comment enlever un virus moteur de recherche ?Résolu/Fermé

Question

Bonjour, je suis prof de marketing en colombie et ce matin mes étudiants ont fait un présentation en classe et bien sur sont tous passer avec leur clé USB sur mon ordi. Apparemment une des clés était porteuse d'un virus et voila les effets sur mon ordi: 

- moteur de recherche bloqué sur http://login.lataminternet.com/search.php?q=  impossible de l'enlever ou de le changer. A chaque fois que je redémarre firefox, il revient.
- fenêtre intempestive, qui au démarage de windows me demande d'installer microsoft skye host
- les dossier que j'ouvre ou même internet devient de temps en temps figé ! obligé d'aller dans le gestionnaire de tache pour fermer la page. 

J'ai quand meme essayé d'installer des logiciels de suppression de ce genre de spyware mais sans succès. on dirait que le virus m'empêche d'installer ces logiciels (adwcleaner, ccleaner) et même jusqu'à la restauration système je suis bloqué. Impossible de restaurer à une date inférieur; quand je clic il ne se passe rien. 

J'ai essayer de faire les manipulations de adwcleaner et ccleaner en MODE SANS ECHEC, qui identifie le problème à supprimer, le supprime, mais finalement est toujours là ! 

Besoin d'aide vraiment sur ce coup, je ne trouve pas de solution a mon niveau de connaissance en informatique. Je suis sur windows 7

en suivant vient le rapport de adwcleaner fait en mode sans echec: 

# AdwCleaner v3.311 - Rapport créé le 08/10/2014 à 21:23:45
# Mis à jour le 30/09/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : prof - ADRIANO-PC
# Exécuté depuis : C:\Users\prof\Desktop\AdwCleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\blekko toolbars
Dossier Supprimé : C:\Program Files (x86)\adawaretb
Dossier Supprimé : C:\Program Files (x86)\Toolbar Cleaner
Dossier Supprimé : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Dossier Supprimé : C:\Users\Adriano\AppData\LocalLow\adawaretb
Fichier Supprimé : C:\Users\prof\AppData\Roaming\Mozilla\Firefox\profiles\yoruqo4p.default\user.js

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\adawarebp_rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_smart-data-recovery_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_smart-data-recovery_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKCU\Software\AppDataLow\Software\adawarebp
Clé Supprimée : HKLM\SOFTWARE\adawaretb
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Toolbar Cleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Toolbar Cleaner

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17280


-\ Mozilla Firefox v32.0.3 (x86 fr)

[ Fichier : C:\Users\prof\AppData\Roaming\Mozilla\Firefox\profiles\yoruqo4p.default\prefs.js ]


-\ Google Chrome v38.0.2125.101

[ Fichier : C:\Users\Adriano\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée [Extension] : bopakagnckmlgajfccecajhnimjiiedh

[ Fichier : C:\Users\prof\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [2811 octets] - [08/10/2014 20:23:01]
AdwCleaner[R1].txt - [2871 octets] - [08/10/2014 21:22:07]
AdwCleaner[S0].txt - [2735 octets] - [08/10/2014 21:23:45]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2795 octets] ##########

Destrio5 · Answer

Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Complet".

--> Une fois le scan terminé, un rapport est créé sur le Bureau. 

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.

adriano0634 · Answer

ok merci pour ta rapidité ! 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20141009_14h10c11f6d5

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://login.lataminternet.com      
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://login.lataminternet.com      
OPT:O4 - HKCU\..\Run: [nyidxloivo] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe  
OPT:O4 - HKUS\S-1-5-21-3098724852-1057696197-4175512677-1024\..\Run: [nyidxloivo] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe  
O43 - CFD: 08/10/2014 - 21:59:40 - [] --H-D C:\Users\prof\AppData\Roaming\cdnipwwjv   
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]  
M2 - MFEP: RegExtension {e4f94d1e-2f53-401e-8885-681602c0ddd8} . (...) -- C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi (.not file.)
[HKCU\Software\MCAFEE]
[HKLM\Software\Wow6432Node\McAfee.com]
[HKLM\Software\Wow6432Node\mcafeeupdater]
[HKLM\Software\mcafeeupdater]
O43 - CFD: 24/06/2014 - 08:08:36 - [] ----D C:\Program Files (x86)\McAfee Security Scan
O43 - CFD: 09/09/2012 - 10:48:33 - [] ----D C:\ProgramData\McAfee
O43 - CFD: 23/06/2013 - 16:31:44 - [] ----D C:\ProgramData\Lavasoft
[HKLM\Software\Wow6432Node\Lavasoft]
O43 - CFD: 03/07/2014 - 11:56:25 - [] ----D C:\Users\prof\AppData\Local\adawarebp
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Antivirus Scheduled Scan] (...) -- C:\Program Files (x86)\AD-AWA~1\AdAwareLauncher.exe (.not file.)   [0]
O43 - CFD: 04/09/2014 - 14:57:06 - [] ----D C:\Program Files (x86)\Ad-Aware Antivirus
O43 - CFD: 05/09/2013 - 10:49:08 - [] ----D C:\ProgramData\Ad-Aware Antivirus
O43 - CFD: 03/07/2014 - 11:59:40 - [] ----D C:\ProgramData\Ad-Aware Browsing Protection
O43 - CFD: 07/08/2013 - 21:46:36 - [] ----D C:\Users\prof\AppData\Roaming\Ad-Aware Antivirus
EmptyFlash
EmptyTemp


--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître. 

--> Clique sur GO et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.

adriano0634 · Answer

voila ! 

https://pjjoint.malekal.com/files.php?id=20141009_611k89r14

Destrio5 · Answer

--> Fais un scan avec Malwarebytes' Anti-Malware, supprime tout ce qu'il trouve et poste le rapport.

Malwarebytes' Anti-Malware - Tutoriel

adriano0634 · Answer

là ça bloque, impossible d'installer le logiciel. Pareil que pour adwcleaner et ccleaner, je suis bloqué. La fenêtre d'installation apparait puis disparait. et apparait cette fenêtre qui disparait à son tour. 

https://pjjoint.malekal.com/files.php?id=20141009_q13d14h8f12b11

adriano0634 · Answer

et en ce qui concerne le moteur de recherche, rien n'a changé. toujours cette page http://login.lataminternet.com/search.php?q= ... que faire ?

Destrio5 · Answer

On va regarder avec un autre outil de diagnostic :

--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.

adriano0634 · Answer

Bonjour, désolé pour le temps que j'ai mis, mais ici c'était la nuit. 
J'ai fait le scan sur ma session administrateur, je n'ai pas pu installer le logiciel sur la session infectée "prof". 

voila les deux rapports: 

https://pjjoint.malekal.com/files.php?id=20141009_b6p6t5h13h8
https://pjjoint.malekal.com/files.php?id=20141009_e14d14u9o10c7

Destrio5 · Answer

--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :


start 
Startup: C:\Users\Adriano\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\Adriano\AppData\Roaming\cdnipwwjv\amdmgr32.exe (No File)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\Adriano\AppData\Roaming\cdnipwwjv\amdmgr32.exe (No File)
Startup: C:\Users\prof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\Adriano\AppData\Roaming\cdnipwwjv\amdmgr32.exe (No File)
ProxyServer: http=172.21.12.12:8123;https=172.21.12.12:8123;socks=127.0.0.1:1080
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=720573e400000000000000ff93512cec
FF SearchPlugin: C:\Users\Adriano\AppData\Roaming\Mozilla\Firefox\Profiles\e41c1bgf.default\searchplugins\delta.xml
2014-10-08 08:07 - 2014-10-09 08:47 - 00000000 ___HD () C:\Users\prof\AppData\Roaming\cdnipwwjv
end


--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.

Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.

adriano0634 · Answer

voila ! 

https://pjjoint.malekal.com/files.php?id=20141009_r5f8k7y6m15

Destrio5 · Answer

Remarques-tu des changements ?

Malwarebytes' Anti-Malware fonctionne sur la session Administrateur ?

adriano0634 · Answer

j'ai pu lancer  sur la session administrateur, le scan est en cours. J'attends la fin pour tout vérifier.

Destrio5 · Answer

Qu'a donné le scan ?

adriano0634 · Answer

je reviens après plusieurs jour de travail. Désolé pour cela. J'ai a peu près tout fait ce qui était possible de faire. 

donc, j'ai fais un scan sur la session administrateur qui a repérer des trucs et les as éliminés. 

j'ai pu ensuite installer malware sur la session "prof" contaminée. Le scan n'a rien détecté. 

j'ai ensuite fais un scan avec spy bot, qui n'a rien détecté.

j'ai décidé ensuite de désinstaller firefox (seul navigateur contaminé seulement sur la session "prof") puis réinstaller. A ce moment, avast a dit qu'il y avait un truc bizarre et qu'il fallait redémarrer en faisant un scan au lancement. Pas de résultat obtenu. J'ai ensuite réinstaller firefox.

Le problème de la page est toujours là ... ! par contre apparemment il n'ya a plus trop de fenêtres intempestives qui se présentent.

D'autres solutions à tester ?

Destrio5 · Answer

Pas de souci ;)

Un nouveau rapport FRST s'il te plaît.

adriano0634 · Answer

J'ai pu installer cette fois frst sur la session contaminée

https://pjjoint.malekal.com/files.php?id=20141013_z15w10b9t13z7
https://pjjoint.malekal.com/files.php?id=FRST_20141013_t14h10k11x13c10

Destrio5 · Answer

Réinitialise Internet Explorer et Firefox :
https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

adriano0634 · Answer

Impeccable ! Enfin débarrassé de cette plaie ! 

merci beaucoup pour le temps et l'aide dévoué.

Destrio5 · Answer

;)

---> Télécharge DelFix sur ton Bureau puis lance-le.     
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.     
* Clique sur Exécuter.     
* Poste le rapport.  

--> Désinstalle Java 7 Update 45 et installe la dernière version :
https://www.java.com/fr/download/

S'il te propose un logiciel additionnel, refuse / décoche la case.

Comment enlever un virus moteur de recherche ?

20 réponses

Discussions similaires

Newsletters