[Malware tenace] searchqu
Léon Gambetta
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, je me trouve actuellement aux prises avec un malware qui semble assez commun, car de nombreuses requêtes postées sur le forum semblent s'y référer. Cependant, le tutoriel publié sur le site préconisait de demander l'aide d'un connaisseur avant d'exécuter les manoeuvres de désinfection. Il s'agit d'un logiciel qui a vocation à modifier la page de démarrage habituelle de firefox pour rediriger l'utilisateur vers un obscur moteur de recherche appelé "searchqu.com", ce qui, vous en conviendrez, est assez ennuyeux.
En réalité, il n'a pas été difficile de se débarasser de ces difficultés puisque le malware comporte un désinstallateur. Néanmoins, cela n'a eu pour effet que de supprimer les symptômes. Il demeure encore des traces de ce virus que je ne suis pas encore parvenu éradiquer. Comme indiqué sur le site, je poste ici le rapport qui m'a été donné par AD-R, en espérant que l'un d'entre vous soit en mesure de le décrypter. Je vous remercie d'avance pour votre aide.
En réalité, il n'a pas été difficile de se débarasser de ces difficultés puisque le malware comporte un désinstallateur. Néanmoins, cela n'a eu pour effet que de supprimer les symptômes. Il demeure encore des traces de ce virus que je ne suis pas encore parvenu éradiquer. Comme indiqué sur le site, je poste ici le rapport qui m'a été donné par AD-R, en espérant que l'un d'entre vous soit en mesure de le décrypter. Je vous remercie d'avance pour votre aide.
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Documents and Settings\Tonin\Bureau\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:45:55 le 11/09/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Tonin@GORDI ( )
============== RECHERCHE ==============
-- Fichier ouvert: C:\Documents and Settings\Tonin\Application Data\Mozilla\FireFox\Profiles\obf0hx4n.default\Prefs.js --
Ligne trouvée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q=");
-- Fichier Fermé --
Clé trouvée: HKLM\Software\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.23 (fr)] ****
HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKLM_MozillaPlugins\Adobe Reader (x)
HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)
Searchplugins\SearchResults.xml ( hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q={searchTerms}/)
-- C:\Documents and Settings\Tonin\Application Data\Mozilla\FireFox\Profiles\obf0hx4n.default --
Searchplugins\SearchResults.xml ( hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q={searchTerms}/)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\Tonin\\Mes documents\\téléchargements
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Tonin\\Bureau\\Psychologie\\2ème Année\\Neurophysio
Prefs.js - browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.23
Prefs.js - keyword.URL, hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q=
========================================
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|SearchMigratedDefaultURL - hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
HKCU_Main|Search bar - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.searchqu.com/406
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} - "Web Search" (hxxp://www.searchqu.com/web?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms})
HKLM_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} - "Web Search" (hxxp://www.searchqu.com/web?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms})
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
========================================
C:\Documents and Settings\Tonin\Bureau\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Documents and Settings\Tonin\Bureau\Ad-Remover\Backup: 0 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 11/09/2011 15:46:00 (2246 Octet(s))
Fin à: 15:46:36, 11/09/2011
============== E.O.F ==============
A voir également:
- [Malware tenace] searchqu
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Mcafee malware - Accueil - Piratage
- Supprimer malware - Guide
- Win64 malware gen - Forum Virus
- Gridinsoft anti-malware ✓ - Forum Virus
3 réponses
Bonjour
Relance Ad remover option nettoyer
et ensuite fait ceci:
Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
Bouton »Download free version »
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)
Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
Poste moi les rapports au fur et à mesure;merci.
@+
Relance Ad remover option nettoyer
et ensuite fait ceci:
Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
Bouton »Download free version »
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)
Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
Poste moi les rapports au fur et à mesure;merci.
@+
Guillaume5188 >> Je te remercie d'avoir répondu aussi rapidement, je te transmets le rapport dés que possible.
Même aprés avoir procédé à une analyse complète, l'antivirus n'a repéré aucun malware, c'est curieux. Existe-t-il un autre moyen d'évincer ce programme?
Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Version de la base de données: 4681 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 24/09/2010 13:25:58 mbam-log-2010-09-24 (13-25-58).txt Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 304104 Temps écoulé: 1 heure(s), 16 minute(s), 30 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s):
