Infecté par searchqu/114

Fermé
wejdis - Modifié par wejdis le 8/10/2011 à 12:52
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 oct. 2011 à 13:23
Bonjour,

j'ai attrapé searchqu je ne sais pas comment m'en debarraser s'il vous, plait comment faire ?

19 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
8 oct. 2011 à 12:58
Salut,

Tu as accepté d'installer l'adware via un autre logiciel : https://www.malekal.com/searchqu-bandoo-pup-hijacker-page-de-demarragerecherche/


Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel par éditeurs.
L'éditeur touche de l'argent à chaque installation réussie de ces additionnels tiers (un genre de sponsoring).
Seulement certains éditeurs, abusent, pour gagner plus d'argent, ils redistribuent des logiciels libres développés par des bénévoles en y ajoutant ces logiciels additionnels.
Des pubs trompeuses peuvent aussi être utilisés pour faire installer ces logiciels.

Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non essentiels councourent à ralentir condésirablement l'ordinateur (peux aussi faire planter les navigateurs WEB).
Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités).

Tu as la même chose avec les barres d'outils :
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Lire :
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

~~

Désinstalle le :
Pour Windows Vista/Seven : Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités, cherchez Searchqu/Bandoo ou Windows iLivid Toolbaret désinstallez le.
Pour Windows XP : Allez dans le Panneau de Configuration puis Ajout/Suppression de programmes, cherchez Searchqu/Bandoo ou Windows iLivid Toolbar et désinstallez le.

Si vous utilisez Firefox, vérifiez que l'extension n'est pas présente : Menu Outils puis Modules Complémentaires et onglet Extensions. Si Searchqu Toolbar est présent, supprimez la.

~~~

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


~~

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.




1
rebonjour, merci d'avoir bien voulu m'aider

voici le rapport:

# AdwCleaner v1.310 - Rapport créé le 08/10/2011 à 13:48:15
# Mis à jour le 07/10/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : wejdy - PC-DE-WEJDY (Administrateur)
# Exécuté depuis : C:\Users\wejdy\Desktop\adwcleaner.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:3228] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Users\wejdy\AppData\Roaming\Mozilla\Firefox\Profiles\i321jio5.default\searchplugins\SearchResults.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoEngine]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

Remplacé : [HKCU\..\Main - Start Page] = hxxp://www.searchqu.com/414 --> hxxp://www.google.fr

-\\ Mozilla Firefox v7.0.1 (fr)

Profil : i321jio5.default
Fichier : C:\Users\wejdy\AppData\Roaming\Mozilla\Firefox\Profiles\i321jio5.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\wejdy\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Opera v11.1.1190.0

Fichier : C:\Users\wejdy\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1718 octets] - [08/10/2011 13:48:15]

*************************

Dossier Temporaire : 16 dossier(s) et 71 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [1942 octets] ##########
0
rebonjour
voici le rapport OTL
http://pjjoint.malekal.com/files.php?id=v11e5l15b14r8u5y15c11r15v12m11c8y15i5k6c6u5j9l5t12
0
up!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 8/10/2011 à 18:17
ha avg 2012 est sorti :)

sinon ça semble OK.

Désinstalle spybot, sert à rien.

Peut-être désinstaller l'extension yahoo-zugo sur Firefox.
=> http://www.securelist.com/en/descriptions/17461012/Trojan.Win32.Swisyn.awhe


SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
0
Bonjour,

Toujours infecté
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
9 oct. 2011 à 11:53
tu as viré l'extension ?

Sur quel navigateur WEB, ça se remet ?
0
Salut
Désolé de vous embêter un dimanche, merci pour vos réponses
Où se trouve cette extension ?
Sur tout les navigateurs en fait il n'est jamais parti, il n'apparait ni dans les programmes ni dans les modules complémentaires. Que dois-je faire avec le rapport OTL posté ?

j'ai changé la sensibilité d'avast je compte effectuer un scan ce soir

Merci.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
9 oct. 2011 à 12:44
et t'as essayé de changer la page de démarrage et le moteur de recherche ?
=> https://www.malekal.com/desinstaller-un-programme-et-extensions-firefox/

Pour l'extension de Firefox : Menu Outils / Modules complémentaires
et tu supprimes yahoo-zugo
0
Salut,
Oui, quand je change la page de démarrage il n'y a plus "searchqu", mais si je remet les parametres d'origine il revient ce qui signifie qu'il est toujours là.

Pour yahou-zugo je crois qu'il est parti quant j'ai fait une restauration du système

merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 9/10/2011 à 17:29
C'est quoi remettre les paramètres d'origine ?
Tu vas où pour remettre les paramètres d'origine ?


SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
0
Dans Firefox je vais dans options/onglet général/(bouton)Restaurer la configuration par défaut
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
9 oct. 2011 à 17:46
OK.
Mais pour Internet Explorer, c'est réglé ?

Pour firefox, dans la barre d'adresse tape : about:config
valide, valide le message d'alerte
cherche sur searchqu
et change tous les adresses trouvées.
0
Non, pas non plus réglé pour internet explorer,
je vais essayer ce que vous m'avez dit, j'avais déjà essayer en regardant le tuto sur votre site mais appartement il y a un truc que je fais de travers.

Est-ce dangereux ce searchqu ?

Merci pour votre aide
0
je trouve pas searchqu mais je trouve ça :

extensions.getAddons.search.browseURL;https://addons.mozilla.org/%LOCALE%/firefox/search?q=%TERMS%

https://services.addons.mozilla.org/%LOCALE%/firefox/api/%API_VERSION%/search/%TERMS%/all/%MAX_RESULTS%/%OS%/%VERSION%?src=firefox

http://dts.search-results.com/sr?src=ffb&appid=0&systemid=414&q=
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
9 oct. 2011 à 18:23
C'est pas dangereux, c'est juste qu'ils mettent leur adresse car ça leur fait des revenus (pubs, augmenter le traffic etc).
C'est une prise d'otage de ton PC pour se faire de l'argent.

C'est curieux car sur ton rapport OTL, y a priori rien d'anormal.
Donc je vois pas ce qui peux remettre la page.

Tu as Kaspersky Antivirus en plus d'AVG, faudrait désinstaller un des deux.
J'ai pas regardé AVG, mais c'est pas lui qui peux remettre la page via une protection qui serait là pour protéger la page et qui refous au final celle de searchqu ?

Affiche les fichiers cachés : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Y a quoi dans ce dossier ? C:\Users\wejdy\AppData\Local\186b35a4
Tu peux le supprimer ?

~~

Si tu changes en mode sans échec : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


Que tu reviens en mode normal, ça se remet sur Internet Explorer ?


fais ça aussi :

Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe
Download Mirror #2:: http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

* Double-click SystemLook.exe pour le lançer.
* Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

:regfind
searchqu


* Click le bouton Look pour commencer le scan.
* Copie-colle dans ta prochaine réponse le rapportcontenu du fichier texte qui s'affiche

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

0
voici le rapport

SystemLook 30.07.11 by jpshortstuff
Log created at 21:18 on 09/10/2011 by wejdy
Administrator - Elevation successful

========== regfind ==========

Searching for "searchqu"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.searchqu.com/414"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}]
"SuggestionsURL_JSON"="http://www.searchqu.com/suggest.php?src=ieb&appid=0&systemid=414&qu={searchTerms}&ft=json"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB310581-AC80-11D1-8DF3-00C04FB6EF63}]
@="ISearchQueryHelper"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}]
"SuggestionsURL_JSON"="http://www.searchqu.com/suggest.php?src=ieb&appid=0&systemid=414&qu={searchTerms}&ft=json"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Searchqu Toolbar uninstall_RASAPI32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Searchqu Toolbar uninstall_RASMANCS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS]
[HKEY_USERS\S-1-5-21-3038902297-3712334655-299917757-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.searchqu.com/414"
[HKEY_USERS\S-1-5-21-3038902297-3712334655-299917757-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}]
"SuggestionsURL_JSON"="http://www.searchqu.com/suggest.php?src=ieb&appid=0&systemid=414&qu={searchTerms}&ft=json"

-= EOF =-
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
10 oct. 2011 à 09:46
Menu Démarrer / executer et tape regedit et OK
Déroule l'arborescence suivante en cliquant sur les +
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
A droite double-clic sur Start Page et change l'adresse

Pareil pour :
[HKEY_USERS\S-1-5-21-3038902297-3712334655-299917757-1000\Software\Microsoft\Internet Explorer\Main]


Ferme et ta session et vois ce que ça donne pour Internet Explorer.
0
Bonjour,
Merci, c'est OK pour Internet Explorer.

mais toujours pareil pour Firefox

about:config
keyword.URL;http://dts.search-results.com/sr?src=ffb&appid=0&systemid=414&q=
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
11 oct. 2011 à 13:23
dans about:config sur seeearch y a rien ?

ou dans ec fichier ?
C:\Users\wejdy\AppData\Roaming\Mozilla\Firefox\Profiles\i321jio5.default\prefs.js

0