page d'accueil modifié searchqu 406????!!!!! Fermé

Question

Bonjour, depuis hier ma page d'accueil, c'est modifié toute seul et malgré la manipulation de base qui consiste à modifier la page d'accueil dans les réglage rien ne change. Du coup j'ai téléchargé malwarebytes qui aprés un scan complet n'a constaté aucune erreur ou fichier corompu ou malveillant!!! alors j'ai essayé avec Roguekiller et je vous mais le rapport : RogueKiller V5.1.1 [05/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: sousou [Droits d'admin] Mode: Suppression -- Date : 12/05/2011 14:27:09 Processus malicieux: 1 [APPDATA/TEMP/DESKTOP] gcswf32.dll -- C:\Users\sousou\AppData\Local\Google\Chrome\APPLIC~1\110696~1.65\gcswf32.dll -> KILLED Entrees de registre: 0 Fichier HOSTS: ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt quelqu'un peut il m'aider a interpreter ce résultat. Merci Configuration: Windows Vista / Safari 534.24

gen-hackman · Accepted Answer

salut


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

SAMARCHPA · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:24:41 le 11/05/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
sousou@PC-DE-SOUSOU (Sony Corporation VGN-FW21E) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Program Files\Windows Searchqu Toolbar
Dossier supprimé: C:\Users\sousou\AppData\Roaming\Mozilla\FireFox\Profiles\5901i5wh.default\extensions\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Fichier supprimé: C:\Users\sousou\AppData\Roaming\Mozilla\FireFox\Profiles\5901i5wh.default\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Users\sousou\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\sousou\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Fichier supprimé: C:\Users\sousou\Downloads\BandooV6.exe

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\sousou\AppData\Roaming\Mozilla\FireFox\Profiles\5901i5wh.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.searchqu.com/406"); 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&systemid=406&q="); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKLM\Software\Classes\CLSID\{8B5A07B0-3809-4321-9841-6AE08A0A28BE}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8B5A07B0-3809-4321-9841-6AE08A0A28BE}
Clé supprimée: HKLM\Software\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2786678
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\bandoo
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\DataMngr
Clé supprimée: HKLM\Software\SearchquMediabarTb
Clé supprimée: HKCU\Software\DataMngr
Clé supprimée: HKCU\Software\SearchquMediabarTb
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{334734A5-BCD9-490D-B9DD-1EE15CFF8632}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu MediaBar
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|DataMngr
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.13 (fr)] ****

HKLM_MozillaPlugins\@canalplus.fr/Assistants VOD,version=1.0.0.0 (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)

-- C:\Users\sousou\AppData\Roaming\Mozilla\FireFox\Profiles\5901i5wh.default --
Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} (Greasemonkey)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
Prefs.js - browser.search.selectedEngine, Web Search
Prefs.js - browser.search.defaultenginename, Web Search

========================================

**** Google Chrome Version [11.0.696.65] ****


-- C:\Users\sousou\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Web Search" (Activé: true) (hxxp://www.searchqu.com/web?src=crb&systemid=406&q={searchTerms})
Preferences - homepage: hxxp://www.searchqu.com/406
Preferences - homepage_is_newtabpage: false
Plugin - "DivX Player" (Activé: true)
Plugin - "DivX Player Netscape Plugin" (Activé: true)
Plugin - "Canal+ Assistants VOD" (Activé: true)
Plugin - "Zylom Plugin" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.19048] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - "uTorrentBar Toolbar" (C:\Program Files\uTorrentBar	buTor.dll)
HKLM_URLSearchHooks|{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - "uTorrentBar Toolbar" (C:\Program Files\uTorrentBar	buTor.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=3llIRxf8JD2xLN2jySx8kd1tSQI?q={searchTerms})
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKCU_Toolbar\WebBrowser|{A057A204-BACC-4D26-C39E-35F1D2A32EC8} (x)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{A057A204-BACC-4D26-C39E-35F1D2A32EC8} (x)
HKLM_Toolbar|{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} (C:\Program Files\uTorrentBar	buTor.dll)
HKLM_Toolbar|{99079a25-328f-4bd4-be04-00955acaa0a7} (x)
HKLM_ElevationPolicy\{0235A2DC-E5FC-4DDC-8ABD-B2FDF5BB5E70} - C:\Program Files\uTorrentBar\uTorrentBarToolbarHelper.exe (?)
HKLM_ElevationPolicy\{0C5365B7-358F-402d-A440-F1270AEF1175} - C:\ProgramData\EmailNotifier\EmailNotifier.exe (?)
HKLM_ElevationPolicy\{442990C3-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_ElevationPolicy\{8E60E217-4723-42DE-8EAF-52A286D0486D} - C:\PROGRA~1\WI371A~1\ToolBar\dtUser.exe (Visicom Media Inc.)
HKLM_ElevationPolicy\{8EBFFAE0-F0A4-4ee6-8524-2751906624C4} - C:\Program Files\Player Metaboli\GPlayer.exe (Exent Technologies Ltd.)
HKLM_ElevationPolicy\{9EC8A041-8BD6-4f3e-9FA5-F25893A6E04F} - C:\ProgramData\Megaupload\Megauper.exe (?)
HKLM_ElevationPolicy\{E2721713-184B-44B4-A5A6-10B0C68EB59D} - c:\Metaboli\YProxAut.exe (Yummy Interactive Inc.)
HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files\PokerStars.FR\main.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{0EEDB912-C5FA-486F-8334-57288578C627} - "Shareaza Web Download Hook" (C:\Program Files\Shareaza\RazaWebHook32.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{bf00e119-21a3-4fd1-b178-3b8537e75c92} - "IeMonitorBho Class" (C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll)
BHO\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - "uTorrentBar Toolbar" (C:\Program Files\uTorrentBar	buTor.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\PROGRA~1\GOOGLE~1\BAE.dll)
BHO\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - "Yontoo Layers" (C:\Program Files\Yontoo Layers Client for Internet Explorer\YontooIEClient.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 689 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 11/05/2011 22:28:03 (11525 Octet(s)) 

Fin à: 22:30:42, 11/05/2011 
 
============== E.O.F ==============

SAMARCHPA · Answer

je suis dessus depuit hier soir ca me tourmente c'est pour ca que le rapport date de la veille a l'aide....

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

SAMARCHPA · Answer

j'ai fait l'analyse avec otl j'ai le rapport mais je constate un nouveau prb l'accée a document and settings mais refusé je pete un cable la que doit je faire svp?!

SAMARCHPA · Answer

pour le coup je ne peut pas transmettre le rapport doit je le poster alors ou pas je n'ose pas fermer la fenetre puisque l'accée a mes fichier mais refusé.
Je commence serieusement a avoir peur...

gen-hackman · Answer

je peux avoir le message de refus ?

ririk73 · Answer

Depuis hier j'ai le meme probleme que toi donc je croit sa doit être normal...

SAMARCHPA · Answer

alors voila, 
j'ai éteint mon ordi et quand j'ai voulu le rallumer, j'ai eu droit a un écran noir, plus rien, pas de bureau, rien, juste ma fleche flottant dans le noir.
J'ai eu la peur de ma vie j'ai cru l'avoir perdu pour de bon. 
J'ai fait F8 au démmarage mode récuperer lordi quand tous allé bien (c'est pas dit comme ca mais c'est comme ca que je l'ai compris)
mon ordi c'est rallumé la preuve je post ce message.
J'ai toujours le meme problémec'est a dire page d'accueil qui se change toute seul et l'accés refusé (c'est dit comme ca) au fichier document and setting.
Si quelqu'un a une solution de sauvetage je prend.

SAMARCHPA · Answer

j'ai l'impression qu'il y a un virus sur mon ordi d'ou tous ces choses etranges.
Comment puis je le detecter et le supprimer?
C'est un peu de ma faute j'ai fait la pince en prenant un antivirus-gratuits antivirus " microsoft security essential" 
du coup la j'ai telecharger Kaspersky (version d'essai) il scan mon ordi.
Si pour m'aider vous avez besoin du rapport je le posterai demain.

SAMARCHPA · Answer

je relance ma demande quelqu'un peut il m'aider je ne peut toujours pas changer ma page d'accueil et mon accée au fichier document and setting mais refusé

gen-hackman · Answer

hello

et le rapport de kaspersky ?

t'as desinstallé MSSe avant ?

SAMARCHPA · Answer

oui effectivement j'ai désinstallé MSS enfin Kaspersky sans est chargé si non je peut pas posté le rapport il ne se copie pas, ne s'envoie pas, il reste juste sur kaspersky une idée de ce que je doit faire?

SAMARCHPA · Answer

Etant donné que personne veut me répondre, peut etre que je me suis dispersé, je sais pas, ou que mon probléme est trop compliqué.
Je reprend la ou j'en etais avant l'ecran noir, donc telechargé OTL et posté le rapport.... 
Si  gen-hackman ou autres souhaite consulté le  rapport je suivré la manip ci dessus pour le mettre en ligne
Merci pour votre aide...

SAMARCHPA · Answer

document and setting n'est pas accessible accée refusé. voila ce que me dit l'ordi quand je souhaite récuperer le rapport OTL.
une autre solution SVP ?

gen-hackman · Answer

hey si t'es pressé tu formates ca prend deux heures

tu essaies de le recuperer avec le navigateur pour ci-joint ?

SAMARCHPA · Answer

merci de ton aide gen-hackman je ne suis pas pressé mais inquiette de perdre mes donnés, d'avoir un virus et de bouziller un ordi que j'ai payé les yeux de la tete. Voila pourquoi je relance régulierement...

gen-hackman · Answer

normal pour vista c'est c:\users	a session\desktop\otl.txt

ririk73 · Answer

Désinstalle babylon internet explorer et modifie ta page d'accueil mozilla

Roher · Answer

Bonjour, 

J'avais le meme probleme avec Google Chrome, j'ai utilisé cette manip: 

http://deletemalware.blogspot.com/2011/05/how-to-remove-searchqu-uninstall-guide.html

Et maintenant tout va bien!

ghassen selmi ghauche · Answer

facebook ne marche pas

amina · Answer

oui

Page d'accueil modifié searchqu 406????!!!!!

22 réponses

Discussions similaires