Virus infection TR/starpage.naq

Fermé
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011 - 25 mai 2011 à 12:05
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 28 mai 2011 à 16:55
Bonjour,

Je remercie par avance toutes les personnes qui seraient susceptibles de m'aider, à noter que j'ai suivi les conseils de ce post (https://forums.commentcamarche.net/forum/affich-22150040-virus-tr-startpage-naq pour faire les scans.

Depuis hier, mon AV avira, détecte un résultat positif pour le fichier "windows.dll", infecté par TR/starpage.naq.

Ici le lien [PJJOINT MALEKAL] - https://pjjoint.malekal.com/files.php?id=3fca6c4559131111

Ici le rapport [AD-REPORT] :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:01:39 le 25/05/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium (X64)
Moryagorn@MORYAGORN_POOL (ASUSTeK Computer Inc. G53JW)

============== ACTION(S) ==============


Fichier supprimé: C:\Users\Moryagorn\AppData\Roaming\Mozilla\FireFox\Profiles\fjq3gsg9.default\searchplugins\cherche.xml
Fichier supprimé: C:\Users\Moryagorn\scriptjava.html

(!) -- Fichiers temporaires supprimés.



Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|binternet


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

HKLM_MozillaPlugins\@nvidia.com/3DVision (x)
HKLM_MozillaPlugins\@nvidia.com/3DVisionStreaming (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\Moryagorn\AppData\Roaming\Mozilla\FireFox\Profiles\fjq3gsg9.default --
Extensions\DTToolbar@toolbarnet.com (DAEMON Tools Toolbar)
Prefs.js - browser.download.lastDir, C:\\Users\\Moryagorn\\Pictures
Prefs.js - browser.search.selectedEngine, DAEMON Search
Prefs.js - browser.startup.homepage, hxxp://www.search-web.net/
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1
Prefs.js - keyword.URL, hxxp://search-web.net/results.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000...

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "search-web.net" (hxxp://search-web.net/results.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&...)
HKCU_SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64} - "?" (?)
HKLM_Toolbar|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll)
HKLM_ElevationPolicy\{0002df01-0000-0000-c000-000000000046} - C:\Program Files (x86)\Internet Explorer\iexplore.exe (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 25/05/2011 11:15:24 (3648 Octet(s))

Fin à: 11:16:29, 25/05/2011

============== E.O.F ==============

Je ne sais pas quoi faire de toutes ces données, et si quelqu'un aurait un peu de temps à consacrer à mon problème je vous en serais très reconnaissant.

Par avance merci
Moryagorn


17 réponses

jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
25 mai 2011 à 12:32
bonjour


Téléchargez TDSSKiller sur votre bureau et colle nous le rapport obtenu


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").



Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
25 mai 2011 à 12:37
Bonjour,

Merci de ta réponse,

J'ai lancé tdsskiller, il n'a rien trouver. (Infection : not found)

La liste est donc vide je ne peux rien de te copier/coller.

Cordialement,
Moryagorn
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
25 mai 2011 à 15:30
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------


[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}
C:\Program Files (x86)\DAEMON Tools Toolbar
C:\Users\Moryagorn\AppData\Roaming\Mozilla\Firefox\Profiles\fjq3gsg9.default\Extensions\dttoolbar@toolbarnet.com


----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse


_____________________


télécharge ensuite malwarebyte , mets le à jour et colle un rapport d'analyse avec
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
25 mai 2011 à 22:31
Bonsoir,

J'ai appliqué à la lettre, voici le rapport :

Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-25-05-2011-22-29-37.txt
Run by Moryagorn at 25/05/2011 22:29:37
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar => Clé absente

========== Valeur(s) du Registre ==========
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} => Valeur supprimée avec succès

========== Dossier(s) ==========
c:\program files (x86)\daemon tools toolbar => Supprimé et mis en quarantaine
c:\users\moryagorn\appdata\roaming\mozilla\firefox\profiles\fjq3gsg9.default\extensions\dttoolbar@toolbarnet.com => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files (x86)\daemon tools toolbar => Fichier absent
c:\users\moryagorn\appdata\roaming\mozilla\firefox\profiles\fjq3gsg9.default\extensions\dttoolbar@toolbarnet.com => Fichier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)

Merci encore pour le temps consacré.
Bonne soirée,

Moryagorn
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
25 mai 2011 à 22:36
il manque la suite avec malwarebyte ...

a plus
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
25 mai 2011 à 22:42
Mes excuses pour le doubles post mais, pour information, cela n'a pas résolu le problème avec le startpage.naq.

fin du complément de message...

Moryagorn
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
25 mai 2011 à 22:57
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
25 mai 2011 à 23:36
Merci de la rapidité de ta réponse, mais j'ai beau chercher et rechercher, dans comptes d'utilisateur, je n'ai pas d'option activer/désactiver, j'peux créer un compte, en supprimer un, le renommer etc, mais nul part il ne me permet de désactiver le compte administrateur.

A noter que j'ai :
- un compte admin que j'utilise au quotidien
- un compte standart "Updatususer" j'ignore complètement d'ou il sort.

Malheureusement, j'ai même fait quelque recherche sur le net, j'ai pas trouver.
Mes excuses pour mon incompétence :s

Cordialement,
Moryagorn
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
26 mai 2011 à 08:19
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
26 mai 2011 à 10:46
Bonjour,

J'ai suivi tes directives, voici le rapport de combofix.exe

https://pjjoint.malekal.com/files.php?id=b14j7d10d8l8b14w14p11e12

Merci encore, pour tout.
Cordialement,

Moryagorn
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
26 mai 2011 à 12:33
ok

colle un rapport avec tdsskiller

Téléchargez TDSSKiller sur votre bureau


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").



Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350




________________________________


ensuite dis nous si ton problème perdure

a plus
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
Modifié par Moryagorn_h le 27/05/2011 à 14:20
Bonjour,

Alors le rapport tdsskiller est vide, no found pour le resultat.

Pour l'infection, je saurai pas dire, jusqu'à maintenant avira le nommait le fichier windows.dll et ne voulait ni le supprimer, ni le mettre en quarantaine.

Maintenant il le détecte plus automatique, faut que je face un scan manuel d'avira pour le trouver, mais il s'appel windows.dll.vir et a été placé en quarantaine.

Le rapport Malwarbytes :
https://pjjoint.malekal.com/files.php?read=b10d11w15x10v7l13y5q5r11

Merci pour tout vraiment,
Cordialement,

Moryagorn
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
27 mai 2011 à 14:57
ok colle un rapport avec antivr
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
28 mai 2011 à 14:06
Bonjour,

Le rapport avira est maintenant vide, le fichier windows.dll.vir ayant été mis en quarantaine.

Donc même avec un scan complet il ne le voit plus, je suppose qu'on peut dire que le problème est réglé ? N'hésite pas à me dire si j'ai un autre moyen de vérifier que c'est réglé.

Je veux exprimer ma reconnaissance pour ces personnes altruistes et sympathiques tel que "jlpjlp", qui fond d'internet aujourd'hui encore, un monde d'entraide et de soutient. Merci !

Cordialement,

Moryagorn
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
28 mai 2011 à 14:25
verifie avec un antivirus en ligne . = ici
0
Moryagorn_h Messages postés 9 Date d'inscription mercredi 25 mai 2011 Statut Membre Dernière intervention 28 mai 2011
28 mai 2011 à 15:54
Re,

J'ai scanné avec eset il n'a rien trouvé.
J'ai fait de même avec Panda, idem.

Je pense que nous avons vaincu.

Cordialement,

Moryagorn
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
28 mai 2011 à 16:55
ok

pour supprimer ce qui a été utilisé :

http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection


tu peux garder malwarebyte en complement de ton antivirus


désactive ta restauration pour supprimer les infections qui seraient dedans puis réactive la


a plus
0