malware jerecherche.org Fermé

Question

Bonjour, 

depuis ce matin, mes 2 navigateur firefox et chrome m'affiche jerecherche.org en page d'accueil, j'ai réussi à modifié cela sur firefox mais pas chrome.

merci de l'aide

Configuration: Windows 7 / Safari 536.5

Jojo29. · Answer

Téléchargez AdwCleaner.    
Lancez (pour Vista / Seven, clic droit sur sur AdwCleaner, puis clic dans Exécuter en tant qu'administrateur) le logiciel et choisissez l'option de "Suppression".    
Une fois la suppression terminée, un message de prévention va s'afficher, lisez le attentivement.    
Vous retrouverez ce rapport à la racine du disque ---> C:\AdwCleaner.txt   
Faites passer le rapport sur le forum pour vous faire aider.    
Les toolbars c'est pas obligatoire!

fredman · Answer

# AdwCleaner v1.607 - Rapport créé le 27/05/2012 à 11:45:39
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Professional  (64 bits)
# Nom d'utilisateur : fred - FRED-PC
# Exécuté depuis : C:\Users\fred\Downloads\Programs\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\fred\chat-land
Dossier Supprimé : C:\ProgramData\Viewpoint
Dossier Supprimé : C:\Program Files (x86)\Viewpoint
Dossier Supprimé : C:\Program Files (x86)\Common Files\Software Update Utility
Fichier Supprimé : C:\Users\fred\errorlog.tmp
Fichier Supprimé : C:\Users\fred\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\appinfo.lnk
Fichier Supprimé : C:\Users\fred\AppData\Roaming\Mozilla\Firefox\Profiles\z7z70cqs.default\searchplugins\Startsear.xml
Fichier Supprimé : C:\Users\fred\Desktop\Chat-Land site de chat et de rencontre gratuit.URL
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins
pdnu.dll
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins
pdnu.xpt
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins
pdnupdater2.dll
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins
pdnupdater2.xpt

***** [Registre] *****

Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Viewpoint
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Appinfo]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [lan]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [tempHome]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer - SearchURL] = hxxp://www.jerecherche.org/keyword/%s --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Secondary_Page_URL] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page_bak] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Search_URL] = hxxp://www.jerecherche.org/keyword/ --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = www.jerecherche.org --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://www.jerecherche.org --> hxxp://www.google.fr

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\fred\AppData\Roaming\Mozilla\Firefox\Profiles\z7z70cqs.default\prefs.js

C:\Users\fred\AppData\Roaming\Mozilla\Firefox\Profiles\z7z70cqs.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.aol.com/search/search?query={searchTerms}&invo[...]
Supprimée : user_pref("extensions.vshare@toolbar.install-event-fired", true);
Supprimée : user_pref("keyword.URL", "hxxp://www.jerecherche.org/result.php?&q=");
Supprimée : user_pref("newtaburl.def_url", "hxxp://www.jerecherche.org/");
Supprimée : user_pref("vshare.install.date", "1284163200000");
Supprimée : user_pref("vshare.install.finished", "1.0.0");
Supprimée : user_pref("vshare.install.guid", "{bb7bc015-e670-4343-825f-540222c3c0ec}");
Supprimée : user_pref("vshare.install.isHidden", true);
Supprimée : user_pref("vshare.install.laststatreq", "1300665600000");
Supprimée : user_pref("vshare.install.newtab", false);

-\ Google Chrome v19.0.1084.52

Fichier : C:\Users\fred\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :       "homepage": "hxxp://www.jerecherche.org",
Supprimée :          "urls_to_restore_on_startup": [ "hxxp://www.jerecherche.org" ]
Supprimée :    "homepage": "hxxp://www.jerecherche.org",
Supprimée :       "urls_to_restore_on_startup": [ "hxxp://www.jerecherche.org" ]

*************************

AdwCleaner[S1].txt - [294 octets] - [27/05/2012 11:40:40]
AdwCleaner[S2].txt - [5792 octets] - [27/05/2012 11:45:40]

########## EOF - C:\AdwCleaner[S2].txt - [5920 octets] ##########

Jojo29. · Answer

Téléchargez et installez Malwarebytes <--- cliquez dans Download Now.
1°) Mettez-le à jour,
2° Exécutez un examen complet (vous le laissez travailler seul, c'est-à-dire, vous n'ouvrez pas d'autres applications) de tous les lecteurs (branchez tout ce que vous avez clés USB, disques durs externes),
3°) A la fin de l'examen qui peut durer des heures, vous supprimez ce qui aura été trouvé et vous revenez ici pour poster le rapport.

fredman · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.27.02

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
fred :: FRED-PC [administrateur]

27/05/2012 12:10:09
mbam-log-2012-05-27 (12-10-09).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 611387
Temps écoulé: 2 heure(s), 6 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 7
C:\Program Files (x86)\Activision\Call of Duty 6 - Modern Warfare 2\TeknoGods_MW2SP.exe (Backdoor.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\WB Games\Bastion\TDU1k.exe (Packer.ModifiedUPX) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\1000000800002i\svchost.exe (Rootkit.Dropper) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Plus 2007\30000000111800002i\EXCEL.EXE (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Plus 2007\300000005700002i\WINWORD.EXE (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Plus 2007\300000007300002i\POWERPNT.EXE (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fred\Downloads\Compressed\FIFA12 MODDED DB 1.1 by DOCTOR+ public\FIFA12 MODDED DB 1.1 by DOCTOR+ public\Doctor+ FIFA 12 Demo Modded Unlocked DB 1.1.exe (Adware.Onlinegames) -> Mis en quarantaine et supprimé avec succès.

(fin)

Jojo29. · Answer

Installez Secunia PSI.
Lancez-le ---> clic dans Scan your PC ---> clic dans Start scan et à la fin du scan, clic dans Scan Results <--- photo(s) du Scan Results ici par https://www.cjoint.com/

fredman · Answer

https://www.cjoint.com/?BEBq45VYYRO

Jojo29. · Answer

Ok, c'est vu.
Je reviens ici demain et on s'occupe de ça.

Jojo29. · Answer

Bonjour,

Installez ça: https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/
Et quand c'est fait, vous me le faites savoir.

fredman · Answer

ok c'est fait

Jojo29. · Answer

Bonjour, 

Ouvrez Revo Uninstaler, clic dans EVEREST, clic dans Désinstaller, Mode Modéré, etc..., vous aurez à sélectionner toutes les clés et vous les supprimerez. 
Idem Foxit, Resource Hacker. 
Pour DAEMON Tools et Magix M M, installez la solution proposée par Secunia. 
Ensuite vous relancez un scan avec Secunia, puis Scan Results. Si tout est bon, c'est 100% et icône verte dans la barre des tâches.

fredman · Answer

je ne trouve pas everest avec revouninstaller, dois-je forcer la désinstallation en précisant le dossier de everest?

Jojo29. · Answer

Son dossier à la corbeille et relancez un scan avec Secunia.

fredman · Answer

j'ai désinstallé music maker car je ne m'en servait pas :

https://www.cjoint.com/?BEFl0kQ7qnl

Jojo29. · Answer

Bonjour,

Ok, c'est vu, et vous avez tout bon.
C'est terminé.

Bonne continuation.

Fish66 · Answer

Bonjour Jojo et fredman Pour encore vérifier s'il reste des infections : * Télécharge ZHPDiag (de Nicolas Coolman) à partir l'un des deux liens : Lien 1 ou Lien 2 * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>> @+

fredman · Answer

merci de votre aide : https://www.cjoint.com/?BFeifsUEmfG

Fish66 · Answer

Re,
1/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Common Files\Plasmoo     
O44 - LFC:[MD5.00000000000000000000000000000000] - 04/06/2012 - 06:25:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\WindowsUpdate.log   [1178553] 
O51 - MPSK:{3713d326-592c-11e0-8c4e-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\setup.exe (.not file.)     

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
On va faire un nettoyage ! 

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner 

tuto installation & nettoyage : 
https://www.donnemoilinfo.com/tuto/CCleaner/

3/
Comment se comporte ton PC maintenant ?

@+

fredman · Answer

merci pour ton aide, peux-tu me dire à quoi correspond ce qui est en gras avant que je supprime?

merci

Fish66 · Answer

Re,
Ce sont des lignes néfastes qu'il faut supprimer!

fredman · Answer

Rapport de ZHPFix v1.12.3142 par Nicolas Coolman, Update du 31/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-07-06-2012-22-37-37.txt
Run by fred at 07/06/2012 22:37:32
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O51 - MPSK:{3713d326-592c-11e0-8c4e-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\setup.exe (.not file.)  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files (x86)\Common Files\Plasmoo  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows\windowsupdate.log  => Fichier supprimé au reboot
k:\setup.exe  => Fichier supprimé au reboot

========== Autre ==========
FirewallRAZ  => Format Non supporté
EmptyTemp  => Format Non supporté
EmptyFlash  => Format Non supporté
FirewallRAZ  => Format Non supporté
EmptyTemp  => Format Non supporté
EmptyFlash  => Format Non supporté


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
2 : Fichier(s)
6 : Autre


End of the scan

Fish66 · Answer

On va continuer demain, bonne nuit

@+

Malware jerecherche.org

21 réponses

Discussions similaires