Noj

C'est bon, j'ai tout vérifié, je suis bien à jour! tout a été désintallé. Merci encore! Supprimé : C:\Qoobox Supprimé : C:\_OTL Supprimé : C:\ZHP Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP Supprimé : C:\Users\Noj\Desktop\RK_Quarantine ~~~~~~ Fichier(s) ~~~~~~ Supprimé : C:\AdwCleaner[R1].txt Supprimé : C:\AdwCleaner[R2].txt Supprimé : C:\AdwCleaner[R3].txt Supprimé : C:\AdwCleaner[s1].txt Supprimé : C:\AdwCleaner[s2].txt Supprimé : C:\AdwCleaner[s3].txt Supprimé : C:\ComboFix.txt Supprimé : C:\ComboFixLog.txt Supprimé : C:\PhysicalDisk0_MBR.bin Supprimé : C:\TDSSKiller.2.7.48.0_12.08.2012_11.00.01_log.txt Supprimé : C:\TDSSKiller.2.8.6.0_18.08.2012_17.44.44_log.txt Supprimé : C:\TDSSKiller.2.8.6.0_18.08.2012_17.47.32_log.txt Supprimé : C:\Users\Noj\Desktop\ComboFix.exe Supprimé : C:\Users\Noj\Desktop\hijackthis.log Supprimé : C:\Users\Noj\Desktop\MBRCheck_08.18.12_14.13.38.txt Supprimé : C:\Users\Noj\Desktop\OTL.Txt Supprimé : C:\Users\Noj\Desktop\OTL.exe Supprimé : C:\Users\Noj\Desktop\RKreport[1].txt Supprimé : C:\Users\Noj\Desktop\RKreport[2].txt Supprimé : C:\Users\Noj\Desktop\TFC.exe Supprimé : C:\Users\Noj\Desktop\ZHPDiag.txt Supprimé : C:\Users\Noj\Desktop\ZHPFixReport.txt Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk Supprimé : C:\Users\Noj\Downloads\adwcleaner.exe Supprimé : C:\Users\Noj\Downloads\ComboFix.exe Supprimé : C:\Users\Noj\Downloads\esetsmartinstaller_enu.exe Supprimé : C:\Users\Noj\Downloads\Extras.Txt Supprimé : C:\Users\Noj\Downloads\HijackThis.exe Supprimé : C:\Users\Noj\Downloads\hijackthis.log Supprimé : C:\Users\Noj\Downloads\OTL.Txt Supprimé : C:\Users\Noj\Downloads\OTL (1).exe Supprimé : C:\Users\Noj\Downloads\OTL.exe Supprimé : C:\Users\Noj\Downloads\TFC.exe Supprimé : C:\Users\Noj\Downloads\ZHPDiag2.exe Supprimé : C:\Windows\grep.exe Supprimé : C:\Windows\PEV.exe Supprimé : C:\Windows\NIRCMD.exe Supprimé : C:\Windows\MBR.exe Supprimé : C:\Windows\SED.exe Supprimé : C:\Windows\SWREG.exe Supprimé : C:\Windows\SWSC.exe Supprimé : C:\Windows\SWXCACLS.exe Supprimé : C:\Windows\Zip.exe ~~~~~~ Registre ~~~~~~ Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools Clé Supprimée : HKLM\SOFTWARE\AdwCleaner Clé Supprimée : HKLM\SOFTWARE\Swearware Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe ~~~~~~ Autres ~~~~~~ Désinstallé : ESET Online Scanner -> Prefetch Vidé ************************* DelFix[s1].txt - [2897 octets] - [20/08/2012 19:55:57] ########## EOF - C:\DelFix[s1].txt - [3021 octets] ##########

Yes!!! Une dll était bien cachée et vérolée : c:\windows\SysWow64\elsTransg.dll (caché, système, droits en lecture uniquement pour system) rapport virustotal : https://www.virustotal.com/file/d4c5216639c0b1ed07e5bc62195e55a3b4904c7c8bbac62f9afc73da709a5cdd/analysis/1345456974/ Après avoir récupéré les droits dessus, je l'ai renommée en .bak et voila! Plus de redirection (on le reconnait au google qui rafraichit en temps réel pendant qu'on tape la recherche alors que le google infecté ne le faisait pas) et MSE qui tourne à nouveau! Merci encore pour votre aide, j'ai beaucoup appris ces derniers jours sur les menaces et outils disponibles. Bonne continuation!

Mauvaise nouvelle, toujours des redirections ce matin... le log ZHPFix : Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012 Fichier d'export Registre : Run by Noj at 18/08/2012 22:11:48 Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601) Web site : ZHPFix Fix de rapport Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com ========== Processus mémoire ========== SUPPRIME Memory Process: C:\Users\Noj\AppData\Roaming\SanDisk\SanDiskSecureAccess_Manager.exe ========== Clé(s) du Registre ========== SUPPRIME Key*: HKCU\Software\AppDataLow\Software\uTorrentBar_FR ========== Valeur(s) du Registre ========== SUPPRIME RunValue: SanDiskSecureAccess_Manager.exe SUPPRIME FirewallRaz (Private) : TCP Query User{01BAE968-DD4B-467B-B2E2-3EDABBA6E87A}C:\windows\kmsemulator.exe SUPPRIME FirewallRaz (Private) : UDP Query User{FFBC9F6D-A703-4E36-AA5D-0E3FE5705503}C:\windows\kmsemulator.exe SUPPRIME FirewallRaz (Private) : {E60F642A-07E2-4644-8B1F-11CBFBEDD680} SUPPRIME FirewallRaz (Private) : {D308BBDF-5305-4AFD-BACA-EB9391271CE1} SUPPRIME FirewallRaz (Private) : {92141547-547D-42E2-AF04-1EAAC430AB11} SUPPRIME FirewallRaz (Private) : {F3F701E0-DB54-4082-AF0C-B482BDA2CFE6} ========== Dossier(s) ========== SUPPRIME Temporaires Windows: SUPPRIME Flash Cookies: ========== Fichier(s) ========== SUPPRIME File: c:\users\noj\appdata\roaming\sandisk\sandisksecureaccess_manager.exe ABSENT File: c:\users\noj\appdata\roaming\sandisk\sandisksecureaccess_manager.exe SUPPRIME File: c:\windows\winstart.bat SUPPRIME Temporaires Windows: SUPPRIME Flash Cookies: ========== Récapitulatif ========== 1 : Processus mémoire 1 : Clé(s) du Registre 7 : Valeur(s) du Registre 2 : Dossier(s) 5 : Fichier(s) End of clean in 00mn 01s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 18/08/2012 22:11:48 [2002] et le log ESET : C:\Users\Noj\Downloads\Avira-Free-Antivirus-2012.exe a variant of Win32/InstallCore.AM application cleaned by deleting - quarantined Z:\Programmes\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi application cleaned by deleting - quarantined

Hmm... cela fait quelques temps que je n'ai plus eu de redirection. 2 redirections depuis Combofix (une qui a échoué, et une vers un site de rencontre xxx alors que je pointais chez microsoft.com), et depuis, plus rien. Pourtant, il me semble que rien n'a été fait sur le PC si ce n'est les scans demandés ainsi que la suppression manuelle de 2 répertoires Norton dans ProgramData. A oui, il y a aussi eu la mise à jour windows (31 mises à jours), mais il me semble que c'était avant la dernière redirection. A toutes fins utiles, voici le scan ZHPDiag : Lien CJoint.com BHsuow4WAbb mais je reste prudent, hier soir tout semblait fonctionner avant de repartir de plus belles ce matin... et puis MSE refuse toujours de se lancer. S'il n'y a plus de redirection d'ici demain, je cloturerai le sujet. En tous cas, merci beaucoup pour votre disponibilité et réactivité, à la fois remarquable et extrèmement appréciable.

J'ai réinstallé MBAM pour l'occasion. Pas grand chose de neuf... Malwarebytes Anti-Malware (Essai) 1.62.0.1300 www.malwarebytes.org Version de la base de données: v2012.08.18.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Noj :: VAIO [administrateur] Protection: Désactivé 18/08/2012 19:01:20 mbam-log-2012-08-18 (19-01-20).txt Type d'examen: Examen complet (C:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 316108 Temps écoulé: 19 minute(s), 19 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin)

Voici le lien vers le log TDSSKiller : Lien CJoint.com BHsrZf9Xk1D Sinon, depuis les 1ers scans, je trouve que j'ai nettement moins de redirections, mais il en subsiste encore quelques unes (>50% avant, <5% à présent).

le lien virustotal : https://www.virustotal.com/file/7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6/analysis/1345303448/

Merci beaucoup pour votre réponse rapide! uTorrent désinstallé Rapport Combofix : Lien CJoint.com BHsqHjmqTCo bizarrement, Combofix me dit que Norton Internet Security est encore résident alors que je l'ai désinstallé et supprimé avec Norton Removal Tool. Rapport AdwCleaner[s3] (je l'avais déjà lancé) : # AdwCleaner v1.801 - Rapport créé le 18/08/2012 à 16:39:12 # Mis à jour le 14/08/2012 par Xplode # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits) # Nom d'utilisateur : Noj - VAIO # Mode de démarrage : Normal # Exécuté depuis : C:\Users\Noj\Downloads\adwcleaner.exe # Option [suppression] ***** [services] ***** ***** [Fichiers / Dossiers] ***** ***** [Registre] ***** ***** [Registre - GUID] ***** ***** [Navigateurs] ***** -\\ Internet Explorer v9.0.8112.16421 [OK] Le registre ne contient aucune entrée illégitime. -\\ Google Chrome v [impossible d'obtenir la version] Fichier : C:\Users\Noj\AppData\Local\Google\Chrome\User Data\Default\Preferences [OK] Le fichier ne contient aucune entrée illégitime. ************************* AdwCleaner[R1].txt - [4726 octets] - [17/08/2012 16:43:21] AdwCleaner[s1].txt - [3870 octets] - [17/08/2012 16:43:46] AdwCleaner[R2].txt - [1053 octets] - [18/08/2012 16:29:33] AdwCleaner[s2].txt - [1115 octets] - [18/08/2012 16:29:57] AdwCleaner[R3].txt - [1174 octets] - [18/08/2012 16:38:59] AdwCleaner[s3].txt - [1107 octets] - [18/08/2012 16:39:12] ########## EOF - C:\AdwCleaner[s3].txt - [1235 octets] ##########

Bonjour, cela fait plusieurs jours que j'essaie tout pour éradiquer la redirection de liens google dont je suis victime : Malwarebyte, Super Antispyware, Norton Security Scan, Microsoft Safety Scanner, Avast, Antivir et j'en passe... j'ai même tenté Combofix sans succès. Il y a juste MSE que je n'ai pas pu lancer car quelque chose bloque le démarrage du service. Je tourne sous IE9, et ce dernier a été réinitialisé. Je ne voulais pas trop vous déranger, mais la, je ne sais plus que faire... je vous mets en copie les logs ZPHDiag2 et HiJackThis à toutes fins utiles : pjjoint.malekal.com - Submit a file pjjoint.malekal.com - Submit a file Merci d'avance!