search.certified-toolbar.com Fermé

Question

Bonjour à tous !
voilà j'ai un souci avec search.certified-toolbar.com et je n'arrive pas a m'en débarrasser même en faisant une restauration du système via acronis il est toujours présent ! quelqu'un pourrait  m'aider s.v.p .
merci .

Smart91 · Answer

Bonjour, 

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.forums-fec.be/ZHP/ZHPDiag2.exe

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur le tournevis à droite et coche toutes les cases
-  Clique sur la loupe  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse.

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

benitode · Answer

bonjour, smart 91
merci de prendre le temps de m'aider je transmet le rapport dès que possible !

Smart91 · Answer

OK. J'attends le rapport 

Smart

benitode · Answer

voilà le rapport !


 https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121210_b5z8t5m12k5

Smart91 · Answer

Evite de télécharger des cracks ou keygen (surtout pour un antivirus), c'est pour cela que tu es infecté. 
Surement un rogue (faux logicile de sécurité)  et plusieurs logiciels publicitaires... Pour éviter ce genre de problème : 
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur. 
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils. 

Pour info lis ce dossier: Les dangers des cr@cks 

Dans un premier temps tu vas faire ceci: 

* Télécharge sur le bureau RogueKiller (par tigzy)  
* Quitte tous les programmes en cours  
* Lance RogueKiller.exe.  
* Attendre la fin du Prescan ...  
* Clique sur Scan.  
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

benitode · Answer

merci encore smart ! voilà le rapport ROGUE KILLER RogueKiller V8.3.2 [Dec 10 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Benji [Droits d'admin] Mode : Recherche -- Date : 10/12/2012 19:12:36 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ IRP[IRP_MJ_CREATE] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F61F8) IRP[IRP_MJ_CLOSE] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F61F8) IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F61F8) IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F61F8) IRP[IRP_MJ_POWER] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F61F8) IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F61F8) IRP[IRP_MJ_PNP] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F61F8) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: SAMSUNG HD501LJ ATA Device +++++ --- User --- [MBR] 0be1efbdeb6c91dd8e800210b282a3e2 [BSP] edb05b6bfaa70499cede1cc4311d4c0b : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo 1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 488392065 | Size: 238467 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_10122012_191236.txt >> RKreport[1]_S_10122012_191236.txt

Smart91 · Answer

* Relance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan
* Dans l'onglet "Registre", décoche la ligne en gras suivante: 
-------------------------------------------------------------------

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0)

-------------------------------------------------------------------
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse 

Smart

benitode · Answer

bonjour smart ! voici le rapport . RogueKiller V8.3.2 [Dec 10 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Benji [Droits d'admin] Mode : Suppression -- Date : 11/12/2012 09:58:42 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] cacaoweb.exe -- C:\Users\Benji\AppData\Roaming\cacaoweb\cacaoweb.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 4 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Benji\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> SUPPRIMÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> NON SELECTIONNÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ IRP[IRP_MJ_CREATE] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F71F8) IRP[IRP_MJ_CLOSE] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F71F8) IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F71F8) IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F71F8) IRP[IRP_MJ_POWER] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F71F8) IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F71F8) IRP[IRP_MJ_PNP] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x868F71F8) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: SAMSUNG HD501LJ ATA Device +++++ --- User --- [MBR] 0be1efbdeb6c91dd8e800210b282a3e2 [BSP] edb05b6bfaa70499cede1cc4311d4c0b : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo 1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 488392065 | Size: 238467 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_D_11122012_095842.txt >> RKreport[1]_S_10122012_191236.txt ; RKreport[2]_S_11122012_095534.txt ; RKreport[3]_D_11122012_095842.txt

Smart91 · Answer

OK. Maintenant tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.


Smart

benitode · Answer

bonjour smart ! voici le mbam


Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.12.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Benji :: PC-DE-BENJI [administrateur]

Protection: Activé

12/12/2012 11:08:49
mbam-log-2012-12-12 (11-08-49).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 535690
Temps écoulé: 1 heure(s), 41 minute(s), 46 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Benji\Downloads\flvmplayer.exe (PUP.BundleInstaller.SOL) -> Mis en quarantaine et supprimé avec succès.

(fin)

Smart91 · Answer

OK. Relance MBAM et vide la quarantaine.

On va supprimer les adwares et programmes indésirables:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt 
 
Smart

benitode · Answer

salut smart voilà le rapport adw cleaner


# AdwCleaner v2.100 - Rapport créé le 12/12/2012 à 16:28:53
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Benji - PC-DE-BENJI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Benji\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Benji\AppData\Roaming\cacaoweb
Dossier Présent : C:\Users\Benji\AppData\Roaming\Mozilla\Firefox\Profiles\exwkkgzz.default\extensions\cacaoweb@cacaoweb.org
Fichier Présent : C:\Users\Benji\Desktop\cacaoweb.exe

***** [Registre] *****

Clé Présente : HKCU\Software\cacaoweb
Valeur Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19328

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v15.0.1 (fr)

Nom du profil : default 
Fichier : C:\Users\Benji\AppData\Roaming\Mozilla\Firefox\Profiles\exwkkgzz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v23.0.1271.97

Fichier : C:\Users\Benji\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [18320 octets] - [10/12/2012 14:06:32]
AdwCleaner[R2].txt - [1408 octets] - [12/12/2012 16:28:53]
AdwCleaner[S1].txt - [18114 octets] - [10/12/2012 14:11:28]

########## EOF - C:\AdwCleaner[R2].txt - [1529 octets] ##########

Smart91 · Answer

Tu avais déjà passé AdwCleaner .

- Clique sur [Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le  contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Smart

benitode · Answer

bonjour smart voilà le rapport de suppression adwcleaner ! Je pense que tout est rentré dans l'ordre au final cacaoweb est une sacrée merde, mais tu me diras rien est gratuit n'est ce pas ? en tout cas merci encore de m'apporter tes connaissances et ton aide ;!


# AdwCleaner v2.100 - Rapport créé le 10/12/2012 à 14:11:28
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Benji - PC-DE-BENJI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Benji\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Search Settings
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\Users\Benji\AppData\Local\Crazyloader Air
Dossier Supprimé : C:\Users\Benji\AppData\LocalLow\Search Settings
Dossier Supprimé : C:\Users\Benji\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Benji\AppData\Roaming\CrazyLoader
Dossier Supprimé : C:\Users\Benji\AppData\Roaming\EoRezo
Dossier Supprimé : C:\Users\Benji\AppData\Roaming\Mozilla\Firefox\Profiles\exwkkgzz.default\Conduit
Dossier Supprimé : C:\Users\Benji\AppData\Roaming\Mozilla\Firefox\Profiles\exwkkgzz.default\extensions\cacaoweb@cacaoweb.org
Fichier Supprimé : C:\Users\Benji\Desktop\cacaoweb.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\JavaSoft\Prefs\crazyloader
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\CrazyLoader
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Offerbox
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Winamp Toolbar
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C5F65718-341D-4E7D-9842-FCB9CC89527E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}

Smart91 · Answer

Le rapport est incomplet.

Relance ZHPDiag, clique sur la flèche verte pour installer la mise à jour.
Refais un scan et poste le rapport via pjjoint, afin de voir s'il y a des restes d'infections.  
 
Smart

Search.certified-toolbar.com

15 réponses