Pages de recherches redirigées

[invite9c8afd99]

Bonsoir tout le monde,

J'ai vu des sujets similaires à mon problème mais je n'arrive pas à corriger mon problème seule...

Il y a quelques jours j'ai eu droit à un super virus ou trojan je ne sais pas trop qui m'a causé beaucoup de soucis...

Là, mon PC fonctionne à peu prés correctement mais un problème reste à régler : la redirection de mes pages internet vers des sites inutiles, publicitaires ou pas (Scour etc). De plus, les recherches qui semblent le plus êtres redirigées concernent les anti-virus etc...

Donc, je voudrais savoir comment régler ce problème? comment éliminer totalement toutes traces de ce "virus" et ses effets?

Je suppose qu'il faudra faire des scan etc

J'attends vos aides...

merci d'avance
-----

[b marlow]

Bonjour et Bienvenue sur F-S,
Applique la procédure décrite dans ce sujet , à la fin poste les rapports en P-J.

@+

[invite9c8afd99]

Tout d'abord merci beaucoup pour votre réponse.

J'ai lu le dossier : j'ai fait ATF Cleaner, RSIT et les deux fichier txt générés qui se trouvent en pièces jointes.

[b marlow]

diverses infections. connais-tu ce dossier:
(on dirait le nom d'un combofix renommé utilisé par un membre du forum, il y a un mois...)

Code:

 2009-11-09 20:01:05 ----SD---- C:\toulousaing

Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

[A voir en vidéo sur Futura]

[invite9c8afd99]

Oui je le connais : je suis désolée, j'avais lu un autre post avec le même problème et la procédure à suivre était de renommer combofix en "toulousaing"...

je post le rapport dés que possible!

[b marlow]

Je me disais aussi...ComboFix n'est pas un banal outil de désinfection
mais un vrai bulldozer à n'utiliser que sous la supervision d'un helper
formé à cet outil pour ne pas se retrouver avec un ordi bon pour le formatage.

si tu as encore le rapport combofix.txt poste-le, tu peux le trouver c:

[invite9c8afd99]

Voici le rapport

j'espère avoir bien fait la manip'

[invite9c8afd99]

et voici le seul combofix.txt que j'ai trouvé
peut-etre faut-il que je le re-télécharge(car je ne me rappelle pas avoir fait un scan ou autre...)?
encore désolée!

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite9c8afd99]

Ca a été long et difficile!

Voici le rapport ComboFix

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Collect::
c:\windows\system32\uses32.dat  
 
File::     
c:\documents and settings\tiffany\B2.tmp      
c:\documents and settings\tiffany\AF.tmp  
 
NetSvc::
BtwSrv  
 
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\tiffany\Local Settings\Temp\VRTA0.tmp"=-

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.



Un fichier zippé sera créé c:\qoobox\quarantine >> [4]-Submit_Date_Time.zip ,rends-toi sur ce site
dans File1 clique sur Parcourir, cherche le fichier .zip puis ensuite tu cliques sur Upload en bas de page.
http://uploads.malwarebytes.org/
cela améliorera les détections/suppressions de MBAM.

Merci

[invite9c8afd99]

Désolée mais je n'y arrive pas et je n'ai pas compris:

- où dois-je copier coller ce texte?
- où puis-je trouver le CFScript.txt?

[b marlow]

désolé, en faisant mon copier-coller la moitié de mon instruction à disparu


cela aurait du donner ceci:

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Collect::
c:\windows\system32\uses32.dat  
 
File::     
c:\documents and settings\tiffany\B2.tmp      
c:\documents and settings\tiffany\AF.tmp  
 
NetSvc::
BtwSrv  
 
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\tiffany\Local Settings\Temp\VRTA0.tmp"=-

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

[invite9c8afd99]

Ca y est! enfin! merci pour la précision, finalement c'est ce que j'avais fait mais je n'étais pas sure...

[b marlow]

Il y a traces de ceux antivirus, avg et avast. tu peu les désinstaller tous les deux par
ajout-suppr des programmes pour installer >AntiVir<meilleur qu'avast et avg.
Il est en français et tout aussi gratuit.
Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème poste le rapport.

[invite9c8afd99]

Oui effectivement! pour Avast je pense ne pas avoir de problème pour le désinstaller. Pour AVG je fais actuellement quelques recherches et ca devrait aller mais ca fait 2 jours que j'essaie de l'enlever!

Je post un rapport dés que possible!

Merci beaucoup encore

[b marlow]

Pour supprimer avg tu peux essayer avec l'outil dedié que tu trouveras en cliquant
sur le sigle d'avg ici:
http://b.marlow.free.fr/desinstalleurs_dantivirus.html

[invite9c8afd99]

Merci beaucoup j'ai du réussir à l'enlever.

Le scan antivir est lancé mais ca va être trés trés long

J'en profite pour poser quelques questions (si vous n'avez pas le temps d'y répondre ce n'est pas grave, vous m'avez aidé deja beaucoup)

- J'ai acheter un nouveau disque dur externe (iomega) que le poste de travail n'arrive pas à détecter. Peut être est-ce du à mon virus? ca m'étonnerai qu'il ne fonctionne pas...

- Aprés le scan, quelle sera la prochaine procédure (comme ca je télécharge les prochains logiciels etc)? et pourrais-je m'en servir comme antivirus à la place de avast par exemple?

[invite9c8afd99]

Le scan s'est arrété à 40.7 %
je post un rapport tout de meme et recommence

[b marlow]

La recherche des rootkits n'a pas été coché lors du paramétrage d'AntiVir.
tu dois paramétrer ca pour une recherche optimale.regarde bien le tuto.

AntiVir remplace normalement avast à présent. tu as bien désinstallé avast ?

Pour ton dd externe tu n'a pas un cd d'installation avec ? contenant les drivers ?

[invite9c8afd99]

Non pas de CD d'install!
Je recommence Antivir et poste le nouveau rapport...je n'avais aps vu de tuto ni de "rootkit" je vais regarder ca

[b marlow]

le tuto c'est le le contenu de la vidéo sur mon site.

[invite9c8afd99]

Et voici enfin le rapport Antivir!

[b marlow]

reposte un log.txt RSIT pour contrôle (nous avons presque fini)

[invite9c8afd99]

Et voila!

[b marlow]

rends-toi à ce fichier ici en gras C:\Program Files\trend micro\tiffany.exe
double-clique dessus, clique sur Do a system scan only
coche ces lignes puis ferme les fenêtres d'applications ouvertes et clique sur le bouton fixchecked:

Code:

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - 
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} - 
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) - 
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - 
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - 
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\

tu as deux antispywares en temps réel, ca fait double emploi : spybot + windows defender.
désactive windows defender (ou mieux vire-le).

ceci va supprimer les outils qui nous ont servi à la désinfection:

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

[invite9c8afd99]

Voici le rapport Toolcleaner^^

[b marlow]

pour améliorer les performances de l'ordi n'oublie pas de désactiver un des deux antispywares.


Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

ne négliges pas la lecture de ces liens, tu feras l'économie d'autant d'infections

[invite9c8afd99]

erci pour tout vraiment je n'arrive pas à y croire! Tout est OK maintenant? plus rien?

Non je ne vais pas faire l'impasse je suis en train de lire là ca m'interesse, j'aimerais savoir faire tout ca^^

merci merci

[b marlow]

tout est ok, il ne te reste plus qu'à vérifier tes mises à jour de programmes
avec Updatechecker c'est enfantin. voir aussi comment éviter de se faire
piéger par les programmes infectieux.

Bonne lecture , bon surf, @+