Nationzoom impossible à supprimer, aidez-moi! Résolu/Fermé

Question

Bonjour, 

Bonjour à tous,

Je m'appelle Koraa et je crois qu'on cherche à assassiner mon PC. Depuis hier, nationzoom est apparu sur mon ordi. Pourquoi, comment? Je ne sais pas vraiment. Mon ordi rame, nationzoom reste en page d'accueil, ma connexion internet vacille... J'ai eu beau lire des tutos expliquant comment s'en débarrasser, ça ne fonctionne pas. Je ne sais pas quoi faire et j'ai peur d'empirer les choses plus encore. J'ai tenté de suivre vos conseils mais je n'ai rien pu désinstallé! Nation Zoom, SpeedMyPC ou même Storimbo ne se trouvent pas dans la liste de programmes à désinstaller.
Par contre, il y a WPM17.8.0.3297, dont l'éditeur est "CHERISHED TECHNOLOLGY LIMITED". On voit la faute d'orthographe sur "technololgy". Que faire? Par où commencer? Aidez-moi!

Je ne suis pas une spécialiste, loin de là, mais je ne m'en sors habituellement pas trop mal en informatique. Ces 6 dernières années, je n'ai eu qu'une fois un problème de virus, c'était "Browser Manager" et un modérateur super sympa m'avait aidé à arranger les choses. J'appelle encore une fois à l'aide. Voilà, tout est dit. Je sais, tout est ma faute, j'ai manqué de vigilance mais ayez pitié! J'ai l'impression que ça s'aggrave, ça prend 2 heures pour qu'une page s'ouvre. Je remercie d'avance tous ceux qui accepteront de me venir en aide.

Koraa14

Configuration: Windows 7 / Firefox 26.0

Malekal_morte- · Answer

Salut,

Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Aide en vidéo : https://www.youtube.com/watch?feature=player_embedded&v=xx_y4PEr1eU

Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner]. 
Le scan peux durer plusieurs minutes, patienter. 
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller. 
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Koraa14 · Answer

Pour commencer, un immense merci de ta réponse si rapide.
Dans les tutos que j'avais consulté, la première étape était de désinstaller Nationzoom, ce que je ne pouvais faire. J'ai suivi ton tuto, voici les résultats du scan adwcleaner:

# AdwCleaner v3.016 - Rapport créé le 10/01/2014 à 13:35:40
# Mis à jour le 23/12/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Koraa - KORAA-PC
# Exécuté depuis : C:\Users\Koraa\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

Service Supprimé : Wpm

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\WPM
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\myfree codec
Dossier Supprimé : C:\Program Files\myfree codec
[!] Dossier Supprimé : C:\Users\Koraa\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
Dossier Supprimé : C:\Users\Administrateur\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
Fichier Supprimé : C:\Users\Koraa\AppData\Roaming\Mozilla\Firefox\Profiles1n6hy8i.default\searchplugins\conduit-search.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\browser\searchplugins
ationzoom.xml

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\Users\Public\Desktop\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\Users\Koraa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\Koraa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\Koraa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Raccourci Désinfecté : C:\Users\Koraa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager
Clé Supprimée : HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager.1
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000001-4FEF-40D3-B3FA-E0531B897F98}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5C3B5DAA-0AFF-4808-90FB-0F2F2D760E36}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{64697678-0000-0010-8000-00AA00389B71}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD501041-8EBE-11CE-8183-00AA00577DA2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Myfree Codec
Clé Supprimée : HKLM\Software\Myfree Codec
Clé Supprimée : HKLM\Software
ationzoomSoftware
Clé Supprimée : HKLM\Software\supWPM
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MyFreeCodec
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm LTD Toolbar

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.16428

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

-\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Users\Koraa\AppData\Roaming\Mozilla\Firefox\Profiles1n6hy8i.default\prefs.js ]

Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://www.nationzoom.com/newtab/?type=nt&ts=1389297050&from=tugs&uid=ST31000524AS_9VPGAWWVXXXX9VPGAWWV");
Ligne Supprimée : user_pref("browser.search.defaultenginename", "nationzoom");
Ligne Supprimée : user_pref("browser.search.selectedEngine", "nationzoom");

[ Fichier : C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\w02lob29.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [6488 octets] - [10/01/2014 13:33:41]
AdwCleaner[S0].txt - [5029 octets] - [10/01/2014 13:35:40]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5089 octets] ##########

Malekal_morte- · Answer

- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Windows Vista/Seven/8 faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

Koraa14 · Answer

Comme tu me l'as demandé, voici le lien vers le rapport fourni par Hijackthis: 

http://pjjoint.malekal.com/files.php?id=HijackThis_20140110_v13m8p13b1312

Et encore une fois, mille mercis pour ta patience et ton aide.

Malekal_morte- · Answer

C'est bon non ?
reste quoi comme problème ?

Koraa14 · Answer

Si je ne me trompe pas, tu as sauvé mon PC... et ma santé mentale! Tout semble être revenu à la normale. Plus de trace de cette saleté en page d'accueil. La connexion est redevenue "fluide" et... tout le monde est content! Surtout moi!
Encore merci pour tout. 
Dernière petite question, dois-je maintenant désinstaller Hijackthis et Adwcleaner? Et enfin, quel antivirus me conseillerais-tu d'installer pour éviter une autre tentative d'assassinat informatique contre mon pc?

Malekal_morte- · Answer

oui tu peux les virer.

En gratuit Avast!.
En payant Kaspersky ou BitDefender (à tester).

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


~~

Tu as choppé cela par de fausses mises à jour Java/Flash.


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Koraa14 · Answer

Encore merci pour toutes ces infos et cette aide. Je radote, je sais... Si possible, j'aimerai profiter une dernière fois de ton savoir ;) Je viens d'aller sur le panneau de configuration des programmes et hijack et adwcleaner ne sont pas dans la liste des programmes à désinstaller. Comment puis-je les supprimer? 
J'ai vu aussi que le fameux programme "WPM17.8.0.3297" est toujours présent dans le listing. Dois-je m'en inquiéter ou l'ignorer?

Koraa14 · Answer

Pour être tout à fait honnête avec toi, je ne sais pas vraiment ce que c'est non plus. Lorsque Nationzoom a "pris possession" de mon ordi hier, je suis allée dans le panneau de config pour voir si je pouvais le désinstaller. Mais aucune trace du programme Nationzoom dans la liste. Par contre, j'ai découvert un programme inconnu, "soit-disant" installé hier, le 09/01/2014. 
Son nom: WPM17.8.0.3297 et son éditeur: Cherished Technololgy LIMITED"
Comme tu l'as surement remarqué, y a une faute d'orthographe sur "technology" et ça me paraît très bizarre qu'un nom de programme soit écrit en majuscules, comme ce "LIMITED". Quand j'ai voulu le désinstaller, il est apparu un étrange message disant de contacter le système ou une connerie du genre. J'ai pas osé recliquer dessus et sur google, j'ai pas pu choper d'info en français sur ce programme. Que devrais-je faire, selon toi? Encore merci

Koraa14 · Answer

Tu avais raison, ce fameux WPM était déjà désinstallé mais toujours dans la liste. Je l'ai viré à coup de clic et ce cauchemar est enfin terminé. Tu m'as vraiment beaucoup aidé. Merci encore et bon week-end!

Koraa14 · Answer

Salut à toi, 

c'est encore moi... Tu vas sans doute penser que je suis une tache un peu paranoïaque mais j'ai encore - et oui, encore - besoin de ton aide. J'ai vraiment pas de bol ce week-end. Je comprends pas.
En fait, si j'ai chopé cette saleté de virus Nationzoom, à mon avis, c'est lorsque j'ai téléchargé Recuva pour récupérer des infos sur un disque dur externe.
Je viens à l'instant de télécharger Testdisk dans le même but et sur le site officiel! Mais lorsque je l'ai extrait, zonealarm a affiché un message plus qu'inquiétant: 
"Zonealarm a déteté des logiciels destructeurs sur votre ordinateur! Ce logiciel destructeur exige une désinfection avancée. Sauvegardez et fermez tous les fichiers ouverts et cliquez sur démarrer la désinfection avancée"
Je sais pas quoi faire. Est-ce un vrai message de zonealarm? J'en doute mais peut-être est-ce vrai. Est-ce encore un horrible virus dangereux? Dois-je suivre leurs conseils et accepter une telle désinfection? Lorsque j'ai voulu fermer le message, ce message est apparu: Si vous ne procédez pas à cette désinfection avancée, votre ordinateur sera compromis par des logiciels destructeurs.
S'il te plait, aide-moi encore!

Koraa14 · Answer

Encore merci de cette réponse rapide. 
Je suis quasi sûre que c'était le site original, c'était cgsecurity.org
Mais je ne comprends pas ce message. Pourquoi cette détection de logiciels destructeurs ?? D'où viennent-ils et sont-ils si dangereux? J'avais jamais eu un tel message de zonealarm. Et pourquoi une désinfection avancée est-elle nécessaire si je ne veux pas "compromettre" mon ordi? 
Je sais, je suis parano mais cette *** de nationzoom m'a stressé. Donc, selon toi, y a pas de problème? Ce serait top. Je suis simplement les conseils de zonealarm, je fais cette désinfection et j'attends le redémarrage?

Nationzoom impossible à supprimer, aidez-moi!

12 réponses

Discussions similaires