FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[kiterjul]

comme bcp de personnes apparemment, j'ai ma page d'accueil internet qui n'est plus la meme. depuis peu, j'ai do search alors que je n'ai rien demandé.
comment faire pour supprimer cette m**** qui me gonfle ?
je ne m'y connais vraiment pas bcp en informatique et la moindre manip me fait peur.

Windows 8.1 et je suis sur internet explorer.
j'ai beau aller dans outils, options internet et regler ma page de demarrage mais rien n'y fait, j'ai toujours do search.

merci pour votre aide. 

[kiterjul]

# AdwCleaner v3.013 - Rapport créé le 27/11/2013 à 14:14:01
# Mis à jour le 24/11/2013 par Xplode
# Système d'exploitation : Windows 8.1 (64 bits)
# Nom d'utilisateur : famille - MAISON
# Exécuté depuis : C:\Users\famille\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16384


*************************

AdwCleaner[R2].txt - [650 octets] - [27/11/2013 14:11:04]
AdwCleaner[S2].txt - [572 octets] - [27/11/2013 14:14:01]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [631 octets] ##########

[kiterjul]

Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.8 (11.05.2013:1)
OS: Windows 8.1 x64
Ran by famille on 27/11/2013 at 14:33:39,74
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL
Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\bonanzadeals
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\bonanzadeals
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{2703C705-E2E4-4467-BB18-D9E5BB3A5CCC}
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\microsoft\Internet Explorer\SearchScopes\{2703C705-E2E4-4467-BB18-D9E5BB3A5CCC}
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2703C705-E2E4-4467-BB18-D9E5BB3A5CCC}



~~~ Files

[2011N2]

Bonjour,

Passe Shortcut_Module et poste le rapport : http://www.forum-entraide-informatique. ... e-tutoriel

Gabriel.

[kiterjul]

ok, des que MalwareBytes' Anti-Malware aura fini.
pour le moment il a detecté 2 elements suspects, a voir si y en aura plus une fois terminé.
c'est bizard car ce matin j'ai fait une analyse avec skyhunter ou un truc dans ce genre et il m'a trouvé plus de 200 infections !!!!

[2011N2]

Re,

SpyHunter est une arnaque, il détecte des éléments fictifs et te fait payer pour... ne rien supprimer du tout. ^^
Désinstalle-le, à part abîmer ton PC (et ta compte bancaire), il ne sert à rien.

Gabriel.

[kiterjul]

ok.
c'est deja desinstallé. des que j'ai vu que c'etait payant, j'ai tout arreté et desinstallé.

[2011N2]

Re,

Ok.

Gabriel.

[kiterjul]

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2013.11.27.05

Windows 8 x64 NTFS
Internet Explorer 11.0.9600.16438
famille :: MAISON [administrateur]

Protection: Activé

27/11/2013 14:49:25
mbam-log-2013-11-27 (14-49-25).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 465989
Temps écoulé: 2 heure(s), 7 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\BONANZADEALS (PUP.Optional.BonanzaDeals.A) - Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\BonanzaDeals|ChromeCrxPath (PUP.Optional.BonanzaDeals.A) - Données: C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx - Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 4
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (PUP.Optional.DoSearch.A) - Mauvais: (C:\Program Files\Internet Explorer\iexplore.exe http://do-search.com/?type=scts=1385502 ... J9AD600562) Bon: (iexplore.exe) - Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (PUP.Optional.DoSearch.A) - Mauvais: (http://do-search.com/web/?type=dsts=138 ... earchTerms}) Bon: (http://www.google.com) - Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.DoSearch.A) - Mauvais: (http://do-search.com/?type=hpts=1385502 ... J9AD600562) Bon: (http://www.google.com) - Mis en quarantaine et réparé avec succès
HKLM\Software\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.DoSearch.A) - Mauvais: (http://do-search.com/?type=hpts=1385502 ... J9AD600562) Bon: (http://www.google.com) - Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 7
C:\$Recycle.Bin\S-1-5-21-3194259286-3936153021-1990124548-1002\$RHM4750\Quarantine\C\ProgramData\eSafe\eGdpSvc.exe.vir (PUP.Optional.Wsys.A) - Mis en quarantaine et supprimé avec succès.
C:\Users\famille\AppData\Local\Temp\fullpackage_temp1385502553\tmp\eGdpSvc.exe (PUP.Optional.Wsys.A) - Mis en quarantaine et supprimé avec succès.
C:\Windows.old\Users\famille\AppData\Local\Temp\DM\software\SaltarSmart_tg.exe (PUP.Optional.SaltarSmart.A) - Mis en quarantaine et supprimé avec succès.
C:\Windows.old\Users\famille\AppData\Local\Temp\is609929163\47575442_stp.EXE (PUP.Optional.InstallCore) - Mis en quarantaine et supprimé avec succès.
C:\Windows.old\Users\famille\AppData\Local\Temp\is609929163\56661337_stp.EXE (PUP.Optional.InstallCore) - Mis en quarantaine et supprimé avec succès.
C:\Windows.old\Users\famille\AppData\Local\Temp\is609929163\64218402_stp.EXE (PUP.Optional.InstallCore) - Mis en quarantaine et supprimé avec succès.
C:\Windows.old\Users\famille\AppData\Local\Temp\is609929163\64218556_stp\BatBrowseSetup.exe (PUP.Optional.BatBrowse.A) - Mis en quarantaine et supprimé avec succès.

(fin)

[2011N2]

Re,

Ok, fais Shortcut_Module.

Gabriel.

[kiterjul]

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module 13.11.2013.2 - g3n-h@ckm@n

17:14:05 - 27/11/2013

(916) -- atiesrxx.exe
(580) -- atieclxx.exe
(836) -- hpservice.exe
(1052) -- RTKAUDIOSERVICE64.EXE
(1068) -- RAVBg64.exe
(1388) -- spoolsv.exe
(1552) -- AdaptiveSleepService.exe
(1588) -- AERTSr64.exe
(1604) -- Fuel.Service.exe
(1640) -- mDNSResponder.exe
(1676) -- dasHost.exe
(1704) -- HPWMISVC.exe
(1760) -- mbamscheduler.exe
(1900) -- TomTomHOMEService.exe
(2320) -- mbamgui.exe
(2948) -- explorer.exe
(2812) -- taskhostex.exe
(3864) -- SearchIndexer.exe
(3296) -- RtkNGUI64.exe
(3612) -- SynTPEnh.exe
(2928) -- GoogleToolbarNotifier.exe
(3200) -- TomTomHOMERunner.exe
(4032) -- SynTPHelper.exe
(4064) -- PDVD10Serv.exe
(3492) -- YCMMirage.exe
(1240) -- CoolSense.exe
(4016) -- AccelerometerSt.exe
(3412) -- hpqwmiex.exe
(3624) -- HPMSGSVC.exe
(2884) -- iexplore.exe
(252) -- GoogleToolbarUser_32.exe
(3752) -- MOM.exe
(3456) -- CCC.exe
(2760) -- HPSA_Service.exe
(4832) -- wmpnetwk.exe
(1448) -- FlashUtil_ActiveX.exe
(4248) -- taskhost.exe
(1180) -- WSHost.exe
(5604) -- PresentationFontCache.exe
(6580) -- VSSVC.exe

¤¤¤¤¤¤¤¤¤¤ | Hijack Links

Disinfected : C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Music, Photos and Videos\Photos Snapfish.lnk : C:\Program Files (x86)\Hewlett-Packard\Shared\WizLink.exe (hxxp://www.snapfish.com/hp_notebook_desktopicon_2013_fr)
Disinfected : C:\Users\famille\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk : C:\Program Files\Internet Explorer\iexplore.exe (hxxp://do-search.com/?type=scts=1385502567from=tugsuid=ST750LM022XHN-M750MBB_S2YDJ9AD600562)
Disinfected : C:\Users\famille\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe (hxxp://do-search.com/?type=scts=1385502567from=tugsuid=ST750LM022XHN-M750MBB_S2YDJ9AD600562)
Disinfected : C:\Users\famille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe (hxxp://do-search.com/?type=scts=1385502567from=tugsuid=ST750LM022XHN-M750MBB_S2YDJ9AD600562)
Disinfected : C:\Users\Public\Desktop\Photos Snapfish.lnk : C:\Program Files (x86)\Hewlett-Packard\Shared\WizLink.exe (hxxp://www.snapfish.com/hp_notebook_desktopicon_2013_fr)

¤¤¤¤¤¤¤¤¤¤ | Hijack Internet Explorer

Repaired : [HKU\S-1-5-21-3194259286-3936153021-1990124548-1002\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://pro.orange.fr/ - http://www.google.com/
Repaired : [HKU\S-1-5-21-3194259286-3936153021-1990124548-1002\Software\Microsoft\Internet Explorer\Main]|[Local Page] : C:\WINDOWS\system32\blank.htm - C:\WINDOWS\SysWOW64\blank.htm
Repaired : [HKU\S-1-5-21-3194259286-3936153021-1990124548-1002\Software\Microsoft\Internet Explorer\Main]|[Search Page] : http://go.microsoft.com/fwlink/?LinkId=54896 - http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Repaired : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://www.google.com - http://go.microsoft.com/fwlink/?LinkId=69157
Repaired : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Default_Search_URL] : http://www.google.com - http://go.microsoft.com/fwlink/?LinkId=54896
Repaired : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Default_Page_URL] : http://www.google.com - http://go.microsoft.com/fwlink/?LinkId=69157
Repaired : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Search Page] : http://do-search.com/web/?type=dsts=138 ... earchTerms} - http://go.microsoft.com/fwlink/?LinkId=54896
Repaired : [HKU\S-1-5-21-3194259286-3936153021-1990124548-1002\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 - 1

¤¤¤¤¤¤¤¤¤¤ | Hijack Google Chrome


¤¤¤¤¤¤¤¤¤¤ | Hijack Firefox


¤¤¤¤¤¤¤¤¤¤ | Hijack StartMenuInternet

Repaired : [HKLM\Software\Clients\StartMenuInternet\IExplore.exe\shell\open\command] : iexplore.exe - "C:\Program Files (x86)\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤ | TEMP Files

[Default.migrated] TEMP Files deleted : 0 Ko
[All Users] TEMP Files deleted : 0 Ko
[Default User] TEMP Files deleted : 0 Ko
[Public] TEMP Files deleted : 0 Ko
[Default] TEMP Files deleted : 0 Ko
[famille] TEMP Files deleted : 36720 Ko

¤¤¤¤¤¤¤¤¤¤ |EOF| ¤¤¤¤¤¤¤¤¤¤

[2011N2]

Re,

Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique. ... c-tutoriel

Puis fais un diagnostic de ton PC avec ZHPDiag et poste le rapport également hébergé sur cjoint : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

[kiterjul]

ca a l'air d'avoir marché  

j'ai retrouvé la page d'accueil Google. je vais la changer ca ce n'est pas celle ci que je veux mais je n'ai plus do search.

tant que j'y suis, y a t il d'autres logiciels qu'il faut avoir sur son pc pour nettoyer/desinfecter ?
il faut faire une analyse régulièrement j'imagine ?

[2011N2]

Re,

Oui mais il y a surement des restes, fais le ZHPDiag et je te donnerai tous ces conseils à la fin de la désinfection.

Gabriel.

[kiterjul]

SFTGC:
http://cjoint.com/?CKBr03sjDLA

ZHP Diag:
http://cjoint.com/?CKBr3apDQOw

[2011N2]

Re,

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

[kiterjul]

Rapport de ZHPFix 2013.11.26.8 par Nicolas Coolman, Update du 26/11/2013
Fichier d'export Registre :
Run by famille at 27/11/2013 18:26:54
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (9600)

Corbeille vidée (00mn 02s)

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\Software\Wow6432Node\do-searchSoftware

========== Valeurs du Registre ==========
SUPPRIMÉ: {338C5E62-D8E3-4229-824A-7301789AA58D}

========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R0 - Main,Start Page = KLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R1 Search Page =

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (1) (9 268 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Clés du Registre
1 : Valeurs du Registre
2 : Eléments de donnée du Registre
1 : Dossiers
2 : Fichiers
1 : Restauration Système


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\Users\famille\AppData\Roaming\ZHP\ZHPFix[R1].txt - 27/11/2013 18:26:56 [1193]

[2011N2]

Re,

Ok tu vas me faire deux exports de clés pour le développeur de ZHPDiag STP, car il a un peu buggé (mais aucune incidence c'est pas grave j'ai pu me débrouiller quand même ).

Ouvre l'éditeur de registre en faisant :
- Démarrer = Exécuter (ou Windows + R).
- Tape regedit et valide par Ok.

Sélectionner la clé suivante (déploie puis clique sur le petit dossier "services") : HKLM\SYSTEM\CurrentControlSet\Services

Puis fais Fichier = Exporter, et tu enregistres sur le bureau.
Puis tu héberges le fichier sur cjoint et me transmets le lien ici.

Tu feras pareil pour cette clé STP : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

Merci d'avance,

Gabriel.

[kiterjul]

key services: http://cjoint.com/?CKBtxkcPZZS

key svchost: http://cjoint.com/?CKBtxZCr9i9

[2011N2]

Re,

Merci.

Peux-tu me faire un dernier ZHPDiag pour voir si tout est ok STP ?

Après il nous restera encore à finaliser.

Gabriel.

[kiterjul]

salut,
voila le rapoport.
http://cjoint.com/?CKCkINyeJS5

il reste encore bcp de manip ?

[2011N2]

Salut,

Finalisons, voici la procédure : http://www.forum-entraide-informatique. ... nalisation
Tiens moi au courant de ton avancée au fur et à mesure.

Gabriel.

[kiterjul]

maj ok.

usb fix :
rapport1 : http://cjoint.com/?CKCsDMjhqQe
rapport2 : http://cjoint.com/?CKCsD4ZOA7o
rapport3 : http://cjoint.com/?CKCsEnVG28e

[kiterjul]

delfix : http://cjoint.com/?CKCsK2SrkMD

[kiterjul]

ccleaner ok.

[kiterjul]

my defrag ok

[2011N2]

Re,

Bien, vaccine les supports avec UsbFix.

Gabriel.

[kiterjul]

c fait.

[2011N2]

Parfait.

Gabriel.

[kiterjul]

pas moyen de telecharger security check, pourtant j'ai tout desactivé dans mon anti virus.

[2011N2]

Re,

Tiens, je te l'ai zippé et hébergé : http://cjoint.com/13nv/CKCthDFYSew.htm

Gabriel.

[kiterjul]

heu, je fais quoi avec ca ? c'est un dossier rar, ca marche comment ?

[2011N2]

Re,

Tu l'extrais avec 7-zip par exemple.

Gabriel.

[kiterjul]

Results of screen317's Security Check version 0.99.77
x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Windows Defender
Norton Internet Security
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
````````Process Check: objlist.exe by Laurent````````
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: %
````````````````````End of Log``````````````````````



ca y est, c'est tout bon ? ou y a encore des manip a faire ?
j'imagine qu'un redemarrage sera necessaire .

[2011N2]

Re,

Ok.

Oui tout est bon, as-tu des questions sur ce sujet ou je peux le clore ?

Gabriel.

[kiterjul]

j'ai juste une notification me disant que j'ai une version anterieure qui prend enormement de place ( j'imagine que c'est windows8 alias Windows.old ), dois je la supprimer ?

j'ai l'impression que ca rame un peu plus que d'habitude, est ce normal ?

que dois je faire régulièrement comme analyse/detection ?

[2011N2]

Re,

Si t'as tout récupéré tu peux supprimer Windows.old...

Non, t'as redémarré pour voir si ça ramait toujours ?

Tu fais régulièrement MBAM et ton antivirus, après c'est surtout ton comportement, faut être prudent, télécharger sur les sites des éditeurs, ne pas cliquer n'importe où, etc.

Gabriel.

[kiterjul]

redemarrage ce soir, là je vais manger un bout.
tu peux clore le sujet en "resolu".

un grand   a toi pour ta reactivité et ta disponibilité    

[2011N2]

Re,

Bien.

Je t'en prie, bonne soirée et à bientôt.

Gabriel.