FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
#39350
Bonjour,

Depuis quelques jours, j'ai toujours la barre de recherche search certified toolbar lorsque j'ouvre mon navigateur internet explorer.
J'ai voulu le désinstaller mais je ne le trouve pas dans mes programmes.
je ne sais pas quoi faire.
Pouvez-vous m'aider.
Merci beaucoup.
#39367
Bonjour !

Ton PC est infecté.

On va faire un diagnostique de ton pc.
  • Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
  • Une fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
  • Coches la case Créer une icône sur le bureau lors de l'installation.
  • A la fin de l'installation, ZHPDiag va se lancer tout seul.
  • Cliques sur l'icône représentant une loupe.
  • En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l’icône représentant une disquette.
  • Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
++
#39380
Re,

Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin :wink:
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne :wink:
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai -- Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
- Ne télécharge pas n'importe quel programme gratuit sans te renseigner dessus.
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects, préfère les sites connus ou le téléchargement directement sur le site de l'éditeur.
- Lis attentivement lorsque tu installes un programme gratuit, et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !


On va faire un scan généraliste de ton PC
  • Télécharges Malwarebytes sur ton bureau.
  • Lance le. Laisse les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laisse-le faire.
  • Branche toutes tes sources de données externes à ton PC. (Clés USB...)
  • Rends-toi dans l'onglet Recherche, clique sur Exécuter un examen complet puis clique sur Rechercher.
  • Sélectionnes tes disques durs et disques amovibles puis clique sur Rechercher
  • A la fin du scan, un rapport s'ouvre. Clique sur Fichier puis sur Enregistrer sous. Clique sur Bureau et met le nom Malwarebytes.
  • Si MalwareBytes détecte des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.
  • Si Malwarebytes te demande de redémarrer ton pc, clique sur Oui.
  • Poste le rapport.

    !!! Ne pas vider la quarantaine de MBAM sans avis !!!

    Tuto pour t'aider Ici
++
#39432
Re,

On va rechercher si des adwares sont présants sur ton PC
  • Télécharges AdwCleaner (de Xplode) sur ton bureau.
  • Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Clique sur Suppression
  • Patiente le temps du scan.
  • Poste le rapport qui apparait à la fin.
  • Clique sur Quitter
Ensuite refais un ZHPDiag.

++
Avatar du membre
par Iconocla
#39439
Bonjour,

Moi j'ai essayé, ça ne fonctionne pas, la barre est toujours là.
#39498
Hello !

On va supprimer quelques lignes manuellement
/!\ Le script proposé ci-dessous n'est valable que pour l'helpé en cours /!\
  • Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Copie le texte en gras ci-dessous.

    O53 - SMSR:HKLM\...\startupreg\Boxore Client [Key] . (...) -- C:\Program Files (x86)\Boxore\BoxoreClient\boxore.exe (.not file.) = Infection Diverse (Spyware.Boxore)
    [HKLM\Software\Classes\AppID\{756C097C-6BDB-45de-A8F1-83E01AB86BA4}] = Infection PUP (BearShare)
    [HKLM\Software\Wow6432Node\Classes\AppID\{756C097C-6BDB-45de-A8F1-83E01AB86BA4}] = Infection PUP (BearShare)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B6EF6C45-5E8D-4c3b-B580-A5073261A381}] = Infection PUP
    [HKLM\Software\Classes\AppID\BearShare.exe]
    M3 - MFPP: Plugins - [nous] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\Web Search.xml
    O44 - LFC:[MD5.1EE9E2C26A7910024854362F9AC7613D] - 14/01/2013 - 22:29:25 ---A- . (...) -- C:\SetSearchAndHomepageInBrowserLog.txt [453]
    O44 - LFC:[MD5.A65BA863A4E5B660CB139C0087D6F7AE] - 03/01/2013 - 07:18:52 ---A- . (.Pas de propriétaire - Toolbar_Exe_Launcher_Form.) -- C:\Windows\Launcher.exe [15360]
    [MD5.CC9D0095E7C68788FF0A7A0B8D7199B0] [SPRF][21/09/2011] (...) -- C:\Users\nous\AppData\Local\Temp\scs.exe [454656]
    [MD5.D04FE50D5420145D89D505ACDF701B49] [SPRF][15/01/2013] (...) -- C:\Users\nous\AppData\Local\Temp\__PDFCORE_FMP.dat [144561]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\offerbox_RASAPI32]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\offerbox_RASMANCS]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\OfferBoxHTTPProxy_RASAPI32]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\OfferBoxHTTPProxy_RASMANCS]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
    [MD5.EC435B46AF5EBD996390540CDF2A6C4D] [SPRF][01/01/2013] (...) -- C:\Users\nous\AppData\Roaming\lakerda1967.sys [138]
    [MD5.00000000000000000000000000000000] [APT] [{A1CE83C1-20EB-4FCE-AA90-3450BDE4E1EC}] (...) -- C:\Users\nous\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YJHZ2WH1\SZSetup_AID10121_AV.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{E126DF06-900A-4056-8284-8EC523C9CC4A}] (...) -- C:\Users\nous\Downloads\InstallationPlaniClasse.exe (.not file.)
    O41 - Driver: (SBRE) . (. - .) - C:\Windows\system32\drivers\SBREdrv.sys (.not file.)
    O43 - CFD: 16/01/2013 - 06:58:07 - [0] ----D C:\Users\nous\AppData\Local\Programs
    O43 - CFD: 17/04/2012 - 16:24:42 - [0] ----D C:\Users\nous\AppData\Local\{06550F3B-96A4-46E5-BDA8-22F18EECFA1D}
    O43 - CFD: 17/04/2012 - 16:26:25 - [0] ----D C:\Users\nous\AppData\Local\{09765E5E-9EA4-4A2D-A5E6-2C4B3CCDFD12}
    O43 - CFD: 13/04/2012 - 20:35:16 - [0] ----D C:\Users\nous\AppData\Local\{0A7329B9-5E41-493C-9CEC-ECB7563BF444}
    O43 - CFD: 19/04/2012 - 08:41:16 - [0] ----D C:\Users\nous\AppData\Local\{1410F1A8-0EFA-45F9-A226-1BEBB9C44E7C}
    O43 - CFD: 13/04/2012 - 20:36:12 - [0] ----D C:\Users\nous\AppData\Local\{1DD90F06-D614-4508-BAF7-68A88765A028}
    O43 - CFD: 17/04/2012 - 16:22:21 - [0] ----D C:\Users\nous\AppData\Local\{1F594A6C-C82A-4D5B-8A82-3ABCC23D855A}
    O43 - CFD: 15/04/2012 - 20:25:58 - [0] ----D C:\Users\nous\AppData\Local\{23E3D7F2-714D-4F88-B0AD-8B85B59A8EBC}
    O43 - CFD: 17/04/2012 - 16:28:18 - [0] ----D C:\Users\nous\AppData\Local\{273FBBAD-1A9F-4BA2-A15E-C9368844BC99}
    O43 - CFD: 01/01/2013 - 08:47:06 - [0] ----D C:\Users\nous\AppData\Local\{2C508832-121D-48B3-B402-D9CFCD934EAC}
    O43 - CFD: 17/04/2012 - 16:10:29 - [0] ----D C:\Users\nous\AppData\Local\{2D213036-076C-4366-AA8A-5D6A943E952D}
    O43 - CFD: 15/04/2012 - 20:06:20 - [0] ----D C:\Users\nous\AppData\Local\{2FD92D94-D8E8-419C-8AEA-F6CF13EE4E37}
    O43 - CFD: 17/04/2012 - 07:15:52 - [0] ----D C:\Users\nous\AppData\Local\{33503E62-9AAD-4F19-9BA5-4C30B628CFEB}
    O43 - CFD: 16/01/2013 - 08:16:54 - [0] ----D C:\Users\nous\AppData\Local\{41D2FB83-FEC0-4A8D-8C88-C0E208F9BCDF}
    O43 - CFD: 17/04/2012 - 16:22:31 - [0] ----D C:\Users\nous\AppData\Local\{45C36EEB-5394-42EE-B108-4B7EB2600036}
    O43 - CFD: 17/04/2012 - 07:15:41 - [0] ----D C:\Users\nous\AppData\Local\{4B908D52-2D53-4EF8-A50C-5B5B15ACD64A}
    O43 - CFD: 17/04/2012 - 07:09:48 - [0] ----D C:\Users\nous\AppData\Local\{597665D5-5D9F-4E1F-9DC0-EEC1511BC854}
    O43 - CFD: 17/04/2012 - 16:08:36 - [0] ----D C:\Users\nous\AppData\Local\{5C02FA1F-FE06-4229-B2F4-0289E4FC61DC}
    O43 - CFD: 17/04/2012 - 16:19:18 - [0] ----D C:\Users\nous\AppData\Local\{5CDB7785-1E5B-45EC-8DE4-0984C42369F3}
    O43 - CFD: 29/08/2012 - 00:17:13 - [0] ----D C:\Users\nous\AppData\Local\{5E021970-2566-4A59-B67D-0D2DF67ED500}
    O43 - CFD: 06/01/2013 - 20:09:36 - [0] ----D C:\Users\nous\AppData\Local\{60E753DB-5E83-4BC9-81BB-9C5AB8DC7666}
    O43 - CFD: 09/01/2013 - 07:28:35 - [0] ----D C:\Users\nous\AppData\Local\{62DB698A-E731-4EC8-985F-E8FA8C4DA750}
    O43 - CFD: 15/04/2012 - 20:06:07 - [0] ----D C:\Users\nous\AppData\Local\{649D8D59-25D3-47E5-BA60-6A49077B65DD}
    O43 - CFD: 19/04/2012 - 08:42:42 - [0] ----D C:\Users\nous\AppData\Local\{6EBAE20A-78F4-4738-9E7F-79A13F3E73D9}
    O43 - CFD: 17/04/2012 - 16:08:25 - [0] ----D C:\Users\nous\AppData\Local\{7500986D-19F0-4EFC-A62A-22253019E233}
    O43 - CFD: 17/04/2012 - 07:18:10 - [0] ----D C:\Users\nous\AppData\Local\{7F18D341-6CA0-4BBE-A335-29A2AC341651}
    O43 - CFD: 19/04/2012 - 08:41:06 - [0] ----D C:\Users\nous\AppData\Local\{8EB9FEEC-9477-4556-B8C3-95A865D94570}
    O43 - CFD: 30/12/2011 - 17:55:50 - [0] ----D C:\Users\nous\AppData\Local\{91E5BB34-6057-4C0C-A3CA-7DB0CEF0075B}
    O43 - CFD: 19/04/2012 - 08:42:53 - [0] ----D C:\Users\nous\AppData\Local\{943CF570-776B-4B80-BBD9-5E7BC07D22D8}
    O43 - CFD: 14/04/2012 - 21:41:27 - [0] ----D C:\Users\nous\AppData\Local\{96E066CD-1741-4A2F-B5BE-1FB6292AA176}
    O43 - CFD: 17/04/2012 - 16:24:53 - [0] ----D C:\Users\nous\AppData\Local\{9953196D-A18B-41B5-AC21-37921BE16A62}
    O43 - CFD: 15/04/2012 - 17:50:24 - [0] ----D C:\Users\nous\AppData\Local\{9C4EC367-844D-4457-9591-04E35371A229}
    O43 - CFD: 15/04/2012 - 20:26:10 - [0] ----D C:\Users\nous\AppData\Local\{A8AC77E8-3360-4EBD-9BDE-7567D90503CA}
    O43 - CFD: 17/04/2012 - 16:10:40 - [0] ----D C:\Users\nous\AppData\Local\{AC62A147-45F4-4F32-BFEC-4522C4336A05}
    O43 - CFD: 31/12/2012 - 17:30:00 - [0] ----D C:\Users\nous\AppData\Local\{B03EB32E-E5E4-44B6-A44D-643AE15E95D9}
    O43 - CFD: 17/04/2012 - 07:14:24 - [0] ----D C:\Users\nous\AppData\Local\{B14E6A46-FCDA-4B57-8286-1251CA8E61E1}
    O43 - CFD: 17/04/2012 - 16:19:29 - [0] ----D C:\Users\nous\AppData\Local\{B46872E0-F29A-4C67-81CE-9C81B1E61B41}
    O43 - CFD: 27/12/2012 - 09:08:04 - [0] ----D C:\Users\nous\AppData\Local\{CA0752C7-E176-421F-B971-84575B7EB079}
    O43 - CFD: 17/04/2012 - 07:09:37 - [0] ----D C:\Users\nous\AppData\Local\{D1176A17-5728-45DE-B3BF-9FF0CDBEB729}
    O43 - CFD: 17/04/2012 - 16:28:07 - [0] ----D C:\Users\nous\AppData\Local\{D2CC050B-D2DB-4ABB-AE91-F49E792949AA}
    O43 - CFD: 17/04/2012 - 07:14:14 - [0] ----D C:\Users\nous\AppData\Local\{D2DFE8D4-656C-4C00-8BA5-9E56EB5675A0}
    O43 - CFD: 14/12/2012 - 22:41:04 - [0] ----D C:\Users\nous\AppData\Local\{D3469FB2-802D-425D-9424-761D153151E0}
    O43 - CFD: 17/04/2012 - 16:26:36 - [0] ----D C:\Users\nous\AppData\Local\{D9798FE8-56C9-4F99-9B1E-6A6A14A51A88}
    O43 - CFD: 17/04/2012 - 07:18:21 - [0] ----D C:\Users\nous\AppData\Local\{E1CA8CF2-1D77-44E7-B666-9662713332EE}
    O43 - CFD: 09/09/2012 - 02:22:35 - [0] ----D C:\Users\nous\AppData\Local\{EA61E19F-510A-42B7-8F4E-AD42C16B364B}
    O87 - FAEL: "TCP Query User{4106F7A7-EB6B-4885-A9BD-5EDFC430C5E7}C:\program files (x86)\1clickdownload\1clickdownloader.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\1clickdownload\1clickdownloader.exe (.not file.)
    O87 - FAEL: "UDP Query User{4BE955AF-3598-420A-9CEA-F2E055162EEE}C:\program files (x86)\1clickdownload\1clickdownloader.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\1clickdownload\1clickdownloader.exe (.not file.)
    O87 - FAEL: "TCP Query User{5A2C5F6F-7623-40B1-AD78-26A0F5C7A353}C:\calcul@tice\abyssws.exe" |In - Private - P6 - TRUE | .(...) -- C:\calcul@tice\abyssws.exe (.not file.)
    O87 - FAEL: "UDP Query User{BADA1DB9-EAEE-40C6-90C2-EC91E4407F03}C:\calcul@tice\abyssws.exe" |In - Private - P17 - TRUE | .(...) -- C:\calcul@tice\abyssws.exe (.not file.)
    O87 - FAEL: "TCP Query User{5DB7E76F-FFD4-41F3-AC41-69CAC90F03FC}C:\program files (x86)\freecom network storage assistant\fnsa.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\freecom network storage assistant\fnsa.exe (.not file.)
    O87 - FAEL: "UDP Query User{329D037E-4DF9-41B7-BA9C-B15EED851AF3}C:\program files (x86)\freecom network storage assistant\fnsa.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\freecom network storage assistant\fnsa.exe (.not file.)
    O87 - FAEL: "{69607324-93FC-4AC0-B692-ADB25B7E33BD}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Protected Search\ProtectedSearch.exe (.not file.)
    O87 - FAEL: "{1DE823B0-3C24-46AE-8FFF-3767443239D8}" |Out - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Protected Search\ProtectedSearch.exe (.not file.)
    SS - | Auto 0 | (szserver) . (...) - C:\Program Files (x86)\STOPzilla!\SZServer.exe = STOPzilla%iS3 Anti-Spyware
    O23 - Service: STOPzilla Service (szserver) . (...) - C:\Program Files (x86)\STOPzilla!\SZServer.exe (.not file.) = STOPzilla%iS3 Anti-Spyware
    O4 - HKLM\..\Run: [SBRegRebootCleaner] C:\Program Files (x86)\STOPzilla!\sbrc.exe (.not file.)
    O4 - Global Startup: C:\Users\UpdatusUser\Desktop\Chessmaster Challenge.lnk . (...) -- C:\Program Files (x86)\Chessmaster Challenge\chess.exe (.not file.)
    O4 - Global Startup: C:\Users\UpdatusUser\Desktop\Play Chess.lnk . (...) -- C:\Program Files (x86)\DreamQuest\Championship Chess All-Stars\ChampChess.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{3CAA0CC6-EDB1-460D-8315-06C0959B5217}] (...) -- E:\Utility\DirectX\dxsetup.exe (.not file.)
    R3 - URLSearchHook: (no name) [64Bits] - {8e5025c2-8ea3-430d-80b8-a14151068a6d} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
    [MD5.90E1D86D979B92738A47D7072CB22DA8] [SPRF][07/07/2010] (...) -- C:\ProgramData\FullRemove.exe [131472]
    O90 - PUC: "46C6E1F2408D637469412775F51B5900" . (.STOPzilla.) -- C:\Windows\Installer\{2F1E6C64-D804-4736-9614-72575FB19500}\SZInstall.ico
    O43 - CFD: 14/04/2012 - 20:20:18 - [0,039] ----D C:\Users\nous\AppData\Roaming\WebPlayerBdd

  • Clique sur l'icone Image (Coller le presse papier)
  • Clique sur Go.
  • Poste le rapport qui s'affiche.

/!\ Des logiciels de P2P et de téléchargement en tous genres sont présents sur ton PC. Ils sont facteurs d’infections et l'utilisation qu'on en fait en général est ILLÉGALE /!\


Refais un rapport ZHPDiag.

++
#39584
Salut !

Ok, comment se comporte ton PC ?

Fixe les ligne en gras suivantes avec ZHPFix.

[HKLM\Software\Wow6432Node\SimplyGen] = Infection BT ( Adware.PredictAd)
O87 - FAEL: "TCP Query User{4106F7A7-EB6B-4885-A9BD-5EDFC430C5E7}C:\program files (x86)\1clickdownload\1clickdownloader.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\1clickdownload\1clickdownloader.exe (.not file.) = Infection BT (Adware.1ClickDownloader)
O87 - FAEL: "UDP Query User{4BE955AF-3598-420A-9CEA-F2E055162EEE}C:\program files (x86)\1clickdownload\1clickdownloader.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\1clickdownload\1clickdownloader.exe (.not file.) = Infection BT (Adware.1ClickDownloader)
[HKLM\Software\Wow6432Node\SimplyGen] = Infection BT ( Adware.PredictAd)
C:\Users\nous\AppData\LocalLow\wincorebsband = Infection PUP (PUP.iMesh)
O87 - FAEL: "TCP Query User{5A2C5F6F-7623-40B1-AD78-26A0F5C7A353}C:\calcul@tice\abyssws.exe" |In - Private - P6 - TRUE | .(...) -- C:\calcul@tice\abyssws.exe (.not file.)
O87 - FAEL: "UDP Query User{BADA1DB9-EAEE-40C6-90C2-EC91E4407F03}C:\calcul@tice\abyssws.exe" |In - Private - P17 - TRUE | .(...) -- C:\calcul@tice\abyssws.exe (.not file.)
O41 - Driver: (SBRE) . (. - .) - C:\Windows\system32\drivers\SBREdrv.sys (.not file.)
O43 - CFD: 29/12/2011 - 22:26:38 - [0,518] ----D C:\Users\nous\AppData\Roaming\com.w3i.FlipToast


++
#39586
Bonsoir,

Pas de changement de comportement de mon PC, quand je vais sur internet explorer, je retrouve certified toolbar search. Je ne peux pas ouvrir thunderbird, si je clique, c'est toujours cette barre d'outil qui s'ouvre à la place.

Sinon, pour les programmes de téléchargement sur mon pc, peux-tu me dire ce que tu as remarqué, ils ont peut-être été installés à un moment donné par une des personnes qui se servaient de ce pc, mais aujourd'hui, ils ne servent pas et le nom des logiciels ne me dit rien.

J'ai fixé les lignes ci-dessus comme demandé,
voici le rapport.

http://cjoint.com/?3AstOAlK7XZ

Merci pour tes conseils
#39718
Re,

Ok, on va supprimer les extensions de tes navigateurs.

Dans Internet Explorer :
_ Lance internet explorer et clique sur Outils.
_ Puis clique sur Gérer les modules complémentaires.
_ Clique sur la ligne contenant Certified Search Toolbar puis Désactiver.

Dans Firefox :
_ Lance Firefox et appuis et la touche Alt de ton clavier.
_ Clique sur Outils puis Modules Complémentaires.
_ Clique enfin sur Extensions puis la la ligne concernant Certified Search Toolbar et clique sur Supprimer.
_ Enfin pour modifier le moteur de recherche qui sera utilisé lorsque vous saisissez un mot dans la barre de recherche :
  • Dans la barre d'adresse saisir : aboutconfig
  • Acceptez l’avertissement en cliquant sur « Je ferai attention, promis! »
  • Dans filtre, mettre : keyword.URL
  • Supprimer tout le contenu de l’adresse, en ayant rien, cela devrait rebasculer sur Google, ou mettre : http://www.google.fr/search?btnI=I%27m+ ... oe=UTF-8q=
_ Fais de même pour browser.newtab.url en mettant aboutblank

Dans Chrome :
_ Lance Chrome et clique sur "L'icône clé à molette" en haut à droite.
_ Clique sur Outils puis Extensions.
_ En face la la ligne concernant Certified Search Toolbar, clique sur la Corbeille pour supprimer.

Ensuite refais un ZHPDiag.

++
Avatar du membre
par pataccor
#39727
Re,

Merci de ton aide.

J'avais déjà essayé de désactiver certified toolbar seach dans mes modules complémentaires, mais je ne l'ai jamais trouvé.
Je te mets une copie d'écran de ma liste, peut-être que tu y verras plus clair que moi.
Néanmoins, lorsque j'ouvre internet, forcément, je tombe sur ce moteur de recherche, et je contourne le problème (j'espère) en cliquant sur la maison, ça ouvre le moteur de recherche de google et je ne navigue qu'avec ce moteur en attendant mieux. C'est le seul moteur de recherche enregistré .

Je voulais te préciser aussi quand quand je veux aller sur paint, ça bloque et j'ai un message sur l'écran que je t'ai copié également dans ma pièce jointe.
Ci-joint également le rapport de ZhpDiag.

http://cjoint.com/?3AupsunW7fH

http://cjoint.com/?3AupsFkD5De

Je te remercie par avance de ta réponse,
Cordialement
#39806
Re,

Fixe les lignes suivantes avec ZHPFix.

M3 - MFPP: Plugins - [nous] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\Web Search.xml = Infection Diverse (Parasite.Pugi)
O43 - CFD: 14/04/2012 - 20:20:18 - [0,039] ----D C:\Users\nous\AppData\Roaming\WebPlayerBdd = Infection BT (Adware.SocialSkinz)
O53 - SMSR:HKLM\...\startupreg\Boxore Client [Key] . (...) -- C:\Program Files (x86)\Boxore\BoxoreClient\boxore.exe (.not file.) = Infection PUP (Adware.Boxore)
O87 - FAEL: "{69607324-93FC-4AC0-B692-ADB25B7E33BD}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Protected Search\ProtectedSearch.exe (.not file.) = Infection PUP (Spyware.ProtectedSearch)
O87 - FAEL: "{1DE823B0-3C24-46AE-8FFF-3767443239D8}" |Out - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Protected Search\ProtectedSearch.exe (.not file.) = Infection PUP (Spyware.ProtectedSearch)
[HKLM\Software\Classes\AppID\{756C097C-6BDB-45de-A8F1-83E01AB86BA4}] = Infection PUP (BearShare)
[HKLM\Software\Wow6432Node\Classes\AppID\{756C097C-6BDB-45de-A8F1-83E01AB86BA4}] = Infection PUP (BearShare)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B6EF6C45-5E8D-4c3b-B580-A5073261A381}] = Infection PUP
[HKLM\Software\Classes\AppID\BearShare.exe] = Infection PUP (PUP.BearShare)
C:\Users\nous\AppData\Roaming\WebPlayerBdd = Infection BT (Adware.SocialSkinz)
C:\Users\nous\AppData\LocalLow\wincorebsband = Infection PUP (PUP.iMesh)
C:\Users\nous\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph = Infection BT (Spyware.GamePlayLabs)


Puis refais un ZHPDiag.

++
Avatar du membre
par pataccor
#40012
Bonsoir Roro04,

Voici le rapport de ZHPFix :

http://cjoint.com/?3AxxGW6snkD


Pour ce qui est des symptômes, quand j'ouvre internet explorer, je tombe directement sur google (c'est plutôt bon signe),
Quand je veux ouvrir paint par ma liste accessible par le bouton windows, toujours ce même message que celui que je t'avais envoyé lors d'un précédent message (j'avais fait une capture d'écran). Si j'ouvre windows movie maker par la liste, le fichier que j'ouvre est bizarre : si je lis la vidéo que j'ai en projet sur ce logiciel, j'ai les commentaires texte, mais plus d'images ni de musique. Est-ce que cela a un rapport avec le virus? Pour les autres programmes de ma liste, ils semblent s'ouvrir normalement.

Merci pour tes conseils.
#40048
Re,

Ok,

on va vérifier tes fichiers système
  • Appuis simultanément sur les touches Image et R de ton clavier.
  • La fenêtre "Exécuter" doit s'ouvrir.
  • Tape cmd et clique sur Ok.
  • Tape sfc/scannow et valide par Entrée.
  • Patiente le temps de l'analyse.
  • Fais une capture d'écran du résultat une fois fini et fais moi la parvenir
++
#40158
Bonsoir,

Aujourd'hui, les symptômes sont revenus en force : quand j'ouvre internet explorer, j'arrive sur google, si je veux aller sur ma boîte mel, elle s'ouvre puis sans aucune autre manoeuvre, la barre de recherche certified toolbar seach apparaît à la place. (jusque là, cela ne l'avait pas encore fait)
Si je veux ouvrir thunderbird, c'est aussi cette barre de recherche qui s'affiche.
Merci de tes conseils
#40160
Salut !

Tu as refais quelque chose de particulier ?
  • Télécharge ComboFix (de sUBs) sur ton bureau et pas à un autre endroit. Avant de l'enregistrer, renomme le en fei.exe

    /!\ Ferme toutes les fenêtres ouvertes /!\
    /!\ Attention, combofix est un programme puissant à ne pas utiliser sans prescription par une personne qualifier /!\
  • Double clique sur fei.exe afin de le lancer. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Clique sur Oui.
  • Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.

    /!\ Déconnecte-toi du net APRES l'installation de la console de récupération /!\
  • Si tu as installé la console de récupération, répond Oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes, je touche même pas à la souris et au clavier, ça pourrait figer ton PC /!\
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Puis refais un ZHPDiag

++
#40203
Bonjour,

Voici les rapports des manipulations que tu m'as demandé :


de sfc/scannow, copie d'écran :
http://cjoint.com/?3AAowZ8u3we

détails du rapport :
http://cjoint.com/?3AAoBkb0Cg4

rapport de combi :
http://cjoint.com/?3AAoChcfnbh

pour les dernières manipulations, j'ai voulu désinstaller les petits logiciels qui ne me servaient pas ou plus, genre jeux, ... et j'ai voulu installer firefox (sur le site officiel) pour ne plus surfer sur internet explorer, pour ne pas rencontrer cette barre de tâche. En fait, sur firefox, ça s'ouvre sur google et ça se met sur certified search toolbar aléatoirement, comme sur internet explorer. Du coup, j'ai désintallé firefox. Je crois que je n'aurais pas dû. Je ne ferai plus rien avant de te demander, j'ai compris !

sur thunderbird, l'ouverture sur cette barre de recherche se fait depuis le début de la contamination.

J'ai un problème par contre, depuis que j'ai fait la recherche avec combi, en respectant les manipulations, je ne peux plus ouvrir aucun logiciel, dont ZHPDiag, donc je n'ai pas pu faire la dernière analyse et internet explorer.(donc plus de connexion internet avec mon portable)

A chaque fois, le message suivant apparaît :
tentative d'opération non autorisée sur une clé du registre marquée pour suppression.

Puis on me propose de supprimer le programme.

Bien sûr, je n'ai rien fait.

Que dois-je faire pour pouvoir débloquer la situation.

Merci beaucoup de ton aide.
Pat
Avatar du membre
par pataccor
#40211
re,

Tu vas vraiment me prendre pour une débutante , mais je me suis fais peur toute seule pour rien, en fait, si mon ordi était bloqué avec le message cité ci-dessus, c'est que je ne l''avais pas redemarré. J'ai donc fait cette manoeuvre, et tout est redevenu normal. (sauf que j'ai toujours cette infection quand je démarre thunderbird et paint comme je l'ai expliqué plus haut.

Voici donc le rapport ZHPDiag :

http://cjoint.com/?3AAqNj4dtww

J'attends donc tes précieux conseils.

Bien cordialement,
Pat
#40357
Re

Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:regfind
certified
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

++
#40408
Salut !

Télécharge OTM (de Old_Timer) sur le bureau :

https://www.sosvirus.net/telecharger/otm/
http://www.itxassociates.com/OT-Tools/OTM.exe

Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en citation et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

 :reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]
"Tabs"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
"(Default)"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
"(Default)"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.com"
"Start Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://www.google.com"
"Search Bar"="http://www.google.com"
"Search Page"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
"Start Page"="http://www.google.com"
"Start Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://www.google.com"
"Search Bar"="http://www.google.com"
"Search Page"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"URL"=-
"TopResultURLFallback"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
"(Default)"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
"(Default)"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI]
"(Default)"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl]
"(Default)"=-
[HKEY_USERS\S-1-5-21-3740257192-2871294955-1411377805-1001\Software\Microsoft\Internet Explorer\AboutURLs]
"Tabs"=-
[HKEY_USERS\S-1-5-21-3740257192-2871294955-1411377805-1001\Software\Microsoft\Internet Explorer\SearchURI]
"(Default)"=-
[HKEY_USERS\S-1-5-21-3740257192-2871294955-1411377805-1001\Software\Microsoft\Internet Explorer\SearchUrl]
"(Default)"=-

:commands
[emptytemp]
- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.

---------------------------------------------------------------------------

Les raccourcis de ton bureau doivent (ou vont) être HS.
Lance programme par programme depuis le menu démarrer. Si ça marche, il va falloir recréer ces raccourcis.

++
Avatar du membre
par pataccor
#40482
Bonsoir Roro04,

J'ai fait les manipulations demandées ci-dessus,
voici le rapport :(en deux fois, erreur de manip de ma part, dsl)
http://cjoint.com/?3AEvtKz0Qid

http://cjoint.com/?3AEvuriAZ3N

Depuis ce "nettoyage", explorer s'ouvre vraiment plus vite, j'ai recrée des raccourcis qui marchent bien sauf pour thunderbird :
maintenant, il s'ouvre normalement mais il "rame" quand on veut s'en servir. Je peux peut-être carrément le désinstaller complètement et le réinstaller. Qu'en penses-tu ?
Pour l'instant, je trouve que l'ordi va mieux, plus de symptômes apparents en tout cas.

+++
#40490
Re,

Merci pour ton aide. Je vais essayer en sauvegardant juste mes contacts et je reparamètrerai chacune de mes boîtes après ré-installation. En principe, je devrais récupérer tous mes mails, puisque je suis sur les serveurs gmail et hotmail.

je te tiens au courant et t'envoie le rapport ZHPDiag

Bonne soirée,
Avatar du membre
par pataccor
#40554
Bonsoir,

J'ai donc fait le scan avec le logiciel Shortcut module, j'ai un message d'erreur qui s'affiche sur
mon écran, le voici :

http://cjoint.com/?3AFwQCoadvr

Je poste le rapport :

http://cjoint.com/?3AFwTKWhDOr

Voici le dernier ZHPDiag :

http://cjoint.com/?3AFw10JYAMS

J'ai l'impression qu'il est toujours là si je comprends le rapport.

Merci pour vos précieux conseils,
A+
Pat
Avatar du membre
par pataccor
#40641
Bonsoir,

Je peux confirmer que je n'ai plus de symptômes douteux, qui font penser au virus.

Je peux ouvrir tous mes programmes, soit par les raccourcis ou par le menu démarrer.
Je n'ai plus de barre d'outils certified search toolbar quand j'ouvre ou navigue sur internet.

Mon logiciel thunderbird, que j'ai réinstallé, s'ouvre et fonctionne correctement.

Apparemment, tout est redevenu normal.

Ouf !!! ça fait du bien !!!! Est-ce je peux crier victoire ?

+++
Pat
Problème de téléchargement

Bonjour Suivez les indications de KAV, si vous n'[…]

Présentation

Hello :hello: , Merci pour l'accueil

New crash game Plinko

Oh, great. Crash games are a good choice if you wa[…]

Site officiel du casino Vavada

C'est un vieux casino, ce n'est pas du tout int&ea[…]