[Malware tenace] searchqu Fermé

Question

Bonjour, je me trouve actuellement aux prises avec un malware qui semble assez commun, car de nombreuses requêtes postées sur le forum semblent s'y référer. Cependant, le tutoriel publié sur le site préconisait de demander l'aide d'un connaisseur avant d'exécuter les manoeuvres de désinfection. Il s'agit d'un logiciel qui a vocation à modifier la page de démarrage habituelle de firefox pour rediriger l'utilisateur vers un obscur moteur de recherche appelé "searchqu.com", ce qui, vous en conviendrez, est assez ennuyeux. 

En réalité, il n'a pas été difficile de se débarasser de ces difficultés puisque le malware comporte un désinstallateur. Néanmoins, cela n'a eu pour effet que de supprimer les symptômes. Il demeure encore des traces de ce virus que je ne suis pas encore parvenu  éradiquer. Comme indiqué sur le site, je poste ici le rapport qui m'a été donné par AD-R, en espérant que l'un d'entre vous soit en mesure de le décrypter.  Je vous remercie d'avance pour votre aide. 



Contact: AdRemover[DOT]contact[AT]gmail[DOT]com 
Site web: http://www.teamxscript.org 

C:\Documents and Settings\Tonin\Bureau\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:45:55 le 11/09/2011, Mode normal 

Microsoft Windows XP Édition familiale Service Pack 3 (X86)  
Tonin@GORDI ( )  
  
============== RECHERCHE ============== 



-- Fichier ouvert: C:\Documents and Settings\Tonin\Application Data\Mozilla\FireFox\Profiles\obf0hx4n.default\Prefs.js -- 
Ligne trouvée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q=");  
-- Fichier Fermé -- 
  

Clé trouvée: HKLM\Software\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7} 
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7} 
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} 
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} 


============== SCAN ADDITIONNEL ============== 

**** Mozilla Firefox Version [3.6.23 (fr)] **** 

HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x) 
HKLM_MozillaPlugins\Adobe Reader (x) 
HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x) 
Searchplugins\SearchResults.xml (  hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q={searchTerms}/) 

-- C:\Documents and Settings\Tonin\Application Data\Mozilla\FireFox\Profiles\obf0hx4n.default -- 
Searchplugins\SearchResults.xml (  hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q={searchTerms}/) 
Prefs.js - browser.download.dir, C:\Documents and Settings\Tonin\Mes documents\téléchargements 
Prefs.js - browser.download.lastDir, C:\Documents and Settings\Tonin\Bureau\Psychologie\2ème Année\Neurophysio 
Prefs.js - browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official 
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.23 
Prefs.js - keyword.URL, hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q= 

======================================== 

**** Internet Explorer Version [8.0.6001.18702] **** 

HKCU_Main|SearchMigratedDefaultURL - hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 
HKCU_Main|Search bar - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
HKCU_Main|Start Page - hxxp://www.searchqu.com/406 
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157 
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157 
HKCU_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} - "Web Search" (hxxp://www.searchqu.com/web?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms}) 
HKLM_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} - "Web Search" (hxxp://www.searchqu.com/web?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms}) 
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll) 
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) 
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?) 
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll) 

======================================== 

C:\Documents and Settings\Tonin\Bureau\Ad-Remover\Quarantine: 0 Fichier(s) 
C:\Documents and Settings\Tonin\Bureau\Ad-Remover\Backup: 0 Fichier(s) 

C:\Ad-Report-SCAN[1].txt - 11/09/2011 15:46:00 (2246 Octet(s))  

Fin à: 15:46:36, 11/09/2011  
  
============== E.O.F ==============

Utilisateur anonyme · Answer

Bonjour

Relance Ad remover option nettoyer

et ensuite fait ceci:

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



Poste moi les rapports au fur et à mesure;merci.

@+

Léon Gambetta · Answer

Guillaume5188 >> Je te remercie d'avoir répondu aussi rapidement, je te transmets le rapport dés que possible.

Léon Gambetta · Answer

Même aprés avoir procédé à une analyse complète, l'antivirus n'a repéré aucun malware, c'est curieux. Existe-t-il un autre moyen d'évincer ce programme?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4681

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/09/2010 13:25:58
mbam-log-2010-09-24 (13-25-58).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 304104
Temps écoulé: 1 heure(s), 16 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

[Malware tenace] searchqu

3 réponses

Discussions similaires

Newsletters