Malware redirection google [Résolu]

[Fred_du]

FoxScan Version 1.0.5

Ecrit par Loup blanc - Zebulon.fr

Scan lancé le 2009-02-24 à 13:48:30.21

 

 

Microsoft Windows XP [version 5.1.2600]

Service Pack 3

 

Mozilla Firefox version : 3.0.6 (fr)

Dossier d'installation : C:\Program Files\Mozilla Firefox

 

Profil : default

Dossier du profil : C:\Documents and Settings\fred\Application Data\mozilla\firefox\Profiles\nprchi73.default\

 

------------------------------------------------------

 

 

//////////// Modules complémentaires \\\\\\\\\\\\\

======= Profil : default =======

 

La notification d'installation des modules complémentaires est activée

 

Nom : XUL Cache

Etat : Activé

Dossier : C:\Program Files\Mozilla Firefox\extensions\{8B096152-2D8C-468E-A316-5F481DE54DFF}

 

Nom : Google Toolbar for Firefox

Etat : Activé

Dossier : C:\Documents and Settings\fred\Application Data\Mozilla\Firefox\Profiles\nprchi73.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

 

Nom : Microsoft .NET Framework Assistant

Etat : Activé

Dossier : C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

 

Nom : Skype extension for Firefox

Etat : Activé

Dossier : C:\Program Files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}

 

Nom : Default

Etat : Activé

Dossier : C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

 

 

 

------------------------------------------------------

 

 

 

//////////// Plugins de recherche \\\\\\\\\\\\\

======= Profil : default =======

 

Recherche dans "prefs.js" :

 

browser.search.defaultenginename : "Google"

 

browser.search.defaulturl : ""

 

browser.search.selectedEngine : ""

 

keyword.URL : "about:neterror?e=query&u="

 

 

--------- Moteurs de recherche trouvés ------------

+ Formulaire de recherche configuré pour le moteur

 

 

C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml

template="http://www.amazon.fr/exec/obidos/external-search/">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml

template="http://rover.ebay.com/rover/1/709-47295-17703-3/4">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\google.xml

template="http://www.google.com/search">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml

template="http://www.dictionnaire-mediadico.com/dictionnaires.asp">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml

template="http://fr.wikipedia.org/wiki/Special:Recherche">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

template="http://fr.search.yahoo.com/search">

 

 

------------------------------------------------------

 

 

//////////// DLL présentes dans C:\Program Files\Mozilla Firefox\components \\\\\\\\\\\\\

 

browserdirprovider.dll

brwsrcmp.dll

 

------------------------------------------------------

 

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]

"Description"="Adobe® Flash® Player 10"

"Vendor"="Adobe Systems Incorporated"

"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5]

"Description"="Windows Presentation Foundation plug-in for Mozilla browsers"

"Vendor"="Microsoft Corp."

"Path"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll"

 

------------------------------------------------------

 

//////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]

"{20a82645-c095-46ed-80e3-08825760534b}"="C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" ==== Infection Goored possible ====

Contenu du dossier :

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome.manifest

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\install.rdf

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome\chrome.jar

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults\preferences

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults\preferences\defaults.js

 

 

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.6\extensions]

 

 

------------------ Fin du rapport ------------------

[Fred_du]

je confirme que le problème semble bien venir de firefox. Je viens d'installer Chrome et ça fonctionne parfaitement. IE7 pareil. Par contre j'ai voulu désinstaller et réinstaller FIREFOX sans importer mes favoris, historiques, plug-ins et autres modules complémentaires et pourtant ça continue à déconner !

[Falkra]

Désinstalle les extensions nommées "Default" et "Microsoft .NET Framework Assistant" (menu outils, modules complémentaires, extensions).

Ferme Firefox sans le redémarrer (il te propose, ferme tout et ne le relance pas).

 

Télécharge OTMoveIt3 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :processes
  explorer.exe 
  :files
  C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
  C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
  :reg 
  [-HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]
  "{20a82645-c095-46ed-80e3-08825760534b}"=-
  
  :commands
  [emptytemp]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

[Fred_du]

Désinstalle les extensions nommées "Default" et "Microsoft .NET Framework Assistant" (menu outils, modules complémentaires, extensions).

Ferme Firefox sans le redémarrer (il te propose, ferme tout et ne le relance pas).

 

l'extension nommée "Default" n'existe pas ! bizarre.

"Microsoft .NET Framework Assistant" je ne peux que la désactiver mais la case "désinstaller" est grisée.

[Fred_du]

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults\preferences moved successfully.

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults moved successfully.

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome moved successfully.

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension moved successfully.

C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} moved successfully.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com\\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\\{20a82645-c095-46ed-80e3-08825760534b} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20a82645-c095-46ed-80e3-08825760534b}\ not found.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\fred\LOCALS~1\Temp\etilqs_b3kg9rRGzpf9x2G scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\fred\LOCALS~1\Temp\etilqs_ByJ7rAuGspwKLPN scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\fred\LOCALS~1\Temp\ExchangePerflog_8484fa313f5bd2514f5f39fb.dat scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\fred\LOCALS~1\Temp\~DFA12E.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02242009_161825

 

Files moved on Reboot...

File C:\DOCUME~1\fred\LOCALS~1\Temp\etilqs_b3kg9rRGzpf9x2G not found!

File C:\DOCUME~1\fred\LOCALS~1\Temp\etilqs_ByJ7rAuGspwKLPN not found!

C:\DOCUME~1\fred\LOCALS~1\Temp\ExchangePerflog_8484fa313f5bd2514f5f39fb.dat moved successfully.

File C:\DOCUME~1\fred\LOCALS~1\Temp\~DFA12E.tmp not found!

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

[Fred_du]

le problème est toujours la

[Falkra]

Continuons.

 

• Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit :
  

@echo off
echo.
echo  -=Extractions de la BdR=-
echo.

set cle=HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
echo %cle%
regedit /E c:\reggM1.txt "%cle%"
echo  ------------->>c:\reggM1.txt

set cle=HKEY_LOCAL_MACHINE\software\mozillaplugins
echo %cle%
regedit /E c:\reggM2.txt "%cle%"
echo  ------------->>c:\reggM2.txt

copy c:\reggM?.txt c:\regfile.txt>nul
del c:\reggM?.txt
notepad c:\regfile.txt
del c:\regfile.txt

• Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc).
  
• Le fichier va être créé avec une icône d'engrenage, place-le sur le bureau, double clique dessus et poste le rapport qui va s'afficher.
  

 

Après ça, refais un rapport FoxScan stp.

[Fred_du]

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Associations]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000143

"NoDriveAutoRun"=dword:03ffffff

"NoDrives"=dword:00000000

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]

 

ⴠⴭⴭⴭⴭⴭⴭ਍Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins]

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]

"Path"="C:\\WINDOWS\\system32\\Macromed\\Flash\\NPSWF32.dll"

"XPTPath"="C:\\WINDOWS\\system32\\Macromed\\Flash\\flashplayer.xpt"

"ProductName"="Adobe® Flash® Player Plugin"

"Vendor"="Adobe Systems Incorporated"

"Description"="Adobe® Flash® Player 10"

"Version"="10.0.12.36"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5]

"Description"="Windows Presentation Foundation plug-in for Mozilla browsers"

"GeckoVersion"="1.7.2"

"Path"="c:\\WINDOWS\\Microsoft.NET\\Framework\\v3.5\\Windows Presentation Foundation\\NPWPF.dll"

"ProductName"="Windows Presentation Foundation"

"Vendor"="Microsoft Corp."

"Version"="3.5"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5\MimeTypes]

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5\MimeTypes\application/x-ms-xbap]

"Description"="XAML Browser Application (XBAP)"

"Suffixes"="xbap"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5\MimeTypes\application/xaml+xml]

"Description"="XAML Document"

"Suffixes"="xaml"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5\Suffixes]

"xbap"=""

"xaml"=""

 

ⴠⴭⴭⴭⴭⴭⴭ਍

 

------------------ Fin du rapport ------------------

 

 

 

FoxScan Version 1.0.5

Ecrit par Loup blanc - Zebulon.fr

Scan lancé le 2009-02-24 à 16:56:50.16

 

 

Microsoft Windows XP [version 5.1.2600]

Service Pack 3

 

Mozilla Firefox version : 3.0.6 (fr)

Dossier d'installation : C:\Program Files\Mozilla Firefox

 

Profil : default

Dossier du profil : C:\Documents and Settings\fred\Application Data\mozilla\firefox\Profiles\x3nwmup8.default\

 

------------------------------------------------------

 

 

//////////// Modules complémentaires \\\\\\\\\\\\\

======= Profil : default =======

 

La notification d'installation des modules complémentaires est activée

 

Nom : XUL Cache

Etat : Activé

Dossier : C:\Program Files\Mozilla Firefox\extensions\{8B096152-2D8C-468E-A316-5F481DE54DFF}

 

 

 

------------------------------------------------------

 

 

 

//////////// Plugins de recherche \\\\\\\\\\\\\

======= Profil : default =======

 

Recherche dans "prefs.js" :

 

browser.search.defaultenginename : ""

 

browser.search.defaulturl : ""

 

browser.search.selectedEngine : ""

 

keyword.URL : ""

 

 

--------- Moteurs de recherche trouvés ------------

+ Formulaire de recherche configuré pour le moteur

 

 

C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml

template="http://www.amazon.fr/exec/obidos/external-search/">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml

template="http://rover.ebay.com/rover/1/709-47295-17703-3/4">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\google.xml

template="http://www.google.com/search">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml

template="http://www.dictionnaire-mediadico.com/dictionnaires.asp">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml

template="http://fr.wikipedia.org/wiki/Special:Recherche">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

template="http://fr.search.yahoo.com/search">

 

 

------------------------------------------------------

 

 

//////////// DLL présentes dans C:\Program Files\Mozilla Firefox\components \\\\\\\\\\\\\

 

browserdirprovider.dll

brwsrcmp.dll

 

------------------------------------------------------

 

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]

"Description"="Adobe® Flash® Player 10"

"Vendor"="Adobe Systems Incorporated"

"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5]

"Description"="Windows Presentation Foundation plug-in for Mozilla browsers"

"Vendor"="Microsoft Corp."

"Path"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll"

 

[HKEY_CURRENT_USER\software\mozillaplugins\@tools.google.com/Google Update;version=7]

"Description"="Google Update"

"Vendor"="Google"

"Path"="C:\Documents and Settings\fred\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll"

 

------------------------------------------------------

 

//////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]

 

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.6\extensions]

 

 

------------------ Fin du rapport ------------------

[Falkra]

Ok, il en restait un, j'ai mal entré le nom.

 

Télécharge OTMoveIt3 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :reg 
  [-HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

[Fred_du]

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5\\ deleted successfully.

 

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02242009_172437

 

 

arf ça ne marche toujours pas !