Zinkwink

Résolu
Tom -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

voila j'ai un problème, je ne sais pas c'est du a quoi, mais a chaque fois que je fait une recherche dans l'onglet en haut a droite de firefox ou même de IE (j'ai essayé pour voir) ça me revoie systématiquement sur le moteur de recherche ZinkWink et c'est franchement chiant parce que j'ai beau tout essayer rien n'y fait le problème est toujours la

22 réponses

  • 1
  • 2
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour et Bienvenue sur CCM

    ● La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
    ● N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
    ● Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris.
    ● Héberge les rapports des outils sur http://www.cijoint.fr/ ou https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
    ● Je t'aide bénévolement, merci d'en tenir compte :)

    == == == == == == == == == == == == == == == == == == == == == ==

    1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

    ● Lance TDSSKiller.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Start scan.
    ● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
    ● Conserve l'action proposée par défaut par l'outil
    - Pour TDSS.tdl2 : l'option Delete sera cochée.
    - Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
    - Pour "Suspicious object" laisse sur "Skip"
    ● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
    ● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

    2. Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case également Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\*. /mp /s 
    %systemroot%\system32\*.dll /lockedfiles 
    %systemroot%\Tasks\*.job /lockedfiles 
    %systemroot%\system32\drivers\*.sys /lockedfiles 
    %systemroot%\assembly\tmp\*.* /s 
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    SAVEMBR:0 
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long

    3. Héberge les 3 rapports sur un des sites suivants :
    https://www.cjoint.com/
    http://www.cijoint.fr/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 3 liens que tu me donneras dans ton prochain message afin que je puisse les consulter.

    A +
    0
  2. Tom
     
    Merci beaucoup pour ta réponse, Je viens seulement de voir ton message, et entre temps j'ai fait une simple restauration du système et ça a marché. Je te remercie de ton aide en tout cas et désolé de t'avoir dérangé
    0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Ok,

    Bonne soirée
    0
  4. fastoche
     
    salut
    j ai le meme probleme , mais moi par contre j ai pas de point de restauration disponible anterieur a la date d aujourd hui, es ce que je pourrais appliquer ces manoeuvre et vous les soumettre, merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Tu peux, j'attends tes 3 rapports.

    A +
    0
  7. fastoche
     
    re bonsoir
    j'ai essayé d'exécuter les manouvrières que vous avez inscrit, mais j'ai eu deux problèmes:
    le premier concernant TDSSKILLER, je n'ai eu que des Suspicious object, alors j'ai laisser tout sur skip, et puis j'ai enregistré le rapport sur le lien suivant:
    http://cjoint.com/?AJew5vL7KbZ

    secondo, pour le 2 eme logiciel, je n'ai eu que le fichier OTL.txt, l'autre je ne l'ai pas vue sur la barre des taches ni sur le notepad même si j'avais refais la manoeuvre a deux reprises, voila le lien pour ce fichier:
    http://cjoint.com/?AJexubkjpsm
    je ne sais pas vraiment ou es ce que j'ai déconné, je suis près à suivre vous conseilles, merci infiniment a vous.
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Pour TDSSkiller, c'est ok.

    Pour OTL, le fichier extra.txt ne se créé qu'au premier lancement.
    Regarde ici => C:\Documents and Settings\Administrateur\Mes documents\Téléchargements


    A +
    0
    1. fastoche
       
      oui c'est cool voila le lien pour extra
      http://cjoint.com/?AJfaerozthT
      merci
      0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    1. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    :OTL
    IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL\g, = http://www.google.com/search?q=%s 
    IE - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchURL\g, = http://www.google.com/search?q=%s 
    IE - HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchURL\g, = http://www.google.com/search?q=%s 
    IE - HKU\S-1-5-21-1935655697-1580436667-1801674531-500\Software\Microsoft\Internet Explorer\SearchURL\g, = http://www.google.com/search?q=%s 
    FF - prefs.js..browser.search.defaultengine: "Ask.com" 
    FF - prefs.js..browser.search.defaultenginename: "Ask.com" 
    FF - prefs.js..browser.search.order.1: "Ask.com" 
    FF - prefs.js..keyword.URL: "http://zinkwink.com/?clid=18aac1240b45472f891c057861fa530f&prt=corsairzwbho&tmp=nemo_results&keywords=" 
    FF - prefs.js..network.proxy.type: 0 
    FF - user.js..keyword.URL: "http://zinkwink.com/?tmp=redir_bho_bing&prt=corsairzwbho&keywords=" 
    FF - user.js..keyword.enabled: 1 
    [2011/03/19 23:09:03 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\searchplugins\askcom.xml     
    [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] 
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
    [56 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\*.tmp files -> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\*.tmp -> ] 
    :Reg 
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    
    :Files
    ipconfig /flushdns /c
    
    :Commands 
    [emptyflash]
    [emptytemp]

    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
    ● Copie/colle le dans ton prochain message.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    2. Beaucoup de restrictions sur le système,
    Est-ce un pc professionnel ? Ou les as tu mis en place volontairement ?
    Les mises à jour sont désactivés, pourquoi ?

    A +
    0
    1. fastoche
       
      bonsoir
      http://cjoint.com/?AJfuelxzdib
      c'était un pc qui appartenait à mon frère ; je n'ai jamais fais attention aux paramètres que vous avez mentionné!! es ce que c'est à cause de cela que la machine a été vulnérable à cette saloperie?
      merci
      0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Non pas du tout, on va faire un scan de routine avec un anti-malware.
    Ensuite on remettra les réglages par défaut.

    1. Ouvre le Panneau de Configuration > Centre de Sécurité
    ● Règle les paramètres comme ceci :
    Pare-Feu >> Activé
    Mises à jour automatiques >> Activé
    protections Antivirus >> Activé

    Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ● Clique dans l'onglet du haut "Recherche"
    ● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ● Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message

    A +
    0
  11. fastoche
     
    salut
    voila le fichier
    http://cjoint.com/?AJfwC7iiDr0
    merci
    0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Comment va le pc maintenant, plus de trace de Zinkwink ?

    1. Désinstalle les versions obsolètes de Java :

    Java(TM) 6 Update 7
    Java(TM) 6 Update 26

    2. Télécharge et installe JRE 6 Update 27

    3. Relance OTL

    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20     
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22     
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23   
    [2010/05/17 22:46:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}     
    [2010/10/26 19:20:33 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}     
    [2011/01/09 17:55:43 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}     
    [2011/06/26 16:59:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}   
    O33 - MountPoints2\{510adea3-56e5-11e0-aefe-002511231364}\Shell - "" = AutoRun 
    O33 - MountPoints2\{510adea3-56e5-11e0-aefe-002511231364}\Shell\AutoRun\command - "" = G:\AutoRun.exe     
    [2011/10/03 18:12:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrateur\Application Data\FileHunter 
    
    :Commands 
    [createrestorepoint]
    [emptytemp]

    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
    ● Copie/colle le dans ton prochain message.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    A +
    0
  13. fastoche
     
    http://cjoint.com/?AJfxGixYed7
    sinon le pc va toujours aussi mal
    merci
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Comment ça aussi mal ?
    0
  15. fastoche
     
    c'est que quand je lance une recherche via la barre de recherche google sur firefox , il me revoit vers ZinkWink.com et la mémé chose arrive quand j ouvre des liens sur d autres onglets
    0
  16. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ha ok,

    Désinstalle corsair addon (sauf si tu sais ce dont il s'agit)

    Dans la barre de recherche à droite :
    Clique sur le petit triangle > Gérer les moteurs de recherches...
    Supprime ZinkWink si présent

    Dans la barre d'adresse, tape about:config
    Accepte de faire attention
    Dans la ligne filtre tape ZinkWink
    Clique droit > Réinitialiser sur chaque lignes trouvées.

    A +
    0
  17. fastoche
     
    salut
    c'est fait, mais toujours les même symptômes
    0
    1. fastoche
       
      je viens de constater un fait , je ne sais pas si c'est important, sur google chrome, je n'ai aucun problème, et les onglets s'ouvrent normalement , alors que sur IE, le problème ne réside que quand je lance une recherche à partir de la barre de recherche , mais l'ouverture des onglets se fait normalement.
      salut ;
      0
  18. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    On doit chercher où il se cache...

    Télécharge SEAF de C_XX :

    ● Copie/colle ZinkWink dans le champ prévu à cette effet
    ● Coche Chercher également dans le registre
    ● Clique sur Lancer la recherche

    Heberge le rapport obtenu (C:\Program Files\SEAF\SEAFlog.txt) et donne moi le lien.

    A +
    0
  19. fastoche
     
    bonjour
    voila le lien

    http://cjoint.com/?AJgozBftwIE

    merci.
    0
    1. fastoche
       
      bonjour.
      je vous rapporte d'autres faits que j'ai remarqué aujourd'hui:
      disparition totale des symptômes sur Firefox, même si je n'ai fais aucune autre manipulations que celle que vous me avez recommandez.
      sur IE, lorsque je lance une recherche à partir de la barre de recherche, et ce quelque soit le moteur de recherche que je désigne par défaut " ask, gooogle ou yahoo" sur la barre d'adresse, il y a zinkwin.com/.... qui s'affiche pendant une fraction de seconde avant de me rediriger sur le site du moteur bing avec les résultats de la recherche.
      es ce que le pc est complétement guérit ou es ce bien l'infection qui lui joue un tour!
      0
  20. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    fastoche,

    1. Panneau de Configuration > Options Internet > onglet Général
    Supprimer historique de navigation > Fichier temporaires + cookies > Supprimer

    2. Relance OTL

    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    :OTL
    
    :Reg 
    [-HKU\S-1-5-21-1935655697-1580436667-1801674531-500\Software\AVAST Software\WRC\RatingStorage\zinkwink.com]
    [-HKU\S-1-5-21-1935655697-1580436667-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes\{06B469CF-CDC2-47F4-81A9-8EA6E8506E45}]
    [-HKU\S-1-5-21-1935655697-1580436667-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
    [-HKU\S-1-5-21-1935655697-1580436667-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes\{A2D607DE-6458-4AB7-A96B-F1C3BEAD60AC}]
    
    :Commands 
    [emptytemp]

    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
    ● Copie/colle le dans ton prochain message.

    3. Pour Firefox, puisque les manip' avec about:config n'ont rien donné.
    Sauvegarde tes marque-pages
    Désinstalle, supprime le dossier C:\Program Files\Mozilla Firefox
    Réinstalle https://www.mozilla.org/fr/firefox/

    A +
    0
  • 1
  • 2