Hola search virus ! Résolu

Question

Bonjour à toutes et à tous,

J'ai un problème avec Hola Search et d'après ce que j'ai pu lire il fallait faire un nouveau poste,donc je me permet de poster une nouvelle question.

Je vous raconte en détail : mon petit frère à téléchargé un logiciel et en le téléchargent il a aussi "installé" HOLA SEARCH. J'ai lu qu'il fallait faire un scan avec AdwCleaner ( d'Xplode ) le problème c'est que la page me parait très suspecte quand je clique dessus donc je ne peut malheureusement pas faire ce scan pour le joindre à ma question!! 

Quand je vais dans le panneau de Configuration (ajout/suppr. de programmes) je vois "HOLA CHROME TOOLBAR" et "HOLASEARCH TOOLBAR" serait-il possible que je m'en débarrasse en les supprimant ou est-ce-que je ne vais pas aggraver la situation?? 

Il y a quelque temps  de ça (1 ans environ) j'ai eu un souci avec eksplorasi (brontok)   heraultais34600 m'a extrêmement bien aider à m'en débarrasser en utilisant différents logiciels voir ma question : Message d'erreur C:\WINDOWS\eksplorasi.exe [Résolu] de
kirikou93.
Si je vous parle de cette question c'est parce-que heraultais34600 m'a fait installer une console de récupération via  ComboFix (de sUBs)  et je ne voudrais pas gâcher le travail qu'il a fait en essayant moi même de résoudre ce problème!!

Sinon, si vous avez un peu de temps à tuer (ironie!!) vous pouvez aussi lire toutes les procédures que j'ai fait pour me débarrasser du Brontok.

Désolé pour la tartine que j'ai écrite !

Je remercie d'avance toutes les âmes généreuses qui pourront m'apporter de l'aide.

g3n-h@ckm@n · Answer

salut les infections évoluent , les outils aussi :)
les anciennes reponses ne serviront donc à rien

essaie comme ceci ::

Télécharge et enregistre ADWCleaner sur ton bureau :

ne clique pas sur Download , attends que la fenetre de telechargement arrive pour confirmation

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

kirikou93 · Answer

Bonsoir g3n-h@ckm@n,

Je te remercie de m'avoir répondu aussi vite !

Je t'envoie le lien du scan, j'espère que tu réussiras à le lire     

https://44o4wh.1fichier.com/

Merci encore

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*. 
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
dir C:\ /S /A:L /C 
msconfig 
activex 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

kirikou93 · Answer

Oula ça à l'air de ne pas être réglée cette histoire !

Très bien je vais faire ce que tu me demande et je te joint le lien dans ma prochaine réponse : )

g3n-h@ckm@n · Answer

c'est  juste un diagnostique pour voir s'il ne traine rien d'autre :)

kirikou93 · Answer

Désolé pour l'attente mais le scan était très long!!
Il m'a fait 2 rapports (je ne sais pas si c'est normal mais bon...)

Voici les liens pour OTL  :

https://www.cjoint.com/?3FzwYS6qgaQ

https://www.cjoint.com/?3FzwZM115Z8


Bonne lecture ; )

g3n-h@ckm@n · Answer

nan t'as faux ! ^^

par contre je pense que le wmi a pris une tarte

==

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

kirikou93 · Answer

Bonjour g3n-h@ckm@n,

J'aurai une question à te poser : quand j'ai eu mon problème avec le Brontok, j'ai dû utiliser USBFix. Le problème c'est que je ne pouvais l'ouvrir quand "Mode sans échec" justement à "cause" d'AVAST même si celui-ci était désactivé !

Pourrais tu me dire si cela va faire la même chose avec le logiciel que tu me demande d'installer, car tu me dit qu'il va générer un rapport qu'il va transmettre sur internet or, le mode sans échec que j'avais utilisé ne prenait pas le réseau !

En gros je ne voudrait pas que le PC plante à cause de l'anti virus et que le logiciel ne puisse pas transmettre son rapport comme ce que tu m'as expliqué.

Bonne journée.

kirikou93 · Answer

Re-bonjour,

J'ai comme même essayais de suivre ton protocole,
Eh ba ... comme je le craignait ça à planté!!!  snif  :(

J'ai procédé comme ceci :
- j'ai désactivé AVAST ;
- j'ai téléchargé  Pre_Scan  sur mon bureau ;
- je l'ai lancé et il a commencé à faire son truc sans que j'ai eu besoin de cliquer où que ce soit (donc plutôt cool) jusqu'à ce qu'une fenêtre de m.... apparaisse alors voici ce qu'il y avait d'écrit :
Autolt Error allocating memory.
ok 

Il c'est bloqué sur une phrase : C:\WINDOWS\winhlp32.exe   et au dessus de ça il y avait pleins de numéros j'ai pas pensée à les noter désolé :(

J'attend t'as réponse,
Merci encore pour l'aide que tu m'apporte !

g3n-h@ckm@n · Answer

fournis le lien du rapport hebergé

kirikou93 · Answer

g3n-h@ckm@n,

Je vais devoir te laisser, je sent que les bras de Morphée m'appellent :)

Je reviendrais demain matin sur le forum voir si tu as laissé une autre directive pour mon souci.

Merci pour ton aide.

g3n-h@ckm@n · Answer

ok relance l outil , vlique sur diag et heberge le rapport pre_diag puis donne le lien

kirikou93 · Answer

Bonjour g3n-h@ckm@n,

Voici comme tu me l'as demandé le rapport de Pre-Scan :

https://www.cjoint.com/?3FBmEDdldss

Par contre j'ai zappée le fait de désactiver Avast mais le programme n'a pas planté donc je l'ai laissé faire son travail.


Bonne journée.

g3n-h@ckm@n · Answer

séléctionne ce texte puis CTRL + C :

Kill::

Key::
[HKU\S-1-5-21-185970156-2914794427-3148996163-1006\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[SaveLinksOrder] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5882DB3D-175D-4CDC-A030-1B7EC2BC8EC6}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}]  
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[HKLM\Software\BrowserChoice]     
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[1900:UDP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[2869:TCP] 
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[139:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[445:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[137:UDP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[138:UDP]
[HKCR\CLSID\{1E44819B-54E1-411B-9D9F-38D7B913BCF2}]
[HKCR\CLSID\{B71E4FEB-89F8-4ACB-A60F-A7DE399119AE}] 
[HKCR\CLSID\{C46EFEA4-B0F3-428B-9E77-650E3634EC56}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]|[{52B87208-9CCF-42C9-B88E-069281105805}]

File|Fold::
C:\Documents and Settings\DOBRICA\Application Data\Mozilla\Firefox\Profiles\8huzr5k0.default\extensions\ffxtlbr@holasearch.com 
C:\Documents and Settings\DOBRICA\Application Data\Mozilla\Firefox\Profiles\8huzr5k0.default\searchplugins\BrowserDefender.xml 
C:\WINDOWS\system32\Thumbs.db     
C:\eula.*.txt 
C:\5d3363d5d7657038f1131c8efc46 
C:\33b1da813098fdecc8354818 
C:\a382a72f7e7c028e6bd54137
C:\51dd1817543e7df660c4 
C:\075e37d435aacf0dc7a6cd93264f904b 
C:\876442b4c980982b8310c06dc19c6436 
C:\WINDOWS\002635_.tmp 
C:\WINDOWS\jestertb.dll     
C:\WINDOWS\WINSTART.BAT    
C:\WINDOWS\TMPDELIS.BAT 
C:\WINDOWS\TMPCPYIS.BAT 
C:\Documents and Settings\All Users\Application Data\kivjpthq.ecv 
C:\WINDOWS\system32\rp_rules.dat 
C:\WINDOWS\system32\rp_stats.dat 

Clean::

MBR::

Reboot:: 
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

kirikou93 · Answer

Alors, j'ai lancé Pre-Scan voici le lien :

https://www.cjoint.com/?3FBnjzE8HrU

J'ai quelques questions :
- est-ce-que je doit désactiver Avast à chaque fois que j'utilise Pre-Scan?      Parce-que je ne l'ai pas désactivé, si c'est le cas dit le moi :)

- J'ai une fenêtre qui est apparue au moment ou le "Nettoyage du disque" faisait son boulot voici ce qu'il y avait écrit :

La Corbeille sur C:\ est endommagée. Voulez-vous vider la Corbeille pour ce lecteur?
Comme je ne savait pas quoi répondre j'ai cliqué sur non! Énorme erreur ou pas??

Merci beaucoup

kirikou93 · Answer

A mince j'en était sur!! Je doit refaire le scan ou c'est pas la peine?

En ce qui concerne ce maudit Hola Search j'ai pulus rien (enfin vue que je ne suis pas une experte, je ne peut pas voir les petits détails si tu m'as comprise.)

Tu m'as parlé du wmi qui a pris une tarte j'aimerais savoir ce que je ne doit pas faire pour être à nouveau dans la mouise, étant donné que je ne sais pas comment ça c'est produit.

Merci encore de m'avoir aidé

g3n-h@ckm@n · Answer

désactive avast pour tout le temps , tu le réactiveras après le redemarrage de l ordi

sélectionne ce texte , puis CTRL + C :

WMI:: 
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

kirikou93 · Answer

Voila le lien de Pre-Scan :
https://www.cjoint.com/?3FBoJSYzF6Z

g3n-h@ckm@n · Answer

ca a pas fonctionné apparemment 

la sandbox d'avast est desactivée ?

g3n-h@ckm@n · Answer

retente en mode sans echec

kirikou93 · Answer

Très bien, je le fait sans prise en charge du réseau?,

g3n-h@ckm@n · Answer

oui ca sera mieux

kirikou93 · Answer

Me revoilà avec le lien de Pre-Scan :

https://www.cjoint.com/?3FBpAJKKwsz

g3n-h@ckm@n · Answer

regarde ici :

https://www.tech2tech.fr/windows-repair-reparer-facilement-les-problemes-courants-sur-windows/

une fois le logiciel téléchargé et lancé , tu vas au 5è onglet sur "start repair" , tu coches que "Repair WMI"  et tu cliques "Start"

g3n-h@ckm@n · Answer

il etait en bas de page ^^ https://www.tweaking.com/content/page/windows_repair_all_in_one.html

kirikou93 · Answer

C'est normal que ce soit un logiciel à installer sur le PC?
Quand je vais sur le 5ème onglet il n'y a pas de case "Repair WMI" ou d'autres cases, il y a juste "Back" et "Start" .
Je me demande si je ne me suis pas trompée quand j'étais  sur le site vu qu'il est en anglais.

g3n-h@ckm@n · Answer

j'ai oublié faut te mettre sur custom mode

g3n-h@ckm@n · Answer

heu tu peux faire une capture ?

g3n-h@ckm@n · Answer

ouvre "paint" et fais coller ^^

kirikou93 · Answer

Bon avec un peu d'arrachage de cheveux j'ai réussi à capturer ce que tu m'as demandé je te joint le lien :

https://www.cjoint.com/?3FBsYA53KSX
 
J'ai utilisé Paint mais comment il m'a fait lagé le PC !! Impressionnant !

g3n-h@ckm@n · Answer

ouaip le prog a bien changé depuis la derniere fois que je l'ai utilisé

===

fais -le manuellement

https://koi29.info/trucsF.html?param=5

kirikou93 · Answer

Ok je vais le désinstaller alors.

Par contre ce site dit : "Lorsque Windows aura redémarré, entrez tout ce qui suit en ligne de commande et dans l'ordre!
	winmgmt /clearadap
	winmgmt /kill
	winmgmt /unregserver
	winmgmt /regserver
	winmgmt /resyncperf"

Je vais t'avouer que je n'ai rien compris!!
C'est quoi une "ligne de commande"?

g3n-h@ckm@n · Answer

demarrer/programmes/accessoires clic droit sur invité de commandes => executer en tant qu'administrateur

kirikou93 · Answer

J'ai fais ce que tu m'as expliqué mais il n'y a pas "exécuter en tant qu'administrateur" je te joint la capture écran de la fenêtre.

https://www.cjoint.com/?3FBt5uyTJWZ

Je ne te l'ai pas dit mais il s'agit d'un PC d'une "entreprise" (celle de mon père) je me demande si c'est pas à cause de ça que je ne peut pas exécuter la procédure correctement! Je sais pas si ça change grand chose mais je préfère le mentionner au cas où...

g3n-h@ckm@n · Answer

ah ouais non double clique alors j'avais zappé le XP

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

kirikou93 · Answer

Ok je l'ai déjà, je te fais un examen complet alors.

kirikou93 · Answer

Bonsoir,

Comme demandé le rapport de  Malwarebytes

https://www.cjoint.com/?3FBxiXcDlx0

Il a détecté une saloperie qui serait WINLOGON !! LoL  :)

Bonne lecture ;)

g3n-h@ckm@n · Answer

c'est normaltu mets n'importe quel exe renommé en winlogon il dit que c'est un virus du fait qu'un fichier avec un nom comme ca n'a rien à faire sur le bureau ^^

ok des soucis persistent ?

kirikou93 · Answer

Pas de soucis notable, serai-je débarrassé entièrement de Hola Search ??

Par-contre je viens d'y penser je fait au moins 1/mois un scan avec Malwarebytes et Avast; un jour j'ai effectué un scan avec Malwarebytes et il n'a rien détecté à la suite de ça j'en ai fait un avec Avast le soucis c'est qu'il m'a détecté des trucs mais je ne pouvais ni les mettre en quarantaine ni les supprimer.
J'ai voulu le montrer à un de mes frères mais quand j'ai voulu ré-ouvrir Avast il m'a indiqué si je me souvient bien : l'horloge du PC n'était pas bonne (mieux formulé que ça!!) mon frère m'a dit qu'il fallait que je me ré-enregistre alors que la version était bonne jusqu'au 09/09/2013 si mes souvenirs sont bons!
Maintenant que je me suis ré-enregistré ça ne me le fait plus!
Est-ce-que cela peut avoir eu une incidence sur  WMI qui c'est prit un coup derrière les oreilles?

Désolé de la tartine, il ce fait tard je sais que tout le monde a une vie :) je ne te demande pas de me répondre dans l'immédiat. Je reviendrais demain matin sur le forum.

Merci encore une fois pour ton aide :)

g3n-h@ckm@n · Answer

le WMI sert à recuperer des informations sur le systeme mais je ne pense pas qu'il etait la cause de ca, je n'en suis pas sur je veux pas te dire de bêtises lol ^^

H.A.W.X · Answer

Bonjour,

Ton WMI est réglé ;)

++

Hola search virus ! - Page 2

Discussions similaires

Newsletters