Recherches google redirigées vers pub...Fermé

Question

Bonjour, 

Lorsque je lance une recherche dans google (que ce soit sous firefox ou Internet Explorer) et que je clique sur les résultats de la recherche, je suis toujours automatiquement redirigé vers des pages publicitaires...

J'ai lancé un scan complet en mode sans échecs avec malwarebytes, qui m'a détecté pas mal de saloperies, mais ça n'a pas résolu le problème.

Je suis sous windows vista 64 bit.

Merci d'avance,

didiego · Answer

Plusieurs posts sur le même sujet et fiche pratique (https://www.commentcamarche.net/faq/6063-page-internet-google-redirigee

g3n-h@ckm@n · Answer

salut poste ton rapport de malwarebytes

Evian · Answer

Merci pour votre attention,

Alors j'ai fais plusieurs scan avec malwarebytes, donc plusieurs rapports (3) :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7163

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088

16/07/2011 21:08:36
mbam-log-2011-07-16 (21-08-36).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 24111
Temps écoulé: 12 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\Users\Grégory\AppData\Roaming\34969090 (Rogue.Multiple) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\34972366 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc1.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc123.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc129.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc40792077.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc40792124.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\plugs\mmc71.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\Roaming\Adobe\shed	hr1.chm (Malware.Trace) -> Quarantined and deleted successfully.



Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7163

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088

16/07/2011 21:44:21
mbam-log-2011-07-16 (21-44-21).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 21
Temps écoulé: 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Grégory\AppData\Local\Temp\0.31821437256957086.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.



Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7163

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19088

16/07/2011 22:34:35
mbam-log-2011-07-16 (22-34-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 23582
Temps écoulé: 10 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Grégory\AppData\LocalLow\Sun\Java\deployment\cache\6.0\18\504c492-5ab45909 (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.
c:\Users\Grégory\AppData\LocalLow\Sun\Java\deployment\cache\6.0\18\504c492-6681f5cc (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.




Par ailleurs, j'ai lancé combotfix, qui à la fin de son analyse, m'a supprimé 2 ou 3 fichiers (je ne me souviens pas desquels mais il me semble qu'il y avait un .dll), puis a redémarré l'ordi. Et là, impossible de lancer windows, le message suivant apparaissant : "Windows n'a pas pu démarrer. Une modification récente du matériel ou du logiciel pourrait être la cause de l'incident". Je pouvais choisir entre démarrer normalement, en mode sans échec ou en revenant à la dernière config stable connue, mais rien ne marchait, ça rebootait à chaque fois. J'ai du mettre le cd d'install de vista et lancer une réparation (qui s'est contentée de faire une restauration je pense, en tout cas combotfix a disparu de mon pc, et le problème de redirection vers des pubs est malheureusement toujours là...).

Merci,

g3n-h@ckm@n · Answer

tu as eu de la chance

Combofix , mal utilisé est une arme dangeureuse ( la preuve) ^^

il y a des conditions pour l'utiliser

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Evian · Answer

Merci du temps que tu prends la peine d'accorder à mon problème. 

http://www.cijoint.fr/cjlink.php?file=cj201107/cijHf5vNzq.txt

g3n-h@ckm@n · Answer

desinstalle OfferBox

=======================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Registry::
[-HKEY_CURRENT_USER\Software\OfferBox] 
[-HKEY_LOCAL_MACHINE\Software\OfferBox]      

file::
C:\Users\Grégory\AppData\Roaming\2777441
C:\Users\Grégory\AppData\Roaming\3773040       
C:\Users\Grégory\AppData\Roaming\DROAD7B.tmp      
C:\Users\Grégory\AppData\Local\7X0jH2Snhx2W      

folder::
C:\Users\Grégory\AppData\Roaming\3B4FA472E2752A2AE35BA03A9D3742FC      
C:\ProgramData\.zreglib    
C:\ProgramData\regid.1986-12.com.adobe  
C:\Program Files (x86)\OfferBox    

attrib::                                    
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

======================================

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le

Une fenêtre apparait : clique sur "Disable"

&#9654 Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

====================================

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

==================================


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Evian · Answer

Merci,

Pre_script.txt : http://www.cijoint.fr/cjlink.php?file=cj201107/cijWdSX1zA.txt

Reload_TDSSKiller : http://www.cijoint.fr/cjlink.php?file=cj201107/cijEV2EcSR.txt

Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201107/cijQbbWNNl.txt

g3n-h@ckm@n · Answer

refais pre_script avec ca dedans :

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
file::
C:\ProgramData\.zreglib

folder::
C:\Users\Grégory\AppData\Roaming\2777441
C:\Users\Grégory\AppData\Roaming\3773040          
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Evian · Answer

Voilà :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Grégory (Administrateurs)
Ordinateur : PC
Système d'exploitation : Windows (TM) Vista Home Premium (64 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.18 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP::

Script : 23:07:44

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Supprimé : C:\ProgramData\.zreglib

¤

Supprimé : C:\Users\Grégory\AppData\Roaming\2777441
Supprimé : C:\Users\Grégory\AppData\Roaming\3773040 

¤


explorer.exe -> Processus redémarré

Fin : 23:09:31

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok toujours des redirections ?

Evian · Answer

Oui, même après redémarrage, toujours ces redirections, et l'impossibilité d'activer le pare feu windows (comme depuis le début de l'infection).

Quelques détails, je ne sais pas si c'est lié ou si ça a son importance, mais tout a commencé lorsque le centre de sécurité windows m'a demandé d'autoriser ou de refuser l'exécution de "taskmgr.exe". Je ne pouvais ni refuser, ni fermer la fenêtre, même avec le gestionnaire des tâches, car la fenêtre de demande d'autorisation réapparaissait instantanément sitôt fermée. J'ai donc fini par cliquer sur "autoriser", et je crois bien que c'est là que le problème a commencé.

Autre détail, lorsque je clique sur un lien dans les résultats de recherche google, je suis redirigé vers diverses pages de pubs, mais  le temps que ces pages de pubs s'ouvrent, j'ai toujours "en attente de 100ksearches.com" en bas à gauche de l'écran (barre d'état je crois). Toujours ce "100ksearches.com" ou "www.100ksearches.com"...

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Evian · Answer

Alors, j'ai suivi scrupuleusement toutes tes indications et, malheureusement, même plantage que celui dont j'avais parlé plus haut :

Combofix se lance, tout semble se dérouler sans aucun problème, les 50 étapes se succèdent une à une, puis il m'annonce la suppression de 3 fichiers .dll : consrv.dll situé dans le dossier system32, et deux autres que je n'ai pas eu le temps de noter qui se trouvaient dans le dossier TEMP (peut être LVPrcInj01.dll et LVPrcInj02.dll mais je ne suis pas sur...)

Puis il redémarre et là : "Windows n'a pas pu démarrer. Une modification récente du matériel ou du logiciel pourrait être la cause de l'incident"

J'ai donc encore du lancer une réparation avec le cd de Vista, qui a procédé à une restauration.

Combofix a disparu de mon bureau, pas de rapport dans C:. Pre_scan, Defogger, Reload_TDSSKiller et Ad-remover ont également disparu du bureau. Je ne sais pas si ça a du même coup annulé les modifications/bénéfices qu'ils avaient apporté.

Les fichiers .dll supprimés par Combofix sont eux réapparus. Je les ai scanné avec Malwarebytes qui n'a rien détecté. Je crois aussi que combofix a crée un dossier, nommé comme mon prénom, dans lequel se trouvent plusieurs fichiers (.DAT, .CFXXE etc.)... Je ne sais pas si je dois le garder...

Évidemment, les redirections vers des pages de pub sont toujours d'actualité...

g3n-h@ckm@n · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Evian · Answer

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-07-18 03:26:46
Windows 6.0.6002 Service Pack 2 
Running: 2ywd6omc.exe


---- Files - GMER 1.0.15 ----

File  C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.ci   24576 bytes
File  C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.dir  4096 bytes
File  C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid  65536 bytes

---- EOF - GMER 1.0.15 ----

g3n-h@ckm@n · Answer

bien court ce rapport....

Evian · Answer

Je n'ai inclus que ce qui était affiché dans l'onglet "Rootkie". Il n'en a trouvé que 3 apparemment. 

Il fallait que je copie chaque page ?

En te remerciant toujours (j'admire ta dévotion)

g3n-h@ckm@n · Answer

reessaie combofix en mode sans echec

Evian · Answer

Je viens d'essayer (j'ai du m'absenter une semaine) et c'est le même bordel qu'en mode normal, j'ai du relancer une réparation avec le cd d'install de Vista...

Et les redirections sont toujours là...

J'ai remarqué aussi que j'avais ces deux fichiers dans le dossier C:\Users\Grégory\AppData\Local\Temp :

{E9C1E0AC-C9B2-4c85-94DE-9C1518918D12}.tlb
{E9C1E0AC-C9B2-4c85-94DE-9C1518918D02}.tlb

Leur date de création correspond au début de l'infection, et je ne peux pas les supprimer (accès refusé)... Je ne sais pas si ça peut avoir un rapport avec mon problème...

g3n-h@ckm@n · Answer

hello

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Evian · Answer

Merci,

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:38:48 le 25/07/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X64) 
Grégory@PC (System manufacturer P5E3 Deluxe) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Grégory\AppData\Roaming\Mozilla\FireFox\Profiles\mw40q5xi.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com"); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ezLife
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.18 (fr)] ****

Plugins\libdivx.dll (The OpenSSL Project, http://www.openssl.org/)
Plugins
pdivx32.dll (DivX,Inc.)
Plugins\ssldivx.dll (The OpenSSL Project, http://www.openssl.org/)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox		)

-- C:\Users\Grégory\AppData\Roaming\Mozilla\FireFox\Profiles\mw40q5xi.default --
Prefs.js - browser.download.dir, C:\Users\Grégory\Desktop
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.18

========================================

**** Internet Explorer Version [8.0.6001.19088] ****

IEXPLORE.EXE\Shell\Open\Command - iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_Extensions\{06568ceb-5721-47d4-9d93-7e604fcbaeab} - "PMU Poker" (C:\Programs\PMU\PMUPoker\images\ppicon.ico)
HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files (x86)\PokerStars.FR\main.ico)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 29 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 17/07/2011 17:21:31 (3747 Octet(s)) 

Fin à: 14:39:55, 25/07/2011 
 
============== E.O.F ============== 




Sinon, les redirections sont toujours là, et les 2 fichiers dont je parlais aussi...

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Evian · Answer

OTL plante systématiquement dès le début de l'analyse ("ce programme ne répond pas")

J'ai paramétré comme montré dans la vidéo...

Je commence à désespérer lol...

g3n-h@ckm@n · Answer

tu respectes bien ceci ?

si tu as Vista ou windows 7 => clic droit "executer en tant que...."

Evian · Answer

oui oui...

g3n-h@ckm@n · Answer

et sans toucher les reglages il tourne ?

Evian · Answer

Sans rien toucher oui ça marche, et il m'ouvre deux fichiers textes : OTL.Txt et Extras.Txt :

OTL.Txt : http://www.cijoint.fr/cjlink.php?file=cj201107/cijKq8ltz1.txt

Extras.Txt :http://www.cijoint.fr/cjlink.php?file=cj201107/cijk7hQit3.txt

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\sipr3260.dll      

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

===============================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>      
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) 
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)   

:Files
C:\ProgramData\aM09801CbOlE09801           
C:\Windows\system64          
@Alternate Data Stream - 24 bytes -> C:\Windows:AA95A8AE45BEECCB      

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Evian · Answer

La manip de trop apparemment... Je poste d'un autre ordi...

En ce qui concerne Virus Total, je ne peux pas poster le lien vu que je n'ai plus accès au pc. Je me souviens juste que cela mettait que le fichier avait déjà été analysé...

Pour ce qui est d'OTL, j'ai copié la liste comme stipulé, le processus s'est apparemment déroulé normalement puis il a rebooté le système, et là : à peu près le même problème que rencontré avec combofix, impossible de lancer Windows. Que je tente de démarrer normalement ou en mode sans échec, même message:


 Windows n'a pas pu démarrer. Une récente modification du logiciel pourrait être la cause de cet incident. Pour corriger le problème :

   1. Insérez le disque d'installation de Windows et redémarrez l'ordinateur.
   2. Choisissez les paramètres de langue et cliquez sur "suivant".
   3. Cliquez sur "Réparer votre ordinateur".

Si vous n'avez pas ce disque, contactez votre administrateur système ou le fabricant de votre ordinateur pour obtenir de l'assistance.

     Ficher : \Windows\system32
toskrnl.exe

     Statut : 0xc0000428

     Infos : Windows n peut pas vérifier la signature numérique de ce fichier. 


Sauf que là, contrairement aux autres fois, ça ne marche plus. Impossible de réparer ou de restaurer avec le cd d'install... Échec de l'opération à chaque fois.

Extrait de "Détails sur le diagnostic et la réparation" :

Le fichier critique de démarrage :c\Windows\system32
toskrnl.exe est endommagé.

Action de réparation : Réparation de fichier
Résultat : Échec de l'opération   Code d'erreur = 0x2
Durée : 7036 ms 

Action de réparation : Restaurer le système
Résultat : Échec de l'opération   Code d'erreur = 0x3
Durée : 5944 ms

Action de réparation : Vérification et réparation de l'intégrité des fichiers système
Résultat : Échec de l'opération   Code d'erreur = 0x2
Durée = 6318 ms


Voilà... Je précise que je n'ai pas de points de restaurations sauvegardés quelque-part...

J'suis bon pour une réinstallation complète de Windows ? (Ça me ferait vraiment chier)

g3n-h@ckm@n · Answer

et si tu essaies de demarrer en "derniere bonne configuration connue" ?

Evian · Answer

Pareil, même message qu'en mode normal ou sans échec.

g3n-h@ckm@n · Answer

essaie cette solution image à graver 

http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html

Evian · Answer

Je ne peux pas graver avec le portable duquel je poste... Il n'y aurait pas une autre solution ?

Evian · Answer

Finalement, j'ai réinstallé Windows. Au moins c'est réglé.

Et je lance un contrat sur la tête du fils de @#!/è de sa mère la $ù%* de grosse ?€/§} qui a développé ce malware. 80000€.

g3n-h@ckm@n · Answer

bon bah ok :)

Recherches google redirigées vers pub...

35 réponses

Discussions similaires

Newsletters