Infection avec la certified-toolbar-search [Résolu/Fermé]

Signaler
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013
-
 g3n-h@ckm@n -
Bonjour,





Je me suis fait avoir par cette toolbar et j'ai trouvé sur ce forum d'autres billets relatifs à cette infection.

J'ai suivi les premières instructions en téléchargeant et en faisant une recherche avec adwcleaner.

J'ai ensuite installé et fait un scan avec MBAM qui a trouvé 24 fichiers infectés. Je les ai supprimé, ai redémarré l'ordi et vidé la quarantaine.

J'ai refais un scan avec MBAM et il ne trouve plus aucun fichier infecté.

J'ai enfin téléchargé et fait un scan avec ZHPDiag et obtenu le rapport.

Mais le fait est que le moteur de recherches de "certified-toolbar-search" est toujours là et s'impose à l'ouverture de IE, de Google Chrome (qui ne s'ouvre plus) et de FF ainsi que de Outlook.

Voila où j'en suis, dois-je envoyer maintenant le dernier rapport obtenu de ZHPDiag à l'adresse http://pjjoint.malekal.com/ ?

Merci d'avance pour votre aide.

Cordialement,

Yves

116 réponses


il nous reste encore des soucis ?
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

En fait, rien ne semble avoir changé...

J'ai toujours la page de recherches de "certified-toolbar-search" qui s'ouvre lorsque je lance Google Chrome, IE ou encore Outlook, Word ou Excel...

Je suis désolé, j'ai l'impression de vous faire perdre votre temps...

Mais cette M.... s'accroche !
Messages postés
9158
Date d'inscription
mercredi 12 août 2009
Statut
Contributeur sécurité
Dernière intervention
13 avril 2016
1 584
Bonjour, pour IE et Google chrome je veux bien mais sous word ou excel où est ce que vous voyez certified search toolbar ?
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Je viens de vous faire des captures d'écrans de Outlook, Word et Excel pour vous montrer, vous allez voir comment ça se présente : https://www.cjoint.com/?3Ayk6y3S3nR
Messages postés
9158
Date d'inscription
mercredi 12 août 2009
Statut
Contributeur sécurité
Dernière intervention
13 avril 2016
1 584
A oui merci c'est effectivement de plus en plus intrusif. :/

re

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Bonjour,

voici les rapports :

OTL.txt : https://www.cjoint.com/?3AymMGijGfU

Extras.txt : https://www.cjoint.com/?3AymLrjZA41

je vois que tu as l'antivirus trust d'installé aussi....faut le virer
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

NON, il n'y a aucun autre antivirus installé...
Trust connait pas... Et d'ailleurs aucun programme de ce nom ne figure dans la liste de mes programmes installé... Ou alors il porte un autre nom...

il n'y a plus qu'Avast Internet Security qui fonctionne.

C:\Program Files (x86)\Trusteer
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Voila, c'est viré... Il fallait rechercher "Rapport"
ça m'avait été recommandé par ma banque en ligne si je me souviens bien...

ben apparemment les banques y comprennent pas grand chose....

mais ...il fallait le desinstaller , pas virer le dossier comme ca ....
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Je l'ai bien désinstallé en suivant la procédure, pas de soucis.

Que faire maintenant ?

refais OTL
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Voici les nouveaux rapports.

OTL.txt : https://www.cjoint.com/?3AyxB0bHzp4

Extras.txt : https://www.cjoint.com/?3AyxCzTk5VC

Merci
Utilisateur anonyme
adobe reader 9 tu peux le desinstaller ?
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

C'est trop bizarre ce truc, j'avais pourtant bien désinstallé Adobe Reader 9 hier ou avant hier... Et il réapparait sous la forme Adobe Reader 9.1 MUI...

Je viens de le désinstaller.

c'st un pc à empreintes digitales ton truc ?
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

OUI, aussi...
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

ça commence d'ailleurs à me préoccuper un peu que toutes ces informations personnelles soient visibles sur ce forum...

Avez-vous une idée pour résoudre le problème et supprimer cette P.... de barre de recherches ?
Messages postés
9158
Date d'inscription
mercredi 12 août 2009
Statut
Contributeur sécurité
Dernière intervention
13 avril 2016
1 584
Salut, pour ce qui est des rapports cjoint ils vont s'effacer d'eux même d'ici quelques temps (4, 21 ou 60 jours suivant ce qui a ete choisi). Pour la banque en ligne, c'est juste le nom mais si tu veux, on peut retirer les messages s'y rapportant, ils ne sont pas nécessaire au bon deroulement de la désinfection.
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

OUI, je veux bien que vous retiriez les messages contenant le lien.

Merci
Messages postés
9158
Date d'inscription
mercredi 12 août 2009
Statut
Contributeur sécurité
Dernière intervention
13 avril 2016
1 584
Voilà c'est effacé. ;)
desinstalle adobe reader 9

===

qu'y-a-t'il dans ce dossier ?

C:\Users\Xavier 2\AppData\Roaming\ubot

==

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


?Copie la liste qui se trouve en gras ci-dessous,

? colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33
FF - prefs.js..extensions.enabledAddons: {BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}:6.0.35
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
CHR - homepage: https://e-dilic.com/
CHR - plugin: Java Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter},
CHR - Extension: bitly | \u2665 your bitmarks = C:\Users\Xavier 2\AppData\Local\Google\Chrome\User Data\Default\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic\2.0.63_0\
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-240630257-497315260-2861768503-1007\..\Run: [IBP] File not found
O4 - Startup: C:\Users\Xavier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
O8 - Extra context menu item: Free YouTube Download - C:\Users\Xavier 2\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm ()
[2011/04/12 10:20:40 | 003,707,144 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\BingBarSetup-Partner[1].EXE
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 110 bytes -> C:\ProgramData\Temp:888AFB86

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-

:Files
C:\Windows\SysNative\drivers\etc\hosts.ics


:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


? Clique sur "Correction" pour lancer la suppression.


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.


¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Adobe Reader 9 n'est plus installé sur ma machine...!

Je ne sais par ailleurs pas du tout cer qu'il y a dans ce dossier : C:\Users\Xavier 2\AppData\Roaming\ubot

Dois-je quand même lancer OTL.exe ?

Je ne sais par ailleurs pas du tout cer qu'il y a dans ce dossier : C:\Users\Xavier 2\AppData\Roaming\ubot

tu ne veux pas regarder ? lol !

oui fais la correction d'OTL
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Il y a juste un répertoire "ai" qui a l'air vide... C'est une archive Adobe Illustrator NON ?

Je fais la correction OTL et je poste le rapport quand c'est fini.
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

La correction a été faite mais je n'ai pas obtenu de rapport à la fin...

Où le trouver ?