Virus http://www.searchnu.com/406

calcio90 -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonjour, excusez-moi de vous déranger, j'ai un problème :

Lorsque je suis sur Google Chrome, au démarrage, la page suivante s'affiche toujours : http://www.searchnu.com/406

J'ai essayé de la supprimer, pas moyen, j'ai supprimé les logiciels manuellement, modifié manuellement la page d'accueil, toujours là.

J'ai lancé Ad Aware, j'ai cliqué sur "suppression". Voici le rapport : http://cjoint.com/data3/3GkrT2PYEkj.htm

J'ai également effectué une analyse complète avec Malwarebytes. Voici le rapport :
http://cjoint.com/12ju/BGkrVkJ69iB.htm

Malgré tout ça, quand j'ouvre Google Chrome, la page s'affiche toujours ... Que puis-je faire?

Merci d'avance de votre réponse ;)

36 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur signale qu'au démarrage de Chrome une page indésirable s'ouvre systématiquement sur searchnu.com/406, malgré la suppression manuelle de logiciels et des analyses antivirus répétées. Plusieurs répondants proposent AdwCleaner pour éliminer les barres d'outils et les résidus, puis des outils comme OTL, ZHPFix ou UsbFix pour nettoyer les traces dans le système et dans le navigateur. D'autres interventions incluent la vérification des extensions et des moteurs de recherche par défaut, la désinstallation de programmes indésirables comme Softonic ou Ask Toolbar, et l'analyse complète avec Malwarebytes. Enfin, les discussions mettent en avant l'importance d'utiliser une suite d'outils complémentaires (OTL, UsbFix, ZHPDiag, Malwarebytes) et de vérifier les paramètres de démarrage et les extensions, afin d'isoler définitivement les éléments incriminés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,
    1/
    Désinstalle : Ad Aware, il est inutile!

    2/
    Télécharge AdwCleaner (merci à Xplode)
    Lance AdwCleaner
    Clique sur le bouton [ Suppression ]
    Patiente...
    Poste le rapport qui apparait en fin de recherche.
    (Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
    1
  2. calcio90
     
    http://cjoint.com/data3/3Gku2mWhsVg.htm

    (J'ai eu l'écran bleu au redémarrage de l'ordi .. )
    0
  3. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    Tu as fait passer Adwcleaner 4 fois en mode suppresion! :-)
    * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag
    (de Nicolas Coolman) à partir l'un des deux liens : Lien 1 ou Lien 2
    * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)
    * Clique sur l'icône en forme de loupe pour lancer le diagnostique
    * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com
    * Fais copier/coller le lien fourni dans ta prochaine réponse
    * Aide ZHPDiag : <<< ICI >>>

    0
  4. calcio90
     
    http://cjoint.com/data3/3GkvWHYOazQ.htm

    Comment sur un rapport de ZHPDiag, vous pouvez voir si l'ordi est infecté?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Comment sur un rapport de ZHPDiag, vous pouvez voir si l'ordi est infecté?

    On repère les lignes néfastes..
    =========================
    1/
    Désinstalle : Softonic_France Toolbar

    2/
    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O43 - CFD: 02/06/2009 - 14:05:55 - [0,002] ----D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ask Search Assistant
    [MD5.197215658B8015182192E1EBCA3BBCC3] [SPRF][07/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\user\AppData\Local\Temp\AskSLib.dll [246440]
    [HKLM\Software\AppDataLow\AskBarDis]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask.com Search Assistant]
    M3 - MFPP: Plugins - [user] -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\n1ixh7i9.default\searchplugins\web-search.xml
    M2 - MFEP: prefs.js [user - n1ixh7i9.default\vshare@toolbar] [] vShare v1.0.0 (.vShare.)
    [HKCU\Software\Grand Virtual]
    [HKCU\Software\vShare.tv]
    O43 - CFD: 30/06/2012 - 00:12:06 - [0,014] ----D C:\Users\user\AppData\Local\Ilivid Player
    O69 - SBI: SearchScopes [HKCU] {9D5BD211-422C-4164-9298-BB4186A30F31} - (Web Search) - http://startsear.ch
    [MD5.C353D42BD06EDDDE17272C9D9BAD94BD] [SPRF][25/04/2004] (...) -- C:\Users\user\AppData\Roaming\rpc412_setup.exe [210109]
    [MD5.00000000000000000000000000000000] [APT] [{01D1AF71-C0D9-49BE-8846-9BFD1EB42684}] (...) -- C:\users\user\Desktop\ToolBarSD.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{1E7F3FCD-F4D7-4F21-A89E-952382B92C2A}] (...) -- C:\users\user\Downloads\Brutus_2006_Setup.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}] (...) -- C:\Windows\temp\3420602.tmp (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{EEC73FFD-FCD6-4785-8FA2-F91A6EE67C9F}] (...) -- C:\users\user\Desktop\WORT.exe (.not file.)
    O43 - CFD: 04/02/2010 - 22:50:02 - [4,483] ----D C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy
    O43 - CFD: 04/02/2010 - 22:46:57 - [0,037] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

    FirewallRAZ
    EmptyTemp
    EmptyFlash

    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur le bouton GO

    Copie/Colle le rapport à l'écran dans ton prochain message.
    3/
    * Telecharge et install link officiel : >>>USBFix ICI<<<
    ou : >>> ICI <<<

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

    :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

    automatiquement

    * Clique sur "Recherche"
    * Laisse travailler l'outil

    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )

    4/
    Lance Malwarebytes, fais la mise à jour, supprime ce qu'il trouve (analyse complète ) puis poste le rapport
    0
  7. calcio1990 Messages postés 16 Statut Membre 1
     
    Je me suis inscrit.

    Voici le rapport de ZHPFix (je l'ai peut-être nettoyé 2x ) :

    http://cjoint.com/data3/3GkwMrIYlF2.htm

    & celui de usbfix :

    http://cjoint.com/data3/3GkwVUvQ3rY.htm

    Par contre, une question : j'ai déjà fait une analyse de Malware cette aprem qui m'avait rien détecté .. Dois-je en refaire une ? (car ça risque de mettre du temps .. )
    0
  8. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

    :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

    automatiquement

    * Clique sur "Suppression"
    * Laisse travailler l'outil

    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )

    2/
    Poste moi alors le dernier rapport mbam

    A demain

    Bonne nuit
    0
  9. calcio1990 Messages postés 16 Statut Membre 1
     
    http://cjoint.com/data3/3GlaNtYMYU9.htm

    Par contre au moment de l'analyse, mon antivirus antivir s'est déclenché comme souvent comme s'il y avait un virus nommé : "Guard : autorun blocked" . Ce virus apparait toujours lorsque j'insère ma clé usb

    Bonne nuit!
    0
  10. calcio1990 Messages postés 16 Statut Membre 1
     
    En redémarrant l'ordi, l'écran bleu s'est de nouveau affiché juste avant le bureau .. & j'ai toujours searchnu lorsque je démarre google chrome ..
    0
  11. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,
    1/
    Concernant Autorun bloquée :
    Si tu as des soucis de détection Autorun.inf:
    * Ouvrir Antivir
    * Clique sur Configuration
    * Coche le Mode Expert
    * Sur le volet droit, clique sur Guard (à chaque fois, tu devras cliquer sur
    le petit +) >Recherche>action si résultat positif
    * Décoche Bloquer la fonction d''autodémarrage
    * Clique sur Accepter, puis sur OK
    * Tu peux fermer Antivir

    Aide en images : >>> ICI <<<
    Ou >>> ICI <<<

    2/
    Regarde les extensions de ton navigateur pour voir s'il reste des trucs à supprimer!
    Aide : <<< ICI >>> ou encore : <<< ICI >>>

    3/
    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    * Lance le

    * Une fenêtre apparait : clique sur "Disable"

    * Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ===================================================

    Attention, avant de commencer, lis attentivement la procédure

    ********************************************************

    /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

    * Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »
    Voici Aide combofix

    * /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


    *Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    ** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    *En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    ** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    *Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
  12. calcio1990 Messages postés 16 Statut Membre 1
     
    Quand je l'ai fait, j'ai un bug :

    http://cjoint.com/data3/3Glsb2mRc7L.htm

    j'ai essayé 2x & les 2x pareil .. la 2e fois, la corbeille était endommagée, j'ai du la vider pour continuer ..
    0
  13. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    Est ce que tu as effectué toutes les étapes, tu as eu ce bug au moment de lancement de combofix ?

    =======================
    Redémarre ton PC puis fais ceci stp :
    1/
    * Ouvre ton menu démarrer

    -> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter

    -> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur

    * Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers.

    2/
    * Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Personnalisation, copie-colle le texte en gras ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c


    ? Clique sur le bouton Analyse.
    ? Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.

    0
  14. calcio1990 Messages postés 16 Statut Membre 1
     
    http://cjoint.com/data3/3GlsY3JRSWX.htm

    (& je n'arrive pas à ouvrir les fichiers en question des détails .. )

    J'envoie déjà ça, le scan de OTL met du temps ...
    0
    1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      C'est pas très long!
      0
  15. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    J'ai besoin de l'autre rapport.. :-)
    0
  16. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Dans la partie "Personnalisation", copie/colle les instructions suivantes :

    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q="
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    [2009/04/22 17:39:29 | 010,684,866 | ---- | M] () -- C:\Users\user\AppData\Roaming\Azureus\plugins\azump\mplayer.exe
    [2010/10/05 17:16:15 | 000,051,312 | ---- | M] (Electronic Arts) -- C:\Users\user\AppData\Roaming\Electronic Arts\Game Face\1.0.0.18\uninstall.exe
    [2010/09/18 05:53:58 | 005,073,240 | ---- | M] (Microsoft Corporation) -- C:\Users\user\AppData\Roaming\Electronic Arts\Game Face\1.0.0.18\vcredist_x86.exe
    [2009/05/14 13:43:02 | 000,163,840 | ---- | M] (Mozilla Foundation) -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\crashreporter.exe
    [2009/05/14 13:43:03 | 000,196,608 | ---- | M] (Mozilla Foundation) -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\updater.exe
    [2009/05/14 13:43:03 | 000,014,848 | ---- | M] () -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\xpcshell.exe
    [2009/05/14 13:43:03 | 000,077,824 | ---- | M] (Mozilla Foundation) -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\xpicleanup.exe
    [2009/05/14 13:43:03 | 000,266,240 | ---- | M] (Mozilla Foundation) -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\xpidl.exe
    [2009/05/14 13:43:03 | 000,018,432 | ---- | M] () -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\xpt_dump.exe
    [2009/05/14 13:43:03 | 000,014,336 | ---- | M] () -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\xpt_link.exe
    [2009/05/14 13:43:03 | 000,073,728 | ---- | M] (Mozilla Foundation) -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\xulrunner-stub.exe
    [2009/05/14 13:43:03 | 000,102,400 | ---- | M] (Mozilla Foundation) -- C:\Users\user\AppData\Roaming\LimeWire\browser\xulrunner\xulrunner.exe

    :Files
    C:\32788R22FWJFW
    C:\ProgramData\1339005682.bdinstall.bin
    C:\ProgramData\1336655880.bdinstall.bin


    * Clique sur le bouton Correction.
    * Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    * Accepte en cliquant sur OK.
    * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
    0
  17. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    Quel est le problème exactement ?
    0
  18. calcio1990 Messages postés 16 Statut Membre 1
     
    Lorsque je suis sur Google Chrome, au démarrage, la page suivante s'affiche toujours : http://www.searchnu.com/406 (ainsi que la page d'accueil "normal' google .. )

    et j'aimerais l'enlever quoi ..
    0
  • 1
  • 2