Malware jerecherche.org

fredman Messages postés 331 Statut Membre -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonjour,

depuis ce matin, mes 2 navigateur firefox et chrome m'affiche jerecherche.org en page d'accueil, j'ai réussi à modifié cela sur firefox mais pas chrome.

merci de l'aide

21 réponses

  • 1
  • 2
  1. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
     
    Téléchargez AdwCleaner.
    Lancez (pour Vista / Seven, clic droit sur sur AdwCleaner, puis clic dans Exécuter en tant qu'administrateur) le logiciel et choisissez l'option de "Suppression".
    Une fois la suppression terminée, un message de prévention va s'afficher, lisez le attentivement.
    Vous retrouverez ce rapport à la racine du disque ---> C:\AdwCleaner.txt
    Faites passer le rapport sur le forum pour vous faire aider.
    Les toolbars c'est pas obligatoire!
    0
  2. fredman Messages postés 331 Statut Membre 7
     
    # AdwCleaner v1.607 - Rapport créé le 27/05/2012 à 11:45:39
    # Mis à jour le 23/05/2012 par Xplode
    # Système d'exploitation : Windows 7 Professional (64 bits)
    # Nom d'utilisateur : fred - FRED-PC
    # Exécuté depuis : C:\Users\fred\Downloads\Programs\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\fred\chat-land
    Dossier Supprimé : C:\ProgramData\Viewpoint
    Dossier Supprimé : C:\Program Files (x86)\Viewpoint
    Dossier Supprimé : C:\Program Files (x86)\Common Files\Software Update Utility
    Fichier Supprimé : C:\Users\fred\errorlog.tmp
    Fichier Supprimé : C:\Users\fred\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\appinfo.lnk
    Fichier Supprimé : C:\Users\fred\AppData\Roaming\Mozilla\Firefox\Profiles\z7z70cqs.default\searchplugins\Startsear.xml
    Fichier Supprimé : C:\Users\fred\Desktop\Chat-Land site de chat et de rencontre gratuit.URL
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins\npdnu.dll
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins\npdnu.xpt
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins\npdnupdater2.dll
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins\npdnupdater2.xpt

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKLM\SOFTWARE\MetaStream
    Clé Supprimée : HKLM\SOFTWARE\Viewpoint
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]
    Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Appinfo]
    Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [lan]
    Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [tempHome]

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    Remplacé : [HKCU\Software\Microsoft\Internet Explorer - SearchURL] = hxxp://www.jerecherche.org/keyword/%s --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Secondary_Page_URL] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page_bak] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.jerecherche.org --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Search_URL] = hxxp://www.jerecherche.org/keyword/ --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = www.jerecherche.org --> hxxp://www.google.fr
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://www.jerecherche.org --> hxxp://www.google.fr

    -\\ Mozilla Firefox v12.0 (fr)

    Nom du profil : default
    Fichier : C:\Users\fred\AppData\Roaming\Mozilla\Firefox\Profiles\z7z70cqs.default\prefs.js

    C:\Users\fred\AppData\Roaming\Mozilla\Firefox\Profiles\z7z70cqs.default\user.js ... Supprimé !

    Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.aol.com/search/search?query={searchTerms}&invo[...]
    Supprimée : user_pref("extensions.vshare@toolbar.install-event-fired", true);
    Supprimée : user_pref("keyword.URL", "hxxp://www.jerecherche.org/result.php?&q=");
    Supprimée : user_pref("newtaburl.def_url", "hxxp://www.jerecherche.org/");
    Supprimée : user_pref("vshare.install.date", "1284163200000");
    Supprimée : user_pref("vshare.install.finished", "1.0.0");
    Supprimée : user_pref("vshare.install.guid", "{bb7bc015-e670-4343-825f-540222c3c0ec}");
    Supprimée : user_pref("vshare.install.isHidden", true);
    Supprimée : user_pref("vshare.install.laststatreq", "1300665600000");
    Supprimée : user_pref("vshare.install.newtab", false);

    -\\ Google Chrome v19.0.1084.52

    Fichier : C:\Users\fred\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée : "homepage": "hxxp://www.jerecherche.org",
    Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.jerecherche.org" ]
    Supprimée : "homepage": "hxxp://www.jerecherche.org",
    Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.jerecherche.org" ]

    *************************

    AdwCleaner[S1].txt - [294 octets] - [27/05/2012 11:40:40]
    AdwCleaner[S2].txt - [5792 octets] - [27/05/2012 11:45:40]

    ########## EOF - C:\AdwCleaner[S2].txt - [5920 octets] ##########
    0
  3. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
     
    Téléchargez et installez Malwarebytes <--- cliquez dans Download Now.
    1°) Mettez-le à jour,
    2° Exécutez un examen complet (vous le laissez travailler seul, c'est-à-dire, vous n'ouvrez pas d'autres applications) de tous les lecteurs (branchez tout ce que vous avez clés USB, disques durs externes),
    3°) A la fin de l'examen qui peut durer des heures, vous supprimez ce qui aura été trouvé et vous revenez ici pour poster le rapport.
    0
  4. fredman Messages postés 331 Statut Membre 7
     
    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.05.27.02

    Windows 7 x64 NTFS
    Internet Explorer 9.0.8112.16421
    fred :: FRED-PC [administrateur]

    27/05/2012 12:10:09
    mbam-log-2012-05-27 (12-10-09).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 611387
    Temps écoulé: 2 heure(s), 6 minute(s), 59 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 7
    C:\Program Files (x86)\Activision\Call of Duty 6 - Modern Warfare 2\TeknoGods_MW2SP.exe (Backdoor.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\WB Games\Bastion\TDU1k.exe (Packer.ModifiedUPX) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\1000000800002i\svchost.exe (Rootkit.Dropper) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Plus 2007\30000000111800002i\EXCEL.EXE (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Plus 2007\300000005700002i\WINWORD.EXE (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\fred\AppData\Roaming\Thinstall\Microsoft Office Professional Plus 2007\300000007300002i\POWERPNT.EXE (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\fred\Downloads\Compressed\FIFA12 MODDED DB 1.1 by DOCTOR+ public\FIFA12 MODDED DB 1.1 by DOCTOR+ public\Doctor+ FIFA 12 Demo Modded Unlocked DB 1.1.exe (Adware.Onlinegames) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
     
    Installez Secunia PSI.
    Lancez-le ---> clic dans Scan your PC ---> clic dans Start scan et à la fin du scan, clic dans Scan Results <--- photo(s) du Scan Results ici par https://www.cjoint.com/
    0
  7. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
     
    Ok, c'est vu.
    Je reviens ici demain et on s'occupe de ça.
    0
  8. fredman Messages postés 331 Statut Membre 7
     
    ok c'est fait
    0
  9. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
     
    Bonjour,

    Ouvrez Revo Uninstaler, clic dans EVEREST, clic dans Désinstaller, Mode Modéré, etc..., vous aurez à sélectionner toutes les clés et vous les supprimerez.
    Idem Foxit, Resource Hacker.
    Pour DAEMON Tools et Magix M M, installez la solution proposée par Secunia.
    Ensuite vous relancez un scan avec Secunia, puis Scan Results. Si tout est bon, c'est 100% et icône verte dans la barre des tâches.
    0
  10. fredman Messages postés 331 Statut Membre 7
     
    je ne trouve pas everest avec revouninstaller, dois-je forcer la désinstallation en précisant le dossier de everest?
    0
  11. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
     
    Son dossier à la corbeille et relancez un scan avec Secunia.
    0
  12. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
     
    Bonjour,

    Ok, c'est vu, et vous avez tout bon.
    C'est terminé.

    Bonne continuation.
    0
  13. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour Jojo et fredman

    Pour encore vérifier s'il reste des infections :

    * Télécharge ZHPDiag (de Nicolas Coolman) à partir l'un
    des deux liens : Lien 1 ou Lien 2
    * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)
    * Clique sur l'icône en forme de loupe pour lancer le diagnostique
    * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com
    * Fais copier/coller le lien fourni dans ta prochaine réponse
    * Aide ZHPDiag : <<< ICI >>>

    @+
    0
    1. Jojo29. Messages postés 6644 Date d'inscription   Statut Membre Dernière intervention   1 249
       
      Bonjour Fish,

      Merci de prendre la suite.
      Je viens de t'envoyer un MP.

      Bonne continuation.
      0
  14. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
    O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Common Files\Plasmoo
    O44 - LFC:[MD5.00000000000000000000000000000000] - 04/06/2012 - 06:25:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\WindowsUpdate.log [1178553]
    O51 - MPSK:{3713d326-592c-11e0-8c4e-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\setup.exe (.not file.)

    FirewallRAZ
    EmptyTemp
    EmptyFlash



    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur le bouton GO

    Copie/Colle le rapport à l'écran dans ton prochain message.

    2/
    On va faire un nettoyage !

    . télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    .double-cliques sur le fichier pour lancer l'installation

    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur suivant
    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur installer
    .cliques sur fermer
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    .coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .cliques maintenant sur registre et puis sur rechercher les erreurs
    .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et fermer tu vérifies en relançant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner

    tuto installation & nettoyage :
    https://www.donnemoilinfo.com/tuto/CCleaner/

    3/
    Comment se comporte ton PC maintenant ?

    @+

    0
  15. fredman Messages postés 331 Statut Membre 7
     
    merci pour ton aide, peux-tu me dire à quoi correspond ce qui est en gras avant que je supprime?

    merci
    0
  16. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    Ce sont des lignes néfastes qu'il faut supprimer!
    0
  17. fredman Messages postés 331 Statut Membre 7
     
    Rapport de ZHPFix v1.12.3142 par Nicolas Coolman, Update du 31/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-07-06-2012-22-37-37.txt
    Run by fred at 07/06/2012 22:37:32
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O51 - MPSK:{3713d326-592c-11e0-8c4e-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\setup.exe (.not file.) => Clé supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Donnée supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files (x86)\Common Files\Plasmoo => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\windows\windowsupdate.log => Fichier supprimé au reboot
    k:\setup.exe => Fichier supprimé au reboot

    ========== Autre ==========
    FirewallRAZ => Format Non supporté
    EmptyTemp => Format Non supporté
    EmptyFlash => Format Non supporté
    FirewallRAZ => Format Non supporté
    EmptyTemp => Format Non supporté
    EmptyFlash => Format Non supporté

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    2 : Fichier(s)
    6 : Autre

    End of the scan
    0
  • 1
  • 2