FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[raphael.79]

Bonjour,
je m'excuse d'avance d'avoir faire ce sujet vu le nombre de forums qui portent sur mysearchdial, mais après avoir tenter de nombreuses tentatives conseillées dans ces forums et par leur échec je suis contraint de lancer un appel à l'aide vu mon faible niveau en informatique.
A chaque recherche sur google, l'adresse https://www.google.fr/ est tout suivie de "search....", je n'arrive pas à me débarrasser manuellement de ce virus.
Quand je veux supprimer le moteur de recherche il est grisé, et je ne peux pas non plus en rajouter de viable c'est bloqué. C'est pareil pour IE, mozilla, ou chrome.
J'ai essayé adw cleaner sans succès.
Merci de bien vouloir m'aider.

[dédétraqué]

Salut raphael.79, bienvenu sur le forum


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Choisissez un fichier pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++

[raphael.79]

Merci de bien vouloir prendre le temps de m'aider.
J'ai fais ce que vous m'avez dit, voici le lien pour le OIT txt : http://cjoint.com/?3KpsDwDE9sJ
Par contre une seule fenêtre s'est ouverte et je ne trouve pas Extras txt pour l'instant.

[dédétraqué]

Salut raphael.79


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve dans le lien ci-dessous, et colle-la dans la zone sous " Personnalisation "
Bien inclure :Reg au début du script de correction

:Reg
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DivXMediaServer"=-
"fst_fr_9"=-

:OTL
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.p ... 8407294ir=
IE - HKU\S-1-5-21-1166699922-3144987063-3553376638-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1166699922-3144987063-3553376638-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.p ... 8407294ir=
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2013/11/12 14:39:08 | 000,001,151 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2013/11/12 14:39:07 | 000,001,163 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[2013/11/12 14:34:33 | 000,002,283 | ---- | C] () -- C:\Users\CHRISTIAN\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2013/11/12 14:34:33 | 000,002,259 | ---- | C] () -- C:\Users\Public\Desktop\Google Chrome.lnk
@Alternate Data Stream - 140 bytes - C:\ProgramData\Temp:77846FFE
@Alternate Data Stream - 133 bytes - C:\ProgramData\Temp:2CFBE2D1

:Commands
[Emptytemp]
* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++

[raphael.79]

Merci, je vais faire ça tout de suite !!!!

[raphael.79]

Voici le rapport, mysearchdial a disparu en tant que module complémentaire, mais je ne peux pas en ajouter un autre.
De plus mysearchdial reste encore là pour faire mes recherches internet

All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DivXMediaServer deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\fst_fr_9 deleted successfully.
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_USERS\S-1-5-21-1166699922-3144987063-3553376638-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1166699922-3144987063-3553376638-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
C:\Users\Public\Desktop\Mozilla Firefox.lnk moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk moved successfully.
C:\Users\CHRISTIAN\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk moved successfully.
C:\Users\Public\Desktop\Google Chrome.lnk moved successfully.
ADS C:\ProgramData\Temp:77846FFE deleted successfully.
ADS C:\ProgramData\Temp:2CFBE2D1 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: CHRISTIAN
-Temp folder emptied: 2596229 bytes
-Temporary Internet Files folder emptied: 14889179 bytes
-Java cache emptied: 721972 bytes
-FireFox cache emptied: 236899491 bytes
-Google Chrome cache emptied: 45416228 bytes
-Flash cache emptied: 5623 bytes

User: Default
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2515869 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 124467 bytes
RecycleBin emptied: 381643 bytes

Total Files Cleaned = 289,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 11152013_205204

Files\Folders moved on Reboot...
C:\Users\CHRISTIAN\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File\Folder C:\Windows\temp\~bdECC4.tmp not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[raphael.79]

Les moteurs de recherche yahoo, bing et google sont bon mais leur adresse sont fausses
http://fr.search.yahoo.com/search?ei={i ... =crmasp=%s
http://www.bing.com/search?setmkt=fr-FRq=%s
{google:baseURL}search?q=%s{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding

Je sais pas si cela peut t'aider mais bon.

[dédétraqué]

Salut raphael.79


Avec quel navigateur tu as encore des soucis?


@++

[raphael.79]

Re-bonjour
j'ai un problème avec IE, mozilla, et chrome, les 3 qui sont sur mon ordinateur, les 3 sont encore infectés.
Qu'en penses-tu ?
Merci d'avance.

[dédétraqué]

Salut raphael.79


Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


@++

[raphael.79]

Salut,
Voilà le rapport http://cjoint.com/?3KqndziiJEN , de mon coté aucun changement, mysearchdial est toujours présent sur les 3 navigateurs
Merci d'avance.

[dédétraqué]

Salut raphael.79



Cela est bon pour le rapport, probablement les raccourcis utilisés qui sont infectés, si tu ouvres tes navigateurs directe en passant par Program Files, par exemple pour firefox tu suis ce chemin :
C:\Program Files (x86)\Mozilla Firefox\firefox.exe

As-tu encore mysearchdial?


@++

[raphael.79]

J'ai ouvert une page comme tu l'as dis, j'ai tapé un mot à rechercher au hasard et la page des résultats a adresse qui est fausse https://www.google.fr/search?.....
Et cela sur les 3 navigateurs.

[dédétraqué]

Salut raphael.79


Là je comprends pas trop, c'est l'adresse sécurisé (https) de google!!!

As-tu encore mysearchdial quand tu passes par Program Files?


@++

[raphael.79]

Quand je passe par programme files je ne l'ai pas,
Mon problème maintenant c'est que les résultats de mes recherches sont faussés, avec mozilla je tappe facebook l'adresse c'est
https://www.google.fr/search?q=facebook ... 0QXx94GQAg
alors que normalement c'est https://www.google.fr/#q=facebook

Les adresses des mes moteurs de recherches sont fausses à chaque fois et je ne peux pas les modifier.

[dédétraqué]

Salut raphael.79


Dans la barre d'adresse de Firefox tape aboutsupport

Sur la page qui s'affiche clique sur Réinitialiser Firefox 




Tous Les paramètres Firefox et informations personnelles sont conservées dans ton dossier de profil.

Ceci fait quitte Firefox et redémarre le. 

Dis moi si encore des soucis avec Firefox?


@++    

[raphael.79]

Cela m'est impossible on me renvoie à une page internet bidon
https://www.google.fr/search?q=[g]aboutsupport[/gie=utf-8oe=utf-8rls=org.mozilla:fr:officialclient=firefox-achannel=fflbgws_rd=crei=iaiHUob1MKaU0QWu7YHYBw

[dédétraqué]

Salut raphael.79


Bon j'ai modifier mon dernier poste, refais le...


@++

[raphael.79]

impossible, toujours une autre page, aucune possibilité de faire un réinitialisation

[raphael.79]

J'ai pu finalement réinitialiser firefox, mais il y a toujours "search" dans les adresses en haut.
ça n'a pas marcher.

[dédétraqué]

Salut raphael.79


Regarde si tu as des extensions qui te semble bizarre, clique sur outils/modules complémentaires.


@++

[raphael.79]

Bonsoir,
il n'y a aucune extension bizarre.
Que faire?

[dédétraqué]

Salut raphael.79


Bon je viens de vérifier avec mon PC, avec google chrome et IE j'ai ceci :
https://www.google.ca/#q=globe+terrestre

Et avec Firefox j'ai ceci :
https://www.google.ca/search?q=globe+te ... HKAfnNgcAE

As-tu la même chose?


@++

[raphael.79]

Je ne comprends, c'est quoi ces adresses?

[dédétraqué]

Salut raphael.79


Ben la recherche avec Google du mot "globe terrestre"...


@++

[raphael.79]

Ah d'accord, je vais regarder cela.

[raphael.79]

Sur google chrome
https://www.google.fr/search?q=globe+te ... 93ie=UTF-8

sur mozilla
https://www.google.fr/search?q=globe+te ... 0AWi1oHQBw

sur IE
https://www.google.fr/search?output=sea ... estrebtnK=

[raphael.79]

Salut,
C'est adresse ne sont pas correctes,
Comment désintégrer une bonne foi pour toute mysearchdial ?

[dédétraqué]

Salut raphael.79


Comment désintégrer une bonne foi pour toute mysearchdial ?Voir a supprimer les raccourcis des navigateurs et en créer d'autre.


@++

[raphael.79]

Salut je vais tenter ça

[raphael.79]

Je suis désolé ça ne marche pas.
Je n'arrive toujours pas à remettre de nouveaux moteurs de recherche pour virer ceux qui sont infectés, on m'empêche de les sélectionner.

[dédétraqué]

Salut raphael.79


Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


@++

[raphael.79]

Salut,
Excuse moi dans la lenteur de ma réponse.
Le problème a disparu de lui-même d'un coup.
Mes recherches ne sont plus infectées.

[Dori@n]

Bonjour,

Le sujet est à présent résolu, nous nous chargeons donc de le mettre en résolu et nous le verrouillons.
Vous pouvez si vous le souhaitez, mettre en valeur les messages ayant résolu votre problème comme ceci : http://www.forum-entraide-informatique. ... onse-utile

Cela permettra une meilleure visibilité du sujet pour les autres utilisateurs ayant le même souci.

Si le forum vous a aider dans la résolution de votre problème et que vous souhaitez le remercier, vous avez la possibilité de faire un don afin de l'encourager dans ses démarches en cliquant sur le bouton suivant :




Vous pouvez aussi suivre FEI sur Facebook en cliquant sur J'aime ci-dessous :



Merci d'avance,
À bientôt sur FEI !