Bonjour à tous!!
Voilà tout est dans le titre!!
J'ai des onglets qui s'ouvrent seuls sur des pubs ou autres en utilisant les recherches que je fais sur google!!
De plus, lorsque je fais des recherches sur google, les liens sur lesquelles je clique sont redirigés vers des pubs ou autres!!!!
 
J'ai passé Malwarebytes, spybot,adaware, panda security scan, avira antivir!!!!!!
 
Je craque          , est ce quelqu'un peut m'aider!!
 
       
 
PS:je tourne sous seven starter sur un netbook!!!

Bonsoir
 
Pour commencer il faut faire un diagnostic de ce pC,pour cela utilise ce logiciel:
 

• Télécharge ZHPDiag
• clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Merci pour ton aide!!
J'ai été obligé de faire le lien avec un autre ordi car impossible d'uploader le fichier à partir de l'ordi infecté!!!!
 
http://www.cijoint.fr/cjlink.php?f [...] HALt6n.txt  
 
voilà le lien!!
 
Merci!!!
 
PS: je suis désolé pour ma réactivité mais j'ai 6 heures de décalage horaire (je suis au Québec)!!!

bonjour
 
je vais te demander de passer un autre log de diagnostic,s'il te plait ? ne t'en fais pas pôur le décalage ,je ne suis pas non plus toujours devant l'écran  
 
 

• Télécharge Random's system information tool  ,(RSIT) et enregistre le sur ton bureau.
• Sauvegarde tout travail en cours et fermes toutes les fenêtre actives avant de lancer RSIT  
• Double clique sur RSIT.exe pour lancer l'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)  
• Sous vista ,clique droit sur le fichier et choisis "Exécuter en tant qu'administrateur".  
• Clique sur "continue" à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.  
• Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c'est le log.txt, le second info.txt sera ouvert mais dans la barre des tâches.  

les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\
 
voici les chemins d'accès=> C:\RSIT\log.txt & C:\RSIT\info.txt
 
héberge les sur ci-joint.fr et poste moi le/les liens
 
ne poste pas les rapports sur ce forum.
 
Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  

Salut, j'ai un message d'erreur à la fin du scan!!
Je mets le log.txt
 
http://www.cijoint.fr/cjlink.php?f [...] VVBOcx.txt
 
Merci.
 
PS: voila le message d'erreur:
 
Line-1:
Error: Variable used without being declared.

bonjour
 
Fais ceci pour confirmer la présence d'une "toolbar" piégée
 
 

•  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)  
• Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.

•   /!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\

• Double clique sur le fichier "Ad-remover" que tu viens de télécharger  
• à l'écran qui apparait, clique sur "Scanner".
• Laisse travailler l'outil et ne touche à rien ...
• héberge le rapport qui apparait à la fin sur  http://www.cijoint.fr  et poste moi le lien fourni.

 
( le rapport est sauvegardé aussi sous C:\Ad-report.log )
 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
   
 
 

Salut,
 
http://www.cijoint.fr/cjlink.php?f [...] 6KYGDG.txt
 
Voilà le scan de Ad remover!!!
 
J'espère que ca pourra aider!!
A plus

Bonsoir
 

• Télécharge "Smitfraudfix" et enregistre le sur le bureau: http://siri.urz.free.fr/Fix/SmitfraudFix.exe
• Ensuite double clique sur smitfraudfix puis exécuter
• Sélectionner 1 pour créer un rapport  

(attention : N utilises pas l 'option 2 si je ne te l ai pas demandé !!)

• héberge le rapport sur http://www.cijoint.fr et poste le lien fourni  dans ta réponse.

Voici un tutoriel sonore et animé : http://pagesperso-orange.fr/rginfo [...] audfix.htm
 
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)

Salut,
J'ai un énorme problème quand je lance smitfraudfix car Avira détecte des virus: 'SPR/Tool.Hardoff.A, 'SPR/Tool.Reboot.F' .
Je fais quoi je les ignore et je continue!!!

Car j'ai refuser l'accès à ces "virus", lancé le scan et windows a planté et redémarré!!!!

Au secours!!!!

Bon j'ai refait en ignorant!!
De toute façon je suis déjà infecté... lol
 
Voilà le lien pour le rapport
http://www.cijoint.fr/cjlink.php?f [...] K4XBoI.txt
 
Merci.

c'est indiqué    ,excuse j'aurais du te faire désactiver l'antivirus
 
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)
 

 
 
et bien pour tout te dire,figure toi que je n'arrive pas à voir comment et par quoi,voilà pourquoi ces scans multiples,mais je ne perds pas espoir

Et pourtant j'ai toujours les mêmes problème!!
Des onglets qui s'ouvrent seuls!!
Des liens qui sont redirigés vers des pubs!!
En plus lorsque je veux faire des mises à jours windows j'ai une erreur qui fait que la mise à jour échoue!!
Et un autre problème, mais je ne sais pas si c'est en lien, c'est que lorsque je vais dans la gestion des disques après avoir fait "gérer" sur "ordinateur" (poste de travail sous XP), je ne vois aucun disque, aucune partition!!!!!!!!!!!
Je m'en suis rendu compte en voulant installer linux , car je devais d'abord créer une nouvelle partition!!!!

Je craque!!!!!!!!!!!!!!!!

Merci pour ton aide.

Bonjour
 
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0  
 
cette ligne est fort étrange, j'ai une petite idée et je crains une infection par support amovible
 
Voilà ce que tu vas faire:
 
desactive l'uac comme ceci: http://www.depannetonpc.net/fiches [...] ows-7.html
 
ensuite Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
• tutoriel recherche
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
• Choisi l'option 1 (recherche)
• Laisse travailler l'outil
• Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur ce site et poste moi le lien qui te sera fourni
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Important: Ne poste pas le rapport directement sur ce forum
 
    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

regarde ton fichier host

Voilà le rapport de USBFix!!
J'avais fait un truc avec un outil panda pour empêcher l'ouverture automatique et je vois que ça apparait sur le rapport, j'espère que ça ne vient pas de ça!!
http://www.cijoint.fr/cjlink.php?f [...] TRFLZN.txt
 
Pour mon fichier hosts, il a l'air normal, non?
Voilà une copie du fichier:
http://www.cijoint.fr/cjlink.php?f [...] BrQa8w.txt
 
Merci.

bon bin c'est pas ça Grrrrr!
 
le vaccin Panda est légitime pas de souci
 
le fichier host est vide donc pas de redirection
 
je cale ,et je vais demander du renfort , je n'abdique pas

bonjour
 
nous allons faire une recherche de "rootkit" avec unn logiciel spécialisé:
 
là encore avec l4uac désactivée => http://www.depannetonpc.net/fiches [...] ows-7.html
 
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur  http://www.cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  
 
 

http://www.cijoint.fr/cjlink.php?f [...] NNRS9A.txt
 
Et voilà, encore un scan de plus!!!  
Je pense qu'il faudra que tu m'aides pour enlever tous les utilitaires que tu m'as fait installer!!!!!    
 
Merci encore!!!

 
oui mais celui-ci est le bon,mais pas le dernier!!
 
ne t'en fais pas pour la désinstallation c'est prévu
 
File            C:\Windows\system32\drivers\iaStor.sys   =>  suspicious modification
 
il y a bien une modification d'un fichier (driver) par un rootkit de la famille TDSS, je pense à TDL3  
je dois m'absenter ,je te donne la suite dès que je peux

me voici de retour,Tu vas maintenant te servir d'un utilitaire de suppression de ce type de malwares
 
/!\ désactive tous tes log de protection /!\
 
Télécharge tdsskiller de "loup_blanc" sur le bureau. Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lance "load_tdsskiller" en double-cliquant dessus: (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus → Exécuter en temps qu'administrateur)

l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan

• Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse

(le fichier est également présent ici : C:\tdsskiller\report.txt

• Redémarre le PC

TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04
 
Scanning        Services ...
 
Scanning        Kernel memory ...
Driver "iaStor" infected by TDSS rootkit!
File "C:\Windows\system32\drivers\iaStor.sys" infected by TDSS rootkit ... will
be cured on next reboot
 
Completed
 
Results:
Memory objects infected / cured / cured on reboot:      1 / 0 / 0
Registry objects infected / cured / cured on reboot:    0 / 0 / 0
File objects infected / cured / cured on reboot:        1 / 0 / 1
 
To finalize removal of infection and avoid loosing of data program will
reboot your PC now.
Close all programs and choose Y to restart or N to continue
 
 
Voilà le rapport!!
Il y a bien une infection mais malgré le reboot, j'ai l'impression qu'elle est encore là!!!
Est-ce normal?

c'est en effet possible car cette version du rootkit est coriace
il va falloir rechercher une copie du fichier sur le disque dur et remplacer le fichier infecté  grâce à des outils spécifiques
c'est classique avec le TDL3
 
refais moi tout de même un Gmer s'il te plait? pour confirmer qu'il est encore là

Oui il est encore là!!
Je te mets le rapport Gmer:
 
http://www.cijoint.fr/cjlink.php?f [...] yJ5qKk.txt
 
Merci beaucoup!!

Bon on va passer à la vitesse supérieure:
 

• Télécharge SEAF (de C_XX)  http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe sur ton Bureau.
• Lance SEAF
• Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".

• Tape: iaStor.sys dans le champs de recherche,  

• clique sur "Lancer la recherche" et patiente.
• Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche,toujours en passant par cijoint.fr.

C'est bon j'ai fait la recherche:
http://www.cijoint.fr/cjlink.php?f [...] 5dVmC1.txt
 
J'ai juste une question: comment tu sais qu'il faut faire tous ces scans!!!??
 
Merci.

 
pour répondre à ta question, je dirais que comme des dizaines d'autres ,je me tiens informé sur tout ce qui concerne les malwares et les moyens de les combattre,cela passe par de la formation et de l'information partagée    
 
Pour continuer nous allons faire deux manipulations:  
une copie de fichier sain à la racine de C: à l'aide d'un script sous forme de fichier batch directement exécutable puis un remplacement du fichier infecté par cette copie à l'aide de "The Avenger"
 
Sauvegarde tes données importantes, on est pas à l'abri d'un plantage!
 
Voilà la suite des opérations, nous allons avec le script,  copier une copie des fichiers sains à la racine de C: et the Avenger remplacera ensuite les fichiers infectés par cette copie
 
1/ Télécharge The Avenger par "Swandog46" sur ton Bureau.
 
http://swandog46.geekstogo.com/avenger.zip
 
l'extraire sur le bureau
 
 
2/ Télécharge ce fichier zip à ton nom et dézippe le sur le bureau
 
tu dois voir un fichier .batch et un fichier .txt
 
=> exécute le script_batch.bat clic droit = > exécuter en tant qu'administrateur
 
Si tout va bien tu dois avoir le message "la copie du fichier iaStor.sys a reussi"  
 
 
3/ Lance The Avenger (en tant qu'administrateur)  
puis Copier/coller tout le texte du cadre ci dessous sauf le mot: code:  (c'est ce qu'il y a dans le fichier .txt téléchargé)
 

 
 
puis clic droit => coller dans la fenêtre d'Avenger sous input script here, comme sur la capture
 

 
et clic execute.
 
/!\ Note Importante: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. (yoda_m)
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. /!\
 
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine réponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
 
4/ redémarre ton ordinateur
 
5/ repasse GMER, désactive bien ton antivirus et montre moi le rapport
 
si tu n'as pas compris quelque chose demande moi ,n'hésite pas.
 
Bonne chance!

 
 
Ca c'est facile!!

 
 
Oui j'ai bien eu ce message!
 

 
Voilà le lien du log:
http://www.cijoint.fr/cjlink.php?f [...] 6vxFrI.txt
 
 

 
Ca aussi je sais faire!!    
 

 
 
Et là c'est le drame, il est encore ce fichier de           !!!
Voilà le lien de gmer:
http://www.cijoint.fr/cjlink.php?f [...] PPZeTj.txt
 
Je pense avoir fait correctement mais d'après toi est ce que je recommence?
 
Merci.

Bonjour

ce rootkit sait se défendre  
il a peut être patché un autre fichier et gmer ne le montre pas ou bien la copie du fichier utilisée était aussi infectée

Il va falloir utiliser un liveCD pour le contrer si tu en as la possibilité

il va falloir utiliser un autre logiciel sur liveCD

• Depuis un autre ordinateur , télécharge le fichier OTLPE.iso
• Grave le sur un CD vierge
• Insère le CD dans le lecteur de l'ordinateur infecté et fais redémarrer l'ordinateur
• L'ordinateur doit démarrer sur le CD, et tu vas arriver sur un Bureau comme celui-ci
• Clique sur OTLPE puis laisse toi guider
• Quand OTL sera lancé,faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes"

ajoute cette commande:  %SYSTEMDRIVE%\atapi.sys /s /md5

• cliquer sur Run Scan

et patiente pendant l'analyse

• A la fin, héberge le rapport OTL.txt sur  http://www.cijoint.fr , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

tu as ici un tutoriel pour t'aider

edit: je viens de réaliser que c'est un netbook ,donc pas de lecteur CD as tu un lecteur ext ?)

je cherche une autre solution

trouvée=>tu peux normalement rendre une clé usb bootable avec OTLPE dessus pour cela suis ce tutoriel

à ce stade je dois  te prévenir que cette désinfection n'est pas sûre d'aboutir et qu'une sauvegarde de tes doc et une réinitialisation du netbook est plus que jamais envisageable
en effet cela ressemble à un rootkit très coriace qui a patché plusieurs fichiers et qui se régénère

c'est toi qui décides
 

Je pense que je vais ré initialisé mon netbook maintenant car il y a un logiciel très pratique avec HP!!
J'espère que la ré initialisation ne va pas conservé ce rootkit!!
Est ce que tu penses que ca peut arriver???
 
En tout cas je te remercie énormément pour m'avoir aider!!!

non pas de problème si tu réinitialises le rkt sera vaincu

bonne continuation

Et ben voilà, j'ai réinitialisé mon ordi grâce au recovery de HP et ca a marché sans problème!!!
Merci énormément pour le temps passé à essayer de résoudre mon problème!
A plus.

merci pour le retour  
bonne continuation!