Problème de virus web-search toolbar Résolu/Fermé

Question

Bonjour, 

Bonjour, 

J'ai un pseudo-virus in trouvable nommé web-search toolbar, j'ai regardé de nombreux topics sur le sujet mais tout le monde donne une version différente... Quelqu'un pourrait-il me dire exactement quoi faire pour le virer de mon pc.

Merci d'avance

Configuration: Windows 7 / Firefox 12.0

Destrio5 · Accepted Answer

Bonjour,

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

thepoint69 · Answer

# AdwCleaner v1.607 - Rapport créé le 25/05/2012 à 14:51:57
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Sébastien - SÉBASTIEN-PC
# Exécuté depuis : C:\Users\Sébastien\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Sébastien\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Sébastien\AppData\Roaming\EoRezo
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\EoRezo
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\EoRezo
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoEngine]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoRezo]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoWeather]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Tarma Installer

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35D-6118-11DC-9C72-001320C79847}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://y.lo.st --> hxxp://www.google.fr

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\Sébastien\AppData\Roaming\Mozilla\Firefox\Profiles\74l2pleh.default\prefs.js

C:\Users\Sébastien\AppData\Roaming\Mozilla\Firefox\Profiles\74l2pleh.default\user.js ... Supprimé !

Supprimée : user_pref("WebplayerToolbar_77.global.ClearSearchHistoryOnClose", "false");
Supprimée : user_pref("WebplayerToolbar_77.global.CurrentLanguageSelection", "English");
Supprimée : user_pref("WebplayerToolbar_77.global.CurrentNavigationSelection", "Current window");
Supprimée : user_pref("WebplayerToolbar_77.global.CurrentSearchEngineSelection", "US: United States of America")[...]
Supprimée : user_pref("WebplayerToolbar_77.global.DisplayRecentSearches", "true");
Supprimée : user_pref("WebplayerToolbar_77.global.ShowButtonText2", "true");
Supprimée : user_pref("WebplayerToolbar_77.global.UpdateTime", "1337891937618");
Supprimée : user_pref("WebplayerToolbar_77.global.setupExtension", "true");
Supprimée : user_pref("WebplayerToolbar_77.global.userEnable", true);
Supprimée : user_pref("WebplayerToolbar_77.global.userID", "0b097dfe8036e18a1a94c9c489acf377");
Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
Supprimée : user_pref("browser.search.order.1", "Web Search");
Supprimée : user_pref("browser.search.selectedEngine", "Web Search");
Supprimée : user_pref("extensions.enabledAddons", "OneClickDownloader@OneClickDownloader.com:1.2,DivXWebPlayer@d[...]

-\ Google Chrome v19.0.1084.52

Fichier : C:\Users\Sébastien\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :       "name": "Web Search",

*************************

AdwCleaner[R1].txt - [6160 octets] - [25/05/2012 14:50:53]
AdwCleaner[S1].txt - [5045 octets] - [25/05/2012 14:51:57]

########## EOF - C:\AdwCleaner[S1].txt - [5173 octets] ##########


Voilà le rapport, je te remercie par avance pour ton aide

Destrio5 · Answer

AdwCleaner a fait son travail, tu peux le désinstaller.

On va utiliser un outil de diagnostic pour voir s'il y a autre chose à supprimer/modifier.

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de  ZHPDiag et choisir Exécuter en tant qu'administrateur)

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau. 

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.

thepoint69 · Answer

c'est bon j'y ai copié le rapport

Destrio5 · Answer

Il me faut le lien pour que je puisse y accéder.

thepoint69 · Answer

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120525_b12s11m12y14q10

thepoint69 · Answer

C'est bon ouai ?

Destrio5 · Answer

Il y a encore des infections.

--> Fais un examen rapide avec Malwarebytes' Anti-Malware (mets-le à jour avant), supprime tout ce qu'il trouve et poste le rapport :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

thepoint69 · Answer

examen fait:
Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.25.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sébastien :: SÉBASTIEN-PC [administrateur]

Protection: Activé

25/05/2012 17:08:09
mbam-log-2012-05-25 (17-08-09).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 214482
Temps écoulé: 13 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 30
C:\Users\Sébastien\AppData\Roaming\SoftwareUpdate.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Roaming\SoftwareUpdateHP.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Roaming\winlogon.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\IXP000.TMP\Rundll32.dll (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\IXP001.TMP\Rundll32.dll (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\IXP002.TMP\Rundll32.dll (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os2879.tmp\rlvknlg.exe (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os2879.tmp\rlvknlg64.exe (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os2879.tmp\rlxf.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os2879.tmp\rlxg.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os2879.tmp\rlxh.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os2879.tmp\rlxi.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os292.tmp\rlvknlg.exe (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os292.tmp\rlvknlg64.exe (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os292.tmp\rlxf.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os292.tmp\rlxg.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os292.tmp\rlxh.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os292.tmp\rlxi.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os292.tmp\rlxj.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os69AB.tmp\rlvknlg.exe (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os69AB.tmp\rlvknlg64.exe (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os69AB.tmp\rlxf.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\~os69AB.tmp\rlxg.dll (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\halloween.exe (PUP.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\hostelhalls.exe (PUP.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\kate-beckinsale.exe (PUP.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\lost.exe (PUP.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\movie-posters27.exe (PUP.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\XvidSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\dclogs.sys (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

(fin)

Destrio5 · Answer

--> Relance Malwarebytes Anti-Malware, va dans Quarantaine et supprime tout.

--> Génère un nouveau rapport ZHPDiag (lancé en tant qu'administrateur).

thepoint69 · Answer

Autant pour moi : https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120525_g10t14h139j7

Destrio5 · Answer

Tu ne l'as pas exécuté en tant qu'administrateur.

thepoint69 · Answer

Pourtant je l'y ai mis comment fais-tu ?

Destrio5 · Answer

Dans le rapport, je n'ai pas la liste des logiciels installés par exemple.

"(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)"

thepoint69 · Answer

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120525_f14u8d14y7k10 Voilà

Destrio5 · Answer

Il y a encore pas mal de choses à retirer.

Je te fais un script cette nuit.

Destrio5 · Answer

--> Désinstalle Ad-Aware Browsing Protection.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
G0 - GCSP: Preference [User Data\Default][HomePage] http://ww7.certified-toolbar.com      
G0 - GCSP: Preference [User Data\Default] http://ww7.certified-toolbar.com      
G1 - GCS: Preference [User Data\Default] http://ww7.certified-toolbar.com      
G0 - GCSP: Preference [User Data\Default][HomePage] http://ww7.certified-toolbar.com      
M3 - MFPP: Plugins - [Sébastien] -- C:\Users\Sébastien\AppData\Roaming\Mozilla\Firefox\Profiles\74l2pleh.default\searchplugins\Web Search.xml      
R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://ww7.certified-toolbar.com      
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://ww7.certified-toolbar.com      
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ww7.certified-toolbar.com      
O3 - Toolbar: (no name) [64Bits] - [HKLM]{32099AAC-C132-4136-9E9A-4E364A424E17} . (...) --  (.not file.)    
O4 - HKCU\..\Run: [winupdater] C:\Windows\winupdate.exe (.not file.)  
O4 - HKCU\..\Run: [Akamai NetSession Interface] C:\Users\Sébastien\AppData\Local\Akamai
etsession_win.exe (.not file.)   
O4 - HKUS\S-1-5-21-2427354855-2472599254-3332593895-1001\..\Run: [winupdater] C:\Windows\winupdate.exe (.not file.)    
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe  
O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files (x86)\SweetIM\Toolbars\Internet Exploreresources\menuext.html  
O23 - Service: KMService (KMService) . (...) - C:\Windows\SysWOW64\srvany.exe  
O23 - Service: RelevantKnowledge (RelevantKnowledge) . (...) - C:\Program Files (x86)\RelevantKnowledgelservice.exe (.not file.)    
[HKLM\Software\FileSubmit]   
O43 - CFD: 25/05/2012 - 01:22:23 - [0,001] ----D C:\Program Files (x86)\DAEMON Tools Toolbar  
O43 - CFD: 24/05/2012 - 22:42:39 - [0,039] ----D C:\Users\Sébastien\AppData\Roaming\WebPlayerBdd 
O43 - CFD: 29/11/2011 - 23:04:56 - [0,000] ----D C:\Users\Sébastien\AppData\Local\cougars 
O43 - CFD: 16/11/2011 - 21:36:39 - [0,000] ----D C:\Users\Sébastien\AppData\Localencontreshard 
O69 - SBI: SearchScopes [HKCU] {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} - (DAEMON Search) - https://gamespace.daemon-tools.cc/fra/home   
O87 - FAEL: "TCP Query User{B9D71DDA-981B-42A5-A71F-21297C40447C}C:\program files (x86)elevantknowledgelvknlg.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)elevantknowledgelvknlg.exe (.not file.)      
O87 - FAEL: "UDP Query User{CD165930-5CEE-487E-939D-FE226160675E}C:\program files (x86)elevantknowledgelvknlg.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)elevantknowledgelvknlg.exe (.not file.)    
O87 - FAEL: "{322795D0-0195-4A34-A0A1-568BF86943BE}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\RelevantKnowledgelvknlg.exe (.not file.)     
O87 - FAEL: "{9A3F479A-F66F-42BA-9621-5D5DB68A858A}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\RelevantKnowledgelvknlg.exe (.not file.)    
SS - | Auto  0 |  (RelevantKnowledge) . (...) - C:\Program Files (x86)\RelevantKnowledgelservice.exe    
SS - | Auto  0 |  (KMService) . (...) - C:\Windows\system32\srvany.exe    
O4 - HKUS\S-1-5-21-2427354855-2472599254-3332593895-1001\..\Run: [Akamai NetSession Interface] C:\Users\Sébastien\AppData\Local\Akamai
etsession_win.exe (.not file.) 
[HKLM\Software\WOW6432Node\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{7cd74aff-3433-4e34-92e2-d98dfdb30754}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]     
[HKLM\SYSTEM\CurrentControlSet\Services\RelevantKnowledge] 
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}     
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}     
ProxyFix 
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

thepoint69 · Answer

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-05-2012-01-50-26.txt
Run by Sébastien at 26/05/2012 01:50:26
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: Menu Contextuel: Rechercher sur le Web
SUPPRIME Key*: Service: KMService
SUPPRIME Key*: Service: RelevantKnowledge
ABSENT Key: HKLM\Software\FileSubmit
SUPPRIME Key*: SearchScopes :{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}
ABSENT Key: Service: RelevantKnowledge
ABSENT Key: Service: KMService
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{7cd74aff-3433-4e34-92e2-d98dfdb30754}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}
ABSENT Key: HKLM\SYSTEM\CurrentControlSet\Services\RelevantKnowledge

========== Valeur(s) du Registre ==========
SUPPRIME Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17}
SUPPRIME RunValue: winupdater
SUPPRIME RunValue: Akamai NetSession Interface
ABSENT RunValue: winupdater
SUPPRIME RunValue: QuickTime Task
ABSENT TCP Query User{B9D71DDA-981B-42A5-A71F-21297C40447C}C:/program files (x86)/relevantknowledge/rlvknlg.exe
ABSENT UDP Query User{CD165930-5CEE-487E-939D-FE226160675E}C:/program files (x86)/relevantknowledge/rlvknlg.exe
SUPPRIME {322795D0-0195-4A34-A0A1-568BF86943BE}
SUPPRIME {9A3F479A-F66F-42BA-9621-5D5DB68A858A}
ABSENT RunValue: Akamai NetSession Interface
ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIME ProxyServer Value
SUPPRIME ProxyEnable Value
SUPPRIME EnableHttp1_1 Value
SUPPRIME ProxyHttp1.1 Value
SUPPRIME ProxyOverride Value

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page
SUPPRIME R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page
SUPPRIME R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Sébastien\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://ww7.certified-toolbar.com
SUPPRIME Chrome Site: http://ww7.certified-toolbar.com
SUPPRIME Chrome Site: http://ww7.certified-toolbar.com
SUPPRIME Chrome Site: http://ww7.certified-toolbar.com
SUPPRIME Chrome Site: http://ww7.certified-toolbar.com
SUPPRIME Chrome Site: http://ww7.certified-toolbar.com
SUPPRIME Chrome Site: http://ww7.certified-toolbar.com
PRESENT Chrome File: C:\Users\Sébastien\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://ww7.certified-toolbar.com
PRESENT Chrome File: C:\Users\Sébastien\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://ww7.certified-toolbar.com

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files (x86)\DAEMON Tools Toolbar
SUPPRIME Folder: C:\Users\Sébastien\AppData\Roaming\WebPlayerBdd
SUPPRIME Folder: C:\Users\Sébastien\AppData\Local\cougars
SUPPRIME Folder: C:\Users\Sébastien\AppData\Localencontreshard
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File: c:\users\sébastien\appdataoaming\mozilla\firefox\profiles\74l2pleh.default\searchplugins\web search.xml
ABSENT File: c:\windows\winupdate.exe
ABSENT File: c:\users\sébastien\appdata\local\akamai
etsession_win.exe
ABSENT File: c:\program files (x86)\sweetim	oolbars\internet exploreresources\menuext.html
SUPPRIME File: c:\windows\syswow64\srvany.exe
ABSENT File: c:\windows\system32\srvany.exe
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
15 : Clé(s) du Registre
18 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
6 : Dossier(s)
8 : Fichier(s)
12 : Préférences navigateur
1 : Restauration Système


End of clean in 00mn 57s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 26/05/2012 01:50:26 [4866]

Voici le rapport exécuté comme tu me l'as dit

Destrio5 · Answer

Comment va le PC ?

Tu peux me fournir un nouveau rapport ZHPDiag ?

thepoint69 · Answer

C'est bon la barre à enfin disparue !!! https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120526_d15e9j12z5x15 voilà le rapport ! Je te remercie de ton aide et de ta patience parce que je dois avouer que personnellement j'aurais été incapable de faire toutes ces manips.

Destrio5 · Answer

Disons qu'il n'y avait pas que Web Search.

Pour finir :


1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de supprimer les points de restauration. Ensuite, crée un point de restauration.


==Prévention==

Mets à jour Java :
https://www.java.com/fr/download/

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

thepoint69 · Answer

C'est bon tout est fait merci encore, je suis pourtant très vigilant rares sont les sites que je ne connais pas que j'ouvre... Aurais-tu un logiciel pour faire encore plus attention mon avast me protège déjà pas mal mais par précaution ^^ Encore merci pour toute ton aide ;)

Destrio5 · Answer

J'ai juste Avast. Dans le dossier, t'as plein d'infos.

Si c'est OK, clique sur "Marquer comme résolu" sous le titre de ton sujet.

KurosakiLaury · Answer

Bonsoir. J'ai le même soucis et j'ai suivie votre procedure mais c'est toujours là.. J'essaie de l'enlever depuis 2h maintenant. 
Pourrais-je avoir un peu d'aide svp ^^'

ziko18 · Answer

Bonjour, c'est mon premier message, je vous ai lu, et comme certain d'entre vous, j'ai aussi ce pseudo virus "Certified-toolbar"

J'ai comme ceux du dessus, telecharger plusieurs logiciel afin de l'effacer mais je connait personne qui puisse lire mes resultats de "ZHPdiag".
Si il y'aurait une âme charitable pour pouvoir m'aider à eradiquer cette me...!

Merci d'avance!

j3romus · Answer

# AdwCleaner v3.022 - Rapport créé le 23/03/2014 à 00:49:35
# Mis à jour le 13/03/2014 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Administrateur - PC-F5BCD7356554
# Exécuté depuis : C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

Service Supprimé : CltMngSvc
[#] Service Supprimé : MovieMode

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\MovieMode
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\wincert
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\WPM
Dossier Supprimé : C:\Program Files\SearchProtect
Dossier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\SearchProtect
Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\SupTab
Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Systweak
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\hnhjdvti.default\searchplugins\conduit-search.xml
Fichier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\hnhjdvti.default\user.js

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bitguard.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bprotect.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browserdefender.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browserprotect.exe
Valeur Supprimée : HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls [x64]
Valeur Supprimée : HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls [x86]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220522312272}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660566316672}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\installedbrowserextensions
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\systweak
Clé Supprimée : HKLM\Software\installedbrowserextensions
Clé Supprimée : HKLM\Software\SearchProtect
Clé Supprimée : HKLM\Software\supTab
Clé Supprimée : HKLM\Software\supWPM
Clé Supprimée : HKLM\Software\systweak
Clé Supprimée : HKLM\Software\Wpm
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MyPC Backup
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Wpm
Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Wincert\WIN32C~1.DLL

***** [ Navigateurs ] *****

-\ Internet Explorer v7.0.6000.16640


-\ Mozilla Firefox v27.0.1 (fr)

[ Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\hnhjdvti.default\prefs.js ]

Ligne Supprimée : user_pref("extensions.crossrider.bic", "144ebf22dcdca4ef2373efe723ba1682");
Ligne Supprimée : user_pref("extensions.mysearchdial.AL", 2);
Ligne Supprimée : user_pref("extensions.mysearchdial.aflt", "cmi_14_12_ff");
Ligne Supprimée : user_pref("extensions.mysearchdial.appId", "{CA5CAA63-B27C-4963-9BEC-CB16A36D56F8}");
Ligne Supprimée : user_pref("extensions.mysearchdial.cd", "2XzuyEtN2Y1L1QzutDtDtC0EzytDtA0FtAyB0B0E0AtBtByDtN0D0Tzu0SzztCtBtN1L2XzutBtFtCzztFyBtFtDtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StAtCtDtCtAzytAyDtGtCzzyCt[...]
Ligne Supprimée : user_pref("extensions.mysearchdial.cntry", "FR");
Ligne Supprimée : user_pref("extensions.mysearchdial.cr", "382536553");
Ligne Supprimée : user_pref("extensions.mysearchdial.dfltLng", "");
Ligne Supprimée : user_pref("extensions.mysearchdial.dfltSrch", true);
Ligne Supprimée : user_pref("extensions.mysearchdial.dnsErr", true);
Ligne Supprimée : user_pref("extensions.mysearchdial.dpkLst", "3654782829,1334533236,1121012847,231756876,1895130307,603719297,4288797614,3754950497,426401714,3046281807,752626116,1657571787,3224935090,2597085128,18285[...]
Ligne Supprimée : user_pref("extensions.mysearchdial.excTlbr", false);
Ligne Supprimée : user_pref("extensions.mysearchdial.hdrMd5", "5820048929B99546381FC50563F1606D");
Ligne Supprimée : user_pref("extensions.mysearchdial.hmpg", true);
Ligne Supprimée : user_pref("extensions.mysearchdial.hmpgUrl", "hxxp://start.mysearchdial.com/?f=1&a=cmi_14_12_ff&cd=2XzuyEtN2Y1L1QzutDtDtC0EzytDtA0FtAyB0B0E0AtBtByDtN0D0Tzu0SzztCtBtN1L2XzutBtFtCzztFyBtFtDtN1L1CzutCyEt[...]
Ligne Supprimée : user_pref("extensions.mysearchdial.hpFFXOld", "hxxp://istart.webssearches.com/?type=hp&ts=1395528539&from=tugs&uid=WDCXWD3200AAJS-65B4A0_WD-WMAT1313622636226");
Ligne Supprimée : user_pref("extensions.mysearchdial.id", "001E903F37BEA225");
Ligne Supprimée : user_pref("extensions.mysearchdial.instlDay", "16151");
Ligne Supprimée : user_pref("extensions.mysearchdial.instlRef", "140305_a");
Ligne Supprimée : user_pref("extensions.mysearchdial.lastB", "hxxp://start.mysearchdial.com/?f=1&a=ir_14_12_ff&cd=2XzuyEtN2Y1L1QzutDtDtC0EzytDtA0FtAyB0B0E0AtBtByDtN0D0Tzu0SzztCtBtN1L2XzutBtFtCzztFyBtFtDtN1L1CzutCyEtDtA[...]
Ligne Supprimée : user_pref("extensions.mysearchdial.lastVrsnTs", "1.8.29.023:48:51");
Ligne Supprimée : user_pref("extensions.mysearchdial.newTabUrl", "hxxp://start.mysearchdial.com/?f=2&a=cmi_14_12_ff&cd=2XzuyEtN2Y1L1QzutDtDtC0EzytDtA0FtAyB0B0E0AtBtByDtN0D0Tzu0SzztCtBtN1L2XzutBtFtCzztFyBtFtDtN1L1CzutCy[...]
Ligne Supprimée : user_pref("extensions.mysearchdial.pnu_base", "{\"newVrsn\":\"92\",\"lastVrsn\":\"92\",\"vrsnLoad\":\"\",\"showMsg\":\"false\",\"showSilent\":\"false\",\"msgTs\":0,\"lstMsgTs\":\"0\"}");
Ligne Supprimée : user_pref("extensions.mysearchdial.prdct", "mysearchdial");
Ligne Supprimée : user_pref("extensions.mysearchdial.prtnrId", "mysearchdial");
Ligne Supprimée : user_pref("extensions.mysearchdial.sg", "none");
Ligne Supprimée : user_pref("extensions.mysearchdial.srchPrvdr", "Mysearchdial");
Ligne Supprimée : user_pref("extensions.mysearchdial.tlbrId", "base");
Ligne Supprimée : user_pref("extensions.mysearchdial.tlbrSrchUrl", "hxxp://start.mysearchdial.com/?f=3&a=cmi_14_12_ff&cd=2XzuyEtN2Y1L1QzutDtDtC0EzytDtA0FtAyB0B0E0AtBtByDtN0D0Tzu0SzztCtBtN1L2XzutBtFtCzztFyBtFtDtN1L1Czut[...]
Ligne Supprimée : user_pref("extensions.mysearchdial.vrsn", "1.8.29.0");
Ligne Supprimée : user_pref("extensions.mysearchdial.vrsni", "1.8.29.0");
Ligne Supprimée : user_pref("extensions.mysearchdial_i.newTab", false);
Ligne Supprimée : user_pref("extensions.mysearchdial_i.smplGrp", "none");
Ligne Supprimée : user_pref("extensions.mysearchdial_i.vrsnTs", "1.8.29.023:48:51");

*************************

AdwCleaner[R0].txt - [7901 octets] - [23/03/2014 00:48:15]
AdwCleaner[S0].txt - [7767 octets] - [23/03/2014 00:49:35]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [7827 octets] ##########

Problème de virus web-search toolbar

26 réponses

Discussions similaires