FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[2011N2]

Salut,

Pour avancer, il est toujours là zeroredirect1 donc ?
Sinon, tant pis pour les outils de nettoyage, si besoin tu réinstalleras ceux dont on te demandera de passer, mais ils doivent être dans la quarantaine de Norton non ?

Gabriel.

[flo]

Oui, Gabriel, je les ai retrouvés en quarantaine, pas de soucis.

En revanche, zeroredirect1 est toujours là, j'ai revu passer zeroredirect2 aujourd'hui, et Norton m'a avertie qu'il avait écarté zeroredirect 3. Je pleure.

Bonne soirée quand même...

[g3n-h@ckm@n]

re

retelecharge quickdiag et refais une analyse mais avec l'option "Extended" cette fois-ci , tiens je te mets un lien direct : http://gen-hackman.ddns.net/Partage/QuickDiag.exe

[flo]

Bonsoir bonsoir,

Voici le rapport de Quickdiag version "extended" : http://upload.sosvirus.net/download/5ti ... j42jsyjv09

Bonne lecture ^^

F

[g3n-h@ckm@n]

Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
Télécharge http://www.telecharger.sosvirus.net/download/otm/ OTM (OldTimer) sur ton Bureau :
Double-clique sur OTM.exe afin de le lancer. (clic droit "executer en tant qu'administrateur" pour Vista/7/8 )

Copie (Ctrl+C) le texte suivant ci-dessous :

Code : Tout sélectionner

:reg   
[HKLM\Software\Microsoft\Command Processor]
"Shell"=-
"Autorun"=-
[HKLM\Software\WOW6432Node\Microsoft\Command Processor]
"Shell"=-
"Autorun"=-
[HKCU\Software\Microsoft\Command Processor]
"Shell"=-
"Autorun"=-
[HKU\S-1-5-21-944950025-1172473004-785479979-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted] 
"SIGN.MEDIA=1EB68450 setup.EXE"=-
"SIGN.MEDIA=E35B9E Setup.exe"=-
"C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9D9M88PQ\PS_AIO_03_C4400_NonNet_Full_Win_WW_130_140[1].exe"=-
"C:\Users\Gaël\Desktop\HPSDU.exe"=-
"C:\Users\Gaël\Desktop\Setup_FreeConverter.exe"=-   
"C:\Users\Gaël\Desktop\Megaplayer.exe"=-
"C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J76ED678\install_reader10_fr_gtba_aih.exe"=-
"C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WICL4C4I\FFSetup280.exe"=-
"C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J76ED678\FreemakeVideoDownloaderSetup.exe"=- 
"c:\Users\Gaël\AppData\Local\Lollipop\lollipop.bat"=-
"C:\Users\GAL~1\AppData\Local\Temp\AIRA1A5.tmp\Adobe AIR Installer.exe"=-
"C:\Users\GAL~1\AppData\Local\Temp\AIR415.tmp\Adobe AIR Installer.exe"=- 
"C:\Users\GAL~1\AppData\Local\Temp\IS4248~1\508005514_stp\MySearchDial.exe"=-
"C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6FA67POT\Pop_Redemption_2013_FRENCH_DVDRip_XviD.exe"=-
"C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M2RVK7S9\FreemakeVideoDownloaderSetup.exe"=-
"C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QWUZ2H6W\FreemakeAudioConverterSetup.exe"=-
"SIGN.MEDIA=1D71C2D hfxVolume1Full.exe"=-
"C:\Users\GAL~1\AppData\Local\Temp\AIR6AF1.tmp\Adobe AIR Installer.exe"=-
[HKU\S-1-5-21-944950025-1172473004-785479979-1001\Software\Microsoft\Internet Explorer\Main] 
"IconCache"=-
"IE10RunOnceLastShown_TIMESTAMP"=-
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{00FA007C-D99F-407F-B00B-5B3B0001D8AB}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1F1E561D-AF17-4510-B996-351BBA0862A7}] 
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7aaae723-5fb5-4b2d-9327-75519f336825}] 
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5054EC7-B9CB-4ad5-9F95-D8171A6D6BFA}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BD18A03F-31CC-4CC0-B52D-9E199122923D}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FAF199D2-BFA7-4394-A4DE-044A08E59B32}]
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{00FA007C-D99F-407F-B00B-5B3B0001D8AB}] 
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1F1E561D-AF17-4510-B996-351BBA0862A7}] 
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{63D8D545-9A84-44bc-B2F8-CE1A786AB67B}] 
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7aaae723-5fb5-4b2d-9327-75519f336825}]
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{276B262C-9510-45f8-BDD0-D9CF4BF68476}]
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5054EC7-B9CB-4ad5-9F95-D8171A6D6BFA}]
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BD18A03F-31CC-4CC0-B52D-9E199122923D}]
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DB9524B3-24F4-48fa-91C5-B8EEF1C0A14F}]
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FAF199D2-BFA7-4394-A4DE-044A08E59B32}]
[-HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer]
[-HKLM\Software\WOW6432Node\MozillaPlugins\@adobe.com/FlashPlayer] 
[-HKLM\SOFTWARE\WOW6432Node\Microsoft\Code Store Database\Distribution Units\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[-HKU\S-1-5-21-944950025-1172473004-785479979-1001\Software\Freeware] 
[-HKU\S-1-5-21-944950025-1172473004-785479979-1001\Software\IE] 
[-HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97E-E325-11CE-BFC1-08002BE10318}]

:files
C:\Users\Gaël\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*
C:\Windows\syswow64\shortcut_ex.dat 
C:\extensions.sqlite 
C:\sniffer.log
C:\Users\All Users\SMRResults430.dat 
C:\Windows\System32\Tasks\CreateChoiceProcessTask
C:\Windows\System32\Tasks\{07D4D886-711C-4582-A17D-CF4A053A31CD}

:commands
[emptytemp]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

*Le nom du rapport correspond au moment de sa création : date_heure.log

================

donne-moi le contenu de ces deux dossiers :

c:\windows\system32\grouppolicy
c:\windows\system32\grouppolicyuser

[flo]

Bonjour g3n-h@ckm@n,

Les deux dossiers grouppolicy et grouppolicyusers sont vides. C'était déjà le cas avant de lancer OTM.

Le rapport OTM est ici : http://upload.sosvirus.net/download/b16 ... xf43xph3a0

Après, je ne sais pas si c'est important, mais j'ai eu le message suivant en rallumant l'ordinateur : Acces violation at address 0057A146 in module 'OTM.exe'. Read of address 00000000.

Voilà...

Florence

[flo]

Bonjour,

Petit bilan 25h après la réparation OTM : plus aucun signe de zéroredirect (quel que soit son numéro !), plus aucune ouverture de pop-up, tout semble normal

MERCI !!!!!!

Juste une petite question toutefois : j'ai encore le même message "access violation" à chaque redémarrage. C'est un problème ?

Je refais le point demain puis dans quelques jours pour vous tenir informés de l'évolution, mais à priori zeroredirect s'est fait éjecter

A bientôt, bon weekend.

Florence

[g3n-h@ckm@n]

coucou y'a une clé qui a du rester coincée , refais quickdiag

[flo]

Bonsoir,

Voici ce que dit Quickdiag (j'ai lancé Quick, si besoin, j'en ferai un Extended) : http://upload.sosvirus.net/download/qxb ... fq0cdqump2

Le message d'alerte ne s'affiche pas si j'ignore le "voulez-vous executer OTM.exe" qui apparaît au démarrage. Si je désinstalle OTM, ça suffira peut-être ?

Sinon, bravo, bravo, bravo et MERCI : zérocassebonbon a disparu. Envolé. Ventilé. (enfin, je ne crie pas victoire trop fort, j'ai un peu peur qu'il revienne, le sournois!)

Bonne soirée !

Florence (Désolée de ne pas être super réactive !)

[g3n-h@ckm@n]

re ok fais ce ménage ca devrait finir de régler le souci http://www.forum-entraide-informatique. ... infection/

[flo]

Bonjour g3n-h@ckm@n, bonjour Gabriel,

Bon, une semaine après la dernière réparation, tout va bien, zeroredirect ne s'est plus jamais manifesté : vous pouvez marquer le sujet comme RESOLU

Encore une fois, merci d'avoir passé du temps et de l'énergie sur mon problème, avec bienveillance (je sais que c'est difficile et même parfois énervant d'aider quelqu'un qui ne comprend rien à rien : je suis prof), et surtout bravo pour la qualité de vos tutoriels et de vos explications : tout était clair et facile à appliquer, même pour moi (c'est dire !). Donc merci, vraiment, sincèrement.

Bon weekend, à une prochaine fois peut-être.

Florence

[g3n-h@ckm@n]

coucou

l'infection nous a bien plus rendu fous que toi je te rassure

bonne route au plaisir je ferme pour garder propre