Bonjour, cliquez-ici pour vous inscrire et participer au forum.
  • Login:



+ Répondre à la discussion
Affichage des résultats 1 à 10 sur 10

Infection, suppression secure search, FRST

  1. Thomthom1

    Date d'inscription
    juin 2017
    Messages
    5

    Infection, suppression secure search, FRST

    Bonjour,

    depuis quelques jours mon PC est infecté, beaucoup de fenêtres s'ouvrent toutes seules et dès que je suis sur google, j'ai la barre de recherche Secure search qui s'affiche et me force à passer par elle. (Impossible à désinstaller car pas présente dans la liste des programmes)
    Une fenêtre de windows 10 s'ouvre "alerte microsoft" et m'annonce que mon PC est infecté, qu'il faut appeler un numéro.... Mais j'imagine que ceci fait partie du virus !?

    J'ai vu qu'il étais possible de faire des rapports via FRST et de se faire aider par des personnes compétentes dans ce domaine. J'ai donc suivi les infos et j'ai sortie les 3 rapports:

    http://pjjoint.malekal.com/files.php...x15q7u12i11y15
    http://pjjoint.malekal.com/files.php...2_z7k5m11k7p14
    http://pjjoint.malekal.com/files.php...2_y10t5s13n8l5

    Est-il possible d'avoir de l'aide s'il vous plaît ?

    D'avance merci.

    -----

     


    • Publicité



  2. xsun

    Date d'inscription
    juin 2015
    Messages
    809

    Re : Infection, suppression secure search, FRST

    bonjour


    Sous quel navigateur pour Secure search ?


    ***


    ATTENTION: La Restauration système est désactivée

    tu dois l'activer avant de continuer --> activer la restauration système


    ***


    FRST - Correctif :


    /!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Appuie en même temps sur la touche Ctrl et y. Un fichier fixlist.txt s'ouvre
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans ce fichier
      --> de start inclus dans le copié à end inclus dans le copié


    Code:
    start
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3212992994-4169440896-628804939-1001\...\Run: [Chromium] => c:\users\thom\appdata\local\chromium\application\chrome.exe --auto-launch-at-startup --profile-directory=Default --restore-last-session
    GroupPolicy: Restriction <======= ATTENTION
    Tcpip\..\Interfaces\{f31395c9-7151-4f5c-bdad-b42cab445800}: [DhcpNameServer] 40.53.1.12
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://fr.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_ir_17_21&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyByC0CyCtA0B0D0F0E0C0AzytCzz0F0DtN0D0Tzu0StCzyyCzztN1L2XzutAtFtBzytFtAtFyBzztN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyBtB0ByE0EyCzz0CtGtCtAyCyBtGyBtCyDyCtGtB0AyD0BtGyBtB0FyDyEtB0CtDtCyC0C0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0E0EtA0B0DzytAtG0AtA0B0EtGyE0D0CtCtG0AtAyEtAtG0CyCtAyE0BtA0EyD0D0BzytB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtBzzzyzy%26cr%3D798207305%26a%3Dwbf_ir_17_21%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://fr.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_ir_17_21&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyByC0CyCtA0B0D0F0E0C0AzytCzz0F0DtN0D0Tzu0StCzyyCzztN1L2XzutAtFtBzytFtAtFyBzztN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyBtB0ByE0EyCzz0CtGtCtAyCyBtGyBtCyDyCtGtB0AyD0BtGyBtB0FyDyEtB0CtDtCyC0C0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0E0EtA0B0DzytAtG0AtA0B0EtGyE0D0CtCtG0AtAyEtAtG0CyCtAyE0BtA0EyD0D0BzytB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtBzzzyzy%26cr%3D798207305%26a%3Dwbf_ir_17_21%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome
    HKU\S-1-5-21-3212992994-4169440896-628804939-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://fr.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_ir_17_21&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyByC0CyCtA0B0D0F0E0C0AzytCzz0F0DtN0D0Tzu0StCzyyCzztN1L2XzutAtFtBzytFtAtFyBzztN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyBtB0ByE0EyCzz0CtGtCtAyCyBtGyBtCyDyCtGtB0AyD0BtGyBtB0FyDyEtB0CtDtCyC0C0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0E0EtA0B0DzytAtG0AtA0B0EtGyE0D0CtCtG0AtAyEtAtG0CyCtAyE0BtA0EyD0D0BzytB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtBzzzyzy%26cr%3D798207305%26a%3Dwbf_ir_17_21%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_ir_17_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyByC0CyCtA0B0D0F0E0C0AzytCzz0F0DtN0D0Tzu0StCzyyCzztN1L2XzutAtFtBzytFtAtFyBzztN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyBtB0ByE0EyCzz0CtGtCtAyCyBtGyBtCyDyCtGtB0AyD0BtGyBtB0FyDyEtB0CtDtCyC0C0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0E0EtA0B0DzytAtG0AtA0B0EtGyE0D0CtCtG0AtAyEtAtG0CyCtAyE0BtA0EyD0D0BzytB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtBzzzyzy%26cr%3D798207305%26a%3Dwbf_ir_17_21%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_ir_17_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyByC0CyCtA0B0D0F0E0C0AzytCzz0F0DtN0D0Tzu0StCzyyCzztN1L2XzutAtFtBzytFtAtFyBzztN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyBtB0ByE0EyCzz0CtGtCtAyCyBtGyBtCyDyCtGtB0AyD0BtGyBtB0FyDyEtB0CtDtCyC0C0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0E0EtA0B0DzytAtG0AtA0B0EtGyE0D0CtCtG0AtAyEtAtG0CyCtAyE0BtA0EyD0D0BzytB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtBzzzyzy%26cr%3D798207305%26a%3Dwbf_ir_17_21%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_ir_17_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyByC0CyCtA0B0D0F0E0C0AzytCzz0F0DtN0D0Tzu0StCzyyCzztN1L2XzutAtFtBzytFtAtFyBzztN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyBtB0ByE0EyCzz0CtGtCtAyCyBtGyBtCyDyCtGtB0AyD0BtGyBtB0FyDyEtB0CtDtCyC0C0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0E0EtA0B0DzytAtG0AtA0B0EtGyE0D0CtCtG0AtAyEtAtG0CyCtAyE0BtA0EyD0D0BzytB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtBzzzyzy%26cr%3D798207305%26a%3Dwbf_ir_17_21%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_ir_17_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyByC0CyCtA0B0D0F0E0C0AzytCzz0F0DtN0D0Tzu0StCzyyCzztN1L2XzutAtFtBzytFtAtFyBzztN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyBtB0ByE0EyCzz0CtGtCtAyCyBtGyBtCyDyCtGtB0AyD0BtGyBtB0FyDyEtB0CtDtCyC0C0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0E0EtA0B0DzytAtG0AtA0B0EtGyE0D0CtCtG0AtAyEtAtG0CyCtAyE0BtA0EyD0D0BzytB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtBzzzyzy%26cr%3D798207305%26a%3Dwbf_ir_17_21%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\250375390.js [2017-05-30] <==== ATTENTION (Pointe vers un fichier *.cfg)
    FF ExtraCheck: C:\Program Files\mozilla firefox\250375390.cfg [2017-05-30] <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx
    S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X]
    2017-06-02 17:17 - 2017-06-02 17:17 - 00000000 ____D C:\ProgramData\SWCUTemp
    2017-05-22 20:01 - 2017-05-22 20:01 - 00000000 ____D C:\Users\Thom\AppData\Local\73f3edd6623caba567006d8b8634dd29
    2017-05-22 17:57 - 2017-05-22 17:57 - 00000000 ____D C:\Users\Thom\AppData\Local\UNP
    2017-05-22 17:52 - 2017-05-22 17:53 - 00000000 ____D C:\Program Files\UNP
    2017-05-22 17:52 - 2017-05-22 17:52 - 00000000 ____D C:\WINDOWS\system32\UNP
    2017-05-25 11:13 - 2017-01-13 21:21 - 00001012 _____ C:\WINDOWS\Tasks\Yahoo! Powered tadec.job
    2017-05-24 18:00 - 2017-01-13 21:21 - 00000000 ____D C:\ProgramData\{2F15EA76-A557-60B0-2391-FEF2B9D3753C}
    2017-05-22 20:00 - 2017-01-23 14:42 - 00004088 _____ C:\WINDOWS\System32\Tasks\Yahoo! Powered tadec
    Task: {43D3293A-9894-4D95-9867-C1315AB5FB8E} - System32\Tasks\Yahoo! Powered tadec => Wscript.exe "C:\ProgramData\{2F15EA76-A557-60B0-2391-FEF2B9D3753C}\fato.txt" "68747470733a2f2f7761676e672e636f6d" "433a5c50726f6772616d446174615c7b32463135454137362d413535372d363042302d323339312d4645463242394433373533437d5c736563656d61" "433a5c50726f6772616d446174615c7b32463135454137362d413535372d363042302d3233 (l'élément de données a 80 caractères en plus).
    Task: {C4545FA7-E2D8-4038-996C-E6B60F0BC96A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier <==== ATTENTION
    Task: C:\WINDOWS\Tasks\Yahoo! Powered tadec.job => Wscript.exe  C:\ProgramData\{2F15EA76-A557-60B0-2391-FEF2B9D3753C}\fato.txt <==== ATTENTION
    c:\users\thom\appdata\local\chromium
    cmd: ipconfig /flushdns
    EmptyTemp:
    end
    • Appuie en même temps sur la touche Ctrl et s pour enregistrer, puis referme le fichier fixlist.txt via la croix, en haut à droite
    • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
    • Accepte le redémarrage du système si demandé
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


    Redémarre ton ordinateur s'il ne le fait pas automatiquement



    Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"



    /!\ Ce script a été établi uniquement pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, cela ne sert à rien car chaque système est différent, et le risque de provoquer de graves dysfonctionnements et d'endommager Windows reste possible /!\


    ***


    un rapport attendu

    --> Fixlog.txt
     

  3. Thomthom1

    Date d'inscription
    juin 2017
    Messages
    5

    Re : Infection, suppression secure search, FRST

    Bonjour,

    merci pour votre réponse rapide.

    J'utilise comme navigateur Firefox.

    J'ai créer un point de restauration système, je viens de lancer la correction et un redémarrage système.

    Voici le rapport en PJ.


    Merci
    Fichiers attachés
     

  4. xsun

    Date d'inscription
    juin 2015
    Messages
    809

    Re : Infection, suppression secure search, FRST

    bonjour

    comment se comporte le système ?
     

  5. Thomthom1

    Date d'inscription
    juin 2017
    Messages
    5

    Re : Infection, suppression secure search, FRST

    Bonjour,

    ca va beaucoup mieux. Secure search n'est plus présent lorsque je lance une recherche google et je n'ai, pour le moment, pas eu de nouveaux pop up !


    Et puis j'ai l'impression d'avoir gagné en rapidité !


    Encore merci
     


    • Publicité



  6. xsun

    Date d'inscription
    juin 2015
    Messages
    809

    Re : Infection, suppression secure search, FRST

    re

    très bien
    on va attendre deux/trois jours pour confirmer avant de finaliser (suppressions des outils et nettoyage de la restauration système)
     

  7. Thomthom1

    Date d'inscription
    juin 2017
    Messages
    5

    Re : Infection, suppression secure search, FRST

    OK, très bien !
     

  8. xsun

    Date d'inscription
    juin 2015
    Messages
    809

    Re : Infection, suppression secure search, FRST

    re

    je t'ai zappé ^^
    comme de ton côté, tu n'as pas relancé le sujet, je pense que c'est ok


    ***


    on finalise

    Télécharge DelFix (de Xplode) sur ton bureau.
    • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
      (Utilisateur de Vista/Windows 7/windows 8.1/10, faites un clic droit -> "Exécuter en tant qu'administrateur")
    • laisse l'option "Supprimer les outils de désinfection" cochée
    • coche aussi l'option "Purger la restauration système" <-- /!\ important /!\
    • Clique sur le bouton "Exécuter"
    • Laisse travailler l'outil.
    Le rapport est enregistré à la base de ton disque dur, (C:\DelFix.txt généralement)

    Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"
     

  9. Thomthom1

    Date d'inscription
    juin 2017
    Messages
    5

    Re : Infection, suppression secure search, FRST

    Bonjour,

    merci, j'avais un peu zappé aussi !

    Voici le rapport DelFix en PJ.
    Fichiers attachés
     

  10. xsun

    Date d'inscription
    juin 2015
    Messages
    809

    Re : Infection, suppression secure search, FRST

    re

    ok pour le rapport DelFix

    bon surf et prudence sur le net
     


    • Publicité







Sur le même thème :





 

Discussions similaires

  1. Aide pour la suppression de TROVI SEARCH
    Par MDN67 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 4
    Dernier message: 27/01/2015, 11h26
  2. Infection search conduit
    Par zimuersol dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 2
    Dernier message: 03/07/2013, 18h30
  3. Redirection vers secure Bidvertiser ou Search bpath
    Par virgimo dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 1
    Dernier message: 16/04/2012, 11h59
  4. Infection par spyware secure
    Par lilian43 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 10
    Dernier message: 30/09/2007, 20h32
  5. infection spyware secure
    Par crystie dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 33
    Dernier message: 24/09/2007, 18h01