Sujet Précédent Sujet Suivant

Initialpage123 et mystarting123

Résolu/Fermé
Tibooles - 3 juin 2017 à 00:06
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 3 juin 2017 à 23:22
Bonjour à tous :-)

Je remercie d'avance ceux qui voudront / pourront m'aider !!

Depuis environ un mois, je suis infecté par un virus. D'abord initialpage123 et ce soir il a changé en mystarting123.

J'ai lu je ne sais combien de tutoriels sur internet qui fonctionnent temporairement mais le boudin fini par revenir...

J'ai un ordi neuf, protégé par Avira (mis à jour régulièrement) et malwarebyte, mais même une fois le virus détecté et éliminé par ces outils, il revient. Surprise du jour : avec mystarting 123 je ne peux même pas ouvrir des sites tels que pôle emploi, messagerie sfr etc... FB et YouTube fonctionnent allez savoir pourquoi... Du coup je suis sur mon téléphone pour vous écrire ^^

Je n'y connais rien en informatique mais un peu d'aide serait la bienvenue de la part de la communauté, je crois comprendre que je ne suis pas le seul et que les solutions proposez n'ont pas été efficaces jusqu'ici...

Merci 10.000 fois par avance !!!

12 réponses

Réponse 1 / 12
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
3 juin 2017 à 11:35
1/

--> Télécharge et lance AdwCleaner (de ToolsLib / Malwarebytes), choisis l'option "Scanner".

--> Une fois le scan terminé, choisis l'option Nettoyer.

--> Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[C?].


2/

--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

32 ou 64 bits - Comment savoir ?

--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Analyser.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
1
Tibooles
3 juin 2017 à 14:09
Super merci, c'est fait !

J'ai lancé l'ensemble des analyses avec FRST, je mets les fichiers en liens :
- Addition : http://pjjoint.malekal.com/files.php?id=20170603_g9w12p13v10q6
- ADwclean : http://pjjoint.malekal.com/files.php?id=20170603_f8e8t9c158
- FRST : http://pjjoint.malekal.com/files.php?id=FRST_20170603_8j10x15w7n6
- Shortcut : http://pjjoint.malekal.com/files.php?id=20170603_o7u5z8v10n12

Je précise qu'après le redémarrage imposé par ADwcleaner, je n'avais de nouveau plus internet. Donc passage par l'ordi de ma copine pour télécharger les logiciels et envoyer ces liens.

Hâte de lire votre réponse :p
-1
Réponse 2 / 12
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
3 juin 2017 à 17:30
--> Ouvre le Bloc-notes.
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :


start
CreateRestorePoint:
CloseProcesses:
Tcpip\..\Interfaces\{420ba33a-a36a-458b-b678-dd04dc087d71}: [DhcpNameServer] 82.163.143.157
Tcpip\..\Interfaces\{57b51bb4-b1d2-4dd7-a0c2-9b814e45d116}: [DhcpNameServer] 82.163.143.157
SearchScopes: HKU\S-1-5-21-2838323712-221718788-3305866125-1001 -> DefaultScope {96BBC430-9900-4299-9F5D-7951AB36EFDF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-2838323712-221718788-3305866125-1001 -> {96BBC430-9900-4299-9F5D-7951AB36EFDF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
CHR DefaultSearchURL: Default -> hxxp://www.mystarting123.com/search/index.php?q={searchTerms}
CHR DefaultSearchKeyword: Default -> mystarting123
CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
C:\WINDOWS\system32\Drivers\PROCEXP152.SYS
C:\WINDOWS\system32\sstmp
C:\WINDOWS\system32\Drivers\NetUtils2016.sys.00333427
C:\Users\thiba\AppData\Roaming\Przuherderse
C:\WINDOWS\System32\Tasks\McAfee
Task: {2CD24C2A-7D6A-472D-9D6D-AAE2DBA2579C} - System32\Tasks\{F1E351BD-4648-E616-D576-4584DCF607A2} => C:\ProgramData\{0353473D-B4F8-F096-7130-8524D612D4F0}\E940F19D-5EEB-4636-CDD1-EE3954392218.exe <==== ATTENTION
C:\ProgramData\{0353473D-B4F8-F096-7130-8524D612D4F0}
Task: {9FBEA932-4800-46CC-9CFF-3AA53FFCAC2F} - System32\Tasks\{79531A39-9C50-8A3E-01B1-CE0D6A209177} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bfed7c77\b4e9b42a.dll" <==== ATTENTION
Task: {CEBC9A37-B5FC-4E2F-9CEA-68565556740F} - System32\Tasks\Microsoft\Windows\DeviceSettings\Grersk => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=HGSTXHTS541010A9E680_JD1009DM2AWXKH2AWXKHX&d=20170511 /q <==== ATTENTION
MSCONFIG\Services: mccspsvc => 2
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "627562"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "582110"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "390444"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "640415"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "VMD3V8UDO4ZJRSR"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "EDB36YQSRA36VJD"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "AXQ3CDHMDB57HQE"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "231579"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "585705"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "Y1KA6NRIWL57XKR"
HKU\S-1-5-21-2838323712-221718788-3305866125-1001\...\StartupApproved\Run: => "ZNB2PDCMOE62B46"
FirewallRules: [{EFC1F832-2FAE-4C00-AEEF-CB238FC97E6F}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
FirewallRules: [{0DF2963A-8D19-46E7-8A3D-376A2A6CF116}] => (Allow) C:\Program Files (x86)\Baglook\Application\chrome.exe
FirewallRules: [{29F0E44A-28EA-4995-81E6-A33035BD0F08}] => (Allow) C:\Program Files (x86)\MIO\loader\hgstxhts541010a9e680_jd1009dm2awxkh2awxkhx.dat
FirewallRules: [{570D1A67-E4DF-429B-B6EA-065744B627BB}] => (Allow) C:\Program Files (x86)\MIO\loader\hgstxhts541010a9e680_jd1009dm2awxkh2awxkhx.dat
cmd: ipconfig /flushdns
EmptyTemp:
end


--> Enregistre le fichier dans le dossier "Téléchargements" (au même endroit que le programme FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Corriger. Patiente le temps de la correction.

Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.

--> Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
1
Tibooles
3 juin 2017 à 19:07
Merci pour ton aide !

J'ai procédé comme indiqué. Le fichier txt "fixlist" a bien été remplacé.
Le lien du fichier créé :
http://pjjoint.malekal.com/files.php?id=20170603_r9j14n14n9x13

Dans l'attente de te lire
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
3 juin 2017 à 20:47
Internet est revenu ?

Je voudrais un nouveau rapport d'analyse FRST (et Addition) s'il te plaît.
0
Tibooles
3 juin 2017 à 21:01
Internet est revenu, j'espère définitivement ^^
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20170603_l14q9v15f6p6
Addition : http://pjjoint.malekal.com/files.php?id=20170603_t15d13t9h12q9
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
3 juin 2017 à 21:12
Ça a l'air OK. Tu ne vois plus rien de bizarre ?
0
Réponse 3 / 12
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
Modifié le 3 juin 2017 à 00:25
Bonjour,

Tu peux quand même télécharger des outils de désinfection ? Même depuis un autre PC à la rigueur (puis tu transfères sur le PC concerné avec une clé USB) ?
0
Tibooles
3 juin 2017 à 11:29
Bonjour Destrio5 et merci pour ton 1er retour.
Ce matin, après avoir fat tourné malwarebyte hier soir (4 menaces traitées) et avira toute la nuit (rien trouvé mais MAJ impossible à cause du bouzin), j'ai internet (mais j'hésite à m'en servir du coup).
Je peux utiliser le vieux coucou de ma copine en attendant, donc oui possible de telecharger d'éventuels logiciels si besoin :-)
0
Réponse 4 / 12
Tibooles
3 juin 2017 à 22:10
Ca a l'air bon... que dois-je faire pour en être sûr à 100% ? Parce que c'est frustrant que cette merde revienne sans cesse...

En tout cas, je sais pas comment te remercier pour le temps que tu m'as consacré :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
3 juin 2017 à 22:20
Je ne vois pas pourquoi cela reviendrait, à part si tu as un compte Google sur Google Chrome et que la page d'accueil parasite est sauvegardée dessus.

Pour finir :


1/

---> Télécharge et installe la dernière version de CCleaner.
  • Lance-la. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures puis dans Surveillance, décoche les deux cases.
  • Va dans Nettoyeur et lance le nettoyage.



2/

---> Télécharge DelFix sur ton Bureau puis lance-le.
  • Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
  • Clique sur Exécuter.
  • Poste le rapport.



==Prévention==

Adware Prevention permet de t'entraîner à ne pas accepter de PUPs / adwares lors d'installations de logiciels :
https://security-x.fr/~guigui0001/

https://www.malekal.com/adwares-pup-protection/

Un dossier sur la prévention et sécurité sur Internet est disponible ici.


==Problème résolu ?==

Si tu estimes que ton problème est résolu, clique sur Marquer comme résolu situé sous le titre de ton sujet.
0
Réponse 6 / 12
Tibooles
3 juin 2017 à 22:41
Ok, ma page d'accueil est google, je vais vérifier que initial ou mystarting ne sont plus la.

Voici le rapport de delfix :
http://pjjoint.malekal.com/files.php?id=20170603_x5f11x8j12y13
0
Réponse 7 / 12
Tibooles
3 juin 2017 à 22:43
Je confirme : mystarting123 est encore le "moteur de recherche par défaut"...
0
Réponse 8 / 12
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
Modifié le 3 juin 2017 à 22:46
Ok pour DelFix.

Tu sélectionnes un autre moteur de recherche et tu supprimes mystarting123, il n'y a pas une croix à droite ?
0
Réponse 9 / 12
Tibooles
3 juin 2017 à 22:47
Non, mystarting123 est mis en "par défaut" et je ne peux supprimer que bing et yahoo, pas de croix pour mystarting123
0
Réponse 10 / 12
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
3 juin 2017 à 22:56
A mon avis, supprimer le moteur de recherche par défaut n'est pas possible, il faut déjà en mettre un autre par défaut.

Sinon réinitialise Google Chrome :
https://www.malekal.com/reparer-google-chrome/
0
Réponse 11 / 12
Tibooles
3 juin 2017 à 23:19
J'ai désinstallé chrome, supprimé ma session et déconnecté mon compte google et tout remis. Initialpage123 était le moteur de recherche par défaut mais j'ai pu mettre google et supprimé celui-ci... en espérant qu'il ne revienne pas car j'ai déjà fait cette opération il y a deux semaines avec le résultat plutôt non-concluant ^^
0
Réponse 12 / 12
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
3 juin 2017 à 23:22
Tu me diras ^^
0

Discussions similaires

Infecté par mystarting123
RomainDELL -
lilidurhone -

1 réponse