Analyse malwarebytes suite procédé ?

[invitef11c45f9]

Bonjour,

J'ai fait un scan Malwarebytes suite à un problème.
Chaque fois que je fais une recherche sur Google, quand je clique sur les liens, je suis redirigée vers des sites. J'ai supprimé la sélection.

Dois-je faire autre chose ?

Je vous remercie infiniment.
-----

[invitef11c45f9]

Bonjour,

J'ai un problème avec google qui m'affiche des pages non demandées.
J'ai fait un mbam et supp. le sélection.
Faut il faire quelque chose en plus après ?

Merci pour vos aides précieuses

[yoda1234]

Bonjour,

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.
Note: Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.

[invitef11c45f9]

Bonjour,

Merci, voici les rapports:

[A voir en vidéo sur Futura]

[b marlow]

Salut,
Cherche ce programme C:\Program Files (x86)\trend micro\jemappes012.exe
double-clique dessus, clique sur Do a system scan only , coche ces lignes, ferme les
fenêtres actives et clique sur le bouton Fixchecked:


R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: (no name) - {01A46FDD-F8A0-47CB-8F72-D5AC37D76E52} - C:\Windows\SysWow64\atiumdva32 .dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\e DStoolbar.dll
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp. exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OB\realsched .exe" -osboot
O4 - HKLM\..\Run: [RTHDBPL] C:\Windows\TEMP\ADEC.tmp
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [RTHDBPL] C:\Windows\SysWOW64\config\sys temprofile\AppData\Roaming\Sys Win\lsass.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RTHDBPL] C:\Windows\SysWOW64\config\sys temprofile\AppData\Roaming\Sys Win\lsass.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?

Si certaines n'y sont plus ce n'est pas important.

faire un scan en ligne:
Eset-Nod32 http://www.eset-nod32.fr/scanner.html (utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, poste le rapport qui sera en :
C:\Program Files\EsetOnlineScanner\****.t xt

[invitef11c45f9]

Re slt,

j'ai fait le scan en ligne, mais je trouve pas le rapport que tu me demande.Il n'y aucuns fichier txt dans le
C:\Program Files\EsetOnlineScanner\****.t xt

[b marlow]

il a trouvé quelque chose durant le scan ?

[invitef11c45f9]

Bonjour,

Oui il a touvé 8 Cheval de troie, j'ai refait un 2 ème scan et il a encore trouvé 2 cheval de troie.

[b marlow]

toujours pas de rapport (fichier texte) dans le répertoire du programme ?

[invitef11c45f9]

Non tjs pas, je vais recommencer on ne sait jamais. C'est peut être une fausse manip. de ma part. (?)

[b marlow]

sinon fais une capture d'ecran de la fenetre à la fin du scan, pour que je puisse voir les noms
et les chemins de fichiers detecté, même s'ils ont été supprimé c'est intéressant de le savoir.

[invitef11c45f9]

Voilà la capture d'écran

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invitef11c45f9]

Combofix ne valable que pour windos xp ou 2000 on me met??
Et je ne trouve pas d'autres versions.

[invitef11c45f9]

J'ai oublié de préciser, j'ai essayé aussi avec un clic droit en comme admin, il ne veut pas non plus .

[invitef11c45f9]

je profite pour te remercier du temps que tu passes à m'aider

[b marlow]

les aléas du 64bits...

Télécharge OTL de OldTimer sur le bureau :
Coche en haut à droite Tous les utilisateurs et Rapport standard
En bas, à droite Recherche LOP et Recherche Purity
Clique sur le bouton [Analyse] en haut en bleu
L'analyse va prendre une ou deux minutes.
Une fois celle-ci terminée un rapport va s'ouvrir
Postes ce rapport en PJ

[invitef11c45f9]

Ok. Voilà le rapport:

[b marlow]

Fais un double clic sur OTL.exe pour lancer l'outil.

Si ton PC est sous Windows Vista,faire un clic droit sur OTL.exe
et choisir "Exécuter en tant qu'Administrateur" pour exécuter le tool.


Copie la liste qui se trouvera dans le lien (trop longue pour etre posté ici) et colle-la dans la zone sous Personnalisation:
( ce sera à copier de Fs à [reboot] )

http://www.cijoint.fr/cj201010/cij2bfXR1X.txt

Clique sur Correction pour lancer la suppression.

Note: Un redémarrage est parfois nécessaire. S'il est demandé, clique sur Oui/Yes

Lorsque l'outil aura terminé il y affichera dans le message "Fix Complete! Click OK to open the fix log". Clique sur OK puis ferme OTL. Poste le nouveau rapport.

[b marlow]

petite erreur dans le script du lien ci-haut (la fatigue), tu en remplaceras le début, en bleu ici:
Fs
:Files

par ce qui eest ci-dessous en rouge

Fs
:OTL

[invitef11c45f9]

Slt,

Désolé pour les quelques jours d'absence , Voici le rapport demandé

[b marlow]

Qu'en est-il des redirections ?
relance OTL pour Analyse comme demandé la première fois puis poste le nouveau rapport.

[invitef11c45f9]

Voilà le rapport :

[b marlow]

Qu'en est-il des redirections ?

[invitef11c45f9]

Pardon j'ai oublié de répondre ça a l'aire ok .
Je n'ai plus de problèmes.
C'est fini ??

[b marlow]

Télécharger DirLook

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur DirLook.exe pour lancer l'exécution de l'outil.

Vérifier que les deux cases situées derrière "Show hidden files/folders:" et "BBCode Output:" sont cochées.

• Copier la ligne ci-dessous :

Code:

C:\ProgramData\SysWoW32

• Dans la petite fenêtre de DirLook, click droit dans la zone blanche et choisir Coller.
• Cliquer sur le bouton DirLook pour lancer la recherche.
• Lorsque l'outil a terminé cette recherche, il y a l'ouverture d'une fenêtre du Bloc-notes.
  Enregistrer ce fichier .
• Fermer le Bloc-notes et fermer DirLook en cliquant sur le bouton Exit.

Poste le rapport obtenu avec DirLook.
Si tu ne le trouves pas, il se trouvé à C:\dl_log.txt.

[invitef11c45f9]

A l'ouverture de dirlook j'ai eu un message :

[b marlow]

Changement de tool:Télécharge SystemLook
SystemLook (32-bit)
ou, selon ton systeme.
SystemLook (64-bit)

Double-clique dessus après l'avoir enregistrer sur le Bureau

colle cela dans le cadre approprié:

Code:

:dir
C:\ProgramData\SysWoW32

Puis clique sur Look
Poste le rapport qui s'ouvrira à la fin du scan.

[invitef11c45f9]

ok , l'analyse était rapide !??

[b marlow]

Fais un double clic sur OTL.exe pour lancer l'outil.

Si ton PC est sous Windows Vista,faire un clic droit sur OTL.exe
et choisir "Exécuter en tant qu'Administrateur" pour exécuter le tool.


Copie la liste qui se trouve en citation ci-dessous et colle-la dans la zone sous Personnalisation:

Code:

FS
:OTL
[2010/10/21 11:31:01 | 000,000,000 | -HSD | C] -- C:\ProgramData\SysWoW32       
@Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:0A8E2C33
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:FEBEC560
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:4BB26BE9
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:193426B4
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:793F316E
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:C95B63DA
@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:9F683177
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:8AB6C1D7
 
 
:Commands
[EmptyTemp]
[EmptyFlash]
[Reboot]

Clique sur Correction pour lancer la suppression.

Note: Un redémarrage est parfois nécessaire. S'il est demandé, clique sur Oui/Yes

Lorsque l'outil aura terminé il y affichera dans le message "Fix Complete! Click OK to open the fix log". Clique sur OK puis ferme OTL.