Liens de recherche google faux

[invite00c15591]

Bonjour,

Quelqu'un pour m'aider ?

Mes liens de recherche Google me renvoient vers d'autres pages que les originales.
Je mets joints les fichiers log et info


Merci de votre aide


Cordialement,
-----

[invitec04351b8]

Bonjour,

pas sûr que RSIT voit tout.

On va éliminer (ou traiter) une infection possible.

Ouvre ce lien : http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est dit sous La désinfection du système infecté.

Poste le rapport dans ta réponse.

@+

[invite00c15591]

Bonjour,

Merci de t'intéresser à mon pb

J'ai lancer " TDSSKiller.exe " = il n'a rien trouvé

Une autre idée ?

[invitec04351b8]

Re,

j'aimerai bien avoir le rapport.

Ensuite,

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[A voir en vidéo sur Futura]

[invite00c15591]

voir fichier joint

[invite00c15591]

Voici le fichier ZHPdiag

[invitec04351b8]

Re,


Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

Relance ZHPDiag par clic droit et Exécuter en tant qu'administrateur.

Clique sur les jumelles pour lancer ZHPSearch.

Clique sur l'icône /Start

Sur la ligne suivante tape mswsock

Sur la ligne suivante, clique sur l'icône /Stop.

Vérifie que les cases détaillées et récursif sont cochées (sinon tu les coches)

Clique sur la loupe pour lancer la recherche.

Poste le rapport obtenu (tu l'obtiens en cliquant sur l'icône ad hoc, passe la souris sur les icônes pour voir leur action).

@+

[invite00c15591]

J'ai déjà fait tourné Malwarebytes ce matin il a détruit 6 fichiers infectés.

Je l'ai utilisé en mode sans échec et en mode normal ensuite.

J'a fais un examen rapide et un complet à chaque fois.


Donc les fichiers que j'ai joints cet après midi étaient après utilisation de Malawarebytes.

Je vais faire la manip que tu as laissé ensuite.

[invite00c15591]

Voici le résultat

[invitec04351b8]

Re,

je pourrais avoir le dernier rapport de MBAM qui a trouvé des données infectées.

@+

[invite00c15591]

Voilà


A+

[invitec04351b8]

Bonsoir,

Copie dans le Presse-papier le contenu du fichier ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)



Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite00c15591]

Je n'arrive pas à télécharger ton fichier txt

[invitec04351b8]

Re,

j'avais oublié ce point.

Il est dans ce lien :

http://www.cijoint.fr/cjlink.php?fil...cij3vlhM33.txt

@+

[invite00c15591]

Bonjour,

voilà le rapport

[invitec04351b8]

Bonjour,

toujours des redirections ?

===

Fais redémarrer l'ordi (si ça n'a pas été fait depuis le passage de ZHPFix).

Refais tourner ZHPDiag et poste le rapport dans ta réponse.

@+

[invite00c15591]

Oui, toujours les redirections

Joint le fichier ZHPDiag

[invitec04351b8]

Re,

alors des questions :

- c'est normal d'avoir linkeo dans tes pages de démarrage ?

- tu sais à quoi correspond hxxp://bl127w.blu127.mail.live.com ?

- tu sais d'où peux venir cette clé de registre [HKCU\Software\Toxic InfecToR 1] ?

- et son contenu ?

- C:\Users\Mehdi\AppData\Roaming \wam.04351C371E530C3762CBA45FA 283ED972DCDEFB6.1 est un répertoire ou un fichier ?

- si c'est un répertoire, il y a quoi dedans ?


===

Relance ZHPFix avec ces lignes :

Code:

[HKLM\Software\Classes\Interface\{21BA420E-161C-413A-B21E-4E42AE1F4226}]
[HKLM\Software\Classes\Interface\{419EDA30-6DFF-432C-B534-E15D899ABEE4}] 
[HKLM\Software\Classes\Interface\{453db0c5-f41c-4d97-8dd6-cc72ecd5f699}]
[HKLM\Software\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}]
[HKLM\Software\Classes\Interface\{6511ce4c-4722-40d0-ad3d-4afa2f50978a}] 
[HKLM\Software\Classes\Interface\{65A16874-2ED0-460E-A547-5FE2EC3A13A7}]
[HKLM\Software\Classes\Interface\{71E02280-5212-45C3-B174-4D5A35DA254F}] 
[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
[HKLM\Software\Classes\Interface\{9bec9b38-bf39-4899-806e-a1c5dfeb60a2}]
[HKLM\Software\Classes\Interface\{b86d82bf-d39f-439a-a07c-43eddc6f6ea6}]
[HKLM\Software\Classes\Interface\{da6305b9-0869-4235-8c1d-533a65e639e5}]  
[HKLM\Software\Classes\Interface\{E25DA6D6-C365-46CF-ABAF-DC5893135D7A}]
[HKLM\Software\Classes\Interface\{e6961c59-cfce-4ccd-b794-bc78db98413a}]
[HKLM\Software\Classes\Interface\{f8b4ec8a-2407-4be0-aee2-0f430d65a90d}]

Poste le rapport dans ta réponse.

@+

[invite00c15591]

- c'est normal d'avoir linkeo dans tes pages de démarrage ? Oui

- tu sais à quoi correspond hxxp://bl127w.blu127.mail.live.com ?Non je ne sais pas

- tu sais d'où peux venir cette clé de registre [HKCU\Software\Toxic InfecToR 1] ?Aucune idée

- et son contenu ?

- C:\Users\Mehdi\AppData\Roaming \wam.04351C371E530C3762CBA45FA 283ED972DCDEFB6.1 est un répertoire ou un fichier ?C'est un dossier, qui contient d'autres sous dossiers et des fichiers, rien d'anormal à première vue

- si c'est un répertoire, il y a quoi dedans ?

[invitec04351b8]

Re,

Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_CURRENT_USER\Software\Tox ic InfecToR 1

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.


pour ouvrir le registre
démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.

@+

[invite00c15591]

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Tox ic InfecToR 1]
"FirstExecution"=hex(2):32,00, 35,00,2f,00,31,00,31,00,2f,00, 32,00,30,00,31,00,\
30,00,20,00,2d,00,2d,00,20,00, 31,00,35,00,3a,00,32,00,38,00, 00,00
"NewIdentification"=hex(2):54, 00,6f,00,78,00,69,00,63,00,20, 00,49,00,6e,00,66,\
00,65,00,63,00,54,00,6f,00,52, 00,20,00,31,00,00,00
"NewGroup"=hex(2):

[invitec04351b8]

Bonsoir,

relance ZHPFix avec ces lignes :

Code:

G0 - GCSP: Preference [User Data\Default] http://www.google.fr/", "http://bl127w.blu127.mail.live.com
[HKCU\Software\Toxic InfecToR 1]
O43 - CFD: 30/06/2011 - 08:57:46 - [0] ----D- C:\Users\Mehdi\AppData\Local\{D6B87732-FF21-4470-8717-113E74A2321C}

Poste le rapport.

@+