FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par nass.
#41032
Bonsoir,
je n'arrive pas à retrouver ma page d'accuil google.ch, 22find s'ouvre à sa place, comment me debarasser de cette page, aidez moi svp
merci
par dédétraqué
#41035
Salut nass, bienvenu sur le forum


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
http://general-changelog-team.fr/telech ... adwcleaner

Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira, poste le contenu de ce rapport.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


-----


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++
par dédétraqué
#41106
Salut nass


OK cela est bon pour ce rapport, reste a faire le scan avec OTL et poster les deux rapports...


@++
par dédétraqué
#41159
Salut nass


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.22find.com/newtab?utm_source ... 1360082947
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.22find.com/web/?utm_sourc ... 1360082948
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.22find.com/web/?utm_sourc ... 1360082948
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://search.certified-toolbar.com?si= ... earchTerms}
IE - HKU\S-1-5-21-3220378913-3935654394-3945582707-1000\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-3220378913-3935654394-3945582707-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://search.certified-toolbar.com?si= ... earchTerms}
[2011/08/29 16:55:05 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchadj.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3220378913-3935654394-3945582707-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2013/02/06 20:32:38 | 000,000,000 | ---D | C] -- C:\Users\toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
[2013/02/06 20:32:37 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2013/02/05 17:49:08 | 000,002,151 | ---- | M] () -- C:\Users\toshiba\Application Data\Microsoft\Internet Explorer\Quick Launch\22find.lnk
[2013/02/05 17:49:08 | 000,002,127 | ---- | M] () -- C:\Users\toshiba\Desktop\22find.lnk

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


-----


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:dir
C:\Users\toshiba\AppData\Roaming\Rypa /s
C:\Users\toshiba\AppData\Roaming\Teuc /s
C:\Users\toshiba\AppData\Roaming\Ywdyo /s
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++
Avatar du membre
par nass
#41189
bonsoir,
le rapport systemlook:


SystemLook 30.07.11 by jpshortstuff
Log created at 22:10 on 08/02/2013 by toshiba
Administrator - Elevation successful

========== dir ==========

C:\Users\toshiba\AppData\Roaming\Rypa - Parameters: "/s"

---Files---
None found.

No folders found.

C:\Users\toshiba\AppData\Roaming\Teuc - Parameters: "/s"

---Files---
None found.

No folders found.

C:\Users\toshiba\AppData\Roaming\Ywdyo - Parameters: "/s"

---Files---
nuhue.kax --a---- 415853 bytes [07:29 27/02/2011] [21:59 06/07/2012]

No folders found.

-= EOF =-

merci
par dédétraqué
#41191
Salut nass


OK de vieille infection dans le rapport SystemLook, as-tu encore le souci 22find?


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Files
C:\Users\toshiba\AppData\Roaming\Rypa
C:\Users\toshiba\AppData\Roaming\Teuc
C:\Users\toshiba\AppData\Roaming\Ywdyo

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++
Avatar du membre
par nass
#41204
Bonjour,
internet explorer
j'ai même essayé de désinstaller IE mais impossible,
à++
par dédétraqué
#41219
Salut nass


Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


-----


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:regfind
22find
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++
Avatar du membre
par nass
#41335
salut,
le rapport systemlook

SystemLook 30.07.11 by jpshortstuff
Log created at 02:52 on 10/02/2013 by toshiba
Administrator - Elevation successful

========== regfind ==========

Searching for "22find"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DoNotAskAgain"="22find.com live.com"
[HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.22find.com/newtab?utm_source ... 1360082947"
[HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.22find.com/newtab?utm_source ... 1360082947"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="http://www.22find.com/newtab?utm_source ... 1360082947"
[HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DoNotAskAgain"="22find.com live.com"
[HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.22find.com/newtab?utm_source ... 1360082947"
[HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.22find.com/newtab?utm_source ... 1360082947"

-= EOF =-


merci
par dédétraqué
#41347
Salut nass


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DoNotAskAgain"=-
[HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs]
"Tabs"=-
[HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DoNotAskAgain"=-
[HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++
Avatar du membre
par nass
#41360
Bonjour dédétraqué
voilà le rapport
All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\DoNotAskAgain not found.
Registry value HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs\\Tabs deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DoNotAskAgain not found.
Registry value HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page not found.
Registry value HKEY_USERS\S-1-5-21-3220378913-3935654394-3945582707-1000\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: Invité
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: Public

User: toshiba
-Temp folder emptied: 185575 bytes
-Temporary Internet Files folder emptied: 65068354 bytes
-Java cache emptied: 0 bytes
-FireFox cache emptied: 11750410 bytes
-Flash cache emptied: 506 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7220 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50406 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 73,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 02102013_172831

Files\Folders moved on Reboot...
C:\Users\toshiba\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\toshiba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\79D2HAHB\aps[1].txt not found!
File\Folder C:\Users\toshiba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\79D2HAHB\aps[2].txt not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


je n'arrive toujours pas à entrer directement à ma page d'accueil, il est toujours là
merci pour ton aide
par dédétraqué
#41370
Salut nass


- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:regfind
22find
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++
Avatar du membre
par nass
#41379
salut
voilà le rapport,
SystemLook 30.07.11 by jpshortstuff
Log created at 20:43 on 10/02/2013 by toshiba
Administrator - Elevation successful

========== regfind ==========

Searching for "22find"
No data found.

-= EOF =-

à++
par dédétraqué
#41382
Salut nass


On va remettre les paramètres par défauts de IE :

Ouvre IE, dans le haut clique sur Outils/Options Internet et dans le dernier onglet [g]Avancé[/g], clique dans le bas sur Réinitialiser...
Dans la nouvelle fenêtre ne coche pas la case et clique sur Réinitialiser, faudra redémarrer IE pour que cela soit pris en compte.

Toujours cette toolbar?


@++
Avatar du membre
par nass
#41390
salut
j'ai réinitialisé IE plusieurs fois, mais 22find search s'affiche toujours quand j'ouvre IE,
merci pour ton aide.
par dédétraqué
#41391
Salut nass


OK, si tu passes par C:\Program Files (x86)\Internet Explorer\iexplore.exe pour l'ouvrir, toujours la toolbar?


@++
Avatar du membre
par nass
#41392
salut,
alors quand je passe par C:\Program Files (x86)\Internet Explorer\iexplore.exe, je trouve ma page d'accueil google.ch

mais quand j'utilise le raccourci sur le bureau je trouve 22find
par dédétraqué
#41429
Salut nass


J'ai besoin du raccourci infecté qui est le le bureau, créer toi un dossier sur le bureau et mettre le raccourci infecté dedans, fais un clique droit dessus au compresse le(zip) et envoie le sur cjoint et poste le lien du fichier zip...


Télécharge Shortcut_Module (de g3n-h@ckm@n), exécute le et poste le rapport :

http://www.security-helpzone.com/Tools/ ... Module.exe

Et le rapport ce trouve a la racine : C:\rapport.txt


@++
Avatar du membre
par nass
#41458
salut dédétraqué,
je vous remercie infiniment pour votre aide, 22find n'est plus là, il a disparu, j’espère à jamais,
je vous souhaite une bonne soirée
Avatar du membre
par g3n-h@ckm@n
#41460
salut dommage que tu n'aies pas fourni le raccourci comme demandé mais c'est pas grave ca a été pris en charge par l outil
Avatar du membre
par nass
#41468
bonsoir,
je n'ai pas bien compris, qu'el est le raccourci demandé, veuillez m'expliquer s'il vous plait
merci
par dédétraqué
#41470
Salut nass


C'étais le raccourci d'internet Explorer infecté par 22find qui étais sur le bureau, maintenant cela n'est plus nécessaire.


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau :

http://www.general-changelog-team.fr/fr ... /26-delfix

Lance-le, coche l'option "Supprimer les outils de désinfection".
Clique sur [Exécuter]
Patiente durant l'opération..


-----


Je te donne quelques consignes de sécurité :

Image Windows Update parfaitement à jour http://www.windowsupdate.com/
Image Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Image Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Image Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Image Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Image Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Image Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk)
Image Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Image Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Image Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

Bonne journée/soirée et bon surf


@++
Avatar du membre
par nass
#41518
Bonsoir,
je vous remercie pour votre aide et pour tous ces conseils,
bonne continuation à vous

Configurez la redirection de port sur votre Freebo[…]

Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]