Problème important de Malware

[invite6e9695ab]

Bonjour,

J'ai découvert votre équipe en cherchant à me débarrasser de Yontoo. Je crois que mon ordi est sacrément infesté (lenteur de démarrage et d'utilisation + substitution de la page d'accueil de mon navigateur par searchnu.com + affichage intempestif de pages de pub + bugs de l'ordi).

Pouvez-vous m'aider s'il vous plaît à nettoyer correctement mon ordi?

Je vous remercie par avance,

Bien cordialement et merci pour votre initiative ainsi que pour les dossiers d'infos que vous proposez (très instructifs)
-----

[invite5b8d2105]

Bonjour,

J'ai découvert votre équipe en cherchant à me débarrasser de Yontoo. Je crois que mon ordi est sacrément infesté (lenteur de démarrage et d'utilisation + substitution de la page d'accueil de mon navigateur par searchnu.com + affichage intempestif de pages de pub + bugs de l'ordi).

Pouvez-vous m'aider s'il vous plaît à nettoyer correctement mon ordi?

Je vous remercie par avance,

Bien cordialement et merci pour votre initiative ainsi que pour les dossiers d'infos que vous proposez (très instructifs)

hello

commence pas désinstaller

yontoo
serachqu

====================

ensuite fais ceci

======================

===================
Adwcleaner


Option Suppression :

===================

* Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

/!\ Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même /!\

* Lance le, clique sur [Suppression]


[*] pour les possesseurs de l'antivirus antivir , qui ont activé les conditions d'installation du Webguard d'Antivir dans sa version gratuite.
Désactivez la recherche/suppression de la barre d'outil et des programmes Ask.
[*] lire le tuto indiquant la procédure de désactivation.

un tuto d' aide à lire

* puis patiente le temps du scan.
* Une fois le scan fini, un rapport s'ouvrira.
* Poste moi, en pièce jointe, son contenu dans ta prochaine réponse

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[*] Tutoriel d'Aide

===================

Malwaresbyte's Anti-Malware


Télécharge MalwareByte's Anti-Malware sur ton Bureau.
en cliquant sur Download Now version FREE

/!\ prendre la version gratuite /!\


[list][*] Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
Une fois l'installation et la mise à jour effectuées :

==>> Dans l'onglet Paramètres,[/color][*] puis Paramètres d'examen, [*] sélectionne Afficher dans les résultats, [*] pré-cocher pour suppression pour les 3 actions[*] Programmes potentiellement indésirables (PUP) [*] Modifications potentiellement indésirables (PUM)[*] actions pour les programmes de pair à pair ( per2 per)


[*] Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".[*] Afin de lancer la recherche, clic sur "Rechercher [*] Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

*_* Attention Deux possibilités s'offrent à toi :
[*] Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
[*]Lis bien la suite
[*] Si des infections sont présentes
[*] clic sur " Afficher les résultats"
[*] puis sur " Supprimer la sélection. "
[*] Enregistre le rapport sur ton Bureau.
[*] Fais redémarrer ton ordinateur normalement
[*] poste en pièce jointe le rapport dans ta prochaine réponse.

REMARQUE :
Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
accepte en cliquant sur Ok

si au reboot , ton pc reste figé

il faut faire la combinaison des touches suivantes ==>>

ctrl+ alt+ suppr
dans le gestionnaire des taches
nouvelle tache
taper explorer.exe
entrée

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

Tutoriel
============================== =

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Vérifie que les cases Tous les utilisateurs , Recherche Lop et Recherche Purity soient cochées
  
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit :

netsvcs
msconfig
activex
drivers32
/md5start
system.exe
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\ *.sys /lockedfiles
hklm\software\clients\startmen uinternet|command /rs
hklm\software\clients\startmen uinternet|command /64 /rs
CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
• heberge les rapports en pièces jointes
• Les rapports sont sauvegardés sur le Bureau.

=======================

à te lire

mets dans cet ordre les rapports en pièces jointes

adwcleaner mode suppression
Mbam

OTL
extras

merci

[invite6e9695ab]

Bonsoir,

Merci de ta réponse rapide Migau!

Alors j'avais déjà, semble-t-il, réussi à désinstaller Yonpoo via le système de désinstallation forcée proposé par Revo Uninstaller. Par contre impossible de trouver serachqu.

Voici en PJ les rapports demandés dans l'ordre requis.

Merci de ton aide!

PS. Petite question supplémentaire : impossible de télécharger les logiciels recommandés sur mon bureau. J'ai été obligé de les télécharger sur le disque C de mon ordi. J'utilise Windows Vista. Y-at-il une méthode spécifique?

[invite6e9695ab]

PPS. J'ai déjà pu observer que searchnu.com ne s'invitait plus sur la page d'accueil de mon navigateur

[A voir en vidéo sur Futura]

[invite5b8d2105]

J'ai déjà pu observer que searchnu.com ne s'invitait plus sur la page d'accueil de mon navigateur

Bonjour

regarde dans le rapport adwcleaner, tu y vrras la suppréssion de searchnu.com

tu continues avec ceci

désinstalle spybot search& destroy, il est depuis très longtemps obsolète

========================
OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)

Code:

:OTL
PRC - [2011/06/08 19:19:24 | 001,583,960 | ---- | M] (IObit) -- C:\Program Files\IObit\Smart Defrag 2\SmartDefrag.exe
PRC - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SBSDWSCService)
E - HKLM\..\SearchScopes\{0C8DEA29-AD4D-43B8-9CD1-09634E0DA797}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr
IE - HKLM\..\SearchScopes\{D4660D78-4EB9-445D-811A-F5787AC2FED2}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-391724318-2489589739-398322279-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKU\S-1-5-21-391724318-2489589739-398322279-1000\..\SearchScopes\{0C8DEA29-AD4D-43B8-9CD1-09634E0DA797}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr
IE - HKU\S-1-5-21-391724318-2489589739-398322279-1000\..\SearchScopes\{D4660D78-4EB9-445D-811A-F5787AC2FED2}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0011-ABCDEFFEDCBA%7D:6.0.11
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0017-ABCDEFFEDCBA%7D:6.0.17
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0019-ABCDEFFEDCBA%7D:6.0.19
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0020-ABCDEFFEDCBA%7D:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: cacaoweb@cacaoweb.org:1.0.11
FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.3
FF - prefs.js..extensions.enabledAddons: %7Ba0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7%7D:20120926
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
[2012/12/08 20:22:40 | 000,531,070 | ---- | M] () (No name found) -- C:\Users\Géraldine\AppData\Roaming\mozilla\firefox\profiles\1k588noe.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
[2012/11/24 12:28:21 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\Géraldine\AppData\Roaming\mozilla\firefox\profiles\1k588noe.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012/10/21 11:30:21 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
File not found (No name found) -- C:\USERS\GéRALDINE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1K588NOE.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI
File not found (No name found) -- C:\USERS\GéRALDINE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1K588NOE.DEFAULT\EXTENSIONS\{A0D7CCB3-214D-498B-B4AA-0E8FDA9A7BF7}
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-391724318-2489589739-398322279-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:0B4227B4

:files
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste en pièces jointes , le contenu du rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Est attendu le rapport C:\_OTL\MovedFiles\********_** ****.log

[invite6e9695ab]

Bonjour Migau,

Voici le rapport demandé.

Bonne journée!

[invite5b8d2105]

Bonjour Migau,

Voici le rapport demandé.

Bonne journée!

hello

tu as bien redémarré ton pc ?

===========================


============================== =====

SX Check&Update :
[list][*]Télécharge SX Check&Update de igor51
et enregistre-le sur ton Bureau
[*] Ferme toutes les applications, y compris ton navigateur et désactive ton antivirus le temps de l'opération
[*]Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*] *_* Au menu principal *_*
[*] clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert,
Internet Explorer et Firefox dans ton cas
==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/flashplayer/


[*]Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
==>>A titre indicatif, la page de téléchargement==>> http://www.java.com/fr/download/
==>>désinstalle toutes les autres versions plus anciennes
[*]Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/reader/?promoid=HTEGU
[*] N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre, google chrome pour adobe)
[*] Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport

*_* tu mets le rapport en pièce jointe




NB==>> désinstalle, si besoin, toutes les versions java obsolètes

============================== ==========

Purge points de restauration :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous
  
  

  :Commands
  [CLEARALLRESTOREPOINTS]
  [EMPTYTEMP]

• Colle l'intégralité du code dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
• Si l'outil te demande de redémarrer le PC, tu acceptes

============================== ===


purger les outils

Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Purge d'outils
  
  
  
• Valide l'avertissement par OK et laisse le pc redémarrer

• RelanceAdwCleaner et clique sur Désinstaller
• Supprime SXCU de ton Bureau
• Supprime tous les rapports générés restants

============================== ==

à te lire

[invite6e9695ab]

Re-bonjour Migau,

J'ai fait ce que tu me conseillé. Il ne s'est rien passé quand j'ai cliqué sur "désinstaller" adwaware (j'ai essayé plusieurs fois). Je l'ai donc supprimé du lieu où il était enregistré. J'espère que ça suffira (??).

En ce qui concerne le fonctionnement du PC, ça va mieux. Je n'ai plus de pages de pub intempestives et j'ai récupéré une page d'accueil normal sur mon navigateur. La vitesse à l'allumage et d'utilisation s'est améliorée, même si ce n'est encore vite vite. Peut-être ais-je aussi un autre pb que des malware?

En tous cas MERCI de ton aide! C'est vraiment super

[invite5b8d2105]

Re-bonjour Migau,

J'ai fait ce que tu me conseillé. Il ne s'est rien passé quand j'ai cliqué sur "désinstaller" adwaware (j'ai essayé plusieurs fois).

hello

tu me parles de quoi ? c'est quoi adwaware? je ne connais pas!!!!

[invite6e9695ab]

Hello

Pardon je me suis trompée. Je voulais dire AdWCleaner.

[invite5b8d2105]

Hello

Pardon je me suis trompée. Je voulais dire AdWCleaner.

hello

je m'en doutais un peu

tu n'avais pas mis adwcleaner sur ton bureau

on finalise et je te souhaite une bon fin de week end

==================
===========================
voilà on touche au but .

Je ne suis pas là pour te faire la morale, mais fais attention, ne clique pas trop vite, prends le temps de lire les clauses
et surtout , toujours télécharger les outils sur le site de l'éditeur.

une explication vaut mieux qu'un grand discours

Je finalise donc la procédure par Quelques précisions, conseils et précautions :

à exclure toutes formes de piratage

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  
  Pourquoi et comment je me fais infecter ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
  
  /!\ lire les accords de licence avant toute installlation,
  des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  
  /!\ Change impérativement tous tes mots de passe
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés. IE et Firefox
  
  Exploitation SWF/PDF et Java - système non à jour = danger
  
  
• Sécuriser Firefox,
  
  Firefox sécurisé

[invite6e9695ab]

Et oui! C'est ce que je te disais hier soir : "PS. Petite question supplémentaire : impossible de télécharger les logiciels recommandés sur mon bureau. J'ai été obligé de les télécharger sur le disque C de mon ordi. J'utilise Windows Vista. Y-at-il une méthode spécifique? "

Merci encore pour tout et pour les recommandations. J'ai dû chercher et télécharger un logiciel cette après-midi. J'en ai eu des sueurs froides en croisant les doigts pour ne pas me planter!

Bonne continuation et encore bravo pour l'initiative

[invite5b8d2105]

Et oui! C'est ce que je te disais hier soir : "PS. Petite question supplémentaire : impossible de télécharger les logiciels recommandés sur mon bureau. J'ai été obligé de les télécharger sur le disque C de mon ordi. J'utilise Windows Vista. Y-at-il une méthode spécifique? "

Merci encore pour tout et pour les recommandations. J'ai dû chercher et télécharger un logiciel cette après-midi. J'en ai eu des sueurs froides en croisant les doigts pour ne pas me planter!

Bonne continuation et encore bravo pour l'initiative

hello

lorsque tu télécharges un logiciel avec Firefox

tu ouvres firefox, et tu te rends

*outils
* options
* onglet général
* cocher la case "toujours demander ou enregistrer le fichier

et ensuite , lorsque tu télécharges le fichier, tu fais enregistrer sous


pour IE

tout est expliquer ici

http://windows.microsoft.com/fr-FR/w...sked-questions

bonne soirée

[invite6e9695ab]

Décidément je te dois une fière chandelle! Encore MERCI! Bonne soirée