[Résolu] Searchnu.com/410

[didoeninformatique]

Bonjour a tous,

 

Suite a "l'infection" de mon PC par ce fameux "searchnu.com" j'ai tenté de l’éradiquer seul.

J'ai bêtement pensé pouvoir le supprimer par le biais de windows (ajout/suppression programme).

Evidemment ça n'a pas été le cas, idem avec Hijackthis et malwarebytes.

 

En fouillant sur le net je suis arrivé jusqu'à vous.

Après lecture de qques sujets, j'ai donc téléchargé ZHPDiag pour déjà faire un rapport.

Premier problème le logiciel reste bloqué à 4% suite a un message d'erreur qui apparaît dans une boite de dialogue.

 

le message:

Violation d'accès à l'adresse 775D9826 dans le module 'ntdll.dll'. Ecriture de l'adresse 00407EB8

 

J'ai la possibilité de cliquer sur OK ce que je fais.

Reste la boite de dialogue "traitement en cours..." le petit cercle vista qui tourne mais rien ne semble se produire.

 

L'analyse est t'elle très longue ou ais-je vraiment un gros problème ?

 

Merci de l'aide que vous pourrez m'apporter.

Modifié le 8 juillet 2012 par didoeninformatique

[Apollo]

Bonsoir,

 

Désinstalle ZHPDiag, je te dirai quand le re-télécharger et l'installer.

 

Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

++

[didoeninformatique]

Bonjour,

Merci de m'aider.

Alors j'ai désinstallé ZHDiag.

Téléchargé ADWcleaner sur bureau, lancé "suppression" mais a chaque fois il redémarre l'ordi annonçant l'ouverture du rapport lors du redémarrage mais VLC s'ouvre ainsi qu'une fenêtre d'erreur et aucun rapport.

 

j'ai retrouvé le rapport et l'ai ouvert avec words.

le voici:

 

 

# AdwCleaner v1.700 - Rapport créé le 01/07/2012 à 16:13:22

# Mis à jour le 26/06/2012 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : laurent - PC-DE-LAURENT

# Exécuté depuis : C:\Users\laurent\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\laurent\AppData\LocalLow\searchquband

Dossier Supprimé : C:\ProgramData\boost_interprocess

Fichier Supprimé : C:\Users\laurent\AppData\Local\Temp\Searchqu.ini

Fichier Supprimé : C:\Users\laurent\AppData\Local\Temp\searchqutoolbar-manifest.xml

Fichier Supprimé : C:\Users\laurent\AppData\Local\Temp\SetupDataMngr_Searchqu.exe

Fichier Supprimé : C:\Users\laurent\AppData\Roaming\Mozilla\Firefox\Profiles\fe78wn1k.default\searchplugins\Search_Results.xml

Fichier Supprimé : C:\Program Files\Mozilla FireFox\searchplugins\Search_Results.xml

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\DataMngr

Clé Supprimée : HKCU\Software\pdfforge.org

Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar

Clé Supprimée : HKLM\SOFTWARE\pdfforge.org

 

***** [Registre - GUID] *****

 

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v7.0.6002.18005

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v8.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Users\laurent\AppData\Roaming\Mozilla\Firefox\Profiles\fe78wn1k.default\prefs.js

 

C:\Users\laurent\AppData\Roaming\Mozilla\Firefox\Profiles\fe78wn1k.default\user.js ... Supprimé !

 

Supprimée : user_pref("browser.search.defaultenginename", "Search Results");

Supprimée : user_pref("browser.search.order.1", "Search Results");

Supprimée : user_pref("browser.search.selectedEngine", "Search Results");

Supprimée : user_pref("browser.startup.homepage", "hxxp://www.searchnu.com/410");

Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&sr=0&q=");

 

Nom du profil : default

Fichier : C:\Users\nina\AppData\Roaming\Mozilla\Firefox\Profiles\vvpaqojb.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Users\elene\AppData\Roaming\Mozilla\Firefox\Profiles\knt55g4a.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v20.0.1132.47

 

Fichier : C:\Users\laurent\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Supprimée : "homepage": "hxxp://www.searchnu.com/410",

Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.searchnu.com/410", "hxxp://www.google.fr/" ]

Supprimée : "name": "Search Results",

Supprimée : "search_url": "hxxp://dts.search-results.com/sr?src=crb&appid=0&systemid=410&sr=0&q={searchTer[...]

Supprimée : "homepage": "hxxp://www.searchnu.com/410",

Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.searchnu.com/410", "hxxp://www.google.fr/" ]

 

Fichier : C:\Users\elene\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [3626 octets] - [01/07/2012 16:13:22]

 

########## EOF - C:\AdwCleaner[s1].txt - [3754 octets] ##########

Modifié le 1 juillet 2012 par didoeninformatique

[Apollo]

Ok,

 

Va dans C:\Program Files et supprime le dossier ZHPDiag.

 

Ensuite,

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[didoeninformatique]

j'ai ré-installé ZHPDiag qui a priori ne s'était pas complètement désinstallé.

je viens de lancer le diagnostic et là encore il bloque a 4% avec le message de violation d'accès...

 

grrr !!!

[Apollo]

Est-ce que tu lances bien les outils par clic droit/exécuter en temps qu'administrateur?

 

On va virer les outils et refaire un essai de réinstallation de ZHPDiag.

 

Ne coche pas toutes les cases dans zhpdiag: clique sur le petit tournevis et

 

Pour éviter un blocage, décochez 045 et 061

 

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Ne désinstalle pas DelFix car tu en auras encore besoin.

 

Réinstalle ZHPDiag et si ça ne marche pas encore, on procédera autrement. (Si le firewall rouspète, donne l'autorisation à ZHPDiag de travailler).

 

 

@++

[didoeninformatique]

oui j'ouvre bien en clic droit en tant qu'administrateur.

Là aussi le rapport delfix je dois aller dans "rechercher" pour l'ouvrir avec words sinon c'est VLC.

 

donc le voilà:

 

 

# DelFix v8.8 - Rapport créé le 01/07/2012 à 17:19:55

# Mis à jour le 12/02/12 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : laurent - PC-DE-LAURENT (Administrateur)

# Exécuté depuis : C:\Users\laurent\Desktop\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\ZHP

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

Supprimé : C:\Program Files\Navilog1

Non Supprimé : C:\Program Files\ZHPDiag

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[s1].txt

Supprimé : C:\AdwCleaner[s2].txt

Supprimé : C:\cleannavi.txt

Supprimé : C:\Users\laurent\Desktop\adwcleaner.exe

Supprimé : C:\Users\laurent\Desktop\ZHPDiag2 (2).exe

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Soeperman Enterprises Ltd.

Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1414 octets] - [01/07/2012 17:19:55]

 

########## EOF - C:\DelFix[s1].txt - [1538 octets] ##########

 

 

j'ai tenté de nouveau ZHPDiag en vain.

Modifié le 1 juillet 2012 par didoeninformatique

[didoeninformatique]

alors j'ai de nouveau tout désinstallé sauf delfix et j'ai refais un diagnostic.

 

 

# DelFix v8.8 - Rapport créé le 01/07/2012 à 17:47:50

# Mis à jour le 12/02/12 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : laurent - PC-DE-LAURENT (Administrateur)

# Exécuté depuis : C:\Users\laurent\Desktop\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\ZHP

Supprimé : C:\Program Files\ZHPDiag

 

~~~~~~ Fichier(s) ~~~~~~

 

 

~~~~~~ Registre ~~~~~~

 

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1535 octets] - [01/07/2012 17:19:55]

DelFix[s2].txt - [599 octets] - [01/07/2012 17:47:50]

 

########## EOF - C:\DelFix[s2].txt - [722 octets] ##########

 

 

ceci dit je n'ai plus pour l'instant ce fameux searchnu.com c'est déjà bien.

[Apollo]

Pour les fichiers texte, clique droit sur l'un d'entre-eux/ouvrir avec et dans la liste des programmes, choisis par défaut "bloc-notes et clique toujours utiliser ce programme (ou quelque-chose du genre )

 

Voilà:

 

Refais un essai avec ZHPDiag.

 

@++

[didoeninformatique]

j'ai refais un essai déjà et toujours pareil bloqué a 4% avec "violation d'accès..."