FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Eric38]

Bonjour tout le monde,

Je suis infecté par le moteur de recherche Omiga plus sur mes divers navigateurs et celui-ci se lance à chaque démarrage. J'ai essayé de le supprimer dans les préférences et de le désinstaller mais ce dernieri revient à chaque fois. Les diverses solutions trouvées sur le net n'ont rien donné. J'ai pourtant supprimé tous les programmes suspects trouvés, changé les pages de démarrage dans les paramètres...

Si quelqu'un pouvait m'aider à m'en débarrasser ce serait sympa, car si ça n'affecte pas trop mon pc en termes de performances c'est quand-même assez pénible comme truc

Merci d'avance à ceux qui m'auront lu.

[g3n-h@ckm@n]

salut

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[Eric38]

Ok merci,

Voici le lien

http://upload.sosvirus.net/www/?a=di=RhIw09WN32

[g3n-h@ckm@n]

re

je peux savoir pourquoi tu renommes les outils ?

C:\Users\Eric\Downloads\Shortcut_Module.ussafe.exe

=======================

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

GoPhotoIt
begbnpffhnpedhocnobliippgejhjpfp

relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[Eric38]

Ok merci, je n'ai rien renommé.

Voici le nouveau lien.

http://upload.sosvirus.net/www/?a=di=rno882xIQn

[g3n-h@ckm@n]

j'ai oublié ca du coup

refais-en un avec ca :

Greener Web

[Eric38]

Je comprends pas, il me dit que la version de shorcut est incompatible avec la version de windows que j'utilise, alors que j'ai pu le lancer jusqu'à maintenant. Je précise que j'utilise windows 7 en 64 bits.

[g3n-h@ckm@n]

peut-être étais-je en train de le mettre à jour , reessaie ?

[Eric38]

J'ai reessayé et c'est la même chose. D'abord il me dit que la version est expirée puis me propose une mise à jour. Une fois lancée la mise à jour voici ce qu'il m'indique: "impossible de démarrer ou d'exécuter le programme ou la fonction... en raison d'une incompatibilité avec les versions 64 bits de windows. Contactez l'éditeur du logiciel pour voir si une version compatible avec windows 64b est disponible" (

[g3n-h@ckm@n]

ca doit être smartscreen qui te le bloque je pense

[Eric38]

Je connaissais pas. J'ai lu que c'est un truc sur internet explorer mais pourtant je n'utilise que google chrome...

[Eric38]

J'ai réussi à le relancer en ouvrant le lien initial. Voici le résultat du scan:

http://upload.sosvirus.net/www/?a=di=KMqq6yeehv

[g3n-h@ckm@n]

ca roule bien là , on va faire un scan generaliste

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[Eric38]

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 20/06/2014
Heure de l'examen: 18:20:12
Fichier journal:
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.20.08
Base de données Rootkits: v2014.06.19.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Eric

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 277280
Temps écoulé: 3 min, 17 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 4
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Mis en quarantaine, [25931b5f0b700e281e9412683bc77a86],
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Mis en quarantaine, [25931b5f0b700e281e9412683bc77a86],
PUP.Optional.GreenerWeb.A, HKLM\SOFTWARE\WOW6432NODE\Greener Web, Mis en quarantaine, [7840e595ef8c4de9883dd2d5b74b7f81],
PUP.Optional.GoPhoto.A, HKU\S-1-5-21-2752016787-212685550-3172883777-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\COOL MIRAGE LTD\gophotoit, Mis en quarantaine, [298f7cfeb0cb65d1241f873a788ab64a],

Valeurs du Registre: 3
PUP.Optional.CertifiedToolBar.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHURI|(Default), http://search.certified-toolbar.com?si= ... 40DB1Bq=%s, Mis en quarantaine, [feba3a40bebd77bf72961491eb17ef11]
PUP.Optional.CertifiedToolBar.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|(Default), http://search.certified-toolbar.com?si= ... 40DB1Bq=%s, Mis en quarantaine, [a8103d3ddf9c14225aafd1d42cd644bc]
PUP.Optional.HomeTab.A, HKU\S-1-5-21-2752016787-212685550-3172883777-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AutoConfigURL, http://cdn1.browsersecurity.net/safe/cl ... 492C40DB1B, Mis en quarantaine, [15a397e35b206dc9b98b1ea603ff3ec2]

Données du Registre: 5
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://www.sweet-page.com/web/?type=dst ... earchTerms}, Bon: (http://www.google.com/), Mauvais: (http://www.sweet-page.com/web/?type=dst ... earchTerms}),Remplacé,[2f895822304b0630c37a0c746e968f71]
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Bon: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Mauvais: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),Remplacé,[ebcdbebc77044beb3c97c8b70bf902fe]
PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Bon: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Mauvais: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),Remplacé,[6c4c5822fb8044f214bf235cc93b49b7]
PUP.Optional.SearchCertifiedTB.A, HKU\S-1-5-21-2752016787-212685550-3172883777-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURI|(Default), http://search.certified-toolbar.com?si= ... 40DB1Bq=%s, Bon: (http://www.google.com), Mauvais: (http://search.certified-toolbar.com?si= ... 40DB1Bq=%s),Remplacé,[a90f81f936456ec8a5db3a46b1533ac6]
PUP.Optional.SearchCertifiedTB.A, HKU\S-1-5-21-2752016787-212685550-3172883777-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|(Default), http://search.certified-toolbar.com?si= ... 40DB1Bq=%s, Bon: (http://www.google.com/), Mauvais: (http://search.certified-toolbar.com?si= ... 40DB1Bq=%s),Remplacé,[883014667704132388f9c8b8c63ea25e]

Dossiers: 2
PUP.Optional.CoolMirage.A, C:\Users\Eric\AppData\Roaming\Cool Mirage Ltd, Mis en quarantaine, [10a885f59fdcdc5a65dbcdf41ce61ee2],
PUP.Optional.CoolMirage.A, C:\Users\Eric\AppData\Roaming\Cool Mirage Ltd\1.8.29.5, Mis en quarantaine, [10a885f59fdcdc5a65dbcdf41ce61ee2],

Fichiers: 19
Adware.DomaIQ, C:\Users\Eric\Downloads\Player Setup.exe, Mis en quarantaine, [0bad394184f747eff45e66dc28d82ad6],
PUP.Optional.OptimumInstaller.A, C:\Users\Eric\Downloads\Player-Chrome (1).exe, Mis en quarantaine, [7741e397b1ca2f07bef986cb1be66f91],
PUP.Optional.OptimumInstaller.A, C:\Users\Eric\Downloads\Player-Chrome.exe, Mis en quarantaine, [01b77efc9ae1c2746255e26f3ec316ea],
PUP.Optional.AppsInstaller, C:\Users\Eric\Downloads\streaming.exe, Mis en quarantaine, [0dabc1b97dfe1f170b1427436f9548b8],
PUP.Optional.Vittalia, C:\Users\Eric\Downloads\installer_adobe_flash_player_French(1).exe, Mis en quarantaine, [fdbb6f0b1368d66086d22a589b66e61a],
PUP.Optional.InstallCore, C:\Users\Eric\Downloads\installer_adobe_flash_player_French.exe, Mis en quarantaine, [eecab0ca6318f5411ad7016e897b28d8],
PUP.Optional.OptimumInstaller.A, C:\Users\Eric\Downloads\java_setup.exe, Mis en quarantaine, [c7f1b4c6ea9182b4991ebb961ee3db25],
PUP.Optional.OneClickDownloader.A, C:\Users\Eric\Downloads\Gravity_(2013)_1080p_BrRip_x264_-_YIFY.exe, Mis en quarantaine, [6751e595720943f39b736bab3bc69c64],
PUP.Optional.InstallCore, C:\Users\Eric\Downloads\PdfCreatorSetup.exe, Mis en quarantaine, [08b0ec8e3447a690cd25ea891be9b749],
PUP.Optional.Bundle, C:\Users\Eric\Downloads\Setup (1).exe, Mis en quarantaine, [51670d6d592285b13874305117ea7888],
PUP.Optional.Firseria, C:\Users\Eric\Downloads\Setup(1).exe, Mis en quarantaine, [9a1ebebca4d7f0466c009f0634d09070],
Adware.DomaIQ, C:\Users\Eric\Downloads\Setup.exe, Mis en quarantaine, [6d4b69110a710630044e7cc633cd7e82],
PUP.Optional.GreenerWeb.A, C:\Users\Eric\AppData\Roaming\Mozilla\Firefox\Profiles\rmhh0zgn.default\extensions\{a3f28269-ad17-41a8-b032-3e0313ef8979}.xpi, Mis en quarantaine, [f7c1f486007b1f17c5afbde815ed0bf5],
PUP.Optional.Superfish.A, C:\Users\Eric\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage, Mis en quarantaine, [bff92f4b22591521e87acde2cd35f10f],
PUP.Optional.Superfish.A, C:\Users\Eric\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal, Mis en quarantaine, [b503c5b5d6a53bfbb0b2fdb22ed4c838],
PUP.Optional.CoolMirage.A, C:\Users\Eric\AppData\Roaming\Cool Mirage Ltd\sqlite3.dll, Mis en quarantaine, [10a885f59fdcdc5a65dbcdf41ce61ee2],
PUP.Optional.V9.A, C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\v9.xml, Mis en quarantaine, [7c3c007a52299f97680e1ba9f90940c0],
PUP.Optional.QuickStart.A, C:\Users\Eric\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pelmeidfhdlhlbjimpabfcbnnojbboma_0.localstorage, Mis en quarantaine, [e1d784f60675bb7bc0c29d603dc603fd],
PUP.Optional.QuickStart.A, C:\Users\Eric\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pelmeidfhdlhlbjimpabfcbnnojbboma_0.localstorage-journal, Mis en quarantaine, [e7d11a60daa17bbb097924d959aa827e],

Secteurs physiques: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

re

[*]Copie le script ci dessous :

HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%programFiles%\*
%programfiles%\Google\Desktop\*. /s
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir %Homedrive%\* /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT

[*]Télécharge OTL (by OldTimer) sur ton bureau.
[*]Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista


[*]Coche/Sélectionne les cases comme l'image ci dessous


[*]Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"

[*]Clique sur Analyse




[*]Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
[*] Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

En cas de problème avec SOSUpload, utiliser Cjoint

[Eric38]

Et voilà. Je me suis trompé j'ai fait un ou deux scans avant ceux-là par erreur de manip. J'espère que ça n'a pas d'incidence...

http://upload.sosvirus.net/www/?a=di=PPbKJiaTnE

http://upload.sosvirus.net/www/?a=di=L6totqQeb8

[g3n-h@ckm@n]

salut j'espère que ton compte mail n'est pas synchronisé avec ton navigateur !

[Eric38]

Je sais pas. Comment je peux le vérifier?

[g3n-h@ckm@n]

ben franchement aucune idée je l'ai jamais fait ^^ faut chercher sur google

[Eric38]

J'y comprends rien. Quand j'ouvre un onglet, mes paramètres personnels (boite mail, mot de passe etc) sont pré-enregistrés. Ca veut dire que c'est synchronisé?

[g3n-h@ckm@n]

non

quand tu ouvres les navigateurs la première page qui vient c'est quoi ?

[Eric38]

Google...

Mais sur la même page en haut à droite je vois que mon compte gmail est connecté.

[g3n-h@ckm@n]

alors il est synchronisé

[Eric38]

Ah ok, et c'est grave? Tout a l'air de marcher correctement là. La désinfection est terminée?

Merci encore.

[g3n-h@ckm@n]

bonjour

oui , il ne faut qu'il soit synchronisé , c'est à cause de ca que les infections reviennent après les scans

[Eric38]

Ok je vais essayer de trouver comment le désynchroniser alors...

[g3n-h@ckm@n]

re

tu t'en sors ? ^^

[Eric38]

Désolé, j'ai dû m'absenter suite à un accident. Je vais voir si j'y arrive demain. Merci pour ta patience en tout cas (si tu es encore là).

[g3n-h@ckm@n]

bonsoir

oui lol

accident de ? c'est pas trop grave au moins ?

[Eric38]

Non une cheville pétée, mais pas la mienne...

J'ai tout désactivé dans chrome, mots de passe et j'ai décoché toutes les cases, je me suis déconnecté du compte, je crois que c'est bon.

[Eric38]

Salut, c'est bueno alors?