Mon ordi est infecté par hijack startpage

Résolu/Fermé
judecoco - 31 mai 2012 à 17:58
 Utilisateur anonyme - 2 juin 2012 à 17:27
Bonjour,

mon ordinateur est infecté par hijack startpage et je ne parviens pas à l'éliminer, même avec malwarebytes anti malware.
Pouvez-vous m'aider.
Mon ordi est sous windows 7.

A voir également:

15 réponses

Utilisateur anonyme
31 mai 2012 à 18:47
ah ma reponse est pas partie....

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.
1
Voici le rapport adwcleaner:

# AdwCleaner v1.608 - Rapport créé le 31/05/2012 à 18:48:39
# Mis à jour le 27/05/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Juliette - JULIETTE-PC
# Exécuté depuis : C:\Users\Juliette\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre - GUID] *****

[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v10.0 (fr)

Nom du profil : default
Fichier : C:\Users\Juliette\AppData\Roaming\Mozilla\Firefox\Profiles\xy6ycc6g.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v19.0.1084.52

Fichier : C:\Users\Juliette\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1092 octets] - [31/05/2012 18:48:39]

########## EOF - C:\AdwCleaner[S1].txt - [1220 octets] ##########
0
Utilisateur anonyme
31 mai 2012 à 18:55
telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
1
ok, j'vais essayer de me rappeler de tout ca! Merci bcp en tout cas!
0
Utilisateur anonyme
31 mai 2012 à 19:29
mozilla à mettre à jour 10 => 12

==========

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKU\S-1-5-21-3160606858-4172830128-1749171278-1001\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]

FF::
user_pref("browser.startup.homepage", "http://ww38.freakylinks.info/917");

txt::
C:\Windows\System32\Tasks\{1109C001-4A8E-4BBA-B376-488F9BC871C8}
C:\Windows\System32\Tasks\{7F58869A-AF25-49C2-AD1F-68A9E56EC7A2}
C:\Windows\System32\Tasks\{FD169BE5-051E-49ED-BA3B-D678F4AB7D50}

file::
C:\Program Files (x86)\flxuz.vbs

Folder::
C:\Windows\Temp\1310432877
C:\Users\Juliette\AppData\Local\Temp\08132140-00001494-avkt1f6gdy

MBR::

clean::

Reboot::

___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
1
Pre_script:


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.531 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Juliette : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 19:42:54

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Firefox

xy6ycc6g.default : ligne supprimée : user_pref("browser.startup.homepage", "http://freakylinks.info/917");

¤

Modification du registre effectuée

¤

Absent : C:\Program Files (x86)\flxuz.vbs

¤

¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\Windows\System32\Tasks\{1109C001-4A8E-4BBA-B376-488F9BC871C8}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Author>SkypeSetup</Author>
</RegistrationInfo>
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>"c:\users\juliette\appdata\local\google\chrome\application\chrome.exe"</Command>
<Arguments>http://ui.skype.com/ui/0/5.0.0.152.367/fr/go/help.faq.installer?LastError=1618</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<GroupId>S-1-5-32-545</GroupId>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\Windows\System32\Tasks\{7F58869A-AF25-49C2-AD1F-68A9E56EC7A2}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a C:\Users\Juliette\Downloads\Canon\Setup.exe -d C:\Users\Juliette\Downloads\Canon</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Juliette-PC\Juliette</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\Windows\System32\Tasks\{FD169BE5-051E-49ED-BA3B-D678F4AB7D50}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a C:\Users\Juliette\Downloads\aomwin200ea24.exe -d C:\Users\Juliette\Downloads</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Juliette-PC\Juliette</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

¤

Supprimé : C:\Windows\Temp\1310432877
Supprimé : C:\Users\Juliette\AppData\Local\Temp\08132140-00001494-avkt1f6gdy

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: Acer
BIOS Manufacturer: Acer
System Manufacturer: Acer
System Product Name: Aspire 3830T
Logical Drives Mask: 0x00000004

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 19:43:29

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
1 juin 2012 à 00:16
ok dans ce cas tu peux supprimer ceci :

C:\Windows\System32\Tasks\{FD169BE5-051E-49ED-BA3B-D678F4AB7D50}

? manuellement ?
1
judecoco Messages postés 7 Date d'inscription samedi 29 novembre 2008 Statut Membre Dernière intervention 2 juin 2012
2 juin 2012 à 08:23
Bjr, ça y est, j'ai éliminé ce fichier.
Penses-tu que j'en sois débarrassée maintenant?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
2 juin 2012 à 11:03
hello

quand tu lances mozilla tu as quoi comme page d'accueil ?
1
judecoco Messages postés 7 Date d'inscription samedi 29 novembre 2008 Statut Membre Dernière intervention 2 juin 2012
2 juin 2012 à 11:31
SUPER!!! je n'ai plus multiexplore en page d'accueil, et j'ai refait une analyse avec malwarebytes, et plus rien!!!
Merci bcp!!!!!!
0
Utilisateur anonyme
2 juin 2012 à 11:35
on finit par un grand menage :

https://gen-hackman.kanak.fr/
1
judecoco Messages postés 7 Date d'inscription samedi 29 novembre 2008 Statut Membre Dernière intervention 2 juin 2012
2 juin 2012 à 11:44
Je n'ai pas eu besoin de faire de mise à jour!

WhyIGotInfected v1.5.3(by Tigzy)
********************************

Run : 02/06/2012 11:42:54 [Normal Mode]
Machine : JULIETTE-PC (4 CPUs) [Juliette : ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
UPTODATE [Firefox (x86)] Current : 12.0 -- Latest : 12.0
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
UPTODATE [Adobe Flash] Current : 11.2.202.235 -- Latest : 11.2.202.235
UPTODATE [Adobe Flash (x86)] Current : 11.2.202.235 -- Latest : 11.2.202.235
UPTODATE [Adobe Flash ActiveX] Current : 11.2.202.235 -- Latest : 11.2.202.235
UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.2.202.235 -- Latest : 11.2.202.235
UPTODATE [Adobe Flash FF Plugin] Current : 11.2.202.235 -- Latest : 11.2.202.235
UPTODATE [Adobe Flash FF Plugin (x86)] Current : 11.2.202.235 -- Latest : 11.2.202.235


Finished
<C:\Users\Juliette\Desktop\WIGIReport[1].txt>
WIGIReport[0].txt ; WIGIReport[1].txt
0
judecoco Messages postés 7 Date d'inscription samedi 29 novembre 2008 Statut Membre Dernière intervention 2 juin 2012
2 juin 2012 à 11:46
Le rapport suivant:

# DelFix v8.8 - Rapport créé le 02/06/2012 à 11:44:48
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Juliette - JULIETTE-PC (Administrateur)
# Exécuté depuis : C:\Users\Juliette\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Users\Juliette\Downloads\adwcleaner.exe
Non Supprimé : C:\Users\Juliette\Downloads\WhyIGotInfected.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [788 octets] - [02/06/2012 11:44:48]

########## EOF - C:\DelFix[S1].txt - [911 octets] ##########
0
Utilisateur anonyme
2 juin 2012 à 12:10
ok redemarre et supprime WIGI manuellement
1
Utilisateur anonyme
31 mai 2012 à 18:00
salut poste ton rapport
0
Voici mon rapport de malwarebytes:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.31.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Juliette :: JULIETTE-PC [administrateur]

31/05/2012 16:37:50
mbam-log-2012-05-31 (16-37-50).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 371542
Temps écoulé: 1 heure(s), 11 minute(s), 10 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://freakylinks.info/917) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
0
Voici mon rapport de malwarebytes:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.31.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Juliette :: JULIETTE-PC [administrateur]

31/05/2012 16:37:50
mbam-log-2012-05-31 (16-37-50).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 371542
Temps écoulé: 1 heure(s), 11 minute(s), 10 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://freakylinks.info/917) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Utilisateur anonyme
31 mai 2012 à 19:05
bah tu lances et tu heberges le rapport en deux mots ^^
0
Voici le lien:
http://pjjoint.malekal.com/files.php?read=20120531_c14o8b15j15z6
0
Utilisateur anonyme
31 mai 2012 à 20:45
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Users\Juliette\Downloads\aomwin200ea24.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
0
je ne trouve pas le fichier dont tu me parles.
aomwin.exe n'est visiblement pas dans mon ordinateur!!!
0
judecoco Messages postés 7 Date d'inscription samedi 29 novembre 2008 Statut Membre Dernière intervention 2 juin 2012
2 juin 2012 à 16:55
J'ai supprimé wigi, et suivi les recommandations pour faire un grand menage sur ton lien!
0
Utilisateur anonyme
2 juin 2012 à 17:07
ok bonne route si tu as tout fini :D
0
judecoco Messages postés 7 Date d'inscription samedi 29 novembre 2008 Statut Membre Dernière intervention 2 juin 2012
2 juin 2012 à 17:19
Encore merci pour tout!!!!
0
Utilisateur anonyme
2 juin 2012 à 17:27
mets le sujet en resolu :D
0