[Résolu] searchnu + lien de pub

[Gdlm]

Bonjour,

J'utilise Windows 7, Firefox et Avast. Je présente également le problème de la page d’accueil avec searchnu.com qui s'affiche sur Firefox et Explorer. Par ailleurs de temps en temps dans certaines pages web des mots se soulignent et présentent un lien pour des pubs. Voyant sur ce forum que le problème est réglé selon chacun je voulais savoir la démarche à suivre.

Merci d'avance

[MoJac]

Bonjour Gdlm,

- Je te propose d'utiliser 2 logiciels de diagnostic pour tenter de comprendre ce qui se passe sur ta machine dans un premier temps:

Télécharger sur le bureauRogueKiller (by tigzy)

• Quitter tous les programmes
• Lancer RogueKiller.exe (clic droit et "exécuter en tant qu'administrateur" si tu es sous Vista/Sept).
• Attendre que le Prescan ait fini ...
  
• Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Ensuite:

Télécharge ZHPDiag2.exe - suivre le lien en bas de page.

• Enregistre le sur ton bureau
• Une fois le téléchargement achevé,fais un double clic sur ZHPDiag2.exe (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept).
• Suis les instructions à l'écran.
• N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• l'outil a créé 3 icônes: ZHPDiag, ZHPFix et MBRCheck.
  
  
• Double clique sur le raccourci ZHPDiag sur ton Bureau (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept)..
• Clic sur la loupe en haut à gauche pour lancer l'analyse.
• Une fois terminé , le rapport s'affiche : Enregistrer ce rapport sur ton bureau grace à un clic sur la disquette :
  
• Le rapport est assez volumineux, met le en pièce jointe:
  
  - Va en fin de message et suis les indications:
  
  
  
• NB: Le rapport se situe aussi sous C:\ZHP\ZHPDiag.txt
  
• Note pour les utilisateurs d'Avast : cet antivirus génère des alertes, il s'agit de faux positif (fausses alertes) délivrés par l'antivirus lorsqu'il rencontre une base de donnée PARADOX Delphi Borland.

Sont attendus:

• Le rapport RogueKiller.
• Le rapport ZHPDiag en pièce jointe.

En fonction des résultats nous aviserons ce qu'il a à faire.
A plus

[Gdlm]

Re-bonjour,

J'ai semble il un autre problème, mon ordi doit-être vraiment infestés ! J'ai sur ce forum même une pub qui s'affiche sur un message que je n'ai jamais poster (voir l'image par le lien suivant : http://www.casimages.com/img.php?i=1206 ... 941900.jpg ) !!

[Gdlm]

Alors voici les 2 rapports de RK et ZHPDiag :

RogueKiller V7.6.1 [28/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: G [Droits d'admin]
Mode: Recherche -- Date: 28/06/2012 16:36:49

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 4bcf1a99a0eaa0095007044496ca7fac
[BSP] 7188033a47e7a25fffcd68cb881f03a7 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 81920 | Size: 15000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30801920 | Size: 223434 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Seagate Portable USB Device +++++
--- User ---
[MBR] a37c43278bfef45e1e530bb965af3823
[BSP] f3b67021e380aba02ac9d5499e4ce3f9 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

[MoJac]

Re:

Beaucoup de choses sur cette machine ...

- On va y aller progressivement: d'abord un outil spécialisé:

Télécharge AdwCleaner (de Xplode) sur ton bureau.

• Double clique sous XP (clic droit/exécuter en temps qu'administrateur sous Vista/7) pour lancer l'outil.
• Clique sur [Suppression] puis patiente le temps du scan.
• Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
• Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Désinstalle l'outil avec le bouton prévu à cet effet.

- Ensuite un outil plus général pour fouiller dans les petits coins:

Télécharge Malwarebytes Anti-Malwarede RubbeR DuckY clic pour la version FREE et enregistre l'exécutable sur le bureau.

Double-clique sur le fichier mbam-setup.exe (Clic droit et Exécuter en tant qu'administrateur sous Vista/Sept)

- En fin d'installation, vérifie que l'option suivante est cochée:

• Mettre à jour Malwarebytes' Anti-Malware
  

Clique sur Terminer

- Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
- Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
- Va dans Onglet Paramètres, puis Paramètres d'examen
- Modifie le paramétrage par défaut afin de proposer à la suppression les programmes potentiellement dangereux:



- Va dans l'onglet Recherche.

Coche , puis clique sur le bouton Rechercher

- Patiente jusqu'en fin de scan:



Clique sur OK

Clique sur "Afficher les résultats" puis sur "Supprimer la sélection".


Sélectionne et poste le rapport qui s'ouvre .

- Redémarre le pc si cela est demandé

Refais un scan ZHPDiag et met le rapport en pièce jointe sur le forum

- Sont attendus:

• Le rapport de suppression Adwcleaner.
• Le rapport MbAM.
• Le second rappport ZHPDiag.
• Un avis sur le comportement de la machine.

A plus

[Gdlm]

Merci pour vos explications,

Alors l'état s'est amélioré sur internet, j'ai de nouveau la page d’accueil d'origine de Firefox, je n'ai plus aperçus de lien sur certains mots des pages internet, et je n'ai plus de pubs qui s'ouvrent. Sur la machine en général ça me semble identique à d'habitude, les choses s'exécutent avec une légère lenteur.

Pour le rapport MbAM, je n'ai pas trouver de bouton "Supprimer la liste" j'ai donc relancé le fichier, c'est ici le 2ème rapport que je met :

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
http://www.malwarebytes.org

Version de la base de données: v2012.06.28.08

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
G :: G-PC [administrateur]

Protection: Activé

28/06/2012 18:03:40
mbam-log-2012-06-28 (18-03-40).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: Système de fichiers | P2P
Elément(s) analysé(s): 240913
Temps écoulé: 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Rapport Adw : joint

Rapport ZHP : joint

[MoJac]

Re:

Actuellement je ne vois pas d'éléments infectieux supplémentaires.

Je propose de vérifier l'état de la machine en terme de sécurité:

Télécharge Security Check de screen317 et enregistre le sur ton Bureau.

• Double-clique sur Security Check.exe afin de l'exécuter (ou clic droit et exécuter en tant qu'administrateur si tu es sous Vista/Sept).
• Suis les instructions affichées à l'écran.
• Un document texte appelé checkup.txt va s'ouvrir automatiquement dans le Bloc-notes.
• Poste le contenu dans ta prochaine réponse

A plus

[Gdlm]

Alors voilà le dernier rapport, merci pour tout, là j'ai l'impression que mon ordinateur fonctionne bien plus rapidement qu'avant !

Results of screen317's Security Check version 0.99.42
Windows 7 x64 (UAC is enabled)
Out of date service pack!!
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware version 1.61.0.1400
Java(TM) 6 Update 18
Java version out of Date!
Adobe Reader X (10.1.2)
Mozilla Firefox (9.0.1)
Google Chrome 19.0.1084.52
Google Chrome 19.0.1084.56
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: =
````````````````````End of Log``````````````````````

[MoJac]

Bonjour Gdlm,

... là j'ai l'impression que mon ordinateur fonctionne bien plus rapidement qu'avant !

- Parfait ! Nous allons donc poursuivre par des mises en sécurité de ta machine:

- Windows n'est pas à jour, je te recommande en priorité d'activer la mise à jour automatique:
Voir le chapitre en question ici:
http://windows.microsoft.com/fr-fr/wind ... ity-Center

Mise à jour deFireFox Actuellement nous en sommes à la version 13.0.1

Si tu utilises FireFox fréquemment, je te propose 2 "add on" pour sécuriser la navigation sous FireFox:

- WOT (Web On Trust) qui donne une appréciation sur le degré de confiance qu'on peut avoir vis à vis d'un site. Ce genre d'outil s'appuie sur une base de donnée qui est, entre autre alimentée, par les internautes; Tu as quand même le choix de passer outre ... A noter que ce programme existe aussi pour Internet Explorer.

https://addons.mozilla.org/fr/firefox/a ... sing-tool/

Aprés avoir téléchargé le programme il suffit de l'installer et suivre les consignes.

- Adblockplus lui filtre le contenu des pages affichées en supprimant certaines publicités envahissantes.

• Va sur le site:
  
  https://addons.mozilla.org/fr/firefox/a ... lock-plus/
  
• Tu vas avoir ceci dans ta barre d'adresse:
  
  
  
• Télécharge ADBlockPlus par clic sur "télécharger maintenant"
  
  
  
• En fin de téléchargement tu vas avoir le panneau indiquant les risques d'installer que des modules de confiance. C'est le cas. donc clic sur installer.
  
  
  
• Une fenêtre va t'indiquer de redémarrer FireFox pour que soit installé le module. Redémarre Firefox.
  
  
  
• Lors du redémarrage il te sera suggéré de t'abonner à une liste de filtres:
  
  
  
• Abonne toi à cette liste. Voilà, normalement tu dois avoir un petit panneau rouge en bas à gauche (avec ABP à l'intérieur).
  
  Donc à partir de maintenant les pubs devraient être moins nombreuse...

- Il existe aussi un add on appelé no script qui bloque systématiquement Java script; Si on veut pouvoir surfer il faut autoriser pour chaque site visité les sous éléments juste nécessaires pour pouvoir naviguer sans laisser trop de traces à doubleclick et autre. C'est assez contraignant au début,(il faut penser à cliquer sur le bouton "options" en bas à droite et n'autoriser temporairement que le strict nécessaire pour naviguer) mais trés efficace. A voir en second lieu car déja avec ADblock il faut parfois autoriser certaines parties de sites ...donc pas trop de nouveauté d'un seul coup, mais cet outil est un must en terme de sécurité !


Nous allons mettre à jour Java-La version actuelle est 7.5 - et en profiter pour faire un peu de ménage - si besoin:

Utiliser, obligatoirement, Internet Explorer pour téléchargez (sur le Bureau) la dernière version: 64 bits en ce qui te concerne.




• Avant l'installation supprime toutes les anciennes versions parce qu'elles peuvent contenir des vulnérabilités de sécurité.
• Clique sur "Démarrer" => "Panneau de configuration" => "Ajout/ Suppression de Programmes".
• Cherche dans la liste les lignes concernant Java J2SE Runtime Environment et éventuellement Java(TM) X Update Y.
• Sélectionne une ligne à la fois et clique sur Supprimer.
• Quand il n'y en a plus, ferme le panneau de configuration et installe la nouvelle version en cliquant sur le fichier qui a été téléchargé sur le bureau.
• Ensuite clique sur "vérifiez que Java a été correctement installé. " pour s'assurer que tout est OK

- Faire la vérification pour chaque navigateur. Pour ce qui est de FireFox et Opera normalement après l'installation lors du premier démarrage tu devrais avoir un avis te demandant l'autorisation d'installer Java sur ce navigateur, ce qu'il faut bien sûr accepter.

Désinstallation des outils utilisés:

Il ne faut pas garder d'anciennes version d'outils car ceux ci sont mis à jour pratiquement journellement. En cas de besoin il est préférable de retélécharger les dernières versions.

- Télécharge DelFix de Xplode sur ton bureau.

• Lance le, clique sur [Suppression]. Patiente puis copie/colle le rapport créé ici.
• Une fois le rapport posté, relance DelFix et clique sur [Désinstallation].
• Supprime de ton bureau d'éventuels rapports restant ou autres ( SecurityCheck si encore présents).

Par contre conserve MbAM qu'il convient de passer régulièrement (après mise à jour de sa base de signatures).

- Conseils généraux relatifs à la sécurité:

• Les logiciels de sécurité (antivirus, anti-troyens ...), même les meilleurs, ne sont pas efficaces à 100% contre les menaces actuelles. Pour protéger efficacement ton PC il faut que tu connaisses les pièges tendus sur le net et que tu apprennes à les éviter. Pour cela, je t'invite à lire ce document de la Lutte Antimalwares. (Au format PDF)
  Il est très complet alors prends ton temps pour le lire et fais le circuler autour de toi.
  
• Judiciarisation des espaces d’entraide informatique.
  - La nouvelle tendance des sociétés sans scrupule qui téléchargent un tas de cochonnerie sur les machines des internautes, est d'attaquer en justice les forums de sécurité qui suppriment toutes ces pestes et qui par conséquent nuisent à leur business.
  
  A lire attentivement le papier de notre ami Gof sur ce sujet. Notre activité est donc menacée ...
  
• Le P2P : Les risques liés au P2P:Idées reçues

Sauf si tu as des questions ou encore des pb, je te propose d'en rester là.

Toute l'équipe de Micro-Astuce te souhaite bon surf en toute sécurité

[Gdlm]

Bonjour,

Voici le dernier rapport.

# DelFix v8.8 - Rapport créé le 29/06/2012 à 12:35:24
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : G - G-PC (Administrateur)
# Exécuté depuis : C:\Users\G\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\G\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\G\Desktop\RogueKiller.exe
Supprimé : C:\Users\G\Desktop\SecurityCheck.exe
Supprimé : C:\Users\G\Downloads\ZHPDiag2(1).exe
Supprimé : C:\Users\G\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1040 octets] - [29/06/2012 12:35:24]

########## EOF - C:\DelFix[S1].txt - [1164 octets] ##########

[Gdlm]

Voilà un grand merci à vous et votre équipe. J'ai juste les racourcis burreau de SecurityCheck et RK encore visible mais surrement qu'après un redémarage elles disparaitrons ! Longue vie à votre forum et bonne journée

[Gdlm]

J'ai pu être une dernière question. J'utilise un disque dur externe utilisé sur plusieurs ordinateurs, comment s'assurer que lui n'est pas infecté ?

Merci d'avance

[MoJac]

Re:

A propos de Roguekiller, essaie de le relancer en admin et clique sur "désinstaller".

Si ça ne marche pas c'est qu'il ne reste que le raccourcis que tu peux mettre à la poubelle. Idem pour SecurityCheck (poubelle directement)

Normalement si ton disque est branché et si tu lances un scan celui ci doit être inclus dans les volumes examinés.

Fais le test et tiens nous au courant.

Bye

[Gdlm]

Pour le disque tout les précédents scan on été fait avec lui branché j'en conclue que c'est donc bon. Les raccourcis ont disparu au redémarrage ! Merci pour tous bonne soirée !!