sujet de nino1974

[Thanos]

nino1974: comme je te le disait par mp, il y a un bug depuis la mise à jour du forum. Certains sujets sont bloqués et ne sont plus accessibles.

Je n'ai malheureusement pas pu récupérer les réponses du conseiller qui a pris ton cas en charge. Je colle à la suite tes réponses

 

**************

 

31 juillet 2010 - 17:26

 

Bonjour,j'ai le meme probleme que phillipemile, un internaute, en ce qui concerne l'ouverture de la page "gala directory": redirection d'internet explorer8 alors que je demandais une autre recherche a partir de google.

Je ne suis pas un habitué du site, j'ai cru comprends en lisant le post que chaque probleme a le sien!

Si vous pouvez m'aider car je soupconne en effet mon pc d'avoir quelques soucis..virale peut etre...

Je ne sais pas si le probleme vient de la, mais j'ai eu des soucis depuis un certain temps avec des spyware et virus, genre certainement ai je fais une bétise, en voulant telecharger un logiciel gratuit contre les virus

Du coup une fenetre apparaissait me disans que javais une dizaine de virus, j'ai fais la betise d'y croire, bon naif que je suis jai telechargé et oupsss jai été infectés....suite a cela j'ai fais des scans avec ad aware, c cleaner; malwarebytes et spybotes en mode sans echec, avec les mises a jours et redemarrage a chaque fois...je pense avoir résolu certains problemes

Cependant, donc quand je veux chercher quelquechose, google me renvoie sur cette fameuse page; galla redirectory, en plus ca rame, puis jai des dysfonctionnements aussi quand je veux ouvrir ma boite mail ou certaines pages internet

Bref un peu perdu le nino, besoin de votre aide, merci a vous !!

 

**************

 

Hier, 15:24

 

Bonjour, merci de ta présence

j'ai bien commencé ce que tu m'as dit jusqu'a ton lien RHosts, j'ai donc fait restaurer comme indiqué et la

il me met "impossible de créer C:\WINDOWS\system32\driversetc\hosts

donc je me suis arreté la.....

 

Thanos: je suis obligé de créer un nouveau message pour y poster ton rapport.

[Thanos]

je te poste le rapport que j'avais fait de malwarebyte ca peut peut etre servir?, je refais une scan comme tu me l'as indiqué puis un nouveau rapport Hijackthis

 

Edition Thanos:

 

-j'ai hébergé le rapport sur ce site car il est trop long et semble être à l'origine du plantage! >> http://www.cijoint.fr/cj201008/cijCTxYG9q.txt

 

-Le rapport hijackthis n'est pas visible malheureusement: je n'ai pas pu le récupérer

[nino1974]

Merci beaucoup thanos

 

Bien je vais laisser mon rapport hijackthis en supplémet, par contre comme je le disais plus haut

j'ai bien commencé ce que m'as demandé la personne qui essayait de m'aider(je ne vois aucune de ses messages d'ailleurs) jusqu'au lien RHosts, j'ai donc fait restaurer comme indiqué et la

il me met "impossible de créer C:\WINDOWS\system32\driversetc\hosts

donc je me suis arreté la.....

 

Je ne sais pas si la personne qui m'aidait va pouvoir revenir, donc voila je suis toujours preneur pour de l'aide merci

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:22:49, on 01/08/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\Philips\SPC230NC\Monitor.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\trend micro\rapports et problemes\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 74.125.45.100 4-open-davinci.com

O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com

O1 - Hosts: 74.125.45.100 privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getavplusnow.com

O1 - Hosts: 74.125.45.100 safebrowsing-cache.google.com

O1 - Hosts: 74.125.45.100 urs.microsoft.com

O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com

O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com

O1 - Hosts: 74.125.45.100 paysoftbillsolution.com

O1 - Hosts: 74.125.45.100 protected.maxisoftwaremart.com

O1 - Hosts: 217.23.4.103 www.google.com

O1 - Hosts: 217.23.4.103 google.com

O1 - Hosts: 217.23.4.103 google.com.au

O1 - Hosts: 217.23.4.103 www.google.com.au

O1 - Hosts: 217.23.4.103 google.be

O1 - Hosts: 217.23.4.103 www.google.be

O1 - Hosts: 217.23.4.103 google.com.br

O1 - Hosts: 217.23.4.103 www.google.com.br

O1 - Hosts: 217.23.4.103 google.ca

O1 - Hosts: 217.23.4.103 www.google.ca

O1 - Hosts: 217.23.4.103 google.ch

O1 - Hosts: 217.23.4.103 www.google.ch

O1 - Hosts: 217.23.4.103 google.de

O1 - Hosts: 217.23.4.103 www.google.de

O1 - Hosts: 217.23.4.103 google.dk

O1 - Hosts: 217.23.4.103 www.google.dk

O1 - Hosts: 217.23.4.103 google.fr

O1 - Hosts: 217.23.4.103 www.google.fr

O1 - Hosts: 217.23.4.103 google.ie

O1 - Hosts: 217.23.4.103 www.google.ie

O1 - Hosts: 217.23.4.103 google.it

O1 - Hosts: 217.23.4.103 www.google.it

O1 - Hosts: 217.23.4.103 google.co.jp

O1 - Hosts: 217.23.4.103 www.google.co.jp

O1 - Hosts: 217.23.4.103 google.nl

O1 - Hosts: 217.23.4.103 www.google.nl

O1 - Hosts: 217.23.4.103 google.no

O1 - Hosts: 217.23.4.103 www.google.no

O1 - Hosts: 217.23.4.103 google.co.nz

O1 - Hosts: 217.23.4.103 www.google.co.nz

O1 - Hosts: 217.23.4.103 google.pl

O1 - Hosts: 217.23.4.103 www.google.pl

O1 - Hosts: 217.23.4.103 google.se

O1 - Hosts: 217.23.4.103 www.google.se

O1 - Hosts: 217.23.4.103 google.co.uk

O1 - Hosts: 217.23.4.103 www.google.co.uk

O1 - Hosts: 217.23.4.103 google.co.za

O1 - Hosts: 217.23.4.103 www.google.co.za

O1 - Hosts: 217.23.4.103 www.google-analytics.com

O1 - Hosts: 217.23.4.103 www.bing.com

O1 - Hosts: 217.23.4.103 search.yahoo.com

O1 - Hosts: 217.23.4.103 www.search.yahoo.com

O1 - Hosts: 217.23.4.103 uk.search.yahoo.com

O1 - Hosts: 217.23.4.103 ca.search.yahoo.com

O1 - Hosts: 217.23.4.103 de.search.yahoo.com

O1 - Hosts: 217.23.4.103 fr.search.yahoo.com

O1 - Hosts: 217.23.4.103 au.search.yahoo.com

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sPC230NC_Monitor] C:\WINDOWS\Philips\SPC230NC\Monitor.exe

O4 - HKLM\..\Run: [sPC_Monitor] C:\WINDOWS\Philips\SPC230NC\Monitor.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: TrayMin230.lnk = ?

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.chat-land.org

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1274722975449

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1280353083125

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_4_1_0_2.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

 

--

End of file - 8390 bytes

[nardino]

Bonjour

 

Un grand merci à Thanos pour sa réparation.

Pour les prochains rapports je te demanderai de les héberger sur Cjoint.comet de me communiquer le lien obtenu.

Il faudra faire un hébergement par rapport. Merci.

 

Refais la procédure avec RHosts de S!R!

 

Télécharge Combofix

 

IMPORTANT. Enregistre ComboFix.exe sur le Bureau.

Désactive les applications antivirus et anti-malware résidentes, en général via un clic droit sur l'icône de la Zone de notification, sinon elles risquent d'interférer avec l'outil.

Fais un double clic sur l'icône et suis les invites.

 

Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur le PC avant toute suppression de nuisibles.

Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui permet d'aider plus facilement si jamais l'ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

 

IMPORTANT : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, le message suivant apparaitra :

 

 

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

 

Lorsque l'outil aura terminé, il affichera un rapport.

Surtout ne lance aucune application pendant le scan et après le redémarrage parfois nécessaire et provoqué.

Attends l'affichage du rapport

Héberge le rapport comme précisé ci-dessus

Il sera enregistré sous C:\Combofix.txt

 

@+

[nino1974]

Bonsoir, et encore merci pour le suivi, voici deux liens pour les rapports rhost et combofix

Désolé j'ai pourtant fait copier le lien coller mais ca fonctionne pas comme voulu...

 

© CJoint.com, 2008

 

© CJoint.com, 2008

 

a bientot!

[nino1974]

ha si mes liens fonctionnes, vive zebulon magique

[nardino]

Bonjour.

 

Qui t'as demandé de passer WareOutRemovalTool ?

 

Télécharge MBRCheck de ad_13 sur le Bureau

Sous Vista et 7, faire un clic droit sur le fichier et dans le menu contextuel cliquer sur Exécuter en tant que Administrateur

Sous Xp faire un double-clic sur le fichier.

Une fenêtre noire apparaîtra.

Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

Si rien n'est détecté, presse touche Entrée pour fermer l'outil

 

Sinon n'exécute aucune action qui pourrait être proposée.

Appuie sur la touche N puis sur la touche Entrée deux fois.

Si ce message apparait : Found non-standard or infected MBR.

Des options s'afficheront, tape Y pour avoir plus d'options ou N pour quitter

 

Les options sont :

• 
   
  
• [1] Dump the MBR of a physical disk to file.
  
• [2] Restore the MBR of a physical disk with a standard boot code.
  
• [3] Exit.
  

 

Choisis l'option 2 et le chiffre de la liste ci-dessous correspondant à ton système, ici 0

Available MBR codes :

• 
   
  
• [ 0] Default (Windows XP)
  
• [ 1] Windows XP
  
• [ 2] Windows Server 2003
  
• [ 3] Windows Vista
  
• [ 4] Windows 2008
  
• [ 5] Windows 7
  
• [-1] Cancel
  

 

A la question "Do you want to fix the MBR code ?"

Clique YES et valide par Entrer

Ce message s'affiche : Successfully wrote new MBR code!

Taper Exit pour fermer l'outil

Un rapport texte sera créé sur le Bureau, nommé MBRCheck_date_heure

Copie-colle le contenu du rapport ici

Redémarre.

 

**Création d'un Script Combofix**

 

ATTENTION : Cette procédure a été rédigée pour le cas présent, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.

 

Ouvre le bloc-notes : Tous les programmes-Accessoire-Bloc-notes

Colles-y les lignes écrites ci-dessous :

Veille à ce que Retour à la ligne ne soit pas coché dans Format.

 

File::

c:\documents and settings\All Users\Application Data\SMNQIYAV

C:\found.000

 

Enregistre-le sous CFScript.txt, sur le bureau

Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe

Combofix va se lancer et faire redémarrer l'ordinateur.

Poste le nouveau rapport C:\Combofix

 

@

Modifié le 3 août 2010 par nardino

[nino1974]

Bonjour nardino, excuses moi de mon retard, WareOutRemovalTool je ne sais plus son nom qui m'avait indiqué de fair ca, mais je suis tout a toi pour tes conseils..

J'ai voulu suivre ta procédure de MBR mais apres les options il me demande;

Enter the physical disk number to fix(0-99, -1 t cancel)

ce n'es pas indiqué dans le procédure, que dois-je faire?

Merci d'avance

[nino1974]

J'ai fais un test de mon debit si jamais ca peut aider,

Débit descendant : 10986 kbps (1373.3 Ko/s) - Débit montant : 702 kbps (87.8 Ko/s) - Ping : 41 ms

Et j'ai appelé bouygue, mais apparemment il me dise que ma ligne est au parfaite...

[nardino]

Bonsoir

Pour le MBR , nous allons utiliser une autre outil.

Sauvegarde tes données, principe de précaution.

Télécharge Bootkit Remover de eSage Lab

sur le bureau.

Décompresse le fichier bootkit_remover.rar

Dans le dossier bootkit_remover, clique sur remover.exe.

Autorise sous Vista et Sept.

Si tu vois en jaune afficher Unknown boot code, dis-moi ce qui est inscrit avant :

\\.\PhysicalDrive et le numéro que tu tu lis.

 

Et fais le script Combofix indiqué dans mon dernier message.

Pour ton débit je ne vois rien à redire.

@+