Virus searchnu.com comment s'en debarasser? Résolu/Fermé

Question

Bonjour, 

Depuis plusieurs jours quand j'ouvre Mozilla il est remplacé par: "http://www.searchnu.com/410?tag=newtab".
Après lecture de plusieurs forums je crois comprendre que c'est un virus, j'ai suivi les instructions et ai téléchargé ZHP (je peux envoyer le rapport si nécessaire)

Tout est redevenu normal pendant quelques heures et depuis ce matin c'est revenu!
Je ne sais vraiment plus quoi faire...
Je remercie d'avance toutes les personnes susceptibles de m'aider et toutes celles qui voudront bien prendre le temps de me lire et de m'aider...

Destrio5 · Answer

Bonjour,

Ce problème est causé par un adware.

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

AnaPais · Answer

Tout d'abord un grand MERCI pour cette réponse très rapide...
Je précise que mozilla s'ouvre bien au démarrage maintenant mais c'est quand j'ouvre un deuxième onglet que searchnu.com s'ouvre...
Désolée pour mes explications pas terribles mais je suis pas très experte.

Voici le rapport de AdwCleaner et merci encore

# AdwCleaner v1.608 - Rapport créé le 30/05/2012 à 18:27:02
# Mis à jour le 27/05/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : Ghirardi - GHIRARDI-HP
# Exécuté depuis : C:\Users\Ghirardi\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default [Profil par défaut]
Fichier : C:\Users\Ghirardi\AppData\Roaming\Mozilla\Firefox\Profileshy3mpaa.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : bmghirardi [Profil par défaut]
Fichier : C:\Users\Ghirardi\AppData\Roaming\Mozilla\Firefox\Profileshy3mpaa.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v19.0.1084.52

Fichier : C:\Users\Ghirardi\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [6156 octets] - [28/05/2012 09:54:02]
AdwCleaner[S1].txt - [5317 octets] - [28/05/2012 09:54:09]
AdwCleaner[S2].txt - [1322 octets] - [30/05/2012 18:27:02]

########## EOF - C:\AdwCleaner[S2].txt - [1450 octets] ##########

Destrio5 · Answer

Ok.

--> Relance AdwCleaner et choisis "Désinstallation".

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de  ZHPDiag et choisir Exécuter en tant qu'administrateur)

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau. 

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.

AnaPais · Answer

Opération effectuée, voici le lien:

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120530_g65q7d15m15

Destrio5 · Answer

Quel est ton antivirus ?

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
[MD5.00000000000000000000000000000000] [APT] [{3E77966B-6B7F-4185-B8BD-1526C1E3E9FF}] (...) -- E:\setup.exe (.not file.)   
[MD5.00000000000000000000000000000000] [APT] [{96DC168F-1B1E-4FBF-A21E-0ED3D58FEA7D}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exencluded (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{B62AE81F-A4FE-4A53-A1B5-FCCC2F2335DE}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exencluded (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{C5794A18-2EB5-4C75-B0F8-C93970AD0518}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exencluded (.not file.) 
O43 - CFD: 27/05/2012 - 19:30:59 - [21,661] ----D C:\Program Files (x86)\Searchqu Toolbar   
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

AnPais · Answer

Alors mon antivirus c'est: McAfee Security Scan Plus 
Et voici le rapport de ZHPFix:

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by Ghirardi at 30/05/2012 19:41:54
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Program Files (x86)\Searchqu Toolbar
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {3E77966B-6B7F-4185-B8BD-1526C1E3E9FF}
SUPPRIME Task: {96DC168F-1B1E-4FBF-A21E-0ED3D58FEA7D}
SUPPRIME Task: {B62AE81F-A4FE-4A53-A1B5-FCCC2F2335DE}
SUPPRIME Task: {C5794A18-2EB5-4C75-B0F8-C93970AD0518}

========== Restauration Système ==========
Point de restauration non crée


========== Récapitulatif ==========
3 : Dossier(s)
2 : Fichier(s)
4 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 24s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/05/2012 19:41:54 [1100]

Destrio5 · Answer

"Alors mon antivirus c'est: McAfee Security Scan Plus"

--> Ça n'a pas l'air d'être un vrai antivirus. Je te conseille de le désinstaller et d'installer Avast par exemple.

AnaPais · Answer

Ok, merci je vais m'occuper de télécharger Avast...

Pour mon problème, à ton avis c'est réglé ou je dois effectuer d'autres manips?

Destrio5 · Answer

Il te reste quel(s) souci(s) ?

AnaPais · Answer

Je voulais juste dire est ce que mettre le rapport de ZHPFix est la dernière étape pour que le problème soit résolu?

Apparemment ça marche bien... Plus de souci...
J'ai téléchargé Firefox Bêta et c'est seulement ça qui s'ouvre maintenant...

Merci, Merci beaucoup, c'est très gentil d'avoir pris le temps de m'aider.

Destrio5 · Answer

Tu peux me faire parvenir un nouveau rapport ZHPDiag.

AnaPais · Answer

Voici le lien pour consulter le nouveau rapport:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120531_p8d13n512d11

J'espère que tu me confirmeras que tout est ok...
(croisons les doigts... Et merci encore)

Destrio5 · Answer

Tu ne lances pas ZHPDiag en tant qu'administrateur. Le rapport est incomplet.

AnaPais · Answer

C'est à dire ? Comment je dois procéder ?

(Désolée, suis pas douée..)

Destrio5 · Answer

"(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)"

AnaPais · Answer

Merci, et si je peux me permettre d'abuser, peux tu jeter un oeil sur le nouveau rapport ?

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120601_y9h6c13u14k7

Destrio5 · Answer

Le rapport est complet cette fois-ci.

"O4 - HKLM\..\Run: [MSC] . (.Microsoft Corporation - Microsoft Security Client User Interface.) -- c:\Program Files\Microsoft Security Client\msseces.exe"

--> Tu as aussi cette antivirus ?

AnaPais · Answer

Oui c'est vrai que j'ai celui la aussi...
Tu me conseilles d'en garder qu'un? lequel?

Destrio5 · Answer

Avast.

Il ne faut qu'un seul antivirus.

AnaPais · Answer

Merci pour tes conseils je m'occupe de supprimer microsoft security...
Merci aussi pour ton aide

Destrio5 · Answer

Réutilise ZHPFix (lancé en tant qu'administrateur) avec ce texte :

SysRestore
O20 - AppInit_DLLs: . (.Bandoo Media, inc - Data Manager.) - C:\Program Files (x86)\SEARCH~1\Datamngr\x64\datamngr.dll   
[MD5.00000000000000000000000000000000] [APT] [{3E77966B-6B7F-4185-B8BD-1526C1E3E9FF}] (...) -- E:\setup.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{96DC168F-1B1E-4FBF-A21E-0ED3D58FEA7D}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exencluded (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{B62AE81F-A4FE-4A53-A1B5-FCCC2F2335DE}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exencluded (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{C5794A18-2EB5-4C75-B0F8-C93970AD0518}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exencluded (.not file.)  
O42 - Logiciel: Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu Toolbar      
O43 - CFD: 27/05/2012 - 19:30:59 - [21,655] ----D C:\Program Files (x86)\Searchqu Toolbar
O87 - FAEL: "{20264EAC-BDF3-4CDE-A6CE-AE1F31A0F043}" | In - Public - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe 
O87 - FAEL: "{F57DCB0E-F4F8-41E6-9E3E-4E5229FFEB21}" | In - Public - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe  
EmptyFlash
EmptyTemp

AnaPais · Answer

Re,

Voici le rapport:

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by Ghirardi at 01/06/2012 18:59:22
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: Searchqu Toolbar

========== Valeur(s) du Registre ==========
ABSENT AppInit: ta Manager.) - C:\Program Files (x86)\SEARCH~1\Datamngr\x64\datamngr.dll
ABSENT {20264EAC-BDF3-4CDE-A6CE-AE1F31A0F043}
ABSENT {F57DCB0E-F4F8-41E6-9E3E-4E5229FFEB21}

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Program Files (x86)\Searchqu Toolbar
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files (x86)\search~1\datamngr\x64\datamngr.dll
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {3E77966B-6B7F-4185-B8BD-1526C1E3E9FF}
SUPPRIME Task: {96DC168F-1B1E-4FBF-A21E-0ED3D58FEA7D}
SUPPRIME Task: {B62AE81F-A4FE-4A53-A1B5-FCCC2F2335DE}
SUPPRIME Task: {C5794A18-2EB5-4C75-B0F8-C93970AD0518}

========== Restauration Système ==========
Point de restauration non crée


========== Récapitulatif ==========
3 : Valeur(s) du Registre
3 : Dossier(s)
3 : Fichier(s)
1 : Logiciel(s)
4 : Tache planifiée
1 : Restauration Système


End of clean in 01mn 23s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/05/2012 18:41:54 [1152]
C:\ZHP\ZHPFix[R2].txt - 30/05/2012 19:06:39 [1716]
C:\ZHP\ZHPFix[R3].txt - 01/06/2012 18:59:22 [1630]

AnaPais · Answer

Désolée, voici le bon rapport (j'avais oublié d'exécuter en tant qu'administrateur)

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by Ghirardi at 01/06/2012 19:06:25
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: Searchqu Toolbar

========== Valeur(s) du Registre ==========
SUPPRIME {20264EAC-BDF3-4CDE-A6CE-AE1F31A0F043}
SUPPRIME {F57DCB0E-F4F8-41E6-9E3E-4E5229FFEB21}

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: ta Manager.) - C:\Program Files (x86)\SEARCH~1\Datamngr\x64\datamngr.dll

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files (x86)\Searchqu Toolbar
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File: c:\program files (x86)\search~1\datamngr\x64\datamngr.dll
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {3E77966B-6B7F-4185-B8BD-1526C1E3E9FF}
SUPPRIME Task: {96DC168F-1B1E-4FBF-A21E-0ED3D58FEA7D}
SUPPRIME Task: {B62AE81F-A4FE-4A53-A1B5-FCCC2F2335DE}
SUPPRIME Task: {C5794A18-2EB5-4C75-B0F8-C93970AD0518}

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)
3 : Fichier(s)
1 : Logiciel(s)
4 : Tache planifiée
1 : Restauration Système


End of clean in 01mn 44s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/05/2012 18:41:54 [1152]
C:\ZHP\ZHPFix[R2].txt - 30/05/2012 19:06:39 [1716]
C:\ZHP\ZHPFix[R3].txt - 01/06/2012 17:59:22 [1682]
C:\ZHP\ZHPFix[R4].txt - 01/06/2012 19:06:25 [1793]

Destrio5 · Answer

Ok pour ZHPFix, ça a fonctionné cette fois-ci.

Ton PC fonctionne bien ?

Adobe Reader et Java ne sont pas à jour.

https://get2.adobe.com/fr/reader/otherversions/ (décoche McAfee Security Scan Plus)

https://www.java.com/fr/download/

AnaPais · Answer

Merci pour les mises à jour...

Oui, il fonctionne bien, j'espère que ça va durer !...

Destrio5 · Answer

Les mises à jour, c'est important :
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

AnaPais · Answer

Je suis débarrassée de searchnu définitivement?

De toute façon je ne sais comment te remercier!

Destrio5 · Answer

Oui jusqu'à ce que tu le retélécharges et que tu le réinstalles ^^

Pour finir :


1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de supprimer les points de restauration. Ensuite, crée un point de restauration.


==Prévention==

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

AnaPais · Answer

# DelFix v8.8 - Rapport créé le 01/06/2012 à 20:49:26
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : Ghirardi - GHIRARDI-HP (Administrateur)
# Exécuté depuis : C:\Users\Ghirardi\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Ghirardi\Desktop\ZHPFixReport.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [736 octets] - [01/06/2012 20:49:26]

########## EOF - C:\DelFix[S1].txt - [859 octets] ##########



Je crois que ça m'a servi de leçon! 
Je reconnais que si j'avais été plus vigilante tu n'aurais pas eu besoin de venir à mon secours...

Alors, encore merci, et j'espère ne plus avoir besoin de passer par ce forum

Virus searchnu.com comment s'en debarasser?

29 réponses

Discussions similaires