Infection searchnu Fermé

Question

Bonjour, 



mon ordinateur a été infecté par searchnu sur google chrome... J'ai lu plusieurs post sur des forum mais je ne comprend pas vraiment comment supprimer ce logiciel! j'ai télécharger adwcleaner et j'ai donc reçu un rapport, mais je ne sais pas quoi en faire. voici mon rapport si quelqu'un peut m'aider. Merci beaucoup.




# AdwCleaner v2.301 - Rapport créé le 03/06/2013 à 23:46:08
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows 8  (64 bits)
# Nom d'utilisateur : Cannelle - PC-CANNELLE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Cannelle\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Cannelle\AppData\Roaming\cacaoweb
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Users\Cannelle\AppData\Roaming\Mozilla\Firefox\Profiles\yblswubf.default\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Users\Cannelle\Desktop\cacaoweb.exe
Supprimé au redémarrage : C:\Program Files (x86)\search results toolbar

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\ilivid
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\iLividSRTB
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{377E5D4D-77E5-476A-8716-7E70A9272DA0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{377E5D4D-77E5-476A-8716-7E70A9272DA0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16537

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/406?appid=362 --> hxxp://www.google.com

-\ Mozilla Firefox v18.0.1 (fr)

Fichier : C:\Users\Cannelle\AppData\Roaming\Mozilla\Firefox\Profiles\yblswubf.default\prefs.js

Supprimée : user_pref("browser.startup.homepage", "hxxp://www.searchnu.com/406?appid=362");
Supprimée : user_pref("browser.search.selectedEngine", "Search Results");
Supprimée : user_pref("browser.search.defaultenginename", "Search Results");
Supprimée : user_pref("browser.search.order.1", "Search Results");
Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&gct=ds&appid=362&systemid=406&apn[...]

-\ Google Chrome v27.0.1453.94

Fichier : C:\Users\Cannelle\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.37] : keyword = "search-results.com",
Supprimée [l.41] : search_url = "hxxp://dts.search-results.com/sr?src=crb&gct=ds&appid=362&systemid=406&apn_uid=[...]
Supprimée [l.2219] : homepage = "hxxp://www.searchnu.com/406?appid=362",

*************************

AdwCleaner[S1].txt - [3153 octets] - [03/06/2013 23:46:08]

########## EOF - C:\AdwCleaner[S1].txt - [3213 octets] ##########

Destrio5 · Answer

Bonjour,

--> Relance AdwCleaner et choisis "Désinstaller".

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, un rapport est créé sur le Bureau.

--> Utilise le site http://pjjoint.malekal.com/ pour me transmettre le rapport ZHPDiag car il est plutôt long. Copie-colle le lien donné par le site dans ton prochain message.

Canou · Answer

Bonjour, j'ai fais ce que vous m'avez dit, et voilà mon rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130604_h13o11b6d6d10

merci!

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
G1 - GCS: Preference [User Data\Default] https://www.search.ask.com/web?l=dis&q=&o=APN10655A&apn_dtid=%5EBND101%5EYY%5EFR&shad=s_0048&gct=hp&apn_ptnrs=%5EAG5&d=101-0&lang=en&atb=sysid%3D101%3Auid%3D58c9331d816657ac%3Asrc%3Dhmp%3Ao%3DAPN10655A%3Atg%3D&p2=%5EAG5%5EBND101%5EYY%5EFR 
OPT:O4 - HKCU\..\Run: [Mobile Partner] Clé orpheline 
O87 - FAEL: "TCP Query User{CABE649D-4FFF-4D11-996C-E59297ABB3F4}C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "UDP Query User{7D83355B-6823-4238-AC23-FF8C14485BF8}C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "TCP Query User{384A618D-2E0C-4D31-A421-201E97612AE6}C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "UDP Query User{15B79745-8C81-48D0-A9DA-8DB0CAA03994}C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\cannelle\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "TCP Query User{5DB215E6-318C-4723-965F-4500A0702127}C:\users\cannelle\downloads\cacaoweb (3).exe" |In - Public - P6 - TRUE | .(...) -- C:\users\cannelle\downloads\cacaoweb (3).exe (.not file.)    
O87 - FAEL: "UDP Query User{B21222A3-815D-47FE-A2A1-BE8EF91DABF9}C:\users\cannelle\downloads\cacaoweb (3).exe" |In - Public - P17 - TRUE | .(...) -- C:\users\cannelle\downloads\cacaoweb (3).exe (.not file.)   
C:\Users\Cannelle\Downloads\cacaoweb.exe  
[HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]  
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton "Coller le presse-papier". 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

Canou · Answer

Voilà le rapport que j'ai reçu, mais on ne m'a rien demandé de désinstaller, est-ce normal ? merci




Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-04-06-2013-14-53-45.txt
Run by Cannelle at 04/06/2013 14:53:45
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit  (Build 9200)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls
ABSENT Key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Mobile Partner
ABSENT TCP Query User{CABE649D-4FFF-4D11-996C-E59297ABB3F4}C:/users/cannelle/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT UDP Query User{7D83355B-6823-4238-AC23-FF8C14485BF8}C:/users/cannelle/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT TCP Query User{384A618D-2E0C-4D31-A421-201E97612AE6}C:/users/cannelle/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT UDP Query User{15B79745-8C81-48D0-A9DA-8DB0CAA03994}C:/users/cannelle/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT TCP Query User{5DB215E6-318C-4723-965F-4500A0702127}C:/users/cannelle/downloads/cacaoweb (3).exe
ABSENT UDP Query User{B21222A3-815D-47FE-A2A1-BE8EF91DABF9}C:/users/cannelle/downloads/cacaoweb (3).exe

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Cannelle\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://dts.search-results.com

========== Dossier(s) ==========
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\cannelle\downloads\cacaoweb.exe
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Dossier(s)
3 : Fichier(s)
2 : Préférences navigateur
1 : Restauration Système


End of clean in 00mn 08s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 04/06/2013 14:53:45 [2000]

Destrio5 · Answer

Oui. Searchnu ne t'embête plus ?

Je voudrais un nouveau rapport ZHPDiag.

Canou · Answer

voilà le nouveau rapport http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130604_k6o8z14v13o14

mais quand j'ouvre google chrome, j'ai bien le moteur de recherche google qui apparaît, mais si je fais une recherche en tapant un mot dans la barre URL en haut, ça m'ouvre une page avec ce moteur de recherche qui ressemble à l'autre http://www1.search-results.com/ je ne sais pas si c'est le même ...

Destrio5 · Answer

https://support.google.com/chrome/answer/95426?hl=fr

Canou · Answer

Merci beaucoup pour toutes ces informations !

Destrio5 · Answer

As-tu réussi à te débarrasser de "search-results" ?

Infection searchnu

9 réponses

Discussions similaires