :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7163
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088
16/07/2011 21:08:36
mbam-log-2011-07-16 (21-08-36).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 24111
Temps écoulé: 12 minute(s), 19 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\Users\Grégory\AppData\Roaming\34969090 (Rogue.Multiple) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\34972366 (Rogue.Multiple) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc1.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc123.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc129.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc40792077.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc40792124.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc71.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7163
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088
16/07/2011 21:44:21
mbam-log-2011-07-16 (21-44-21).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 21
Temps écoulé: 27 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Grégory\AppData\Local\Temp\0.31821437256957086.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7163
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19088
16/07/2011 22:34:35
mbam-log-2011-07-16 (22-34-35).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 23582
Temps écoulé: 10 minute(s), 15 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Grégory\AppData\LocalLow\Sun\Java\deployment\cache\6.0\18\504c492-5ab45909 (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\LocalLow\Sun\Java\deployment\cache\6.0\18\504c492-6681f5cc (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.
Par ailleurs, j'ai lancé combotfix, qui à la fin de son analyse, m'a supprimé 2 ou 3 fichiers (je ne me souviens pas desquels mais il me semble qu'il y avait un .dll), puis a redémarré l'ordi. Et là, impossible de lancer windows, le message suivant apparaissant : "Windows n'a pas pu démarrer. Une modification récente du matériel ou du logiciel pourrait être la cause de l'incident". Je pouvais choisir entre démarrer normalement, en mode sans échec ou en revenant à la dernière config stable connue, mais rien ne marchait, ça rebootait à chaque fois. J'ai du mettre le cd d'install de vista et lancer une réparation (qui s'est contentée de faire une restauration je pense, en tout cas combotfix a disparu de mon pc, et le problème de redirection vers des pubs est malheureusement toujours là...).
Merci,
Utilisateur anonyme
17 juil. 2011 à 02:53
17 juil. 2011 à 02:53
tu as eu de la chance
Combofix , mal utilisé est une arme dangeureuse ( la preuve) ^^
il y a des conditions pour l'utiliser
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
mirroir :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Combofix , mal utilisé est une arme dangeureuse ( la preuve) ^^
il y a des conditions pour l'utiliser
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
mirroir :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci du temps que tu prends la peine d'accorder à mon problème.
http://www.cijoint.fr/cjlink.php?file=cj201107/cijHf5vNzq.txt
http://www.cijoint.fr/cjlink.php?file=cj201107/cijHf5vNzq.txt
Utilisateur anonyme
17 juil. 2011 à 12:55
17 juil. 2011 à 12:55
desinstalle OfferBox
=======================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[-HKEY_CURRENT_USER\Software\OfferBox]
[-HKEY_LOCAL_MACHINE\Software\OfferBox]
file::
C:\Users\Grégory\AppData\Roaming\2777441
C:\Users\Grégory\AppData\Roaming\3773040
C:\Users\Grégory\AppData\Roaming\DROAD7B.tmp
C:\Users\Grégory\AppData\Local\7X0jH2Snhx2W
folder::
C:\Users\Grégory\AppData\Roaming\3B4FA472E2752A2AE35BA03A9D3742FC
C:\ProgramData\.zreglib
C:\ProgramData\regid.1986-12.com.adobe
C:\Program Files (x86)\OfferBox
attrib::
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
======================================
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
====================================
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
==================================
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
=======================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[-HKEY_CURRENT_USER\Software\OfferBox]
[-HKEY_LOCAL_MACHINE\Software\OfferBox]
file::
C:\Users\Grégory\AppData\Roaming\2777441
C:\Users\Grégory\AppData\Roaming\3773040
C:\Users\Grégory\AppData\Roaming\DROAD7B.tmp
C:\Users\Grégory\AppData\Local\7X0jH2Snhx2W
folder::
C:\Users\Grégory\AppData\Roaming\3B4FA472E2752A2AE35BA03A9D3742FC
C:\ProgramData\.zreglib
C:\ProgramData\regid.1986-12.com.adobe
C:\Program Files (x86)\OfferBox
attrib::
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
======================================
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
====================================
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
==================================
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Merci,
Pre_script.txt : http://www.cijoint.fr/cjlink.php?file=cj201107/cijWdSX1zA.txt
Reload_TDSSKiller : http://www.cijoint.fr/cjlink.php?file=cj201107/cijEV2EcSR.txt
Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201107/cijQbbWNNl.txt
Pre_script.txt : http://www.cijoint.fr/cjlink.php?file=cj201107/cijWdSX1zA.txt
Reload_TDSSKiller : http://www.cijoint.fr/cjlink.php?file=cj201107/cijEV2EcSR.txt
Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201107/cijQbbWNNl.txt
Utilisateur anonyme
17 juil. 2011 à 19:56
17 juil. 2011 à 19:56
refais pre_script avec ca dedans :
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
file::
C:\ProgramData\.zreglib
folder::
C:\Users\Grégory\AppData\Roaming\2777441
C:\Users\Grégory\AppData\Roaming\3773040
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
file::
C:\ProgramData\.zreglib
folder::
C:\Users\Grégory\AppData\Roaming\2777441
C:\Users\Grégory\AppData\Roaming\3773040
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Voilà :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Grégory (Administrateurs)
Ordinateur : PC
Système d'exploitation : Windows (TM) Vista Home Premium (64 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.18 (fr)
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP::
Script : 23:07:44
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Supprimé : C:\ProgramData\.zreglib
¤
Supprimé : C:\Users\Grégory\AppData\Roaming\2777441
Supprimé : C:\Users\Grégory\AppData\Roaming\3773040
¤
explorer.exe -> Processus redémarré
Fin : 23:09:31
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Grégory (Administrateurs)
Ordinateur : PC
Système d'exploitation : Windows (TM) Vista Home Premium (64 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.18 (fr)
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP::
Script : 23:07:44
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Supprimé : C:\ProgramData\.zreglib
¤
Supprimé : C:\Users\Grégory\AppData\Roaming\2777441
Supprimé : C:\Users\Grégory\AppData\Roaming\3773040
¤
explorer.exe -> Processus redémarré
Fin : 23:09:31
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Oui, même après redémarrage, toujours ces redirections, et l'impossibilité d'activer le pare feu windows (comme depuis le début de l'infection).
Quelques détails, je ne sais pas si c'est lié ou si ça a son importance, mais tout a commencé lorsque le centre de sécurité windows m'a demandé d'autoriser ou de refuser l'exécution de "taskmgr.exe". Je ne pouvais ni refuser, ni fermer la fenêtre, même avec le gestionnaire des tâches, car la fenêtre de demande d'autorisation réapparaissait instantanément sitôt fermée. J'ai donc fini par cliquer sur "autoriser", et je crois bien que c'est là que le problème a commencé.
Autre détail, lorsque je clique sur un lien dans les résultats de recherche google, je suis redirigé vers diverses pages de pubs, mais le temps que ces pages de pubs s'ouvrent, j'ai toujours "en attente de 100ksearches.com" en bas à gauche de l'écran (barre d'état je crois). Toujours ce "100ksearches.com" ou "www.100ksearches.com"...
Quelques détails, je ne sais pas si c'est lié ou si ça a son importance, mais tout a commencé lorsque le centre de sécurité windows m'a demandé d'autoriser ou de refuser l'exécution de "taskmgr.exe". Je ne pouvais ni refuser, ni fermer la fenêtre, même avec le gestionnaire des tâches, car la fenêtre de demande d'autorisation réapparaissait instantanément sitôt fermée. J'ai donc fini par cliquer sur "autoriser", et je crois bien que c'est là que le problème a commencé.
Autre détail, lorsque je clique sur un lien dans les résultats de recherche google, je suis redirigé vers diverses pages de pubs, mais le temps que ces pages de pubs s'ouvrent, j'ai toujours "en attente de 100ksearches.com" en bas à gauche de l'écran (barre d'état je crois). Toujours ce "100ksearches.com" ou "www.100ksearches.com"...
Utilisateur anonyme
18 juil. 2011 à 00:06
18 juil. 2011 à 00:06
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Alors, j'ai suivi scrupuleusement toutes tes indications et, malheureusement, même plantage que celui dont j'avais parlé plus haut :
Combofix se lance, tout semble se dérouler sans aucun problème, les 50 étapes se succèdent une à une, puis il m'annonce la suppression de 3 fichiers .dll : consrv.dll situé dans le dossier system32, et deux autres que je n'ai pas eu le temps de noter qui se trouvaient dans le dossier TEMP (peut être LVPrcInj01.dll et LVPrcInj02.dll mais je ne suis pas sur...)
Puis il redémarre et là : "Windows n'a pas pu démarrer. Une modification récente du matériel ou du logiciel pourrait être la cause de l'incident"
J'ai donc encore du lancer une réparation avec le cd de Vista, qui a procédé à une restauration.
Combofix a disparu de mon bureau, pas de rapport dans C:. Pre_scan, Defogger, Reload_TDSSKiller et Ad-remover ont également disparu du bureau. Je ne sais pas si ça a du même coup annulé les modifications/bénéfices qu'ils avaient apporté.
Les fichiers .dll supprimés par Combofix sont eux réapparus. Je les ai scanné avec Malwarebytes qui n'a rien détecté. Je crois aussi que combofix a crée un dossier, nommé comme mon prénom, dans lequel se trouvent plusieurs fichiers (.DAT, .CFXXE etc.)... Je ne sais pas si je dois le garder...
Évidemment, les redirections vers des pages de pub sont toujours d'actualité...
Combofix se lance, tout semble se dérouler sans aucun problème, les 50 étapes se succèdent une à une, puis il m'annonce la suppression de 3 fichiers .dll : consrv.dll situé dans le dossier system32, et deux autres que je n'ai pas eu le temps de noter qui se trouvaient dans le dossier TEMP (peut être LVPrcInj01.dll et LVPrcInj02.dll mais je ne suis pas sur...)
Puis il redémarre et là : "Windows n'a pas pu démarrer. Une modification récente du matériel ou du logiciel pourrait être la cause de l'incident"
J'ai donc encore du lancer une réparation avec le cd de Vista, qui a procédé à une restauration.
Combofix a disparu de mon bureau, pas de rapport dans C:. Pre_scan, Defogger, Reload_TDSSKiller et Ad-remover ont également disparu du bureau. Je ne sais pas si ça a du même coup annulé les modifications/bénéfices qu'ils avaient apporté.
Les fichiers .dll supprimés par Combofix sont eux réapparus. Je les ai scanné avec Malwarebytes qui n'a rien détecté. Je crois aussi que combofix a crée un dossier, nommé comme mon prénom, dans lequel se trouvent plusieurs fichiers (.DAT, .CFXXE etc.)... Je ne sais pas si je dois le garder...
Évidemment, les redirections vers des pages de pub sont toujours d'actualité...
Utilisateur anonyme
18 juil. 2011 à 02:51
18 juil. 2011 à 02:51
▶ Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-07-18 03:26:46
Windows 6.0.6002 Service Pack 2
Running: 2ywd6omc.exe
---- Files - GMER 1.0.15 ----
File C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.ci 24576 bytes
File C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.dir 4096 bytes
File C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid 65536 bytes
---- EOF - GMER 1.0.15 ----
Rootkit scan 2011-07-18 03:26:46
Windows 6.0.6002 Service Pack 2
Running: 2ywd6omc.exe
---- Files - GMER 1.0.15 ----
File C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.ci 24576 bytes
File C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.dir 4096 bytes
File C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid 65536 bytes
---- EOF - GMER 1.0.15 ----
Je n'ai inclus que ce qui était affiché dans l'onglet "Rootkie". Il n'en a trouvé que 3 apparemment.
Il fallait que je copie chaque page ?
En te remerciant toujours (j'admire ta dévotion)
Il fallait que je copie chaque page ?
En te remerciant toujours (j'admire ta dévotion)
Je viens d'essayer (j'ai du m'absenter une semaine) et c'est le même bordel qu'en mode normal, j'ai du relancer une réparation avec le cd d'install de Vista...
Et les redirections sont toujours là...
J'ai remarqué aussi que j'avais ces deux fichiers dans le dossier C:\Users\Grégory\AppData\Local\Temp :
{E9C1E0AC-C9B2-4c85-94DE-9C1518918D12}.tlb
{E9C1E0AC-C9B2-4c85-94DE-9C1518918D02}.tlb
Leur date de création correspond au début de l'infection, et je ne peux pas les supprimer (accès refusé)... Je ne sais pas si ça peut avoir un rapport avec mon problème...
Et les redirections sont toujours là...
J'ai remarqué aussi que j'avais ces deux fichiers dans le dossier C:\Users\Grégory\AppData\Local\Temp :
{E9C1E0AC-C9B2-4c85-94DE-9C1518918D12}.tlb
{E9C1E0AC-C9B2-4c85-94DE-9C1518918D02}.tlb
Leur date de création correspond au début de l'infection, et je ne peux pas les supprimer (accès refusé)... Je ne sais pas si ça peut avoir un rapport avec mon problème...
Utilisateur anonyme
25 juil. 2011 à 14:35
25 juil. 2011 à 14:35
hello
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
17 juil. 2011 à 01:31
17 juil. 2011 à 01:36
Tu es entre de bonnes mains, Evian... (et je ne m'en lave pas!) ^^
17 juil. 2011 à 01:40