FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
Avatar du membre
par Clof.
#41743
Bonsoir,

En voulant installer le word familiale et étudiant, j'ai vu apparaître le fameux 22find. Avast a bloqué l'envahisseur (mais apparemment, pas tout à fait). J'ai fait "rechercher" dans mon pc et j'ai supprimé tous les fichiers portant le nom 22find.
Je suis sous Firefox Mozzila.

Ayant fait des recherches sur le 22find, j'ai constaté qu'il fallait charger le adwcleaner et je vous poste déjà le rapport ci dessous.
Pouvez vous m'aider à m'en débarrasser svp ?

------------------------------------------

RAPPORT ADWCLEANER

# AdwCleaner v2.112 - Rapport créé le 17/02/2013 à 00:42:23
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Claudine - YOUR-939BDAEA55
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Claudine\Mes documents\Téléchargements\adwcleaner0.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\boost_interprocess
Dossier Supprimé : C:\Documents and Settings\Claudine\Application Data\ilividtoolbarguid
Dossier Supprimé : C:\Documents and Settings\Claudine\Application Data\Mozilla\Firefox\Profiles\aohxh0s6.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
Dossier Supprimé : C:\Documents and Settings\Claudine\Application Data\Mozilla\Firefox\Profiles\aohxh0s6.default\extensions\{f34c9277-6577-4dff-b2d7-7d58092f272f}
Dossier Supprimé : C:\Documents and Settings\Claudine\Application Data\Mozilla\Firefox\Profiles\aohxh0s6.default\ilividtoolbarguid
Dossier Supprimé : C:\Documents and Settings\Claudine\Application Data\Mozilla\Firefox\Profiles\aohxh0s6.default\Searchqutoolbar
Dossier Supprimé : C:\Documents and Settings\Claudine\Application Data\searchquband
Dossier Supprimé : C:\Documents and Settings\Claudine\Application Data\Searchqutoolbar
Dossier Supprimé : C:\Documents and Settings\Claudine\Local Settings\Application Data\Ilivid
Dossier Supprimé : C:\Documents and Settings\Claudine\Local Settings\Application Data\Ilivid Player
Dossier Supprimé : C:\Program Files\search results toolbar
Fichier Désinfecté : C:\Documents and Settings\All Users\Bureau\Mozilla Firefox.lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Application Data\Microsoft\Internet Explorer\Quick Launch\Démarrer Internet Explorer.lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Bureau\Google Chrome.lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Menu Démarrer\Programmes\Accessoires\Outils système\Internet Explorer (Aucun module complémentaire).lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Menu Démarrer\Programmes\Accessoires\Outils système\Internet Explorer (sans module complémentaire).lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Menu Démarrer\Programmes\Google Chrome\Google Chrome.lnk
Fichier Désinfecté : C:\Documents and Settings\Claudine\Menu Démarrer\Programmes\Internet Explorer.lnk
Fichier Supprimé : C:\Documents and Settings\Claudine\Application Data\Mozilla\Firefox\Profiles\aohxh0s6.default\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Program Files\Mozilla FireFox\searchplugins\Search_Results.xml
Supprimé au redémarrage : C:\Program Files\Searchqu Toolbar

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKCU\Software\searchqutoolbar
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AC662AF2-4601-4A68-84DF-A3FE83F1A5F9}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\DNSBHO.dll
Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\BrowserConnection.Loader
Clé Supprimée : HKLM\SOFTWARE\Classes\BrowserConnection.Loader.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
Clé Supprimée : HKLM\SOFTWARE\Classes\DnsBHO.BHO
Clé Supprimée : HKLM\SOFTWARE\Classes\DnsBHO.BHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1B730ACF-26A3-447B-9994-14AEE0EB72CC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44B619BC-3D2B-4990-AA4F-9AA366921792}
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu Toolbar
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu Toolbar
Clé Supprimée : HKLM\Software\SearchquMediabarTb
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v18.0.2 (fr)

Fichier : C:\Documents and Settings\Claudine\Application Data\Mozilla\Firefox\Profiles\aohxh0s6.default\prefs.js

Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffbgct=dsappid=427systemid=406apn[...]

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Documents and Settings\Claudine\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [7421 octets] - [17/02/2013 00:42:23]

########## EOF - C:\AdwCleaner[S1].txt - [7481 octets] ##########
par dédétraqué
#41745
Salut Clof, bienvenu sur le forum


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++
par dédétraqué
#41748
Salut Clof


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source ... 1360891606
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.22find.com/newtab?utm_source ... 1360891606
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.22find.com/web/?utm_sourc ... 1360891621
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.22find.com/web/?utm_sourc ... 1360891621
IE - HKU\S-1-5-21-2080246213-1355632892-273251385-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source ... 1360891606
FF - prefs.js..browser.search.defaultenginename: "22find"
FF - prefs.js..browser.search.order.1: "22find"
CHR - homepage: http://www.22find.com/?utm_source=butm_ ... 1360891598
O3 - HKU\S-1-5-21-2080246213-1355632892-273251385-1005\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-2080246213-1355632892-273251385-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient File not found
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe File not found
[2012/10/18 12:12:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Claudine\Application Data\Advanced System Protector

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


-----


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:regfind
22find
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++
Avatar du membre
par Clof
#41751
All processes killed
========== OTL ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
Service UIUSys stopped successfully!
Service UIUSys deleted successfully!
File system32\DRIVERS\UIUSYS.SYS not found.
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
Service esgiguard stopped successfully!
Service esgiguard deleted successfully!
File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.
Service Changer stopped successfully!
Service Changer deleted successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\CustomizeSearch| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKU\S-1-5-21-2080246213-1355632892-273251385-1005\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
Prefs.js: "22find" removed from browser.search.defaultenginename
Prefs.js: "22find" removed from browser.search.order.1
Use Chrome's Settings page to change the HomePage.
Registry value HKEY_USERS\S-1-5-21-2080246213-1355632892-273251385-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
Registry value HKEY_USERS\S-1-5-21-2080246213-1355632892-273251385-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Documents and Settings\Claudine\Application Data\Advanced System Protector folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Claudine
-Temp folder emptied: 47598812 bytes
-Temporary Internet Files folder emptied: 5032339 bytes
-Java cache emptied: 498720 bytes
-FireFox cache emptied: 105898176 bytes
-Google Chrome cache emptied: 0 bytes
-Flash cache emptied: 959 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 32768 bytes

User: LocalService
-Temp folder emptied: 82255 bytes
-Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1500740 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 1979 bytes

Total Files Cleaned = 153,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 02172013_021430

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


Je télécharge le fichier et je reviens
Avatar du membre
par Clof
#41752
Voici le dernier rapport demandé


SystemLook 30.07.11 by jpshortstuff
Log created at 02:21 on 17/02/2013 by Claudine
Administrator - Elevation successful

========== regfind ==========

Searching for "22find"
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="22find"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command]
@=""C:\Documents and Settings\Claudine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" http://www.22find.com/?utm_source=butm_ ... 1360891598"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\Program Files\Mozilla Firefox\firefox.exe http://www.22find.com/?utm_source=butm_ ... 1360849175"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command]
@=""C:\Documents and Settings\Claudine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" http://www.22find.com/?utm_source=butm_ ... 1360891598"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\Program Files\Internet Explorer\iexplore.exe http://www.22find.com/?utm_source=butm_ ... 1360849175"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="http://www.22find.com/newtab?utm_source ... 1360891606"
[HKEY_USERS\S-1-5-21-2080246213-1355632892-273251385-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="22find"

-= EOF =-
par dédétraqué
#41755
Salut Clof


Cette saleté s'incruste partout

Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command]
@="C:\Documents and Settings\Claudine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\Program Files\Mozilla Firefox\firefox.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command]
@="C:\Documents and Settings\Claudine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\Program Files\Internet Explorer\iexplore.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"=-
[HKEY_USERS\S-1-5-21-2080246213-1355632892-273251385-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=-

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


-----


Télécharge Shortcut_Module (de g3n-h@ckm@n), exécute le et poste le rapport :

http://www.security-helpzone.com/Tools/ ... Module.exe

Et le rapport ce trouve a la racine : C:\rapport.txt


@++
Avatar du membre
par Clof
#41756
All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\\000 deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command\\@|"C:\Documents and Settings\Claudine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\\@|"C:\Program Files\Mozilla Firefox\firefox.exe" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command\\@|"C:\Documents and Settings\Claudine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\\@|"C:\Program Files\Internet Explorer\iexplore.exe" /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\Tabs deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2080246213-1355632892-273251385-1005\Software\Microsoft\Search Assistant\ACMru\5603\\000 not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Claudine
-Temp folder emptied: 695 bytes
-Temporary Internet Files folder emptied: 33170 bytes
-Java cache emptied: 0 bytes
-FireFox cache emptied: 8891416 bytes
-Google Chrome cache emptied: 0 bytes
-Flash cache emptied: 492 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: LocalService
-Temp folder emptied: 66016 bytes
-Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 9,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 02172013_024218

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Avatar du membre
par Clof
#41757
Bon, là je ne sais pas si le rapport est complet car la fenêtre "shortcut module" indique toujours please wait mais le rapport est apparu que voici :

(Merci pour ta patience)

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module 1.011 - g3n-h@ckm@n

02:47:27 - 17/02/2013

Infected !! Deleted : C:\Documents and settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox.lnk : C:\Program Files\Mozilla Firefox\firefox.exe - hxxp://www.22find.com/?utm_source=butm_medium= ... 1360891598
Restored !! : C:\Documents and settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox.lnk : C:\Program Files\Mozilla Firefox\firefox.exe
Avatar du membre
par Clof
#41759
Dans le doute, j'ai recommencé le shortcut

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module 1.011 - g3n-h@ckm@n

02:47:27 - 17/02/2013

Infected !! Deleted : C:\Documents and settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox.lnk : C:\Program Files\Mozilla Firefox\firefox.exe - hxxp://www.22find.com/?utm_source=butm_medium= ... 1360891598
Restored !! : C:\Documents and settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox.lnk : C:\Program Files\Mozilla Firefox\firefox.exe
¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module 1.011 - g3n-h@ckm@n

03:02:29 - 17/02/2013
Avatar du membre
par Clof
#41760
Apparemment oui.

J'ai fermé mozilla et l'ai réouvert. La page d'accueil est toujours 22find
par dédétraqué
#41761
Salut Clof


Redémarre le PC voir...

Regarde aussi si tu démarre firefox direct vis program files sans passé par le raccourci sur le bureau.


@++
Avatar du membre
par Clof
#41762
J'ai effectivement arrêté l'ordi et redémarré.
En cliquant sur l'icone, hop, page d'accueil 22find.
J'ai fermé mozilla et pris le chemin via program files, toujours 22find
par dédétraqué
#41763
Salut Clof


Bizarre, pourtant dans les sujets déjà traiter cela étais plus simple, on va vérifier de nouveau :

Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


@++
Avatar du membre
par Clof
#41764
Pour confirmer, j'ai lancé l'analyse avec OTL.

Je n'avais pas remarqué que dans "outils" "options", "avance" il y avait "restauré les derniers onglets. J'ai donc modifié ce paramètre pour avoir ma page d'accueil habituelle. Lorsque j'ouvre un nouvel onglet, c'est revenu à la normale.

Je pense donc que la désinfection a réussi mais j'aimerai autant avoir une confirmation. J'attends le rapport d'OTL pour te l'envoyer.

En tout cas, j'aimerais te remercier pour ta patience et ton "écoute" à cette heure aussi tardive et aussi, bien entendu, pour ton aide claire et efficace
par dédétraqué
#41767
Salut Clof


Cela est bon pour moi, navigue un peu jusqu'à demain et dit si cela est bon et on passe a la suite pour supprimer les logiciels utilisés.

A moins que tu veux finir cela ce soir...


@++
Avatar du membre
par Clof
#41769
Ok, je pense que la suite sera pour ... tantôt. Merci pour ton aide.

Par contre, j'aimerais une petite explication sur ce qui m'est arrivé.

J'ai téléchargé le logiciel word, mais avant de l'ouvrir, je l'ai scanné avec avast qui n'a rien détecté, j'ai donc ouvert le logiciel et dès que cela fut fait, avast a bloqué le cheval de troie 22find et l'a mis en quarantaine. Pourtant le malward s'est quand même installé malgré les sécurités du scan et le blocage.

Comment cela est il possible ? Je suis quand même relativement prudente et je me suis faite avoir quand même.

Je constate aussi que beaucoup de gens sont dans le même cas.
Avatar du membre
par Clof
#41776
Bonjour Dédétraqué,

Je crois que c'était softronic (mais sans certitude).

Dans la barre de navigation, j'ai tapé "word gratuit", et j'ai cliqué sur un des premiers sites : version gratuite "édition familiale et étudiant". Je savais que c'était une édition très basique, qu'elle pouvait donc être accessible sans licence. Lorsque j'ai téléchargé cette version, avant de l'ouvrir je l'ai scannée, rien de détecter, je l'ai donc "exécuté", j'ai signé mais rien d'autre n'était affiché que les conditions, rien n'était à cocher. C'est lorsqu'il a été exécuté qu'est apparu 22find et desk365 et que tout s'est modifié. Je pense avoir bien supprimé desk365 mais pas ... le 22find

Voilà, je ne sais pas quelle bêtise j'ai faite et je ne comprends pas non plus comment cela a pu se passer.

Ce matin, j'ai cliqué comme d'habitude sur l'icône et la page d'accueil 22find est apparue.
J'ai fermé mozilla et j'ai pris le chemin via program files, et la page d'accueil normale est apparue.
J'ai supprimé l'icône mozilla dans le menu démarrer, une nouvelle icône est apparue. J'ai cliqué et la page d'accueil était normale. Plus de 22find.
par dédétraqué
#41782
Salut Clof


Je crois que c'était softronic (mais sans certitude).Cela me surprend pas, ce site est a éviter même chose pour 01net, voir ce poste fais par Malekal :
http://www.malekal.com/2013/02/14/01net ... range-pas/
Et celui sur Softonic :
http://www.malekal.com/2012/04/02/softo ... pups-lpis/

J'ai remarqué encore la présence de desk365 :

Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Files
C:\Program Files\Fichiers communs\337
C:\Program Files\Desk 365
C:\Documents and Settings\Claudine\Application Data\Desk 365

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++
Avatar du membre
par Clof
#41795
Non, je ne crois pas

C'est tout bon alors ?

héhéhéhé,

Il reste encore la suppression des logiciels que j'ai chargé hier comme tu me l'as écrit ?
par dédétraqué
#41798
Salut Clof


Oui cela est bon

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau :

http://www.general-changelog-team.fr/fr ... /26-delfix

Lance-le, coche l'option "Supprimer les outils de désinfection".
Clique sur [Exécuter]
Patiente durant l'opération..


-----


Je te donne quelques consignes de sécurité :

Image Windows Update parfaitement à jour http://www.windowsupdate.com/
Image Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Image Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Image Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Image Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Image Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Image Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk)
Image Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Image Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Image Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

Si tu considère ton problème comme résolu, me le dire dans ton prochain poste et je passe le sujet comme résolu...

Bonne journée/soirée et bon surf


@++
Avatar du membre
par Clof
#41801
Oui, je pense que mon problème est résolu et t'en remercie infiniment.
Je suis contente d'avoir choisi votre forum pour ma demande d'aide.
J'ai déjà parlé de vous à mon entourage hihiih.

Merci, merci, merciiiiiiiiiiiiiiiiiii

Bonne continuation à vous tous.

Сайн уу. Би утсан дээрээ хаана бооцоо тавьж болохы[…]

Рекламно-Производственная Компания «Ресурс&r[…]

Bonjour, Oui le chabot est très utile il p[…]

Bonjour Pourquoi ne pas avoir rédiger une […]