Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Redirection de lien Google


 Share

Messages recommandés

Bonjour,

 

Il m'a pris l'envie soudaine et stupide de lancer un .exe (dont je ne retrouve pas le nom) apparus comme par enchantement dans mon dossier de téléchargement et evidement je me retrouve avec un "virus" sur les bras.

 

Les symptomes sont les suivants:

- Régulièrement, je suis redirigé sur une site de porn ou de pub lorsque je selectionne un lien google.

- Je suis dans l'incapacité de réactiver le centre de sécurité windows.

 

Malgrès un scan avec Spybot, Malwarebytes et Antivir je n'arrive pas à m'en defaire.

Le centre de sécurité ne s'active pas même demandant le passage en mode automatique dans la partie Services.

Le test LEXSI indique que je ne suis pas infecté par DNSchanger

 

J'ai donc suivis les procédures décrites sur votre forum afin de vous fournir le plus de renseignement possible:

 

J'ai fait un scan RogueKiller dont voici les rapports:

Rapport de scan

Rapport de suppresion

Rapport HOST RAZ

Rapport Proxy RAZ

Rapport DNS RAZ

Rapport Racc. RAZ

 

Ensuite J'ai fais un scan avec ZHPDiag dont voici le rapport:

Rapport ZHPDiag

 

 

Voila.

Je me tiens à votre disposition pour toute info complémentaire à vous fournir.

Et en attandant je vais me faire une joie de visiter certaines pages de redirections que me propose ce Virus ;).

 

Merci.

 

Vopy

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Si tu veux choper un rogue bien vicelard, en plus, visite ces pages, oui...

 

1) ZHPFix :

 

  • Ferme toutes les applications ouvertes
     
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
    Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
     
  • Clique sur H h_zhpf10.jpg.
     
  • Copie-colle les lignes ci-dessous dans la fenêtre

 

[HKCU\Software\Ask.com.tmp]    
[MD5.197215658B8015182192E1EBCA3BBCC3] [sPRF][07/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Rémi\AppData\Local\Temp\AskSLib.dll   [246440]  
[HKCU\Software\Ask.com.tmp]    
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {13286316-5D5F-4B47-962A-373638C56FCF} - (ResultBar) - [url=http://www.resultbar.com]Welcome to ResultBar[/url]    
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {13286316-5D5F-4B47-962A-373638C56FCF} - (ResultBar) - [url=http://www.resultbar.com]Welcome to ResultBar[/url]    
emptytemp
emptyflash
firewallraz   

 

  • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
     
    Clique sur le bouton GO pour lancer le nettoyage

 

  • Valide par Oui la désinstallation des programmes si demandé
     
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
     
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

~~~~~~~~~~~~~~~~~~~~~~~

2) Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

@++

Lien vers le commentaire
Partager sur d’autres sites

Déjà, un grand merci pour cette reponse rapide.

 

J'ai fait ce qui était demandé et voici les rapports:

 

ZHPFixreport

 

et

 

AdwCleaner[s2]

 

 

 

Edit:

Je n'ai aucune idée du nombre d'étapes à suivre pour ressoudre ce genre de problème.

Donc je précise juste que l'infection est toujours présente.

Modifié par Vopy
Lien vers le commentaire
Partager sur d’autres sites

C'est le rapport [s1] que j'avais demandé mais c'est bon.

 

MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits possibles.

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.60.1.1000 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

param-mbam-3088176.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Ben je me demande bien ce que ça peut être si tu as toujours ces redirections.

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Malheuresement j'ai toujours ces redirections. (M'apprendras à cliquer n'importe où)

En tout cas merci de passer du temps sur mon soucis.

 

Voici le Rapport TDssKiller:

RapportTDssKiller

 

Seul un fichier à été reconnu

84391109.jpg

 

J'ai selectionné skip comme indiqué dans le tuto.

Lien vers le commentaire
Partager sur d’autres sites

Ce driver est légitime. (lecteurs virtuels ou certains logiciels de gravure de cd/dvd)

 

Ben oui, avant de cliquer sur un exe ou autre inconnu, on le soumet à l'analyse de Virus Total par exemple.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
     
    consolerestaucf.jpg
     
  • Assure toi que tous les programmes soient fermés avant de commencer.
  • Double-clique ComboFix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

sshot-1-9.jpg

 

@++

Lien vers le commentaire
Partager sur d’autres sites

On dirait qu'il y a du progrès:

 

- Le cetre de securité windows est réactivé

Edit:

En fait non, il s'est à nouveau désactivé au redémarage suivant.

 

Par contre j'ai toujours le problème de redirection. (Qui me semble un peu moins regulier par contre)

 

Voici le rapport ComboFix:

 

ComboFix

Modifié par Vopy
Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Vider le cache de la console Java.

 

Par le panneau de configuration, double clique sur java (tasse).

 

Onglet Général/paramètres/fichiers internet Temporaires: Supprimer les fichiers.

 

------------------------

flechedroitets2.pngESET ONLINE SCANNER

 

Télécharge systemsr4.pngESET Online Scanner sur ton Bureau en cliquant sur ce logo:

hh3lp9.jpg http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

  • Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  • Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  • Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
     
  • Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  • Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
     
  • Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  • Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
     
    NB: Tu peux également désinstaller eset online par ajout/suppression de programmes (xp), ou programmes et fonctionnalités sous Vista/7 ou alors via le dossier eset qui est sur le C:\ qui contient un fichier unins ou uninstall.exe à exécuter.
     
  • Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  • Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

++

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...