Forum d'Entraide Informatique (FEI)

Bonjour,

Je suis sous Windows Seven.

L'infection :

Hier soir, j'ai télécharger un fichier. Pendant l'installation, il me demande si je veux télécharger aussi ça et ça. Je mets non. Je passe à l'étape suivante, puis je mets accepter. Or, il fallait mettre plein de fois accepter. Ensuite, je découvre que l'on pouvait décliner. Je me dis donc, que ça pouvait être de mauvais fichier, alors j'annule l'installation. Mais après l'annulation, il y a des fichiers qui ont réussi a être téléchargé. Mon antivirus me signale des Cheval de Troie, que je m'empresse de supprimer.

Symptôme :

Après cette manipulation raté de ma part, je vais sur google chrome. La je vois la page websearch.simplesearches.info apparaître. Au début, je ne me doute de rien. Je veux simplement enlever cette page. Alors je fais les manip habituelle (gérer les barre de recherche, etc..), mais la page reste.

Désinfection :

Par principe, car je n'aime pas les page autre que google, je cherche comment l'enlever. C'est alors que je tombe sur ce site et que je vois à quel point cette page est dangereuse ! Alors je commence de suite à suivre les instructions pour retirer la page.

1) AdwCleaner : Il a trouvé des fichier et les a supprimé.
 # AdwCleaner v3.000 - Rapport créé le 23/08/2013 à 20:12:54
# Mis à jour le 20/08/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Charles - CHARLES-PC
# Exécuté depuis : C:\Users\Charles\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\InstallMate
Dossier Supprimé : C:\ProgramData\SpeedMaxPc
Dossier Supprimé : C:\Program Files\Babylon
Dossier Supprimé : C:\Users\Charles\AppData\Roaming\DriverCure
Dossier Supprimé : C:\Users\Charles\AppData\Roaming\SpeedMaxPc
Fichier Supprimé : C:\END
Fichier Supprimé : C:\windows\System32\roboot64.exe
Fichier Supprimé : C:\Users\Charles\errorlog.tmp

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [ocr@babylon.com]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BabylonHelper.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [chat-landmessenger]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [tempHome]
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\speedmaxpc_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\speedmaxpc_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\SpeedMaxPC
Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKLM\Software\Boxore
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SpeedMaxPC
Clé Supprimée : HKLM\Software\SProtector

***** [ Navigateurs ] *****

-\\ Internet Explorer v9.0.8112.16502

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Secondary_Page_URL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Bar]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [SearchMigratedDefaultName]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [SearchMigratedDefaultURL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [SearchAssistant]

*************************

AdwCleaner[R0].txt - [4690 octets] - [23/08/2013 20:09:28]
AdwCleaner[R1].txt - [4750 octets] - [23/08/2013 20:11:38]
AdwCleaner[S0].txt - [3929 octets] - [23/08/2013 20:12:54]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [3989 octets] ##########La page y était toujours.

2) Malwarebytes Anti-Malware : Il a aussi trouvé des fichiers et les a supprimé.
 Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2013.08.23.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Charles :: CHARLES-PC [administrateur]

23/08/2013 20:34:37
mbam-log-2013-08-23 (20-34-37).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 620169
Temps écoulé: 3 heure(s), 22 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\AdwCleaner\Quarantine\C\ProgramData\InstallMate\{26032006-3A06-48B2-AA59-7224FDE002F0}\Setup.exe.vir (PUP.Optional.Tarma.A) - Mis en quarantaine et supprimé avec succès.
C:\AdwCleaner\Quarantine\C\ProgramData\InstallMate\{26032006-3A06-48B2-AA59-7224FDE002F0}\TsuDll.dll.vir (PUP.Optional.Tarma.A) - Mis en quarantaine et supprimé avec succès.
C:\AdwCleaner\Quarantine\C\ProgramData\InstallMate\{3211745B-1AB3-43C9-A122-5291E9F256AD}\Setup.exe.vir (PUP.Optional.Tarma.A) - Mis en quarantaine et supprimé avec succès.
C:\AdwCleaner\Quarantine\C\ProgramData\InstallMate\{3211745B-1AB3-43C9-A122-5291E9F256AD}\TsuDll.dll.vir (PUP.Optional.Tarma.A) - Mis en quarantaine et supprimé avec succès.
C:\Users\Charles\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZVGBPR9W\search_defender_alternate_166[1].exe (PUP.Optional.SProtect.A) - Mis en quarantaine et supprimé avec succès.
C:\Users\Charles\AppData\Local\Temp\PC Performer43885.exe (PUP.Optional.InstallBrain) - Mis en quarantaine et supprimé avec succès.
C:\Users\Charles\AppData\Local\Temp\01net\01Net_download_manager.com.exe (PUP.Toolbar.Repacked) - Mis en quarantaine et supprimé avec succès.
C:\Users\Charles\AppData\Local\Temp\ibtmpc810551\component_600 (Trojan.PUP.Optional.FileScout.A) - Mis en quarantaine et supprimé avec succès.
C:\Users\Charles\AppData\Local\Temp\ibtmpc810551\component_613 (Trojan.PUP.Optional.SpeedAnalysis.A) - Mis en quarantaine et supprimé avec succès.
C:\Users\Charles\Desktop\cracks\Jeux\Call of Duty4-Razor1911+Keygen and Crack\rzr-cod4.exe (Trojan.Agent.CK) - Mis en quarantaine et supprimé avec succès.

(fin)
La page y était toujours.

3) Junkware Removal Tool : Il a trouvé des fichier et les supprimé.
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.5.4 (08.22.2013:1)
OS: Windows 7 Home Premium x64
Ran by Charles on 24/08/2013 at  0:15:51,79
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\AskInstallChecker-1_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\AskInstallChecker-1_RASMANCS
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\AskInstallChecker-1_RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\AskInstallChecker-1_RASMANCS



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\software"
Successfully deleted: [Folder] "C:\Users\Charles\appdata\local\software"
Successfully deleted: [Folder] "C:\Program Files (x86)\dll-files.com fixer"
Successfully deleted: [Folder] "C:\Program Files (x86)\software"



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 24/08/2013 at  0:23:54,34
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ayant fais toutes les étapes et cela n'ayant rien changé, j'essaye d'autre chose proposé.

4) Réinitialisé son navigateur : Je n'ai pu le faire car le fichier Default n'existe pas dans mes fichiers Google chrome (oui j'étais au bon endroit). Du fait, je ne peux le réinitialiser.

5) L'antivirus : Je scan donc intégralement mon ordinateur avec mon antivirus (McAfee). Il ne trouve rien, tous est normal d'après lui.

6) Extension : Aucune extension n'est suspecte.
   Moteur de recherche : Je n'ai que Google.

Voilà, comme toutes ces étapes n'ont rien changé, je post donc tous ce que j'ai fais ainsi que mon problème ici, en espérant que quelqu'un pourra m'aider.

Merci d'avance pour votre réponse.

Bonjour,

Bienvenue.
Pour mieux recevoir les réponses, tu peux t'inscrire au forum (plus d'informations ici).

Étrange pour la réinitialisation de Chrome, mais on verra ça après.
Pour commencer, fais un diagnostic de ton PC avec ZHPDiag comme ceci : http://www.forum-entraide-informatique. ... g-tutoriel
Tu me posteras le rapport précédemment hébergé sur cjoint.

Gabriel.

Merci, et je suis déjà inscrit.

Voilà le rapport : http://www.cjoint.com/13au/CHynpmdk2U4.htm

Re,

Ok.
Tu ne te sers pas de ReimageRepair.exe ?

Gabriel.

Re,

Non, c'était sur un autre site avant que je tombe ici, ils m'ont dis de scanner avec, mais pour finir (supprimer les mauvaises choses), il fallait payer le logiciel. Alors non je ne m'en sert pas.

Pourquoi cette question, il faudrait ?

Re,

Un autre site où tu te faisais aider ? Tu as le lien ?

Parce que c'est un rogue : en gros une arnaque, tu vas payer mais ça va rien de supprimer du tout.
Donc on va le supprimer dans le script ci-dessous ainsi que les autres restes d'infections.

Fais ZHPFix comme ceci avec ces lignes.

Gabriel.

Ah ok.

Je ne me faisait pas aider, voici le lien : http://sedebarrasserdesvirus.blogspot.f ... sinfo.html

Ah oui ok, les sites de ce genre c'est des arnaques, tous pareil...

Passe à ZHPFix à présent.

Gabriel.

Je me demandais comment un seul de leur logiciel pouvait faire le même travail que plusieurs de vos logiciel, c'était louche..

Bref, voilà le rapport : http://cjoint.com/13au/CHyoIsMC0PQ.htm

Re,

Oui ça fait rien à part te voler de l'argent. ^^

Bien. Redémarre ton PC. Toujours websearch.simplesearches.info sur Chrome ?

Fais moi un nouveau ZHPDiag.

Je reviens plus tard.

@+

Gabriel.

Même après un nouveau ZHPDiag, websearch.simplesearches.info est toujours la ...

Voilà le rapport : http://cjoint.com/13au/CHypDhK0Nhn.htm

Re,

Ok, fais OTM comme ceci avec ces lignes.

Gabriel.

Re,

websearch.simplesearch.info est toujours présent..

Voilà le rapport : http://cjoint.com/13au/CHyq3w6srI3.htm

Re,

Peux-tu réessayer pour la réinitialisation de Chrome stp ?
http://www.forum-entraide-informatique. ... gle-chrome

Gabriel.

Le fichier " Default " n'est toujours pas présent..

Re,

Essaye en affichant les fichiers et dossiers cachés : http://www.forum-entraide-informatique. ... -windows-7

Gabriel.

Ca ne m'affiche pas le fichier " Default " ..

Re,

Alors essaye de désinstaller entièrement Chrome, puis de le réinstaller.
Tu peux masquer de nouveau les fichiers cachés.

Gabriel.

J'ai trop d'information sur google chrome pour tous perdre ...

Re,

Du genre ? Les favoris ?

Gabriel.

Non, je n'utilise pas les favoris.

En faite, je tape par exemple " y " ça sélectionne automatiquement youtube puis j'appuie sur entrée.
Autre exemple " f " pour facebook ou " m " pour mes mails.

Après il y a aussi les mdp enregistrés, plein de petit truc comme ça, qui font que je ne peux pas me permettre de réinstallé google chrome...

Re,

Ah, bah pour la réinitialisation ça allait t'enlever tout ça aussi...
Pour les sélections, ça revient très rapidement, généralement tu le fais une ou deux fois et c'est prit en compte.

Les mdp enregistrés y'en a vraiment beaucoup ? Tu ne pourras pas les remettre après ?

Sinon, retente dans les moteurs de recherche, extensions et page de démarrage de supprimer websearch.

Gabriel.

Merci beaucoup !! Une seule chose à laquelle je n'avais pas pensé, était de regarder les pages de démarrage !

J'ai fais comme çà : Google Chrome Paramètre Rubrique Au démarrage Ensemble de page et une fois la dedans, je n'avais qu'à supprimer websearch !

Merci beaucoup !

Mon ordinateur ne court plus de risque ?

Re,

Ok parfait.
Non c'est bon, mais il nous reste encore à finaliser.

Voici la procédure : http://www.forum-entraide-informatique. ... nalisation
Tiens moi au courant de ton avancée au fur et à mesure.

Gabriel.

Je suis en train de finaliser, mais j'ai une question. Qu'est ce que l'UAC ?

Re,

Tiens pour des infos sur l'UAC : http://www.commentcamarche.net/faq/1794 ... -windows-7

Gabriel.

Voici le rapport que l'on ma dit de publié :  # DelFix v10.4 - Rapport créé le 24/08/2013 à 17:41:10
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : Charles - CHARLES-PC
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\_OTM
Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\log.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Charles\Desktop\JRT.exe
Supprimé : C:\Users\Charles\Desktop\JRT.txt
Supprimé : C:\Users\Charles\Desktop\OTM.exe
Supprimé : C:\Users\Charles\Desktop\ZHPDiag (1).txt
Supprimé : C:\Users\Charles\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Charles\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Charles\Downloads\adwcleaner.exe
Supprimé : C:\Users\Charles\Downloads\JRT.exe
Supprimé : C:\Users\Charles\Downloads\OTM.exe
Supprimé : C:\Users\Charles\Downloads\UsbFix.exe
Supprimé : C:\Users\Charles\Downloads\ZHPDiag2.exe
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########

Je n'ai pas défragmenté mon disque dure, car je ne sais pas ce que ça fais, et ne préfère rien faire comme il marche normalement.

J'ai quelque question pour des programme qui se lance au démarrage.
Qu'est ce que : Stage Remote Manager / stage primary / commonSDK / Accuweather

Re,

Ok pour Delfix.
Comme tu veux pour la défragmentation, mais je te conseille de le faire. Si tu veux des infos : http://www.pcworld.fr/stockage/tests,di ... 109841.htm

Pour les deux premiers ça correspond à Dell. Ton PC est bien de cette marque ?
Pour les deux derniers, cela correspond à Roxio et la météo visiblement, tu peux les désactiver.

Gabriel.

D'accord, merci. Oui c'est un DELL.

Est ce que les modifs seront prises en compte si je ne redémarre pas mon PC de suite, mais plus tard ?

Re,

Oui ce sera prit en compte si tu redémarres plus tard.

Gabriel.

Bon et bien j'ai tous finis.

Je vous remercie pour tous ! Si jamais j'ai un autre problème, je reviendrai ici.

Merci beaucoup !!  

Re,

Super, content pour toi.

Je passe ce sujet en résolu et je le verrouille.

À bientôt,

Gabriel.