Redirection de google

[invited66ed3a2]

Euh, j'ai pas de rapport oO
-----

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invited66ed3a2]

Concernant la fenêtre noir lors de chaque démarrage, est ce que c'est possible de la supprimer pour plus qu'elle apparaisse ?

[b marlow]

Télécharge GMER
Clique sur le bouton Download EXE et enregistre-le sur ton Bureau.
Exécute-le par un double-clic sur le fichier créé sur le Bureau.
Dans l'onglet "Rootkit" , vérifie que tous les items à droite soient cochés sauf les options suivantes :

**Assure-toi que "Show All" est décoché**

Clique sur "Scan" puis patiente...
A la fin clique sur "Save" et enregistre-le sur le Bureau.

Poste le rapport.

[invited66ed3a2]

Je viens de lancer le programme pour la deuxième fois, et il s'est fermé à cause d'un erreur. La première fois, le pc ne répondais plus. Je vais essayer une dernière fois.

[invited66ed3a2]

Il vient de se rallumer tout seul encore une fois alors que je ne touche à rien. J'ai toujours pas fait le scan. Est ce que je dois réouvrir le programme, parce que là ça me fait peur.

[b marlow]

oui tu peux le relancer, c'est juste un scan, il ne touche à rien.

[invited66ed3a2]

Ca mennuie que mon pc se redémarre à chaque fois :/

[invited66ed3a2]

Il ne veut vraiment pas, quand je clique sur le programme il a même pas le temps de s'ouvrir qu'un message d'erreur s'affiche, je ne peux même pas cliquer sur "ne pas envoyer" que le pc et déjà eteint et qu'il se rallume. Yaurait pas une autre solution ?

[invited66ed3a2]

Je sais pas si c'est normal, mais le programme a un nom bizarre : 5k0g5k2i
et l'icône est bien GMER

[b marlow]

pour le nom aléatoire c'est normal, c'est bien Gmer.
Recommence le scan mais avant : dans la section de droite de la fenêtre de l'outil,
décoche les options suivantes :

• • IAT/EAT
  • Devices

[invited66ed3a2]

Je peux pas ouvrir le programme donc je peux pas faire de scan :/

[b marlow]

On va essayer avec un autre, semblable.

Télécharge RootRepeal par clic-droit sur ce lien :

• Enregistre-le sur le Bureau.
• Crée un nouveau dossier nommé RootRepeal à la racine de C:\
• Décompresse l'archive téléchargée dans le dossier RootRepeal
• Désactive ton antivirus le temps du scan.
• Ferme tous les programmes ouverts.
• Ouvrir le dossier RootRepeal
• Fais un double clic sur RootRepeal.exe pour le lancer
• Clique sur l'onglet Report (en bas de la fenêtre)
• Clique sur le bouton Scan
• Dans la nouvelle fenêtre Select Scan, coche :

Code:

- Drivers
- Files
- Processes
- SSDT
- Stealth Objects
- Hidden Services

• Clique sur le bouton OK
• Dans la nouvelle fenêtre Select Drives, coche tous les lecteurs affichés
• Clique sur le bouton OK pour lancer l'analyse

A la fin du scan clique sur le bouton Save Report et enregistre le rapport sur le Bureau sous le nom RootRepeal******txt

Poste le rapport en pj et réactive ton antivirus.

[invited66ed3a2]

Voilà le rapport, mais au moment de cocher les cases, il m'a demandé après C:/ et je l'ai pas cochée.

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Driver::
amwcni
 
Rootkit::
C:\WINDOWS\system32\drivers\amwcni.sys   
C:\DOCUME~1\DROUET~1\LOCALS~1\Temp\mc22.tmp
c:\docume~1\DROUET~1\LOCALS~1\Temp\mc23.tmp
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\amwcni]  
[-KEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]        
  
Folder::
c:\documents and settings\All Users\Application Data\Alwil Software

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invited66ed3a2]

J'espère que j'ai plus de virus :/

[b marlow]

essaye à présent de lancer Gmer.

[invited66ed3a2]

Et je fais la même manipulation que je devais faire avec ? (cocher/décocher les cases) ?

[b marlow]

oui les mêmes instructions d'utilisation.

[invited66ed3a2]

Ca ne marche toujours pas, je n'arrive pas à ouvrir le programme sans avoir de message d'erreur et le pc qui redémarre.

[invited66ed3a2]

Je viens de remarquer que Google avait changer de forme, je sais pas si c'est normal :/ Peut-être que je pourrais ouvrir le programme en mode sans échec ? sauf si ya des risques

[b marlow]

tu peux essayer en mode sans echec.

[invited66ed3a2]

Ca ne fonctionne toujours pas, même en mode sans échec. J'ai toujours le même message d'erreur, mais l'ordi ne se rallume pas.

[b marlow]

Ok, refait un scan Rootrepeal puis poste le rapport.
pour Google c'est normal, ils ont changé la présentation du moteur de recherche. no soucis

[invited66ed3a2]

Une chose de faite

[b marlow]

Télécharge OTL de OldTimer sur le bureau :
Double-clique sur son icône pour le démarrer, si tu es sous Vista ou 7, démarre par clic-droit Exécuter en tant qu'administrateur.
Assure toi d'avoir fermé les fenêtres actives, avant ce qui suit.
Sous l'emplacement "Personnalisation" copie-colle le contenu de cette boite CODE :

Code:

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
vstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

Clique sur le bouton "Analyse rapide". Ne change aucun réglage. Le scan sera rapide.
A la fin du scan, le bloc-notes sera ouvert, avec dedans OTL.Txt et Extras.Txt.
Ces deux fichiers sont en outre sauvegardés au même endroit ou tu auras enregistré OTL.exe.

Poste en PJ le contenu de ces fichiers dans ta prochaine réponse .

[invited66ed3a2]

Voilà les 2 rapports

[b marlow]

Ouvre OTL clique sur Purge Outils, cela va supprimer les tools qui nous ont servi à la procédure.

Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images