Bonjour,
 
Depuis aujourd'hui quand je fais une recherche sur google , environ deux fois sur trois les liens google sont redirigés , la plupart du temps vers un site de recherche de commerce => http://contentomania.com/
Cela le fait aussi bien sur FF et IE.
 
Mon neveu s'est servi de l'ordi pendant une heure en début d'après midi , il m'a dit qu'il a voulu jouer à un casse-briques et c'est depuis que j'ai des problèmes...
 
Mon antivirus et Seven étaient à jour.
J'ai fait un scan avec Malwarebyres Antimalware , il n'a rien détecté (habituellement cet anti-malware est très efficace)
 
Voyez vous avec quel util , je pourrais me débarrasser de ce malware
 
merci

 
Bonjour Space,
 
Un spécialiste de la désinfection qui connaît Hijackthis ou ZHPDiag vous répondra bientôt sans doute.
D'habitude, je branche le disque dur infecté en externe avec un petit matériel pas cher IDE/SATA sur un poste bien protégé aux logiciels antimalwares à jour pour analyse et nettoyage.
 
1) Les jeux et barres d'outils diverses dénichées sur internet sont très souvent sources d'infection et d'installation de faux logiciels antivirus.
 
2) Quel antivirus avez-vous? Ce n'est pas forcément la faute de l'antivirus ni de l'antispyware si l'usager passe les messages d'alerte et installe quand même les exécutables... Savoir ce que votre neveu a fait... s'il veut bien le dire.
 
bon courage pour le nettoyage,
   
S.

Bonjour,
 
 
Bienvenue sur Hardware.fr !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
 
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
 
 
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
 
• Télécharge ZHPDiag (de Nicolas Coolman)
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Ne poste pas le rapport directement (une règle de ce forum l'interdit) : héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Bonjour,

Au final , j'ai utilisé la solution facile , j'ai tout formaté
Mais bon je devais formater dans le mois à venir pour faire le ménage , je l'ai fait un peu plus tot que prévu

Par contre , je ne vois pas ce qui a pu infecter , W7 était à jour , NOD32 aussi et Malwarebytes qui n'a rien détecté ainsi que d'autres antimalware.
Il n'y avait rien non plus d'anormal au niveau des résidents.
Cela m'inquiète plus pour les utilisations futures , cela m'était déja arrivé d'ètre infecté par un malware mais je suis toujours arrivé en m'en débarrasser assez facilement mais celui là parraissait plus coriace
En plus , je ne pouvais pas faire un point de restauration vu qu'ils avaient été aussi supprimé...

Bonjour,

Je ne suis pas vraiment un nouveau venu sur HFR
Tous tes posts font limite spam

Désolé pour le copié/collé de messages identiques, mais c'est un passage obligé ^^ On va dire "bienvenue dans ce sujet où tu demandes de l'aide" alors

Je me demande si je ne ferais pas mieux de laisser un antimalware en permanence en résident (avec Malwarebytes par exemple)
Habituellement je ne laissais pas d'antimalware en résident , je me contentais de faire régulièrement un scan.

Ce n'est pas en ajoutant sans arrêt des logiciels de protection que tu vas mieux sécuriser ton ordinateur. Garde un antivirus résident et MalwareBytes gratuit pour faire des analyses occasionnelles, c'est tout.

Pour le reste, si tu veux vraiment sécuriser ton ordinateur, il faut faire attention à d'autres choses :

• Garde Windows à jour via Windows Update (accessible via le menu démarrer, dans la liste des programmes). L'idéal est de laisser activées les mises à jour automatiques.

• Garde aussi tes programmes à jour, c'est très important d'avoir les dernières versions pour ne pas être vulnérable. Pour ça, utilise au choix un programme comme Secunia PSI ou Update Checker

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Fais un clic droit sur le raccourci de USBFix et choisis 'Exécuter en tant qu'administrateur' → Au menu principal, choisis l'option 3 (Vaccination).

• Ne pas avoir un comportement à risque (installer tout et n'importe quoi sans réfléchir, télécharger des cracks...) Consulte ceci pour mieux connaitre les menaces et savoir les éviter : Prévention et sécurité sur internet

Bonjour, j'ai à peu près le même problème, sur certains sites, le navigateur ne se rend pas sur la bonne page, mais vers des sites publicitaires tels que contentomania.com, ou autres.  
 
A l'occasion, Google Chrome crashe.
 
Je n'ai peut-être pas que ce problème-là. En effet je sors d'un gros souci viral, mais le "réparateur" n'a probablement pas tout enlevé car j'ai retrouvé deux chevaux de Troie grâce à Ad-Aware.
 
J'ai fait mon rapport ZHPDiag, qui est ici : http://www.cijoint.fr/cjlink.php?f [...] A8aH92.txt
 
Que dois-je faire ?

Fais un scan avec le logiciel Dr Web Cure it

Je tente actuellement un scan Secunia. Je ferai Dr Web Cure it après.

Après un Dr WebCureit :
 
Trois trucs d'enlevés (deux fichiers desinfectés, infectés par Win32.Dat.4 et une photo infectée par Exploit.MS04-028, que j'ai supprimée)
 
Il m'a dit aussi que le fichier HOSTS était modifié, et qu'il remettait le fichier HOSTS origine.
 
Cependant, pas de changement à mon problème.
 
Que dois-je faire ?

bonjour
 
Peux tu refaire un ZHPDiag pour voir si Dr Web n'a rien oublié
 
sur le premier il y a la présence d'un rogue "Antimalware Doctor" et effectivement une ligne du hosts infectieuse

http://www.cijoint.fr/cjlink.php?f [...] 6n5AeU.txt

le hosts a bien été réparé par contre il reste des traces du rogue  
 
refais un MBAM en n'oubliant pas de le mettre à jour avant le scan
 

• Fais la mise à jour du logiciel  
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note...héberge le rappot sur: cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

http://www.cijoint.fr/cjlink.php?f [...] NiFR1c.txt
 
MBAM (C'était bien MalwareBytes Anti Malware, au fait ? ^^) a trouvé 11 fichiers. Il a dû redémarrer, cependant l'ordi a lancé l'outil de restauration système pour pouvoir redémarrer complètement.
 
Le problème est toujours présent.
 
Que dois-je faire ?

bonjour

Le rapport de MalwareBytes indique "No action taken".

tu n'as pas "supprimé la sélection" comme indiqué
 
Si tu as bien cliqué sur Supprimer, il a dû te proposer un second rapport : c'est celui ci qu'il me faut. Tu le retrouveras en lançant MalwareBytes et en allant dans l'onglet "Rapports/logs et en choisissant le dernier en date

sinon recommence un scan complet avec MBAM (malwarebytes)

erreur d'édition

http://www.cijoint.fr/cjlink.php?f [...] hrB1Sv.txt
 
J'ai dû réinstaller MBAM suite à la restauration système.

parfait !! MBAM a fait son boulot, refais moi un ZJHPDiag pour faire le point Stp?

http://www.cijoint.fr/cjlink.php?f [...] i2zaSn.txt

Bonjour
 
note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône  
soit à partir du raccourci sur le Bureau si ZHPDiag a été fermé
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

• Lance ZHPFix en fonction de ton système d'exploitation.
• Copie toutes les lignes contenues dans ce document Voir le Fichier : PseudooriginalFix.txt

(Ctrl+A pour tout sélectionner, Ctrl+C pour copier) ou avec la souris tout sélectionner, clic droit =>copier

• Clique sur l'icône représentant la lettre   (« coller les lignes Helper »)

les lignes se placent  dans la fenêtre de ZHPFix  => tu ne dois voir que celles-là

• valide par" OK"
• Clique sur « Tous », puis sur « Nettoyer »
•  héberge le rapport généré sur cijoint.fr et poste moi le lien fourni

 
tutoriel pour t'aider
 
 
note:j'ai remis la ligne 04 d'origine  afin que le fix fonctionne

OK, je l'ai fait. Le truc c'est que j'ai oublié de copier le rapport de suppression du coup je l'ai fait une deuxième fois. Voici ce que cela donne.
 
http://www.cijoint.fr/cjlink.php?f [...] VMVdpu.txt
 
Le problème initial (redirection vers sites publicitaires de certains sites) est toujours là.

sur le premier rapport on voyait clairement la ligne du hosts modifiée
sur le second elle avait disparu => Dr Web curreit l'avait réparée
sur le troisième elle apparait à nouveau => normal il y a eu une restauration système
 
j'ai demandé à ZHPFix de réparer le hosts ,mais il faudrait vérifié si la ligne a bien été éffacé ,malgré que le rapport affiche un Hosts sain
 
regarde dans c:\windows\system32\drivers\etc\hosts
 
si tu vois la ligne  suivante 122.224.6.164 cao.iwillhavebigdick.com
 
édite le hosts et supprime là  
 
ou bien passe cet outil
 
pour restaurer le fichier Hosts de ton ordinateur :
 
    • Télécharge MyHosts.exe (de jeanmimigab) sur ton Bureau.
    • Lance le programme (si tu es sous Windows Vista ou Windows 7, fais un clic-droit sur l'icone et choisis "Exécuter en temps qu'administrateur" )
    • Lorsque le programme aura terminé son travail, un rapport doit s'ouvrir : poste son contenu dans ta prochaine réponse. Si aucun rapport ne s'ouvre, tu peux le retrouver à l'emplacement suivant : C:\MyHosts.txt

J'ai enlevé la ligne (en fait deux) manuellement, car elle était effectivement présente. Après sauvegarde, les problèmes de redirection persistent.
 
Je retente des DrWeb et des MBAM ou vous avez d'autres idées ?

Je pense que nous sommes face à une infection bien cachée qui se régénère et repasser Dr Web ou malwarebytes sera inefficace
cela a déjà été fait

nous allons utiliser un logiciel plus puissant

/!\Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle /!\

Désactive l''UAC de vista =>tutoriel pour t'aider si besoin

• Télécharge ComboFix (de sUBs) sur ton Bureau.

IMPORTANT:deconnecte toi du net, Désactive tous tes logiciels de protection et ferme toutes les applications en cours

• Double-clique sur ComboFix.exe afin de le lancer.

• /!\ Ne touche à rien pendant le scan. /!\

• s'il t'est demandé de redémarrer: accepte
• Lorsque la recherche sera terminée, un rapport apparaîtra.
• héberge le rapport (C:\Combofix.txt)   sur cijoint.fr et poste moi le lien fourni dans ta prochaine réponse.

Tutoriel officiel de Combofix :

J'ai fait deux MBAM en mode rapide, qui m'a détecté 8 objets, que j'ai enlevés par la suite. J'ai délété les fichiers en quarantaine, j'ai vidé le cache et les fichiers temporaires des navigateurs (a peu près tout les trucs que CCleaner m'a listé, sauf les fichiers mémoire, historiques, journaux windows) et ça a l'air de remarcher correctement pour l'instant.
 
J'essaie ton truc demain matin (après 13h heure Française) si au redémarrage ça fonctionne pu.

tu me montreras les rapports MBAM Stp pour ma gouverne
 
Bonne nuit !

Lien vers le deuxième rapport MBAM
 
http://www.cijoint.fr/cjlink.php?f [...] G64Nb5.txt
 
Bon, finalement ça ne marchait pas bien, au bout de 4 lancements de Chrome le problème est revenu.
 
Du coup j'ai fait ton truc combofix. Voilà le rapport.
 
http://www.cijoint.fr/cjlink.php?f [...] fF0sWS.txt
 
Le problème persiste.

Tu n'as aucun résident qui te paraisse louche ?
Regarde aussi dans MSconfig/Démarrage
 
Le plus simple soit tu reprends un point de restauration ou le backup de ton système (si tu en fais régulièrement) juste avant que le problème se soit produit...

le fait que le fichier explorer.exe avait été patché nous orient vers la possibilité d'un RootKit
 
Si tu es d'accord nous allons faire une recherche avec Gmer, toujours avec l' UAC désactivée
 
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  

Non, pas de backup ni de ligne louche dans MSconfig/demarrage.
 
http://www.cijoint.fr/cjlink.php?f [...] 8M14MS.txt
 
Je viens de désinstaller AVG (que j'avais installé suite aux recommandations du professionnel ayant dévirusé mon ordi la semaine dernière). Il était assez peu sensible (AVG) à mes problèmes. Bon, il a quand même détecté http://www.cijoint.fr/cjlink.php?f [...] yYl5H7.jpg deux ou trois fois (alors que les redirections publicitaires et les crashs de Google Chrome (moins fréquents que les redirections) sont arrivés maintes fois).

• rends toi sur http://www.virustotal.com/fr/
• clique sur parcourir saisis le chemin vers le fichier possiblement infecté soit:

C:\Users\ARTHUR~1\AppData\Local\Temp\kxrdqpog.sys

• clique sur "envoyer le fichier"

Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"

• héberge ensuite le rapport fourni sur cijoint.fr et poste moi le lien

Le fichier n'existe pas. Je l'affiche comment ?

il faut mettre ton nom en entier , tel qu'il apparait dans les chemins de fichier

Ca ne marche pas non plus ^^

QUand j'y vais manuellement le fichier n'y est pas.
 
Par contre, j'aimerais bien savoir pourquoi le "driver" de Gmer serait suspect.

oups! ,désolé trop de précipitation sans aucun doute, j'ai honte !!!

bon en reprenant mes facultés et si tu as toujours confiance en moi voici la suite:
 
En fait le fichier explorer.exe est infecté et n'a pas été réparé par ComboFix contrairement à wininit.exe
 
Nous allons donc faire une recherche de fichier sain sur ton PC afin de pouvoir le remplacer
 

• relance ZHPDiag et clique sur le bouton représentant une paire de jumelles
• dans la zone verte à droite sélectionne "Trojan.batimall"
• une liste de fichier va apparaitre => copie cette liste et poste là moi

%Windir%\explorer.exe /md5
%Windir%\winsxs\explorer.exe /s /md5
%Windir%\Winlogon.exe /md5
%windir%\Wininit.exe /s /md5

En fait après le scan ComboFix, ça a lancé le redémarrage, mais la fermeture de ma session ne s'est pas faite. J'ai dû arrêter et drelancer l'ordi manuellement. Je ne sais pas si c'est important ^^