Infection avec la certified-toolbar-search [Résolu/Fermé]

Signaler
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013
-
 g3n-h@ckm@n -
Bonjour,





Je me suis fait avoir par cette toolbar et j'ai trouvé sur ce forum d'autres billets relatifs à cette infection.

J'ai suivi les premières instructions en téléchargeant et en faisant une recherche avec adwcleaner.

J'ai ensuite installé et fait un scan avec MBAM qui a trouvé 24 fichiers infectés. Je les ai supprimé, ai redémarré l'ordi et vidé la quarantaine.

J'ai refais un scan avec MBAM et il ne trouve plus aucun fichier infecté.

J'ai enfin téléchargé et fait un scan avec ZHPDiag et obtenu le rapport.

Mais le fait est que le moteur de recherches de "certified-toolbar-search" est toujours là et s'impose à l'ouverture de IE, de Google Chrome (qui ne s'ouvre plus) et de FF ainsi que de Outlook.

Voila où j'en suis, dois-je envoyer maintenant le dernier rapport obtenu de ZHPDiag à l'adresse http://pjjoint.malekal.com/ ?

Merci d'avance pour votre aide.

Cordialement,

Yves

116 réponses

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut sucessves


Non pas par le menu démarrer, direct par Program Files :
Par exemple :
C:\Program Files\Microsoft Office\Office12\EXCEL.EXE


@++ :)

ensuite j'aimerais recuperer un des raccourcis qui lancent la certified toolbar si c'est possible , zippé via cjoint.com
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

comment puis-je t'envoyer un raccourci via cjoint.com ?

lorsque je clique droit par exemple sur l'icône de Filezilla qui se trouve dans mon menu démarrer pour en voir les propriétés, je constate que le raccourci pointe vers "C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe" http://ww12.certified-toolbar.com

c'est donc à ce niveau qu'il y a un truc.

Par contre lorsque je vire le raccourçi du menu démarrer et que j'en créé un nouveau directement depuis la liste des programmes, il ne pose pas le problème...

Si cela peut t'aider à comprendre ce que fait cette saleté...

Merci en tous cas pour ton aide qui m'a été précieuse.
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

OUI, comme ça, le programme s'ouvre sans problème...

Je vais re-créer tous les raccourcis... Merci !
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 764
Salut,

Pour la barre des tâches de Windows 7, les raccourcis sont stockés dans %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

Et pour tes programmes du menu démarrer : %HOMEDRIVE%\ProgramData\Microsoft\Windows\Start Menu\Programs

@+
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Merci bien

tu fais un dossier sur ton bureau , tu glisses le raccourci dedans , puis clic droit sur le dossier , envoyer vers , dossier compressés , et tu mets l archive sur cjoint et tu donnes le lien
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

OK,

j'ai déjà remplacé la plupart des raccourcis à l'heure qu'il est, mais pas celui d'IE par exemple car je ne l'utilise pas...


Voici le lien : https://www.cjoint.com/?3ADuXmSnpTH

En espérant que cela t'aide à comprendre ce qui se passe.
Utilisateur anonyme
comprendre , j'ai compris , maintenant c'est la dectection qui est une autre paire de manches :)
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Moi j'ai po compris... Mais bon... J'ai compris qu'il fallait que je sois plus vigilant...

Merci encore pour le temps que tu as consacré à mon dossier et pour ton aide précieuse.
par contre je pense que tu peux juste supprimer l'url du raccourci sans avoir à tous les refaire

edit::

j'ai deja la detection

Present !! : C:\Users\g3n-h@ckm@n\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe -> http://ww12.certified-toolbar.com
Utilisateur anonyme
j'arrive pas à le supprimer meme avec les ACL à fond...
YES !!!

Deleted !! : C:\Users\g3n-h@ckm@n\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe -> http://ww12.certified-toolbar.com

maintenant j'attaque la restauration de la commande d'origine ^^

presque fini ^^


¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Utilisateur anonyme
:)

dommage que t'ais pas attendu un peu :)

tu veux tester le module voir si t'en as pas oublié ? ^^
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

OUI, c'est sûr qu'il en reste quelques uns, je veux bien essayer. Merci
Utilisateur anonyme
à la fin un rapport va s'ouvrir

http://www.security-helpzone.com/Tools/g3n/Shortcut_Module.exe
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

En fait à la fin le n'ai pas eu de rapport mais une fenêtre d'erreur que je te mets ci-joint :

https://www.cjoint.com/?3AEmmnQ7Zfh

Par contre le raccourci de IE a été correctement fixé !

Merci et encore Bravo
j'ai du oublier de mettre une exclusion je vais regarder , regarde dans C:\rapport.txt

edit::

moi j'ai pas d'erreur et il a meme desinfecté celui que tu m'as envoyé ^^

Infected & Deleted !! : C:\Users\g3n-h@ckm@n\AppData\Roaming\Microsoft\Windows\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe -> http://ww12.certified-toolbar.com
Restored !! : C:\Users\g3n-h@ckm@n\AppData\Roaming\Microsoft\Windows\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe
Infected & Deleted !! : C:\Users\g3n-h@ckm@n\Desktop\rog\3ADuXmSnpTH_raccourcis\raccourcis\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe -> http://ww12.certified-toolbar.com
Restored !! : C:\Users\g3n-h@ckm@n\Desktop\rog\3ADuXmSnpTH_raccourcis\raccourcis\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

OUI tout à bien été nettoyé, je ne vais pas mettre le rapport ici qui est très long... Mais tout est clean maintenant...

En fait si j'ai bien compris, tous les programmes avaient bien été cleannés avec ton intervention et les opérations précédentes... seuls les raccourcis restaient pourris...

fais voir le rapport via cjoint.com ?
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

En regardant un peu le rapport, j'ai l'impression que toute la M... a transité par IE... NON ?

Voici le rapport : https://www.cjoint.com/?3AEmMPknC7N
je crois que c'est protected search qui installe cette mer$e.....

effectivement t'en avais oublié pas mal ^^

supprime le rapport et retelecharge-le et repasse-le , j'ai étendu la recherche

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

il ne restait visiblement plus qu'une seule correction à faire :

Infected & Deleted !! : C:\Users\Xavier 2\Desktop\raccourcis\Internet Explorer.lnk : C:\Program Files (x86)\Internet Explorer\iexplore.exe -> http://ww12.certified-toolbar.com
Restored !! : C:\Users\Xavier 2\Desktop\raccourcis\Internet Explorer.lnk : C:\Program Files (x86)\Internet Explorer\iexplore.exe

cool !!! dans ce cas je pense qu'elle ne t'ennuiera plus :)
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Je pense aussi...

Encore un grand merci à toi pour ton aide et ta persévérance !

Je ne sais pas si je vais pouvoir éditer le sujet de cette discussion pour la marquer comme étant [RESOLU] avec 5 étoiles !

fais le menage quand meme !!! ^^

faut nettoyer le champ de bataille ^^

https://gen-hackman.kanak.fr/
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Gen


Peut-on utilisé ton outil (Shortcut_Module) ou c'est juste pour ce PC...


@++ :)
Utilisateur anonyme
oui tu peux sur n'importe quelle machine j'utilise les variables d'environnement
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Gen


OK merci, cela va être bien utile :D


@++ :)
Utilisateur anonyme
:)
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Gen

Je viens de testé et j'ai eu le même message d'erreur?
? moi j'ai rien....et j'ai aucune variable en ligne 500 en plus....retelecharge-le voir ?
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Gen

Erreur ligne 502...
Utilisateur anonyme
aucun souci

reussite ici :

http://www.security-helpzone.com/Thread-En-cours-certified-toolbar-et-oui-moi-aussi?pid=11612#pid11612
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

OK, je commence le ménage...

Voici le rapport delfix :

# DelFix v10.0 - Rapport créé le 30/01/2013 à 10:48:18
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Xavier 2 - XAVIER-LAPTOP-2

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\_OTL
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)\SEAF
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\rapport.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_XAVIER-LAPTOP-2.zip
Supprimé : C:\Users\Xavier 2\Desktop\adwcleaner.exe
Supprimé : C:\Users\Xavier 2\Desktop\OTL.exe
Supprimé : C:\Users\Xavier 2\Desktop\Pre_script.txt
Supprimé : C:\Users\Xavier 2\Desktop\seaf.exe
Supprimé : C:\Users\Xavier 2\Desktop\UsbFix.exe
Supprimé : C:\Users\Xavier 2\Desktop\winlogon.exe
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKCU\Software\g3n-h@ckm@n
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Voici le lien du rapport Slowin_Killer_[S][1].txt :

https://www.cjoint.com/?3AEsJTBDN1M
Messages postés
74
Date d'inscription
lundi 21 janvier 2013
Statut
Membre
Dernière intervention
5 février 2013

Rapport PureRa : Total space cleaned: 401.59 MB