FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[cemidema]

Bonjour,

Je suis ennuyé depuis quelques jour avec Do searches.com. Jusqu'à présent, tout allait bien et du jour au lendemain, ma page internet ainsi que le moteur de recherche par défaut est "Do search"....C'est arrivé d'abord sur Google chrome mais comme je souhaitais le désinstaller pour essayer Firefox, ca ne m'a pas posé plus de soucis que cela. par contre, sur Explorer, ce "Do search" est là en permanence et je ne réussi pas à m'en défaire.
J'ai éxecuté mon anitivirus "MSE", ccleaner, Malwarebyte mais rien n'y fais.
Firefox me disait que j'ai un souci avec Java.....je ne sais pas si ca peut venir de là!!!
J'ai donc suivi un post similaire sur ce site mais il y a un moment où je ne peux plus apparemment me débrouiller seul.

Quelqu'un peut il me venir en aide s'il vous plait?

Je suppose que les rapports suivant ont leurs importance:

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 599

Type de recherche: Examen rapide
Eléments examinés: 27668
Temps écoulé: 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Lien SFTGC: http://cjoint.com/?0JFdCq3IUHI
Lien ZHPdiag: http://cjoint.com/?0JFdEDdmyC9

Et c'est ensuite que je bloque

Merci de votre aide.

[g3n-h@ckm@n]

salut

Télécharge et enregistre (lien direct) http://general-changelog-team.fr/fr/dow ... adwcleaner ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 = clic droit "executer en tant qu'administrateur") puis clique sur scan

une fois fait , clique sur nettoyer et poste C:\Adwcleaner[Sx].txt

[cemidema]

Bonjour,

Merci pour ta réponse.
Voici le lien ADWcleaner: http://cjoint.com/?0JFmNThpl7I

[g3n-h@ckm@n]

ok passe JRT comme indiqué ici : http://www.security-helpzone.com/gen-ha ... oval-tool/

[cemidema]

Voici le rapport JRT: http://cjoint.com/?0JFpyrORBmW

Petite précision, j'ai supprimé firefox et réinstallé google du fait que ma préférence va à chrome. Est ce que ça change quelque chose dans l'emsemble du processus ou pas?

[g3n-h@ckm@n]

pas vraiment mais tu fais bien de l'avoir dit car j'aurais été surpris par les dates dans le diag à venir

passe malwarebytes : http://www.security-helpzone.com/gen-ha ... warebytes/

[cemidema]

Rapport Malwarebyte arrivé http://cjoint.com/?0JFqQncKlfx

[g3n-h@ckm@n]

ca t'amuse de cracker windows 7 ?
et tu t'étonnes d'être infecté ?

tu devras changer tous tes mots de passe une fois la desinfection terminée , ils ont été envoyé sur des seveurs étrangers avec tes bêtises c'est malin !!

[cemidema]

Windows 7 n'est pas cracké.....je dispose d'une clé officielle ainsi que du cd d'installation.

[cemidema]

Où vois tu qu'il me faut changer mes mots de passes, j'ai examiné les rapports et rien ne stipule cela à moins que j'ai mal regardé !!!

[g3n-h@ckm@n]

alors c'est quoi ces activateurs pour windows 7 que malwarebytes a trouvé ?

[cemidema]

Je suppose que tu me parles de ça:

E:\5)Programmes utiles\Clef multiboot\Programmes divers\kgb-free-keylogger_free_kgb_key_logger_4.5.4.831_anglais_56010.exe (PUP.KGBKeylogger) - Aucune action effectuée.
E:\5)Programmes utiles\Clef multiboot\Programmes divers\crack win 7\RemoveWAT.exe (HackTool.Wpakill) - Aucune action effectuée.
E:\5)Programmes utiles\crack win 7\RemoveWAT.exe (HackTool.Wpakill) - Aucune action effectuée.


Ce sont des programmes que je conserve en cas de besoin et ils sont stockés sur un HDD dédié.
La seule chose qui ne soit pas officielle c'est mon office mais bon si je devais le désinstallé, il a y de très bon programmes open source capable de remplacer un office hors de prix.

Pour en revenir à la désinfection, celle ci est elle terminée ou y a t'il une autre marche à suivre?
En ouvrant mes navigateurs, il ne se passe plus rien de particulier.

[g3n-h@ckm@n]

en cas de besoin ? un crack pour win 7 et un keylogger ?

on fait un diag voir s'il reste pas une bête qui n'a pas été detectée par les outils et le cas echeant on plie avec un menage final

http://www.security-helpzone.com/gen-ha ... eds/otl-2/

[cemidema]

Le keylogger n'est pas illégal que je sache. Ce qui est illégal c'est de l'installer sur une machine sans en avertir la ou les personnes concernées.
Pour le crack, il m'a été bien utile à plusieurs reprises pour mettre en route de vieille machine sans clé ou sans windows d'installé.
Bref

Voici le fichier txt OTL: http://cjoint.com/?3JFsJYKk7LR
et là Extras txt: http://cjoint.com/?3JFsKYQLqaU


Encore merci pour ton aide

[g3n-h@ckm@n]

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP = double clique
si tu as Vista ou windows 7 = clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
FF - user.js - File not found
O4 - HKLM\..\Run: [fst_fr_6] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O33 - MountPoints2\{19cfa868-07c7-11e3-b278-bc5ff41e3de2}\Shell - "" = AutoRun
O33 - MountPoints2\{19cfa868-07c7-11e3-b278-bc5ff41e3de2}\Shell\AutoRun\command - "" = G:\HTC_Sync_Manager_PC.exe
O33 - MountPoints2\{5eeb8602-eb07-11e2-aa41-bc5ff41e3de2}\Shell - "" = AutoRun
O33 - MountPoints2\{5eeb8602-eb07-11e2-aa41-bc5ff41e3de2}\Shell\AutoRun\command - "" = G:\HTC_Sync_Manager_PC.exe
O33 - MountPoints2\{feca924b-a277-11e2-8eac-bc5ff41e3de2}\Shell - "" = AutoRun
O33 - MountPoints2\{feca924b-a277-11e2-8eac-bc5ff41e3de2}\Shell\AutoRun\command - "" = G:\HTC_Sync_Manager_PC.exe
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\HTC_Sync_Manager_PC.exe
O33 - MountPoints2\I\Shell - "" = AutoRun
O33 - MountPoints2\I\Shell\AutoRun\command - "" = I:\HTC_Sync_Manager_PC.exe
MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Ralink Wireless Utility.lnk - - File not found
MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Remote Control.lnk - - File not found
MsConfig:64bit - StartUpFolder: C:^Users^Cécimicka^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk - - File not found
MsConfig:64bit - StartUpFolder: C:^Users^Cécimicka^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Horloge La Poste.lnk - - File not found
MsConfig:64bit - StartUpFolder: C:^Users^Cécimicka^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Logitech . Enregistrement du produit.lnk - - File not found
[2013/10/31 16:41:52 | 000,000,268 | ---- | M] () -- C:\Windows\tasks\AutoKMS.job
[2 C:\Windows\*.tmp files - C:\Windows\*.tmp - ]
[2013/04/16 14:08:37 | 000,000,000 | ---D | M] -- C:\ProgramData\InstallMate
[2013/02/23 16:12:41 | 000,000,000 | ---D | M] -- C:\ProgramData\Spybot - Search Destroy
[2013/02/23 17:27:45 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Spybot - Search Destroy 2

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{7D6E5DE9-BBC2-4B49-B9DF-85E2AAAC75D4}"=-

:Files
D:\Temp\*.tmp
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*

:commands
[emptytemp]

Clique sur "Correction" pour lancer la suppression.


Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

[cemidema]

Voilà, la correction est faite

http://cjoint.com/?3JFw5f4ilqn


Si tout est ok, je te renouvelle mes remerciements
ca fait plaisir de savoir qu'il y a des personnes et des forums compétants venant en aide à des inconnus.
C'est vraiment sympa.

[g3n-h@ckm@n]

5 Go de gagnés

t'as retiré ton lecteur D:\ avant la correction ?

des soucis persistent ?

[cemidema]

Non je n'ai rien retiré, ce sont des HDD physiques intégrés dans la tour.
Chaque disque ou partition à une fonction. le D correspond aux fichiers Temp/TMP et enregistrement windows média.
Régulièrement j'utilise %temp%

J'ai utilisé les 3 navigateur présent sur ma machine et tout se passe bien, le pc à redémarré 2 fois de puis le début de ton intervention et tout à l'air parfait.

Je pense donc que le sujet est clos.
Merci beaucoup
 

[g3n-h@ckm@n]

ok tu peux donc finir avec ce ménage : http://www.security-helpzone.com/gen-ha ... infection/

[cemidema]

Voici le dernier rapport, celui de delfix: http://cjoint.com/?3JFxJGV648o

Cette fois ci, je pense que c'est bon

Merci pour tout



Sujet clos

[g3n-h@ckm@n]

[roro04]

Bonjour,

Le sujet est à présent résolu, nous nous chargeons donc de le mettre en résolu et nous le verrouillons.
Vous pouvez si vous le souhaitez, mettre en valeur les messages ayant résolu votre problème comme ceci : http://www.forum-entraide-informatique. ... onse-utile

Cela permettra une meilleure visibilité du sujet pour les autres utilisateurs ayant le même souci.

Si le forum vous a aider dans la résolution de votre problème et que vous souhaitez le remercier, vous avez la possibilité de faire un don afin de l'encourager dans ses démarches en cliquant sur le bouton suivant :




Vous pouvez aussi suivre FEI sur Facebook en cliquant sur J'aime ci-dessous :



Merci d'avance,
À bientôt sur FEI !