FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[cosmo68]

Bonjour,
Le moteur de recherche Bing s'était installé à la place de Google à l'ouverture du PC.
Pour prendre les devants, j'ai donc fait les rapports de MAM, ZPDiag et AdwCleaner que je vous envoie.
Je crois que l'utilisation d'AdwCleaner a fait que tout est revenu en ordre.
C'est juste pour avoir votre avis sur ce sujet.
Voici ZHPDiag : http://cjoint.com/?3Brn1AX3FxW
Voici le rapport de
ADWCleaner :
# AdwCleaner v3.018 - Rapport créé le 17/02/2014 à 13:36:27
# Mis à jour le 28/01/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Jack - JACK-PC
# Exécuté depuis : C:\Users\Jack\Downloads\adwcleaner(2).exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\Jack\AppData\Local\Searchprotect
Fichier Supprimé : C:\Users\Jack\AppData\Roaming\Mozilla\Firefox\Profiles\82j0dv8s.default-1389899940065\searchplugins\conduit-search.xml

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\Software\SearchProtect

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16518


-\\ Mozilla Firefox v27.0.1 (fr)

[ Fichier : C:\Users\Jack\AppData\Roaming\Mozilla\Firefox\Profiles\82j0dv8s.default-1389899940065\prefs.js ]

Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://search.conduit.com/?ctid=CT3322287octid=EB_ORIGINAL_CTIDSearchSource=69CUI=SSPV=Lay=1UM=4UP=SPC2D0A887-CE2F-48D2-8299-7D3766F80301");
Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://search.conduit.com/?ctid=CT3322287octid=EB_ORIGINAL_CTIDSearchSource=55CUI=UM=4UP=SPC2D0A887-CE2F-48D2-8299-7D3766F80301SSPV=");

*************************

AdwCleaner[R1].txt - [967 octets] - [04/02/2014 17:36:21]
AdwCleaner[R2].txt - [1745 octets] - [13/02/2014 10:22:33]
AdwCleaner[R3].txt - [2008 octets] - [17/02/2014 13:36:05]
AdwCleaner[S1].txt - [987 octets] - [04/02/2014 17:36:37]
AdwCleaner[S2].txt - [1699 octets] - [13/02/2014 10:23:02]
AdwCleaner[S3].txt - [1780 octets] - [17/02/2014 13:36:27]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1840 octets] ##########
Et en fin le rapport de MAM:

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.02.17.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
Jack :: JACK-PC [administrateur]

17/02/2014 13:18:07
mbam-log-2014-02-17 (13-18-07).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 237745
Temps écoulé: 1 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Merci pour vos conseils.

[g3n-h@ckm@n]

salut

• Télécharge Shortcut_Module (de g3n-h@ckm@n) sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
  
  
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  Note : Patiente le temps du scan
• Après le redémarrage copie et colle le contenu du rapport C:\Shortcut_Module_¤¤¤¤¤¤¤¤¤.txt

[cosmo68]

Re,
J'ai un petit souci pour vous t'envoyer le rapport de Shortcut Module.
Cela fait la seconde fois que je le lance et au redémarrage, je ne trouve pas ce fameux rapport?
Avast a également placé en quarantaine Shortcut lorsque j'ai lancé ce dernier...
Que fais-je??

[cosmo68]

Re,
Ca y est, j'ai trouvé!!!!
J'ai un peu honte et voilà ce que c'est si l'on lit trop vite....

http://cjoint.com/?3BrpwYf9q20

[g3n-h@ckm@n]

C:\Shortcut_Module_17_02_2014_14_49_11.txt

c'est celui-ci qui m'interessait ^^

[cosmo68]

Le voilà :
http://cjoint.com/?3BrpPgIgr8E

[g3n-h@ckm@n]

bien

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[cosmo68]

Re,
Là, j'ai encore un souci!
Je m'y suis pris à plusieurs reprises pour utiliser OTL.
Une 1ere fois trop vite car cliqué sur Analyse mais sans sélection des cases.
La seconde, avec les cases sélectionnées mais sans y avoir mis le script.
La troisième était la bonne.
Je ne trouve pas les rapports demandés en cliquant sur "Parcourir", ni dans le disque C.
Ils se trouvent bien dans la barre des tâches du bureau, mais ils sont gros.
Dois-je te les envoyer comme cela??

[g3n-h@ckm@n]

non comme demandé , tu as executé le programme directement d'internet ou tu l'as bien enregistré sur ton bureau avant comme demandé ?

[cosmo68]

J'ai téléchargé le logiciel qui s'est tout de suite installé dans téléchargement. A partir de la flèche qui affiche la progression des téléchargements, j'ai cliqué sur OTL.exe (je n'ai pas trouvé "en tant qu'administrateur") et le logiciel s'est présenté prêt à l'utilisation.
Désolé pour les explications un peu confuses...

[g3n-h@ckm@n]

bah les txt sont dans ton dossier telechargement aussi

[cosmo68]

Re,
Dès que les choses ne se font pas comme d'habitude, je m'égare .....
Voici donc les rapports :

http://upload.sosvirus.net/log/SosUploa ... 3b1115.Txt

[g3n-h@ckm@n]

ok le deuxieme ?

[cosmo68]

Je ne sais pas encore comment fonctionne le site SosUpload. Est-ce qu'à l'envoi, vous en êtes destinataires?
Par prudence, je copie/colle le lien.

http://upload.sosvirus.net/log/SosUploa ... d34c56.Txt

[g3n-h@ckm@n]

non c'est un hebergeur de fichiers simplement
si tu ne mets pas le lien on peut pas le lire ^^

=========

ferme puis reouvre OTL , puis colle ce texte en bas , puis clique sur correction et poste le rapport

:OTL
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.p ... 9629940ir=
IE - HKU\S-1-5-21-956382757-2136040807-3391377673-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
FF - user.js - File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2014/02/17 16:05:00 | 000,000,288 | ---- | M] () -- C:\Windows\tasks\Digital Sites.job
[2014/01/15 16:05:17 | 000,000,005 | ---- | C] () -- C:\Users\Jack\AppData\Roaming\WBPU-TTL.DAT
[2013/09/18 14:42:02 | 000,000,103 | ---- | C] () -- C:\Users\Jack\AppData\Roaming\WB.CFG
[2012/11/13 03:16:00 | 000,000,040 | -HS- | C] () -- C:\ProgramData\.zreglib

:reg
[-HKEY_CURRENT_USER\Software\(null)]

:files
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*

:commands
[emptytemp]

[cosmo68]

Je ne vois pas comment fermer puis reouvrir OTL?
A part d'enregistrer à nouveau le fichier.

[g3n-h@ckm@n]

ah ben ca , ca veut dire que tu n'écoutes pas et que tu ne l'as pas enregistré sur le bureau comme demandé ^^

[cosmo68]

Bonjour,
Je suis vraiment penaud.
J'espère que le rapport ci-contre correspond a ta demande.
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_USERS\S-1-5-21-956382757-2136040807-3391377673-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
C:\Windows\Tasks\Digital Sites.job moved successfully.
C:\Users\Jack\AppData\Roaming\WBPU-TTL.DAT moved successfully.
C:\Users\Jack\AppData\Roaming\WB.CFG moved successfully.
C:\ProgramData\.zreglib moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\(null)\ deleted successfully.
========== FILES ==========
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2GT1SM0S folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA folder moved successfully.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\FXSSVCDebugLogFile.txt moved successfully.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\FXSTIFFDebugLogFile.txt moved successfully.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\mpam-5619a26a.exe moved successfully.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\MpCmdRun-70-421CFC91-A93E-42AB-A35C-F06F127FCC44.lock moved successfully.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\T30DebugLogFile.txt moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
-Temporary Internet Files folder emptied: 0 bytes

User: Default User
-Temporary Internet Files folder emptied: 0 bytes

User: Jack
-Temp folder emptied: 5240703 bytes
-Temporary Internet Files folder emptied: 146156 bytes
-Java cache emptied: 0 bytes
-FireFox cache emptied: 4516436 bytes
-Flash cache emptied: 681 bytes

User: Public

User: temp

User: UpdatusUser
-Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 143286 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 78384595 bytes
RecycleBin emptied: 1646628940 bytes

Total Files Cleaned = 1 655,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 02182014_111748

Files\Folders moved on Reboot...
C:\Users\Jack\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\Jack\AppData\Local\Temp\Joyeux anniversaire Mister président 1-1.mp4 not found!
File\Folder C:\Users\Jack\AppData\Local\Temp\Joyeux anniversaire Mister président 1-2.mp4 not found!
File\Folder C:\Users\Jack\AppData\Local\Temp\Joyeux anniversaire Mister président 1.mp4 not found!
C:\Users\Jack\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[g3n-h@ckm@n]

1.65 Go de gagnés ^^

où en sont tes soucis ?

[cosmo68]

Bonjour,

Ben j'en ai plus et c'est super. J'aurai encore appris quelques petites choses qui me serviront
ultérieurement. Je me suis un peu démerdé comme un manche dans cette affaire.
Merci encore et bonne soirée à vous tous.

[g3n-h@ckm@n]

hé !!! et le ménage !! ^^

http://gen-hackman.purforum.com/t50-fin-de-desinfection

[cosmo68]

Bonjour,
J'aimerais te signaler que le lien ci-après sur les failles de sécurité Java ne s'ouvre pas (No Found)
https://forums-fec.be/entraide/viewtopic.php?f=11t=309
J'étais en train de lire ton article de fin de désinfection au demeurant très très intéressant, et suivre tes conseils quand j'ai eu cette alerte d'Avast sur cette fenêtre de Java qui s'est ouverte!!
Je venais d'ailleurs d'en vérifier l'installation. Je ne l'ai pas installé.
http://cjoint.com/?3BtrrxM8hbu

J'en étaisaux conseils d'avenir et constaté que ce lien ne fonctionne pas non plus...  
https://forums-fec.be/entraide/viewtopic.php?f=11t=267

[g3n-h@ckm@n]

merci je les virierai


desinstalle puis reinstalle java (si tu en as vraiment besoin), et si tu peux me faire parvenir ce fichier java.exe zippé via cjoint ca serait genial que je voie ce que c'est

[cosmo68]

Re,
J'aimerais bien t'aider mais déjà, zipper un fichier, je ne sais pas comment faire.
Ce Java que tu vois dans l'image, je ne l'ai pas installé et bizarrement, je ne le retrouve pas sur l'ordi???
Comment puis-je encore t'aider sur ce point?

[g3n-h@ckm@n]

touche windows + R puis tape : %temp% puis entrée , dans le dossier qui s'ouvre il doit s'y trouver

[cosmo68]

Je pense que c'est cela que tu veux, ça correspond à peux près à l'heure de l'alerte d'Avast.

Wed Feb 19 16:33:46 2014
:: OpenJavaFXUpdateKey: Error:2, ErrorCode:0

Wed Feb 19 16:33:46 2014
:: SetDefaultJavaFXUpdateSchedule: Frequency:64, Schedule: 0:23

Wed Feb 19 16:33:46 2014
:: GetJavaFXUpdateTimeKey: returning FALSE

Wed Feb 19 16:33:46 2014
:: Time for a Java Update check.

Wed Feb 19 16:33:46 2014
:: Safe_CreateProcess(C:\Program Files (x86)\Java\jre7\bin\java.exe, "C:\Program Files (x86)\Java\jre7\bin\java.exe" -fullversion)
Wed Feb 19 16:33:46 2014
:: No cntry-lookup tag in map.xml
Wed Feb 19 16:33:46 2014
:: OVERRIDE SYSTEM VALUE==0:OS:win7-sp1,Arch:amd64,Version:1.7.0_51-b13,Locale:fr,Cntry:YY

Wed Feb 19 16:33:46 2014
:: No Updates available

Wed Feb 19 16:33:46 2014
:: JavaUpdate  [Critical] :  LastFinishTime is after LastScheduledTime, sleeping until next schedule Time: Thu Feb 20 15:20:00 2014

Wed Feb 19 16:33:46 2014
:: GetJavaFXUpdateTimeKey: returning FALSE

Wed Feb 19 16:33:46 2014
:: JavaUpdate : No valid LastFinishTime, sleeping until next schedule Time:  Sat Feb 22 00:23:00 2014

Wed Feb 19 16:33:46 2014
:: JavaUpdate [Critical] NextSchedTime=Thu Feb 20 15:20:00 2014
JavaFXUpdate NextSchedTime=Sat Feb 22 00:23:00 2014
JavaUpdate [Critical]lastSchedTime=Thu Feb 13 15:20:00 2014
JavaUpdate [Critical]nextSchedTime=Thu Feb 20 15:20:00 2014
JavaUpdate [Critical]sleeptime (sec=81974, hours=22, days=0.95)
actual sleep time=81974000 msecs (22:46:14) for JavaUpdate [Critical]

[g3n-h@ckm@n]

non c'est pas ce que j ai demandé

[cosmo68]

A force de chercher, j'ai failli oublier le rapport Delfix:

http://cjoint.com/?3BtssMkWZRP
Veut tu l'image qui se présente avec W+r?
Je dois m'absenter. Je continuerai demain
Merci et bonne soirée

[g3n-h@ckm@n]

non laisse tomber tu l'as supprimé c'est plus la peine merci

[cosmo68]

Bonjour,
J'en suis encore à faire le ménage car j'en ai, de la lecture très intéressante que tu m'a envoyé pour un novice comme moi de l'informatique. Merci encore pour cette mine d'informations.
J'aimerais, pour suivre vos conseils, désinstaller Adobe pour le remplacer par Sumatra.
Or, en passant que ce soit par le panneau de configuration ou Revo, j'ai cette image?
http://cjoint.com/?3BvnvD3uyKq

[g3n-h@ckm@n]

avec revo faut mettre en avancé , ensuite quand tu as le message d'erreur à la desinstallation , tu fais OK et il devrait faire le necessaire ensuite

[cosmo68]

Re,
Après le message d'erreur à la désinstallation, Reve se trouve avec 876 éléments à supprimer. Est-ce que je sélectionne "tout" et je supprime?

[g3n-h@ckm@n]

oui

[cosmo68]

Bonjour,
J'étais en train de vérifier les maj des plugins de firefox en suivant les conseils du forum de Malekal. Plusieurs plugins, dont Sumatra, étant inconnus, j'ai installé la MAJ de ce dernier. De plus, Firefox a empêché l'exécution de "Java Deployment Toolkit". Que dois-je en penser!! Puis s'est installé à ce moment Mysearchdial à la place de mon ancienne barre Google, ainsi qu'un logiciel inconnu PC...? ayant détecté des erreurs sur le pc.Je n'ai pas demandé à ce dernier de nettoyer. Ca ne m'étonnerais pas que je sois à nouveau infecté!
D'autre part, dans tes liens de nettoyage du pc à la fin de la désinfection, "Mettre à jour son pc contre les failles de sécurité - Tester la vulnérabilité de son système", est-ce que les logiciels proposés comme PC audit et MBSA existent pour W7?

[cosmo68]

Re,
Voici le logiciel de nettoyage qui se présente :
http://cjoint.com/?3BBmUjhn3hx
et la page de recherche :
http://cjoint.com/?3BBm0R4OlVx

[cosmo68]

Re,
Et voila le rapport ZPDiag que tu vas certainement me demander:
http://cjoint.com/?3BBnjsJYMAA

[g3n-h@ckm@n]

c'est reparti

desinstalle tout JAVA et ne le reinstalle pas s'il ne t'est pas demandé

recommence toute la procédure

et si il m'avait fallu un zhpdiag , je te l'aurais deja demandé lors de la premiere desinfection.donc eviter d utiliser ce qui n est pas demandé, je n'utilise pas cet outil

[cosmo68]

Re,
Désolé, je pensais te prémacher le travail.
La remarque est notée pour l'avenir.
Donc, pour la désinstallation de Java, je sélectionne tout (les 2662 éléments du registre) et je supprime.

[g3n-h@ckm@n]

oui vire tout

[cosmo+68]

Voila, Java est désinstallé et voici le rapport:
http://cjoint.com/?3BBrkftYX3t