Redirection gomeo, iexplore, wmiprvse

[invitea62344a9]

Bonjour,

Comme indiqué dans le titre, j'ai 3 problèmes :
1 - redirection vers le site gomeo quelque soit le navigateur utilisé.
2 - 2 process wmiprvse démarrent à l'ouverture d'une session.
3 - 1 process iexplore démarre dans l'arborescence d'un svchost en même temps ques les wmiprvse.

J'ai exécuté les outils suivants : Malware'Anti-Malware, AD-R, CCleaner et aussi Hijackthis. Ceux-ci m'ont permis de supprimer quelques indésirables et virus, mais impossible de régler les incidents ci dessus.
Je joins à ce message les logs de RSIT ainsi que celui de Hijackthis.

D'avance merci pour votre aide.
-----

[invitec04351b8]

Bonsoir,

poste le rapport de Combofix.


ouvre ce lien : http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est dit sous "La désinfection du système infecté".

Poste le rapport dans ta réponse.

@+

[invitea62344a9]

Merci d'avoir réondu.

Voici le rapport de TDSSKiller.

Par contre, Combofix reste bloquer sur la fenêtre d'extraction et n'a pas l'air de travailler (pas d'activité cpu et disque), est ce normal?

[invitec04351b8]

Re,

TDSSKiller ne t'a pas proposé l'option Cure ?

Essaye de fermer Combofix.

Ensuite,

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[A voir en vidéo sur Futura]

[invitea62344a9]

Voici le log de ZHPDiag en pièce jointe (trop long pour être mis dans le corps du message).

[invitec04351b8]

Re,

une Toolbar sur un parefeu .....

On va enlever ça.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

M2 - MFEP: prefs.js [Sylvain - ifs7cxjy.default\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] [] Protection ZoneAlarm Community Toolbar v3.3.3.2 (.Conduit Ltd..)
R3 - URLSearchHook: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Protection_ZoneAlarm\prxtbProt.dll
O2 - BHO: Protection ZoneAlarm - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\prxtbProt.dll
O3 - Toolbar: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\prxtbProt.dll
[HKCU\Software\Protection_ZoneAlarm]
[HKCU\Software\toolbar]
[HKLM\Software\Protection_ZoneAlarm]
O43 - CFD: 10/06/2011 - 19:27:56 - [4556195] ----D- C:\Program Files\Protection_ZoneAlarm
O43 - CFD: 10/06/2011 - 19:31:50 - [4944280] ----D- C:\Documents and Settings\Sylvain\Local Settings\Application Data\Protection_ZoneAlarm
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
[HKLM\Software\Classes\CLSID\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
[HKCU\Software\Toolbar]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]
C:\Program Files\Protection_ZoneAlarm
C:\Documents and Settings\Sylvain\Local Settings\Application Data\Protection_ZoneAlarm
C:\Documents and Settings\Sylvain\Application Data\Mozilla\Firefox\Profiles\ifs7cxjy.default\Conduit

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

On en est où de tes soucis ?

@+

[invitea62344a9]

Bonjour,

ZHPFix exécuté et OK.

Ci joint le rapport ZHPFixReport.txt

Bonne réception

[invitec04351b8]

Bonjour,

toujours des soucis ?

@+

[invitea62344a9]

Bonsoir et désolé de n'avoir pas répondu plus tôt.

Toujours les mêmes problèmes...

++

[invitea62344a9]

De plus, lorsque je débranche le câble réseau, le PC se bloque au bout de quelques minutes.

[invitec04351b8]

Bonjour,

relance ZHPDiag et poste le rapport.

@+

[invitea62344a9]

Voici le nouveau rapport
@+

[invitec04351b8]

Re,

dans quel répertoire tu trouves wmiprvse.exe ?

Pourquoi ni Internet explorer ni la console java ne sont à jour ?

Désinstalle Java 6 Update 4

@+

[invitea62344a9]

Java 6 update 4 désinstallé.

Wmiprvse dans répertoire c:\WINDOWS\system32\wbem

Aucune idée pour la console java.

Je n'utilise pas IE mais Firefox

[invitec04351b8]

Re,

3 - 1 process iexplore démarre dans l'arborescence d'un svchost en même temps ques les wmiprvse.

Je n'utilise pas IE

===

Le rapport de la nouvelle version de ZHPDiag ?

@+

[invitea62344a9]

Voici le rapport demandé en pièce jointe.

@+

[invitec04351b8]

Re,

relance TDSSKiller.

Quand il te trouve un fichier infecté, choisis l'option Cure (si tu as le choix).

Poste le rapport.

@+

[invitea62344a9]

Bonjour,

Me revoilà de retour après 2 jours d'absence.

TDSSKiller ne fonctionne plus.
J'ai maintenant ce message qui fait rebooter le PC :
Service lanceur de processus serveur DCOM s'est terminé de façon inattendu.

Tous les problèmes sont toujours présents.

Ci joint le dernier rapport de Hijackthis.

D'avance merci

[invitec04351b8]

Bonjour,

supprime ta version actuelle de Combofix.

Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

==

Si il ne fonctionne pas, essaye de le lancer en mode sans échec.

@+

[invitea62344a9]

Rapport de ComboFix en pièce jointe

[invitec04351b8]

Re,

rien de changé ?

Pas de message pendant l'exécution de combofix ?

@+

[invitea62344a9]

Pas de message pendant l'exécution de ComboFix.

Pas de changement, toujours les mêmes problèmes avec en prime l'arrêt du Generic Host Server qui contient dans son arborescence les process suivants : Dom Launch, Term service et bien sûr le fameux iexplore.

@+

[invitec04351b8]

Re,

relance ZHPdiag.

Clique sur le tournevis, puis sur Aucun puis sur Tous.

Clique sur la loupe pour lancer l'analyse.

Poste le rapport.

@+

[invitea62344a9]

Ci joint le rapport de ZHPdiag.

++

[invitec04351b8]

Re,

il y a des choses que je ne t'ai pas demandé de faire dans ce rapport.

Tu peux expliquer ?

@+

[invitea62344a9]

Bonjour,

J'ai fait exactement ce que tu m'as demandé, à moins que les directives étaient pour une autre personne.

Cordialement.

[invitec04351b8]

Bonjour,

J'ai fait exactement ce que tu m'as demandé

Ma question ne porte pas sur ce que je t'ai demandé de faire.

Elle porte sur ce que tu as fait sans que je te l'ai demandé.

@+

[invitea62344a9]

Est ce que le rapport as mis en évidence des problèmes?

@+

[invitea62344a9]

Problème réglée.

J'ai formaté et installé Windows 7.

Merci encore à Lyonnais92 pour son aide.

Cordialement