Virus web-search Fermé

Question

Bonjour, après un dl que je n'aurais pas dut faire je me suis retrouvé avec la toolbar web-search ayant vite vu j'ai tout de suite arrêter ça et j'ai supprimé web search, mais étrangement depuis une semaine j'ai toujours des nouveaux fichiers qui apparaissent.

J'ai donc tenté de supprimé à la sources grâce a malwarebytes mais après quelques jours (maintenant en fait) je me suis retrouvé avec une nouvelle alerte malwarebytes, la dernière fois il trouvais que des "pup.optional "..."" par petits groupe et sans analyse mais là il en a découvert une vingtaine  et deux spywares.password.

J'ai déjà tenter pas mal d'analyse avec malwarebytes et microsoft security essential, j'ai fait des recherche des noms des fichiers mais rien y fait sa revient toujours.

J'ai vu pas mal de trucs sur internet concernant web search mais je suis assez paumé car y'a pleins d'avis differents ou façon differentes avec des fois des années entre-deux. Et là je suis dans l'impasse car j'ai bien reussi a les supprimé (meme la barre n'est plus là dans mon mozilla mais il y a toujours des pup et récemment spyware qui apparaissent (meme le fichiers web search que j'ai supprimé est revenu !)

Est-ce que quelqu'un à une solution, de l'aide ?

Malekal_morte- · Answer

Salut,


Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

buckhulk · Answer

salut ,
essaye d'utiliser AdwCleaner (en téléchargement sur CCM)  et va dans tes  navigateurs dans paramètres et supprime les moteurs de recherche que tu ne connais pas et que tu trouves ! il faut faire ça sur tous les navigateurs !

Asendoz · Answer

Merci j'ai fait ça, c'est pas grave par contre si adwcleaner je l'ai pas lancé depuis le bureau ? (il était toujours dans telechargement) par contre  OTL je l'ai bien mit sur le bureau.

Adw m'a donné ça 

# AdwCleaner v3.000 - Rapport créé le 22/08/2013 à 16:06:48
# Mis à jour le 20/08/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : mathieu - MATHIEU-PC
# Exécuté depuis : C:\Users\mathieu\Downloads\AdwCleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\InstallMate
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Dossier Supprimé : C:\Users\mathieu\AppData\Roaming\dvdvideosoftiehelpers
Dossier Supprimé : C:\Users\mathieu\Desktop\Save
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\Babylon.xml

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BabylonHelper.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SP_703c874a
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SProtector
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C670DCAE-E392-AA32-6F42-143C7FC4BDFD}

***** [ Navigateurs ] *****

-\ Internet Explorer v10.0.9200.16660

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]

-\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Users\mathieu\AppData\Roaming\Mozilla\Firefox\Profiles\vcr8xdi4.default-1376569440691\prefs.js ]

Ligne Supprimée : user_pref("aol_toolbar.default.homepage.check", false);
Ligne Supprimée : user_pref("aol_toolbar.default.search.check", false);
Ligne Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Ligne Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Ligne Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Ligne Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Ligne Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Ligne Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Ligne Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Ligne Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
Ligne Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
Ligne Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "");

*************************

AdwCleaner[R0].txt - [5239 octets] - [22/08/2013 16:06:25]
AdwCleaner[S0].txt - [4661 octets] - [22/08/2013 16:06:48]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4721 octets] ##########

pour pjjjoint le message suivant arrive

(sa m'étonne par contre dans le rapport à aucun moment on vois websearch)

Asendoz · Answer

Les deux lien

OTL :

 https://pjjoint.malekal.com/files.php?id=20130822_i15u12l13j10d15

Extra :

https://pjjoint.malekal.com/files.php?id=20130822_d13c12h5s11g11

Asendoz · Answer

est-ce que les liens sont bons ?

Malekal_morte- · Answer

passe à OTL.

Asendoz · Answer

ensuite ? (j'ai déjà passer les liens pjjoin si c'est ça que tu demande ^^)

Malekal_morte- · Answer

encore des prb ?
si oui sur quel navigateur WEB ?

Asendoz · Answer

ben pour l'instant impossible a savoir en fait les fichiers pop aleatoirement et malware les detecte

Asendoz · Answer

J'ai fait une analyse, rien a changer, c'est même pire, depuis aujourd'hui spyware tout à l'heure, trojan maintenant :s

(edit j'ai relancer le pc y'a deux fichiers texte en mode "fichiers caché" nommé desktop.ini qui viennent d'apparaitre)

(edit 2 encore pire deux fichiers (caché encore) dans le disque dur se sont lock : $Recycle.Bin et Documents and Settings alors qu'ils ne l'étaient pas

Virus web-search

10 réponses

Discussions similaires