Sujet Précédent Sujet Suivant

Hohosearch et des logiciels indésirables qui récidivent

Résolu/Fermé
ridox Messages postés 54 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 15 avril 2016 - Modifié par Malekal_morte- le 15/04/2016 à 17:55
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 16 avril 2016 à 10:45
Bonjour,

Alors, hier j'ai malencontreusement téléchargé un logiciel qui ne s'avérait pas être le bon, étant donné que lors de l'installation "personnalisée" une dizaine de logiciels se proposaient de s'ajouter à l'installation. Je refuse évidemment toutes les pubs (mêmes celles où le lien Decline est très discret !). Sauf que, en arrivant au bout, un logiciel s'est tout de même ajouté et a commencé à m'installer un moteur de recherche, à modifier certaines clés de registre (pour les navigateurs et ouvertures de fichiers). Sans réfléchir (commence à avoir l'habitude...), je passe un scan d'adwcleaner, il me supprime ce qu'il peut, ensuite, un scan de malwarebytes, il me supprime pas moins de 2000 éléments...Sachant que mon ordinateur sort d'une remise à neuf cette semaine (DD système qui a rendu l'âme), c'est difficile d'installer autant d'éléments d'un seul coup de main. Enfin, j'effectue un scan de Ccleaner pour effacer les clés de registre modifiées, un scan de Spybot, puis d'avast pour vérifier, rien ne sort dans le rapport d'avast. Pour finir, une petite vérif par un scan de Bitdefender online, rien d'affichier non plus. Jusque-là j'étais rassuré, croyant m'en être débarrasser.

Voilà qu'aujourd'hui, je télécharge mon premier fichier, soit un fichier zip contenant des partitions envoyées par un ami. J'ouvre alors ce zip, et qu'est-ce que je vois ? Ce n'est pas Winrar, mais un certain Winzipper qui s'est ouvert. Ce qui m'a plutôt étonné. Du coup, une recherche m'a permis de connaître les liens étroits entre winzipper et les autres logiciels d'hier (entre autre hohosearch...).
Jusque-là, bon je me suis dit, c'est un petit reste...je reviens alors sur le bureau et je vois que le raccourci d'un logiciel nommé qksee s'est créé, récemment car il n'y était pas au démarrage de l'ordinateur. Je fais un clic droit et je vois, date de création : il y a 2h. Seulement, ce n'est pas possible car je n'ai effectué ni installation, ni téléchargement de quoi que ce soit dans ces deux heures (si ce n'est le zip de mes partitions).
Du coup, rebelote, adwcleaner, me supprime une dizaine de clés, rien de transcendant mais il y avait du qksee dedans. Ensuite,avast, bitdefender [QUI NE TROUVENT TOUT LES 2 : RIEN], vient par la suite, Ccleaner puis malwarebytes, qui me suppriment,eux, quelques dizaines de trucs.

Seulement, je ne sais pas comment ils ont pu revenir...Serait-ce possible de savoir si mon ordinateur est toujours infecté ?

Je joins le dernier rapport de Malwarebytes : https://pjjoint.malekal.com/files.php?id=20160415_s8o9u10s15d8
un scan HJT effectué après celui de Malwarebytes : https://pjjoint.malekal.com/files.php?id=HijackThis_20160415_q11i14w11h13w14

J'ai aussi oublié de parler de Hohosearch, un moteur de recherche qui est revenu (il était là hier) en même temps que Winzipper.

Merci d'avance pour tout !
A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
Modifié par Malekal_morte- le 15/04/2016 à 17:55
Salut,

Windows a été infecté par des adwares et programmes parasites. Ces indésirables sont connus pour provoquer des affichages de publicités et occasionner de sérieux ralentissements sur tes navigateurs WEB.

Voici les étapes de la procédure à suivre :

Désinstalle Spybot et donne le rapport AdwCleaner.

1°) AdwCleaner
Suis le tutoriel AdwCleaner d'Xplode
  • Télécharge le sur ton Bureau ou dans ton dossier des téléchargements,
  • Lance "AdwCleaner" et clique sur [Scanner],
  • L'analyse va durer plusieurs minutes, patiente,
  • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer],
  • Une fois le nettoyage terminé, un rapport va s'ouvrir,
  • Copie/colle le contenu du rapport dans ta prochaine réponse.


Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


2°)
Réinitialise manuellement tes navigateurs :


3°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Veuillez appuyer sur une touche pour continuer la désinfection...
1
Réponse 2 / 4
Aranud87 Messages postés 18033 Date d'inscription dimanche 29 octobre 2006 Statut Contributeur Dernière intervention 7 juin 2020 3 294
15 avril 2016 à 17:55
Bonjour,

Il faudrait commencer à supprimer les éléments de Malwarebyte
0
Réponse 3 / 4
ridox Messages postés 54 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 15 avril 2016 7
15 avril 2016 à 18:21
J'ai tout effectué et lu de A à Z.

Rapport d'adwcleaner : https://pjjoint.malekal.com/files.php?id=20160415_w11g6y10x6s15

Addition.txt : https://pjjoint.malekal.com/files.php?id=20160415_e9t14w910p13

FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20160415_w8g14j911t14

Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20160415_g15w9z13j13u12

Merci pour tout
0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
15 avril 2016 à 20:46
que des restes,

là tu as pu remettre le moteur de recherche souhaité sans qu'ils reviennent ?


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 2016-04-15 16:35 - 2016-04-15 16:35 - 00000000 ____D C:\Users\Baptiste\AppData\Local\Nico Mak Computing 
 2016-04-15 16:33 - 2016-04-15 16:33 - 00000000 ____D C:\ProgramData\UniqueId 
 2016-04-15 16:32 - 2016-04-15 16:32 - 01902893 _____ C:\Users\Baptiste\Desktop\Jesu, Salvator mundi 8.zip 
 2016-04-15 14:38 - 2016-04-15 14:38 - 00000001 _____ C:\Windows\SysWOW64\fr.html 
 2016-04-15 14:38 - 2016-04-15 14:38 - 00000000 ____D C:\ProgramData\6winp6 
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

0
ridox Messages postés 54 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 15 avril 2016 7
15 avril 2016 à 20:53
Non, rien n'est revenu depuis mon nettoyage de cet après-midi, mais hier c'était pareil, ceci dit, je n'ai jamais eu "d'empêchement" comme j'ai pu en connaître en m'étant déjà fait infecté par un RAT (encore merci de m'avoir sauvé ce jour là !).
En effet, le seul reste que je reconnais est 6winp6, je l'avais "manuellement" remarqué dans programdata.
Je poste le rapport dans 2 minutes.
0
ridox Messages postés 54 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 15 avril 2016 7
15 avril 2016 à 20:58
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:13-04-2016
Exécuté par Baptiste (2016-04-15 20:54:58) Run:1
Exécuté depuis C:\Users\Baptiste\Desktop
Profils chargés: Baptiste (Profils disponibles: Baptiste)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
2016-04-15 16:35 - 2016-04-15 16:35 - 00000000 ____D C:\Users\Baptiste\AppData\Local\Nico Mak Computing
2016-04-15 16:33 - 2016-04-15 16:33 - 00000000 ____D C:\ProgramData\UniqueId
2016-04-15 16:32 - 2016-04-15 16:32 - 01902893 _____ C:\Users\Baptiste\Desktop\Jesu, Salvator mundi 8.zip
2016-04-15 14:38 - 2016-04-15 14:38 - 00000001 _____ C:\Windows\SysWOW64\fr.html
2016-04-15 14:38 - 2016-04-15 14:38 - 00000000 ____D C:\ProgramData\6winp6
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Baptiste\AppData\Local\Nico Mak Computing => déplacé(es) avec succès
C:\ProgramData\UniqueId => déplacé(es) avec succès
C:\Users\Baptiste\Desktop\Jesu, Salvator mundi 8.zip => déplacé(es) avec succès
C:\Windows\SysWOW64\fr.html => déplacé(es) avec succès
C:\ProgramData\6winp6 => déplacé(es) avec succès


Le système a dû redémarrer.

Fin de Fixlog 20:55:13

Saurais-tu me dire pourquoi 6winp6 n'a pas été supprimé avec tout les scans que j'avais effectué ?
Si ca revient, je ferai signe, en tout cas merci beaucoup !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659 > ridox Messages postés 54 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 15 avril 2016
16 avril 2016 à 10:45
il a été supprimé.
Tu peux vérifier que le dossier n'est plus présent, si tu veux.
0

Discussions similaires

alternative à winzip ?
jfs133 -
jfs133 -

4 réponses
logiciel pour tableau
aket69 -
aket69 -

3 réponses
CALCULS
smart19 -
Dracknard -

4 réponses
[LibreOffice CALC] Comment faire une suite de nombres
ilyessensei -
ccm81 -

2 réponses