Bonjour a tout le monde,  
 
Je me décide à poster et à vous demander de l'aide car malgrès la lecture de nombreux sujets sur ce problème. Je n'ai pas pu le résoudre seul et souvent la réponse est personnalisée.
 
Voila mon souci a commencer depuis quelques jours, mon navigateur firefox est souvent redirigé vers une page suspecte, mon ordinateur chauffe plus que d'habitude (air chaud degagé par les ventilateurs et dans le bios cpu à 65 apres 1 heure!! en tant normal dépasse rarement les 50), dans Gestionnaire des tâches on peut voir de nombreuses applications svchost.exe qui utilise beaucoup le processeur et enfin hier mon antivirus avast! n'a pas arrété les alertes sur svchost (toutes les 2 minutes!!!).
 
Bref on voit souvent ce genre de symptômes dans des sujets de forum. Comme indiqué dans de nombreux forum, j'ai télécharger ComboFix et je l'ai lancé. Depuis Avast! me laisse tranquille mais pour les redirection internet et les multiples svchost le problème reste entier...
 
Je viens de relancer ComboFix et je vous met le rapport : http://cjoint.com/?0GzlPBVyXRj
 
Sur tout les forums que j'ai lu depuis 2-3 jours, j'ai pu voir de nombreux logiciels utilisés. J'ai choisi d'utiliser ComboFix car il revenait souventdans les post. J'attend vos conseils et instructions.
 
J'écris ce message avec un autre ordinateur car le problème de redirection est très pénible en ce moment, j'ai du mal à ouvrir rien qu'une page internet.
 
PS: merci d'avance de prendre de votre temps pour regarder mon souci.

Je me permet d'ajouter ma configuration de l'ordinateur si cela peut vous aider.
 
Processeur : i5 2550K
Carte Mère : msi Z68A-G43 G3
Mémoires : 4 x 4Go DDR3
Carte Graphique : msi N560GTX-Ti Twin Frozr 2
Disques Durs : 2 x 500Go

Salut.
 
Tu peux me poster le premier rapport de Combofix : C:\Combofix.txt ?
 
Puis :
 

• Télécharge OTL sur ton bureau
• Ouvre-le (sous Vista/Seven => Clic droit Exécuter en tant qu'administrateur)
• Clique ici et choisis la même configuration
• Copie tout ce qui suit (en bleu) :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
winlogon.exe
explorer.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
 

• Colle dans le cadre Personnalisation du logiciel puis clique sur Analyse
• Patiente le temps du scan puis un rapport s'ouvre, héberge-le ici
• Envoie-moi le lien du rapport

++

Tout d'abord, merci de t'occuper de mon cas aussi rapidement.
 
Pour le 1er rapport ComboFix, je ne l'ai plus (je sais fallait pas l'effacer dsl). J'ai quand même vérifié mais le seul fichier texte Combofix.txt que j'ai c'est celui que j'ai fourni.
 
J'ai réalisé le scan OTL comme tu me la demandé, voici les 2 fichiers qu'il m'a fourni :
 
le 1er nommé OTL.txt http://cjoint.com/?0GzsvUyc0Xa
 
le second nommé Extras.txt http://cjoint.com/?0GzsydI2MjC
 
 

Je viens de m'apercevoir que je n'avais pas désactivé ni Steam ni Avast pendant le scan OTL si besoin je referais le scan.  
 
Pour le scan Combofix les 2 étaient désactivés.
 
 
Merci encore de traiter ma requête.
 

Re.
 
J'arrive pas à voir c'est quelle infection.    
 
On va essayer avec un autre outil de diag :

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
• Suis les indications pendant l'installation (laisse la case Créer une icône sur le bureau cochée)
• Lance le raccourci ZHPDiag qui est sur ton bureau (clic droit Lancer en tant qu'administrateur si Vista/Seven)
• Appuie sur la loupe en haut à gauche (Lancer le diagnostic) et laisse tourner
• Dès que c'est fini, héberge le rapport ZHPDiag.txt (qui est sur le bureau) ICI
• Envoie moi le lien du rapport

Pas besoin de relancer OTL.

Re
 
Tout d'abord, j'ai un truc nouveau en ce début de soirée avast m'a averti de la présence d'un virus et c'est firefox.exe, 3 fois en 20 minutes de connection quand même.
 
Voici comme demandé le rapport de ZHPDiag : http://cjoint.com/?0GzvWcwY6cc
 
 
Merci du temps passé sur mon petit souci.

Pour Avast, on voit ça après. Déjà, tu as le rootkit TDSS : http://www.commentcamarche.net/faq [...] ss-alureon

Il peut provoquer des redirections :-)

• Télécharge TDSSKiller sur ton bureau
• Double-clique dessus (sous Vista/Seven => Clic droit puis Exécuter en tant qu'administrateur)
• Clique sur Start scan et patiente durant le scan
• Si TDSS.tdl2 est détecté, assure-toi que l'option Delete soit bien cochée
• Si TDSS.tdl3 ou TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que l'option Cure soit bien cochée
• Si Suspicious file est indiqué, assure-toi que l'option Skip soit bien cochée
• Si l'outil te le demande, redémarre le PC, sinon éteint juste l'outil
• Poste le rapport (qui se trouve aussi ici : C:\TDSSKiller.VERSION_DATE_HEURE_log.txt)

++

Voici comme convenu le rapport TDSSKiller  
 
 
http://cjoint.com/?0GAxtJAlJ18
 
 
Mais apparemment il a rien trouvé...
 
 
 
++

Salut.
 
Ok .. bon on va supprimer ce qu'il faut
 
ZHPFix
On va supprimer certains éléments. Si jamais il t'est demandé de désinstaller un logiciel, tu peux confirmer par OK.  
 

• Copie toutes les lignes suivantes (en gras) :

[HKLM\Software\Babylon]      
O43 - CFD: 16/07/2012 - 23:56:54 - [0] ----D C:\ProgramData\Babylon      
O43 - CFD: 16/07/2012 - 23:56:54 - [0,005] ----D C:\Users\Ragnarock\AppData\Roaming\Babylon      
O43 - CFD: 14/07/2012 - 00:34:18 - [14,359] ----D C:\Users\Ragnarock\AppData\Roaming\OpenCandy      
O69 - SBI: SearchScopes [HKCU] {95B7759C-8C7F-4BF1-B163-73684A933233} [DefaultScope] - (AVG Secure Search) - http://isearch.avg.com      
O69 - SBI: SearchScopes [HKCU] {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} - (MyStart Search) - http://mystart.incredibar.com      
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe      
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe      
[MD5.197215658B8015182192E1EBCA3BBCC3] [SPRF][25/07/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Ragnarock\AppData\Local\Temp\AskSLib.dll   [246440]  
[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]      
C:\Users\Ragnarock\AppData\LocalLow\Incredibar.com      

• Lance ZHPFix qui est sur ton bureau (Vista/Seven => Clic droit Exécuter en tant qu'administrateur)
• Appuie sur l'icône H (Coller les lignes Helper) => les lignes doivent se coller automatiquement, sinon fais-le
• Clique sur GO puis quand c'est fini, copie/colle le rapport dans ta prochaine réponse

Y'a des améliorations au niveau de svchost et des redirections ?  
 
++

Je viens de faire la manipulation, voici le rapport :
 
http://cjoint.com/?0GBaeA4I0da
 
Pour les redirection je te confirme demain après avoir utilisé internet un peu plus, pour tester j'ai ouvert une bonne vingtaine de sites sans aucun problème...  
 
Pour les applications svchost, il en reste une dizaine en activité (je pense que c'est normal?). Ce qui est flagrant c'est que sur la fenêtre Moniteur de ressources, l'utilisation du processeur est passé de 25-30% à 3-8% et de 90-98% à 40-45% de la fréquence maximale.
 
Merci et je poste demain en soirée pour faire le point sur les redirections.

Je précise tout de même que les processus svchost, je n'en ai plus dans le Gestionnaire des Tâches/Processus.
 
C'est dans Moniteur de Ressources/Vue d'ensemble que je vois les svchost.
 
Merci encore et à demain +++

Re.
 
Eh ben, on dirait qu'on est sur la bonne voie. Tant mieux, j'avais pas vraiment d'autre solution en réserve.    
 
Ce qui est bizarre, c'est que le rapport affiche ceci :  

 
Donc en gros, il a pas supprimé la valeur dans le registre (vu qu'il ne l'a pas trouvé). Tu pourrais me refaire un ZHPDiag pour voir si ces lignes sont toujours là ?  
 
++

Voici le rapport ZHPDiag
 
http://cjoint.com/?0GBaQ4iE4Fw
 
 
Merci d'être encore en train d'aider les internautes comme moi à cette heure ci.
 
Pour moi la suite sera demain car je me lève tôt pour le taf demain bonne nuit et encore merci.

Nan mais je disais ça pour la prochaine fois où tu repasses. ^^
 
Tu peux aller dormir ! :-)

Yop, on va essayer de modifier le registre avec un logiciel plus puissant.
 

• Copie ce qui suit (en rouge) :

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-

• Ouvre le bloc-note windows, colle tout ça dedans puis enregistre-le sur ton bureau (nomme-le CFScript.txt)
• Glisse le fichier texte CFScript.txt sur l'icône exécuteur de Combofix
• Suis les instructions et patiente pendant le scan (si l'ordinateur redémarre plusieurs fois, c'est normal)
• À la fin, le rapport s'ouvre : héberge-le ICI

++

Salut,
 
Ce soir j'ai beaucoup surfé sur le net et la bonne nouvelle est qu'aucune redirection n'a eu lieu.
 
Par contre, après Firefox hier, aujourd'hui c'est Steam qui est devenu un virus pour Avast (2 fois en début de soirée). C'est bizarre et je sais pas si c'est lié avec mon souci svchost donc je préfère te le signaler.
 
Autre problème, plus ennuyeux je trouve, c'est l'Explorateur Windows qui cesse de fonctionner régulièrement puis repart. C'est arrivé une dizaine de fois en 2 heures de temps.
 
Je te met le rapport Combofix comme demandé : http://cjoint.com/?0GBxhxoNqRE
 
J'ai glissé le fichier sur l'icône, Combofix s'est lancé sans me donner d'instructions!! Je me demande si ma manipulation est réussi?
 
++
 

Oups, parler trop vite!!!
 
Je viens d'avoir droit à 1 redirection furtive c'est à dire que j'ai revu la page jaune mais je suis revenu à la page demandée dans la foulée.  
 
+++

Bon en ce samedi noir sur internet!!
 
Aujourd'hui j'arrive difficilement à ouvrir une page internet, Firefox n’arrête pas de me rediriger sur une page à fond jaune où on peut lire :
 
Erreur d'analyse XML : aucun élément trouvé
Emplacement : jar:file:///CProgram%20Files/Mozilla%20Firefox/omni.ja!/chrome/toolkit/content/global/netError.xhtml
Numéro de ligne 1, Colonne 1 :
 
^
 
Dans la barre d'adresse on a :  
 
http://us.yhs4.search.yahoo.com/yh [...] 6pqdnl4tny
 
 
La page n'arrête pas de s'actualiser.
 
Bon week-end ++++

Yop.
 
J'sais pas si t'as bien passé le script avec Combofix, m'enfin on verra après :-)
 

• Télécharge AdwCleaner (d'Xplode) sur ton bureau
• Lance le puis choisis Recherche
• Dès que c'est fini, un rapport s'ouvre : héberge-le ici

Note : le rapport se trouve aussi ici : C:\AdwCleaner[R1].txt.
 
Tu peux essayer de désinstaller complètement Firefox et de le réinstaller ?

Salut,
 
J'ai donc désinstallé complétement Firefox puis réinstallé.  
 
Avant de lancer AdwCleaner, j'ai désactivé Avast.
 
Voici le rapport : http://cjoint.com/?0GCo7iMkNHm  
 
 
 
+++

Re.
 

• Relance AdwCleaner puis choisis Suppression
• Dès que c'est fini, l'ordinateur redémarre et le rapport s'ouvre : héberge-le comme avant

Note : le rapport se trouve aussi ici : C:\AdwCleaner[S1].txt.

Re salut,
 
 
Voila le rapport de suppression de AdwCleaner :
 
http://cjoint.com/?0GCvnnhgGSh
 
 
++

Du mieux avec le navigateur ?  
 
Sinon c'est bizarre pour le script Combofix, il devrait mentionner quelque part pour la modification du registre.
 
Tu peux refaire un ZHPDiag pour voir si les lignes ont sauté ?
 
++

Pour le navigateur, j'ai pas eu de redirection depuis la nouvelle installation sinon arff j'ai perdu tous mes marques pages....  
 
Sinon gros soulagement cette mer.. de IncredibleMachinTruc n'est plus là, du moins quand j'ouvre un nouvelle onglet. Merci pour ça^^
 
 
 
Pour le script, il a été pris en compte, enfin je pense, puisque dans le rapport Combofix on peut lire au début :
 
"Commutateurs utilisés :: c:\users\Ragnarock\Desktop\CFScript.txt"
 
 
 
J'ai refais ZHPDiag, voici le rapport : http://cjoint.com/?0GDaj2OEQQO
 
Merci ++

Re.
 
Quand je parlais du navigateur, c'était surtout pour ça :
 

 
Y'a encore ?
 
Sinon les deux lignes que j'voulais faire sauter sont toujours là ..... Je vais demander puis revenir vers toi    
 
Sinon, toujours des détections de steam ? Firefox ?  
 
++

Cette page jaune avec ce message je ne l'ai pas revue depuis la réinstallation de Firefox. Pourvu que ça dure...
 
Pour les détection Avast!!, il n'y en a pas eu depuis 2 jours avec Steam.
 
Par contre, j'ai toujours l'Explorateur Windows qui plante (moins souvent mais encore...), j'ai le message comme quoi il a cessé de fonctionner, l'ordinateur cherche un moment (pendant ce temps je ne peux plus rien faire tout est bloqué) puis tout remarche comme avant.
 
Merci à toi, tu as fait du bon travail et je t'en remercie. Entre les détection Avast, les redirections et les processus svchost, le pc n’avançait pas et rien qu'ouvrir une page internet était long et difficile quand je la voyait finalement!! Je parle même pas de lancer un jeu...
 
J'attend de tes nouvelles, profite de ton dimanche!!!

Yop.
 
Pour explorer.exe, on voit ça après x)
 
Faut vraiment qu'on fasse sauter ces lignes, car elles viennent du rootkit TDSS, qui était en cause de tous tes problèmes (svchost + redirections).
 
---------------
 

• Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau
• Double-clique sur OTM.exe pour le lancer.
• Copie ce qui suis (en rouge) puis colle dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

:reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-

• Clique sur MoveIt! puis ferme OTM.  
• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
• Accepte en cliquant sur YES.  
• Poste le rapport situé dans C:\_OTM\MovedFiles.  
• Le nom du rapport correspond au moment de sa création : date_heure.log

------------------
 

• Télécharge Malwarebytes' Anti-Malware puis intalle-le
• A la fin, laisse les deux cases cochées (Mettre à jour Malwarebytes Anti-Malware et Exécuter Malwarebytes Anti-Malware)
• Le logiciel s'ouvre, dans l'onglet Recherche choisis Exécuter un examen rapide puis clique sur Rechercher
• A la fin, s'il a trouvé des infections, clique sur Afficher les résultats  
• Coche tous les éléments puis Supprimer la sélection
• S'il te demande de redémarrer, fais-le puis poste le rapport qui devrait s'ouvrir automatiquement

Note : il se trouve aussi dans l'onglet Rapports/logs du menu principal
 
++

Bon je profite de la sieste de mes loulous pour faire les manipulations.
 
Voici les résultats :
 
OTM  http://cjoint.com/?0GDpFOvwAU5
 
Malwarebyte'Anti-Malware  http://cjoint.com/?0GDpGMyuUvj  
 
A noter que le premier n'a connu aucun soucis (même pas de redémarrage) et le second n'a rien trouvé...
 
... la victoire est proche!
 
++

Bon, pourquoi il n'arrive pas à virer ces deux lignes.    
 
Au niveau des redirections ça va mieux, svchost c'est bon aussi ? Les détections par ton AV aussi ? Reste juste l'explorateur donc ?

Bon, on m'a demandé de relancer TDSSKiller avec une option en plus.
 

• Télécharge TDSSKiller sur ton bureau
• Double-clique dessus (sous Vista/Seven => Clic droit puis Exécuter en tant qu'administrateur)
• Clique sur Change parameters, coche Detect TDLFS file system puis OK
• Clique sur Start scan et patiente durant le scan
• Si TDSS.tdl2 est détecté, assure-toi que l'option Delete soit bien cochée
• Si TDSS.tdl3 ou TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que l'option Cure soit bien cochée
• Si Suspicious file est indiqué, assure-toi que l'option Skip soit bien cochée
• Si l'outil te le demande, redémarre le PC, sinon éteint juste l'outil
• Poste le rapport (qui se trouve aussi ici : C:\TDSSKiller.VERSION_DATE_HEURE_log.txt)

http://www.malwarebytes.org/products/malwarebytes_free + un coup de spybot et l'histoire était régler.... soupoudrer de microsoft security essentials..moins chiant qu'un avast qui gueule chaque secondes pour rien.

Re,
 
Voici le rapport TDSSKiller  http://cjoint.com/?0GDrH4VnOAM
 
Pour les redirections, plus depuis hier matin pourvu que ça dure.
 
Pour les processus svchost, leur nombre a beaucoup baissé (jusqu'à la normal j'espère...). Plus le problème du processeur (fréquence trop élevée) et donc le pc ne chauffe plus comme il y a quelques jours donc pour moi tout va bien.
 
Pour les détections Avast!, pas eu aujourd'hui ni hier soir donc ça a l'air d'aller.
 
Pour conclure, reste encore l'explorateur windows qui plante mais beaucoup plus rarement (1 seul fois aujourd'hui).
 
++

Salut.
 
Ok t'as plus les symtômes, on a tenté 3 outils de script pour virer les deux lignes que nous montrent ZHPDiag et ça rate.
 
On va juste exporter ces deux clefs pour voir si le problème ne viendrait pas de ZHPDiag.
 

• Télécharge RegToolExport (d'Xplode) puis lance-le.
• Copie/colle ces lignes dans l'encadré :

• Clique sur Exporter et choisis par exemple le bureau
• Héberge ce fichier ici puis donne moi le lien

++

Quand je fais la manipulation, j'obtiens un fichier .reg que j'ai ouvert avec le bloc Notes de Windows.
 
Je me permet de le copier coller ici vu qu'il n'est pas très long. Le logiciel termine en disant que l'opération s'est déroulée avec succès.
 
Export_30_07_2012_21_55 :
 
Windows Registry Editor Version 5.00
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=dword:00001f40
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\feature_enable_ie_compression]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000001
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl]
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=dword:00001f40
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\feature_enable_ie_compression]
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000001
 
 
 
++

Oui c'est bien ça qu'il faut.
 

• Relance OTM.exe
• Copie ce qui suis (en rouge) puis colle dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

:reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]  
"svchost.exe"=-

• Clique sur MoveIt! puis ferme OTM.  
• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
• Accepte en cliquant sur YES.  
• Poste le rapport situé dans C:\_OTM\MovedFiles.  
• Le nom du rapport correspond au moment de sa création : date_heure.log

Là j'espère que ça va donner quelque chose    
 
++

Voila c'est fait,
 
http://cjoint.com/?0GEwt7ZAr2q
 
++

Enfin  
 
Bon bah on dirait qu'on l'a enfin eu   tu peux faire un dernier ZHPDiag de contrôle ?  
 
++

Voici le contrôle ZHPDiag  
 
http://cjoint.com/?0GEwGbOphwX
 
 
Je croise les doigts !!! Je viens de mettre une bouteille au frigo, j'espère pouvoir l'ouvrir?

Oui c'est bon elles ont bien sauté
 
1) DelFix : pour supprimer les outils qu'on a utilisés
• Télécharge DelFix (d'Xplode) puis lance-le
• Clique sur Recherche puis poste moi le rapport qui s'ouvre
 
-----------
 
explorer.exe plante encore depuis ?