FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[didier49]

depuis quelques temps un nouveau moteur de recherche s'est installé sur mon ordi "Searc Engines/news search"depuis j'ai des publicités en permanences sur mon écran et très souvent des onglets non désirés qui s'ouvrent . j'ai donc scanner avec adw cleaner et ensuite avec ads fix (mais au bout de 4 jours de scan" j'ai bien écrit 4 jours " j'ai arrêté le scan de ads fix "l'ordi ne s'est pas mis en veille car je l'ai paramétré pour qu'il reste actif quand il est branché ) j'ai ensuite utilisé malwarebytes qui lui a bien fonctionné ,mais les problèmes n’étaient pas résolus
j'ai soupçonné un rootkit car de temps en temps une petite fenêtre noir avec des caractères informatiques blanc s'ouvre pendant quelque secondes et se referme immédiatement (là par contre je ne sais pas quoi faire)
j'ai fait un essai avec spyhunter 4 mais j'ai arrêté le processus après avoir fait une recherche sur ma tablette ,ce logiciel était fiable mais surtout pour arnaquer les porte feuilles (c'est ce que j'en ai déduit au vu les commentaires)je l'ai donc désinstallé mais entre temps il a quand même détecté pas moins de 318 menaces

je ne sait plus quoi faire pour m'en sortir merci de bien vouloir m'aider sur ce sujet

[jacques.gache]

bonjour, tu dis

j'ai arrêté le scan de ads fix

donc si tu pouvais nous poster le rapport !! Héberge le rapport C:\AdsFix_date_heure.txt sur http://cjoint.com/ puis donne le lien obtenu.

et puis postes un zhpdiag pour voire se qu'il y a sur le pc , merci

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
• Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• le "Disclamer" va s'afficher, clique sur" j'accepte
• Clique sur Scanner
  
  Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
  
  
• Une fois le scan terminé, sur le bureau, le fichier ZHPDiag.txt à été créé.
• Héberge le rapport ZHPDiag.txt présent sur ton bureau sur le site ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :

http://www.cjoint.com

[didier49]

veuillez bien vouloir m'excuser mais pourriez vous me dire où trouver trouver le rapport de ads fix et me dire aussi comment faire pour l’héberger pour vous l'envoyer car je ne sait pas comment il faut faire

[jacques.gache]

Héberge le rapport C:\AdsFix_date_heure.txt sur http://cjoint.com/ puis donne le lien obtenu.

je t'avais mis cela dans la réponse , normalement le rapport se créer même quand adsfix plante tu le trouveras à la racine du disque dur système souvent le C si c'est bien C celui ou est installer windows
pour le poster tu le passes sur un hébergeur comme http://cjoint.com/ si besoin un tuto vidéo: https://www.youtube.com/watch?v=eEsaF1NOrdw

et fais zhpdiag , merci

[didier49]

je n'arrive pas à télécharger ZHPdiag ni à héberger sur http://cjoint.com/ car systématiquement pour une action où une autre un nouvel onglet s'ouvre en "redirect" et c'est soit une fenêtre de pub mais le plus souvent c'est malwarebytes qui bloque tout

[jacques.gache]

bonjour, essais de redémarrer ton pc en mode sans échec avec prise en charge du réseau dans se mode tu auras internet et normalement sans les problèmes et fais zhpdiag, merci

[didier49]

http://www.cjoint.com/c/ELxlAK75jg0
ci-joint le rapport AdsFix
je m'occupe de ZHPdiag maintenant
désolé d'avoir mis si longtemps à vous répondre

[didier49]

http://www.cjoint.com/c/ELxlYPr28v0
ci-joint rapport ZHPdiag

petite info lorsque je redémarre le PC au tout début c'est un écran noir et en haut à droite il est écrit 2 fois checking media [fail] l'un au dessous de l'autre
si des fois cela pourrais vous donner une indication à moins que ce soit normal mais je ne m'en était rendu compte auparavant

merci de votre réponse

[jacques.gache]

bonjour, pour ton message checking media [fail] vois sur ce lien il y a une manipe à faire : http://fr.community.dell.com/forums_dai ... /4488#4488


pour nettoyer le pc fais zhpfix comme expliqué, postes le rapport et des nouvelles de ton pc et un nouveau zhpdiag , merci

• Télécharge ZHPFix sur ton bureau,
• Installe le, normalement,
• Copie les lignes ci dessous : en cliquant sur TOUT SÉLECTIONNER puis clique droit dessus et copier
  
  Code : Tout sélectionner

  Script ZHPFix 
  SysRestore 
  ShortcutFix 
  ProxyFix 
  FirewallRAZ 
  EmptyCLSID 
  EmptyTemp 
  EmptyFlash
  EmptyPrefetch
  O2 - BHO: 07462cf09e3b013003f40973f5b3301f0032850 [64Bits] - {11111111-1111-1111-1111-110311281150}  (Orphean)
  O2 - BHO: a7c9e3c0eb27013147ac1bd4f3c7881c0061195 [64Bits] - {11111111-1111-1111-1111-110611111195}  (Orphean)
  O2 - BHO: 62c9ccffad834deab5e0fd5cd3afeb390064969 [64Bits] - {11111111-1111-1111-1111-110611491169}  (Orphean)
  O2 - BHO: 8d6c6b503bec4fef8265c6850bf8e3d80065055 [64Bits] - {11111111-1111-1111-1111-110611501155}  (Orphean)
  O2 - BHO: saveron [64Bits] - {4b19a05a-c441-4cd1-b0d0-1e75c0348aa8}  (Orphean)
  O2 - BHO: savernet [64Bits] - {ff839c53-6fb8-4e32-889b-7d71a2ffe3e4}  (Orphean)
  O42 - Logiciel: Remoku - (."".) [HKLM][64Bits] -- {E370F69F-ED3F-925F-31FC-14D1329A713B}
  O42 - Logiciel: Shared C Run-time for x64 - (.McAfee.) [HKLM][64Bits] -- {EF79C448-6946-4D71-8134-03407888C054} ©
  O43 - CFD: 15/10/2014 - [] D -- C:\Users\isabelle\AppData\Local\Installer
  O43 - CFD: 02/05/2015 - [] D -- C:\Program Files (x86)\Spybot - Search & Destroy 2  =>.Safer Networking Ltd.®
  O43 - CFD: 02/05/2015 - [] D -- C:\ProgramData\Spybot - Search & Destroy
  O43 - CFD: 23/05/2013 - [] D -- C:\ProgramData\McAfee
  O45 - LFCP:[MD5.00C887B66591DFDE5A8C7183C6BBEF70] 16/12/2015 A -- C:\windows\Prefetch\REIMAGE.EXE-7B15761E.pf
  O45 - LFCP:[MD5.784C9A40AA8F68EB5B613D11339F07D8] 16/12/2015 A -- C:\windows\Prefetch\REIMAGEPACKAGE.EXE-E10768A3.pf
  O45 - LFCP:[MD5.45AEF2A0AF0C6325C1C9445AEA993A1E] 16/12/2015 A -- C:\windows\Prefetch\REIMAGEREPAIR.EXE-E0E8F301.pf
  O61 - LFC: 2015/12/16 15:10:14 A . (.Reimage®.) -- C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\IE\PYB0GRSI\ProtectorPackage2009x64[1].exe   [5412584] {42FA252C0EAB138AB118D98A1931718A}
  O61 - LFC: 2015/12/16 15:09:40 A . (.Reimage®.) -- C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\IE\1HJ1WKD8\ReimagePackage1826x64[1].exe   [13621616] {42FA252C0EAB138AB118D98A1931718A}
  O61 - LFC: 2015/12/16 15:10:14 A . (.Reimage®.) -- C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\Content.IE5\PYB0GRSI\ProtectorPackage2009x64[1].exe   [5412584] {42FA252C0EAB138AB118D98A1931718A}
  O61 - LFC: 2015/12/16 15:09:40 A . (.Reimage®.) -- C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\Content.IE5\1HJ1WKD8\ReimagePackage1826x64[1].exe   [13621616] {42FA252C0EAB138AB118D98A1931718A}
  O90 - PUC: "0386028EAE6ABEC44BE58148A174F21E" . (.Iminent.) -- C:\windows\Installer\{E8206830-A6EA-4CEB-B45E-18841A472FE1}\imbooster.ico
  C:\windows\Prefetch\REIMAGE.EXE-7B15761E.pf
  C:\windows\Prefetch\REIMAGEPACKAGE.EXE-E10768A3.pf
  C:\windows\Prefetch\REIMAGEREPAIR.EXE-E0E8F301.pf
  C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\IE\PYB0GRSI\ProtectorPackage2009x64[1].exe
  C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\IE\1HJ1WKD8\ReimagePackage1826x64[1].exe
  C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\Content.IE5\PYB0GRSI\ProtectorPackage2009x64[1].exe
  C:\Users\isabelle\AppData\Local\Microsoft\Windows\INetCache\Content.IE5\1HJ1WKD8\ReimagePackage1826x64[1].exe
  C:\Users\isabelle\AppData\Local\Installer
  HKLM\Software\Classes\Installer\Products\0386028EAE6ABEC44BE58148A174F21E
  HKLM\Software\Classes\Installer\Features\0386028EAE6ABEC44BE58148A174F21E
  HKLM\SOFTWARE\Wow6432Node\Cinemax-nv
  HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4b19a05a-c441-4cd1-b0d0-1e75c0348aa8}
  HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ff839c53-6fb8-4e32-889b-7d71a2ffe3e4}
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E370F69F-ED3F-925F-31FC-14D1329A713B}
  
  

• Lances ZHPFix, exécuter en tant qu'administrateur sous Windows : 10/7/8 et Vista
  
  1. Clique sur Importer
  2. A la fenêtre d'avertissement clique sur "OK"
  3. Colle les lignes, si pas automatiquement effectuer,
  4. Puis Clic sur "GO"
  
  
  
• Confirmes les nettoyages des données en cliquant sur "Oui"
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
• Héberge le rapport ZHPFixReport sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse.

[didier49]

http://www.cjoint.com/c/ELykc1SKtB0

ci-joint rapport ZHPFix
bonne réception

[jacques.gache]

postes le rapport et des nouvelles de ton pc et un nouveau zhpdiag , merci

bonjour le rapport je l'ai !!!

[didier49]

j'ai bien effectué un nouveau ZHPdiag mais il m'est totalement impossible de l'héberger sur http://cjoint.com/
systématiquement quand je veut ouvrir la page l'onglet s'ouvre sur la bonne page 3 secondes et "redirect" sur l'onglet et c'est soit MBAP qui me bloque
où une autre page soit de la pub goggle pour gagner un Iphone ou alors reimage repair
j'ai redémarré le PC désinstallé MBAP mais cela ne marche pas mieux
j'ai essayer de faire un copier coller du rapport sur ma réponse mais celui-ci est trop long (+ de 80000 caractères)

est ce qu'il possible de l'envoyer en deux fois

merci d'avance

[didier49]

http://www.cjoint.com/c/ELyqZq0Y6a0

ci-joint rapport ZHPdiag
j'ai enfin réussi à l'héberger après de nombreux essais

bonne réception et bon réveillon à vous

[jacques.gache]

bonjour, tu as fais quoi entre le zhpfix et le nouveau zhpdiag ?? car sur le zhpdiag il y a les choses que zhpfix avait enlevé , à croire que tu as fais une restauration système ???

[didier49]

je ne comprend pas le rapport envoyer est pourtant bien celui que j'ai effectué le 24/12/15 à 11h38
et de plus je ne sait pas faire une restauration système
je refait un nouveau ZHPdiag et vous le renvoi dans la foulée

bonne réception

[didier49]

http://www.cjoint.com/c/ELBkFAAhSm0

ci-joint nouveau diag de ce matin
j'espère que ce sera mieux

bonne réception

[g3n-h@ckm@n]

salut juste un petit mot :

le 23 tu as posté un rapport d'adsfix datant du 5 , entre temps l outil a été mis à jour au moins 50 fois

[didier49]

donc que dois-je faire ?
un nouveau ADSfix?

merci de votre réponse

[jacques.gache]

bonjour, le nouveau zhpdiag est mieux !! tu supprimes adsfix de sur ton pc et tu refait avec la dernière version comme le laisse sous entendre g3n-h@ckm@n que je salut au passsage!!

• Désactive ton antivirus le temps du téléchargement et de l'utilisation, le mieux étant jusqu'au prochain redémarrage.
• Télécharge AdsFix sur ton bureau.
  Note : Enregistrer votre travail avant de continuer !
• Lance AdsFix ( clic droit "executer en tant qu'administrateur" pour Vista/7/8/8.1 )
• Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
• Inscrit ton pays
• Clique sur Nettoyer , après l'avoir débloqué dans les options
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué des fois plus de 2 heures
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\AdsFix_date_heure.txt sur Cjoint puis donne le lien obtenu.

Aide:

• Tutoriel AdsFix - Option "Nettoyage"
• Désactiver temporairement sa protection résidentielle

[didier49]

je vous envois ce message d'un autre PC
j'ai lancer ADSfix hier soir vers 22h00 et ce matin il tourne encore (l'ordi ne c'est pas mis en veille )
l'analyse est à 45% et 16 fichiers supprimés
mais cela me parait bien long
faut-il que j’arrête le scan ?
merci de votre réponse

[g3n-h@ckm@n]

salut pour avancer : non laisse tourner

[didier49]

pour infos
analyse toujours à 45% et 16 fichiers supprimés
le compteur toujours à 1 fichier par seconde environ

bonne réception

[g3n-h@ckm@n]

suivant les machines il peut être en effet assez long , je travaille sur le temps de scan de l outil mais il analyse tellement d'éléments que ce n'est pas evident sinon gratter quelques secondes :/ ^^

[didier49]

http://www.cjoint.com/c/ELCq2wA3CA0
ci-joint une photo de mon écran à ce jour
http://www.cjoint.com/c/ELCrcLpODW0
Ci-joint une photo de mon écran du 06 12 15
J'ai l'impression que ça bloque sur le même fichier
qu'est ce que vous en pensez?

[didier49]

http://www.cjoint.com/c/ELCq2wA3CA0
ci-joint une photo de mon écran à ce jour
http://www.cjoint.com/c/ELCrcLpODW0
Ci-joint une photo de mon écran du 06 12 15
J'ai l'impression que ça bloque sur le même fichier
qu'est ce que vous en pensez?

[g3n-h@ckm@n]

les analysés augmentent ?

[jacques.gache]

bonjour, laisse le bosser je l'ai vue plus e 48h sur un pc pour finir le nettoyage , ok je sais c'est chiant mais si tu veux vraiment le nettoyer ton pc il faut lui laisser le temps !!!

[didier49]

Le compteur tourne mais le fichier indiqué sous la barre de progression reste le même que sur les photos communiquées sur l e message précédant
la au niveau du compteur j'en suis à 188739
et toujours 45% de progressions et 16 fichiers supprimés

Bonne réception

[g3n-h@ckm@n]

donc ca augmente donc il n'est pas bloqué

[didier49]

Toujours 45%Je suis bien daccord avec vous le compteur tourne mais le fichier sous la barre de progression est toujours le même
à ce moment il est 13h11 le compteur affiche 270470 (donc + de 103000 fichiers de plus qu'hier soir)et toujours 45 % de progression et 16 fichiers supprimés
cela me donne l'impression que ça tourne dans le vide (cela n'est que mon impression et je ne suis pas un expert en la matière )
qu'en pensez vous?
Bonne réception

[g3n-h@ckm@n]

c'est vrai que ca parait bizarre.....

[didier49]

http://www.cjoint.com/c/ELEjOYiloX0
je me permet de vous renvoyer une photo d'écran prise ce matin à 10h30
analyse toujours en cours progression à 45% toujours 16 fichiers de supprimés
et sous la barre de progression toujours le même fichier et au desssus aussi dailleurs
qu'en pensez vous ?
merci d'avance pour vos réponses

[g3n-h@ckm@n]

appuie sur la touche "échap" , redemarre le pc via le bouton du menu demarrer une fois la barre des taches réaffichée puis fournis le bout de rapport que tu as dans ton disque local C:

[didier49]

http://www.cjoint.com/c/ELEnpoPWaG0

ci-joint le rapport ADSfix trouvé sur c:
ce qui me semble bizarre c'est que celui ci est en date du 28/12/15 à 7h49 alors que l'ordi était en cours de scan depuis 22h30 environ la veille au soir
de plus il ressemble étrangement au premier rapport transmis le 23/12/15
a savoir que depuis l'autre jour quand j'ouvre google en moteur de recherche j'ai toujours "Searc Engines/news search" mais ce n'est pas un onglet qui s'ouvre mais
deux dont un ou il est déjà inscrit dans la fenêtre de recherche "tdskiller" une recherche que j'ai faite avant de prendre contact avec vous
autre infos quand je passe par une fenêtre de navigation privée je n'est plus d'onglet "redirect" qui s'ouvre sur reimage repair ou autre publicités
alors que quand je suis sur une fenêtre normal , dès que je clique sur un lien je tombe systématiquement sur de la pub
autre précision je me suis permis de faire sur mon autre pc une procédure de nettoyage car il avait tendance à ralentir et j'avais de plus en plus de pubs
j'ai commencé par ADWcleaner
ensuite j'ai passé ADSfix (qui par ailleurs à très bien fonctionner et à fait un scan en moins de 3 heures alors que sur ce pc j'ai pas mal de giga en dossiers comparé à cet ordinateur)
j'ai ensuite passé malwarebytes
et j'ai finit par CCleaner le tout m'a pris environ 5 heures et il fonctionne parfaitement bien maintenant

en espérant que toutes mes indications puissent vous aider

bonne réception et merci encore

[g3n-h@ckm@n]

effectivement c'est bizarre ..... je vous laisse continuer avec ton helper

[didier49]

merci pour le coup de pouce g3n-h@ckm@n
et bon réveillon du nouvel an à vous

[jacques.gache]

---------- | AdsFix | g3n-h@ckm@n | 2_27.12.2015.3

----- Vista | 7 | 8 | 8.1 - 32/64 bits ----- Start 22:21:01 - 27/12/2015

bonjour pour moi il a été lancé le 27/12 à 22/21

postes un nouveau zhpdiag et tu nous dis comment va le pc !!

[didier49]

http://www.cjoint.com/c/ELEoWSkEtI0

ci-joint rapport ZHPdiag
me préciser SVP si il faut que nettoie après ou non par avance merci

pour le PC par d’amélioration significative constatée
mais en passant par une fenêtre de navigation privée je ne suis plus toujours bloqué par des onglets "redirect" qui m'envoi sur des pubs dès que je clic sur un liens dans un post du forum alors que si je suis sur une fenêtre normal je ne peux rien faire sans être redirigé sur une page du style reimage repair ou bien une autre page qui m'indique que mon ordinateur est infecté et qu'il faut absolument que je fasse appel à eux sinon toutes mes coordonnées perso seront piratées.
quand je clic sur l'icone google j'ai maintenant deux pages qui s'ouvrent au lieu d'une et le moteur de recherche est toujours"Searc Engines/news search" sur la première page il est déjà inscrit dans la fenêtre de recherche "tdskiller" avec le résultat de la recherche en dessous
une recherche que j'avait faite avant de vous contactés

bonne réception

[jacques.gache]

bonjour, tu fais zhpfix comme expliqué , tu postes le rapport, après il faudra modifier la page de démarrage de google chrome et voire au niveau du moteur de recherche et remettre google par défaut !!

• Télécharge ZHPFix sur ton bureau,
• Installe le, normalement,
• Copie les lignes ci dessous : en cliquant sur TOUT SÉLECTIONNER puis clique droit dessus et copier
  
  Code : Tout sélectionner

  Script ZHPFix 
  SysRestore 
  ShortcutFix 
  ProxyFix 
  FirewallRAZ 
  EmptyCLSID 
  EmptyTemp 
  EmptyFlash
  EmptyPrefetch
  G0 - GCSP: Preferences [User Data\Default][HomePage] http://asrv-a.akamaihd.net
  G0 - GCSP: Preferences [User Data\Default][HomePage] http://cdncache-a.akamaihd.net
  O2 - BHO: 07462cf09e3b013003f40973f5b3301f0032850 [64Bits] - {11111111-1111-1111-1111-110311281150}  (Orphean)
  O2 - BHO: a7c9e3c0eb27013147ac1bd4f3c7881c0061195 [64Bits] - {11111111-1111-1111-1111-110611111195}  (Orphean)
  O2 - BHO: 62c9ccffad834deab5e0fd5cd3afeb390064969 [64Bits] - {11111111-1111-1111-1111-110611491169}  (Orphean)
  O2 - BHO: 8d6c6b503bec4fef8265c6850bf8e3d80065055 [64Bits] - {11111111-1111-1111-1111-110611501155}  (Orphean)
  O2 - BHO: saveron [64Bits] - {4b19a05a-c441-4cd1-b0d0-1e75c0348aa8}  (Orphean)
  O2 - BHO: savernet [64Bits] - {ff839c53-6fb8-4e32-889b-7d71a2ffe3e4}  (Orphean)
  HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4b19a05a-c441-4cd1-b0d0-1e75c0348aa8}
  HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ff839c53-6fb8-4e32-889b-7d71a2ffe3e4}
  

• Lances ZHPFix, exécuter en tant qu'administrateur sous Windows : 10/7/8 et Vista
  
  1. Clique sur Importer
  2. A la fenêtre d'avertissement clique sur "OK"
  3. Colle les lignes, si pas automatiquement effectuer,
  4. Puis Clic sur "GO"
  
  
  
• Confirmes les nettoyages des données en cliquant sur "Oui"
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
• Héberge le rapport ZHPFixReport sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse.

[didier49]

http://www.cjoint.com/c/ELEsS1I1f30

ci-joint rapport ZHPfix

bonne réception