Ouverture de pages intempestives et modification de page d'accue

Railway_ Messages postés 20 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

L'ordi d'un collègue de travail (avec lequel je poste ce message) a chopé un virus. J'ai eu le même il y a quelques mois sur mon propre PC et suis parvenu à le neutraliser grâce à votre aide.

Les symptômes sont essentiellement des ouvertures de pages intempestives invitant à être redirigé vers des sites de rencontres, de voyances ou autres...

Aussi, la page d'accueil par défaut du navigateur est automatiquement remplacée pour nous inciter à utiliser le moteur de recherche search.conduit.com ou www.nationzoom.com ou encore d'autres moteurs de recherches dont je n'ai pas les adresses.

J'ai desactivé pas mal de chose avec CCleaner mais il reste 3 choses que je penses, je devrais désactiver mais sans en être certain. Il s'agit de "microsoft.NET Framework 4 client profil" de "Module linguistique microsoft.NET Framework 4 client profil FRA" et de "Microsoft Visual C ++ 2008 Redistribuable - x64 9.0.30729.17".

Quelqu'un peut-il m'aider ? J'avais déjà suivi la marche à suivre qu'on m'avait proposé lorsque j'avais eu le problème sur mon ordinateur mais celà c'est avéré infructueu cette fois-ci. D'autant plus que j'ai énormement de mal à interpréter les rapports de scans et autres rapports.

Un grand merci pour votre aide.

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Vas sur le lien, télécharge AdwCleaner comme indiqué.
    Lance AdwCleaner, clique sur [Scanner].
    Le scan peux durer plusieurs minutes, patienter.
    Une fois le scan terminé, clique sur [Nettoyer]

    Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis la liste des extensions :
    ==============================

    Tu utilises quel navigateur pour surfer ?

    Si Firefox et/ou Chrome sont installés :

    Sur Firefox : Menu Outils / Modules complémentaires
    Onglet Extension.
    Donne la liste.

    Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
    Donne la liste.

    Et enfin un scan HijackThis :
    ================================

    - Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
    - Pour lancer HijackThis :
    * Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
    * Sur XP un simple double-clic suffit
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.

    1
  2. Railway_ Messages postés 20 Statut Membre
     
    Merci à toi Malekal_morte.

    Pardon pour le temps de réponse mais je n'ai accès à cet ordi que lors de mes heures de travail.

    Dans un premier temps, voici le rapport :

    # AdwCleaner v3.017 - Rapport créé le 15/01/2014 à 17:42:19
    # Mis à jour le 12/01/2014 par Xplode
    # Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
    # Nom d'utilisateur : adb-solidatech - ADB-28bc8f
    # Exécuté depuis : C:\Users\adb-solidatech\Downloads\adwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    Service Supprimé : CltMngSvc
    Service Supprimé : SProtection

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\ProgramData\BoxUpdChk
    Dossier Supprimé : C:\ProgramData\Systweak
    Dossier Supprimé : C:\ProgramData\WPM
    Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector
    Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Freesofttoday
    Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
    Dossier Supprimé : C:\Program Files (x86)\Advanced System Protector
    Dossier Supprimé : C:\Program Files (x86)\Iminent
    [!] Dossier Supprimé : C:\Program Files (x86)\iSafe
    Dossier Supprimé : C:\Program Files (x86)\Searchprotect
    Dossier Supprimé : C:\Program Files (x86)\fst_fr_26
    Dossier Supprimé : C:\Program Files (x86)\Common Files\Umbrella
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Local\Searchprotect
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Local\fst_fr_26
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\LocalLow\IminentToolbar
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Roaming\iSafe
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Roaming\Nosibay
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Roaming\Systweak
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa
    Dossier Supprimé : C:\Users\adb-solidatech\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkhojieggfgllhllcegoffdcnmdeojgb
    Fichier Supprimé : C:\END
    Fichier Supprimé : C:\Users\Public\Desktop\Advanced System Protector.lnk
    Fichier Supprimé : C:\Users\Public\Desktop\RegClean Pro.lnk
    Fichier Supprimé : C:\Windows\System32\roboot64.exe
    Fichier Supprimé : C:\Users\adb-solidatech\Desktop\MyPC Backup.lnk
    Fichier Supprimé : C:\Users\adb-solidatech\AppData\Roaming\Mozilla\Firefox\Profiles\xlowz3gx.default\searchplugins\conduit-search.xml
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\nationzoom.xml
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\StartWeb.xml
    Fichier Supprimé : C:\Users\adb-solidatech\AppData\Roaming\Mozilla\Firefox\Profiles\xlowz3gx.default\user.js
    Fichier Supprimé : C:\Windows\System32\Tasks\Advanced System Protector_startup
    Fichier Supprimé : C:\Windows\System32\Tasks\BoxSoftwareUpdate
    Fichier Supprimé : C:\Windows\System32\Tasks\RegClean Pro
    Fichier Supprimé : C:\Windows\Tasks\RegClean Pro_DEFAULT.job
    Fichier Supprimé : C:\Windows\System32\Tasks\RegClean Pro_DEFAULT
    Fichier Supprimé : C:\Windows\Tasks\RegClean Pro_UPDATES.job
    Fichier Supprimé : C:\Windows\System32\Tasks\RegClean Pro_UPDATES
    Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job
    Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineCore
    Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job
    Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineUA

    ***** [ Raccourcis ] *****

    Raccourci Désinfecté : C:\Users\Public\Desktop\Google Chrome.lnk
    Raccourci Désinfecté : C:\Users\Public\Desktop\Mozilla Firefox.lnk
    Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
    Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
    Raccourci Désinfecté : C:\Users\adb-solidatech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    Raccourci Désinfecté : C:\Users\adb-solidatech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    Raccourci Désinfecté : C:\Users\adb-solidatech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    Raccourci Désinfecté : C:\Users\adb-solidatech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    Raccourci Désinfecté : C:\Users\adb-solidatech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
    Raccourci Désinfecté : C:\Users\adb-solidatech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

    ***** [ Registre ] *****

    Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [bubbledock@nosibay.com]
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\igdhbblpcellaljokkpfhcjlagemhgjl
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pkhojieggfgllhllcegoffdcnmdeojgb
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Iminent.WebBooster.InternetExplorer.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=3
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=9
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [fst_fr_26]
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0043960.BHO
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0043960.BHO.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0043960.Sandbox
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0043960.Sandbox.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{01994268-3C10-4044-A1EA-7A9C1B739A11}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0E4B2CAB-B859-4C57-B96E-63DDEC692BC4}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{8E9F2D02-6B06-4EBA-92C2-68438EADED28}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110411391160}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220422392260}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C58D664A-3DBC-4925-AE74-0382007DF113}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C776D7F4-BA85-4B75-AAFC-3A0A11FE6E36}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{5563BEFE-3B03-43B1-8041-64A9745DAA56}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8E9F2D02-6B06-4EBA-92C2-68438EADED28}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A9CAF365-EA35-45DA-BD8B-2EFA09D374AC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DCABB943-792E-44C4-9029-ECBEE6265AF9}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{112BA211-334C-4A90-90EC-2AD1CDAB287C}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1FAFD711-ABF9-4F6A-8130-5166C7371427}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{112BA211-334C-4A90-90EC-2AD1CDAB287C}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1FAFD711-ABF9-4F6A-8130-5166C7371427}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{208D4124-3895-4974-B293-A159BD306078}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{1FAFD711-ABF9-4F6A-8130-5166C7371427}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{84FF7BD6-B47F-46F8-9130-01B2696B36CB}]
    Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{C58D664A-3DBC-4925-AE74-0382007DF113}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{C776D7F4-BA85-4B75-AAFC-3A0A11FE6E36}
    Clé Supprimée : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
    Clé Supprimée : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Clé Supprimée : HKCU\Software\Boxore
    Clé Supprimée : HKCU\Software\FreeSoftToday
    Clé Supprimée : HKCU\Software\Iminent
    Clé Supprimée : HKCU\Software\IminentToolbar
    Clé Supprimée : HKCU\Software\Nosibay
    Clé Supprimée : HKCU\Software\systweak
    Clé Supprimée : HKCU\Software\Tutorials
    Clé Supprimée : HKCU\Software\TutoTag
    Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
    Clé Supprimée : HKLM\Software\Boxore
    Clé Supprimée : HKLM\Software\FreeSoftToday
    Clé Supprimée : HKLM\Software\Iminent
    Clé Supprimée : HKLM\Software\IminentToolbar
    Clé Supprimée : HKLM\Software\nationzoomSoftware
    Clé Supprimée : HKLM\Software\SearchProtect
    Clé Supprimée : HKLM\Software\supWPM
    Clé Supprimée : HKLM\Software\systweak
    Clé Supprimée : HKLM\Software\Tutorials
    Clé Supprimée : HKLM\Software\Umbrella
    Clé Supprimée : [x64] HKLM\SOFTWARE\Iminent

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v11.0.9600.16428

    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

    -\\ Mozilla Firefox v26.0 (en-US)

    [ Fichier : C:\Users\adb-solidatech\AppData\Roaming\Mozilla\Firefox\Profiles\xlowz3gx.default\prefs.js ]

    Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://search.conduit.com/?ctid=CT3320052&octid=EB_ORIGINAL_CTID&SearchSource=69&CUI=&SSPV=&Lay=1&UM=2&UP=SPDFB2AFF2-CD84-4D37-88FC-9AAE39F98CB2");
    Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://search.conduit.com/?ctid=CT3320052&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SPDFB2AFF2-CD84-4D37-88FC-9AAE39F98CB2&SSPV=");
    Ligne Supprimée : user_pref("extensions.a05c59a235de84e60a845f8c7eb34dd0a8f62e428d6f34e59bd99de88d153fc76com43960.43960.internaldb.Resources_meta.value", "%7B%22cssOffre.css%22%3A%7B%22id%22%3A492950%2C%22ver%22%3A21%2[...]
    Ligne Supprimée : user_pref("extensions.a05c59a235de84e60a845f8c7eb34dd0a8f62e428d6f34e59bd99de88d153fc76com43960.43960.thankyou", "hxxp://crossrider.com/thank_you/43960");
    Ligne Supprimée : user_pref("extensions.crossrider.bic", "14394f466e14cb32035c668ea66ebcf0");

    -\\ Google Chrome v31.0.1650.63

    [ Fichier : C:\Users\adb-solidatech\AppData\Local\Google\Chrome\User Data\Default\preferences ]

    Supprimée : homepage
    Supprimée : urls_to_restore_on_startup

    *************************

    AdwCleaner[R0].txt - [15720 octets] - [15/01/2014 17:40:47]
    AdwCleaner[S0].txt - [12850 octets] - [15/01/2014 17:42:19]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [12911 octets] ##########
    0
  3. Railway_ Messages postés 20 Statut Membre
     
    ...ensuite, j'utilise le navigateur Mozilla Firefox (enfin, c'est plutôt la collègue qui l'utilise).

    J'ai du mal à trouver le Menu Outil/Moduls complémentaires Onglet extension car Mozilla est en anglais. Sais-tu à quoi cela correspondrait en anglais ?

    Je suis en train de m'occuper de la phase HiJackThis acctuellement.

    Merci beaucoup pour ton aide
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Supprime l'icone YAC.

    en anglais ça doit être Tools / Add-ons et à gauche extensions.
    0
  6. Railway_ Messages postés 20 Statut Membre
     
    Bonjour,

    L'icône YAC est supprimé.

    Je suis donc parvenu à trouver les extentions dans les moduls complémentaires en suivant tes indications. En voici la liste :

    - Ad Block + 2.4
    - avast! Online Security 9.0.2011.70
    - Deeal_fr 0.2 0.93.52
    - SelectionTool 1.150
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Supprime :
      - Deeal_fr 0.2 0.93.52
      - SelectionTool 1.150
      0