[Résolu] Infection Nation Zoom et V9

[gepetto38]

Bonjour,

l'ordi de mon oncle ouvre nation zoom ou v9 comme moteur de recherche et pas moyen de s'en debarrasser. Je crois qu'une aide serait la bienvenue. L'ordi est sous vista.

Merci à celui (ou celle) qui pourra me donner un coup de main.

Bonne journée.

Modifié le 11 août 2014 par gepetto38

[Apollo]

Bonjour,

 

1)*** Si tu as une ancienne version d'AdwCleaner, lance-le et clique sur désinstaller.***

 

Télécharge AdwCleaner par Xplode:

•  

  https://toolslib.net/downloads/viewdownload/1-adwcleaner/

   

  Enregistre-le sur le bureau (et pas ailleurs).

   

  Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

   

   

  Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

  Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

   

  Clique sur Scanner et laisse travailler l'outil.

   

  Cliquer sur Nettoyer , le bouton sera accessible.

   

  Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

   

  Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

   

  NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

   

  A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

  http://www.vista-xp.fr/forum/topic10389.html

   

  -------------------------

   

  2) Télécharge Junkware Removal Tool

• sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

   

  

   

  Site éditeur: http://thisisudax.org/

   

   

  Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

   

  Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

   

  L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.

  S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera. Mettez-le à la corbeille et téléchargez la dernière version.

   

  Renomme JRT_NEW en JRT.

   

  Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

   

   

  Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

   

   

  Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

   

  Poste le rapport généré à la fin de l'analyse.

   

  NB: Le bureau disparaitra un instant, c'est normal.

   

  >>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

   

  

   

  

   

  ---------------------

  3) ZHPDiag :

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

     

    http://www.nicolascoolman.fr/download/zhpdiag/

  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:

      Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
  • L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
  • Double-clique sur ZHPDiag pour lancer l'exécution
    • Important:

      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    Clique sur Complet (Full options)
  • 
  • Tu patientes jusqu'à ce que le scan affiche 100%

    Tu refermes ZHPDiag

  • Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

    Ce rapport étant trop long pour le forum, héberge le :

    • soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum
  <<< Seulement pour le forum Vista-XP.fr!
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.
• ou http://dl.free.fr/

   

  http://www.rue-du-montceau.fr/tuto_cjoint.html >> tuto de Nardino pour héberger.

   

  

   

   

  @++

[gepetto38]

Bonjour Apollo et merci beaucoup de ton aide. Désolé d'avoir été long mais c'est un peu la galère pour naviguer et telecharger les programmes. Je t'ai mis les rapport adw et jrt sur cjoint car ils m'ont semblé long. Par contre, impossible de lancer zhpdiag. une fenêtre fait mine de s'ouvrir et disparait immédiatement, ensuite plus rien. Faut il le lancer en mode sans echec?

Encore merci...

 

http://cjoint.com/?DHjn33WqBKG

http://cjoint.com/?DHjn4ZV8W9k

[Apollo]

Tu lances bien ZHPDiag par clic droit/exécuter en temps qu'administrateur?

 

Sinon, on s'en occupera plus tard.

 

1) Télécharge Shortcut Cleaner sur le bureau: http://www.bleepingcomputer.com/download/shortcut-cleaner/

 

Double clique sur l'icône de l'outil (clic droit/exécuter en temps qu'administrateur sous Vista/7/8.)

 

Un rapport sera produit; poste-le svp.

Il se trouve également sur C:\sc-cleaner.txt

 

----------------------------

2)Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

http://theknitter-apollo.xooit.com/p22075.htm

 

Ferme tes applications, navigateurs.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFTGC.txt)

 

Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

-----------------------------

3) Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.

 

http://fr.malwarebytes.org/mwb-download/

 

Faites un double clic sur mbam-setup-2.0.2..exe et suivez les invites pour installer le programme.

 

A la fin, vérifiez que ces cases sont cochées:

 

Lancer Malwarebytes Anti-Malware

 

Un essai gratuit de 14 jours des fonctions de la version Premium est pré-sélectionné. Si vous le désirez, vous pouvez dé-cocher cette case, et cela ne diminuera pas les capacités d'analyse et de suppression du programme.

 

 

Examen "Menaces" + Recherche de Rootkits:

 

Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits.

 

Cliquez sur l'onglet Examen, puis cliquez sur Examiner maintenant >>. Si une mise à jour est disponible, cliquez sur le bouton Mettre à jour maintenant.

 

Un Examen "Menaces" va démarrer.

 

Avec certaines infections, vous pouvez voir l'affichage de ce message:

 

'Malwarebytes n'a pas pu charger le pilote Anti-Rootkit DDA'

 

 

Cliquez sur 'Oui' sur ce message, pour permettre le chargement du pilote après un redémarrage.

 

Laissez l'ordinateur redémarrer. Continuez avec le reste de ces instructions.

 

Quand l'examen est terminé, click Appliquer les actions.

 

Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.

 

Le rapport de trouve dans l'Historique de MBAM, le prendre après le redémarrage.

 

Langage:

 

 

Cocher recherche rootkits:

 

 

Note: si tu as le moindre problème pour télécharger ces outils, fais-moi signe et je te les hébergerai provisoirement.

 

@++

[gepetto38]

voici les rapports :

 

Shortcut Cleaner 1.3.3 by Lawrence Abrams (Grinler)

http://www.bleepingcomputer.com/

Copyright 2008-2014 BleepingComputer.com

More Information about Shortcut Cleaner can be found at this link:

http://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Windows Vista Home Premium Service Pack 2

Program started at: 08/09/2014 02:13:31 PM.

Scanning for registry hijacks:

* No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\Gilles1\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

Searching C:\Users\Gilles1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Users\Public\Desktop\

Searching C:\Users\Gilles1\Desktop

0 bad shortcuts found.

Program finished at: 08/09/2014 02:13:36 PM

Execution time: 0 hours(s), 0 minute(s), and 5 seconds(s)

http://cjoint.com/?DHjppOLgKzT

désolé mais je trouve pas le rapport mailware...

à plus

[Apollo]

Ouvre MBAM et tu trouveras le rapport d'analyse sous l'onglet Historique.

 

Comment obtenir les rapports d'examen:

(Exporter le rapport et l'enregistrer en format txt)

•Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.

 

•Cliquez sur l'onglet Historique > Journaux de l'application.

 

•Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.

 

•Cliquez sur Exporter.

 

•Cliquez sur Fichier texte (*.txt)

 

•Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.

 

•Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.

 

•Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".

 

•Cliquez sur OK

 

•Attachez ce fichier dans votre prochaine réponse.

[gepetto38]

Désolé mais je croqu'il y a un bug avec le rapport. quand j'essaie de l'exporter mailwarebytes s'eteint. J'ai reussi à avoir ca que je t'envoie tel quel car sinon c'est en format xml :

 

<?xml version="1.0" encoding="UTF-16" ?>

<mbam-log>

<header>

<date>2014/08/09 14:31:51 +0200</date>

<logfile>mbam-log-2014-08-09 (14-31-48).xml</logfile>

<isadmin>yes</isadmin>

</header>

<engine>

<version>2.00.2.1012</version>

<malware-database>v2014.08.09.03</malware-database>

<rootkit-database>v2014.08.04.01</rootkit-database>

<license>free</license>

<file-protection>disabled</file-protection>

<web-protection>disabled</web-protection>

<self-protection>disabled</self-protection>

</engine>

<system>

<osversion>Windows Vista Service Pack 2</osversion>

<arch>x86</arch>

<username>Gilles1</username>

<filesys>NTFS</filesys>

</system>

<summary>

<type>threat</type>

<result>completed</result>

<objects>428850</objects>

<time>1841</time>

<processes>0</processes>

<modules>0</modules>

<keys>9</keys>

<values>9</values>

<datas>0</datas>

<folders>1</folders>

<files>0</files>

<sectors>0</sectors>

</summary>

<options>

<memory>enabled</memory>

<startup>enabled</startup>

<filesystem>enabled</filesystem>

<archives>enabled</archives>

<rootkits>enabled</rootkits>

<deeprootkit>disabled</deeprootkit>

<heuristics>enabled</heuristics>

<pup>enabled</pup>

<pum>enabled</pum>

</options>

<items>

<key><path>HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{99079A25-328F-4BD4-BE04-00955ACAA0A7}</path><vendor>PUP.Optional.SearchQu</vendor><action>success</action><hash>8b0d6e542952181ef7c0cba143bfea16</hash></key>

<key><path>HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{9D717F81-9148-4F12-8568-69135F087DB0}</path><vendor>PUP.Optional.Bandoo.A</vendor><action>success</action><hash>0c8cd4ee3c3f6bcb2158fea118ea5ba5</hash></key>

<key><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\bisoft</path><vendor>Worm.Bagle</vendor><action>success</action><hash>c1d75e6496e572c4049ec0b11ae9b64a</hash></key>

<key><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr</path><vendor>PUP.Optional.DataMngr.A</vendor><action>success</action><hash>1583536ff28952e49b88160421e311ef</hash></key>

<key><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr_Toolbar</path><vendor>PUP.Optional.DataMngr.A</vendor><action>success</action><hash>4b4d04bec1ba053134ee64b613f1ec14</hash></key>

<key><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\mysearchdial.com</path><vendor>PUP.Optional.MySearchDial.A</vendor><action>success</action><hash>1d7b5b671a61d264ba8d7f9c55aff60a</hash></key>

<key><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\bisoft</path><vendor>Worm.Bagle</vendor><action>success</action><hash>d1c791314437b48272302849699a05fb</hash></key>

<key><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr</path><vendor>PUP.Optional.DataMngr.A</vendor><action>success</action><hash>d2c6744e04778caa3ce724f609fb2ed2</hash></key>

<key><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DataMngr_Toolbar</path><vendor>PUP.Optional.DataMngr.A</vendor><action>success</action><hash>6731e6dcff7c60d6130f9b7f7f8513ed</hash></key>

<value><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER\{D4027C7F-154A-4066-A1AD-4243D8127440}</path><valuename></valuename><vendor>PUP.Optional.FrostwireTB.A</vendor><action>success</action><valuedata></valuedata><hash>d1c77949c9b292a4b70caef42bd7e31d</hash></value>

<value><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER</path><valuename>{D4027C7F-154A-4066-A1AD-4243D8127440}</valuename><vendor>PUP.Optional.FrostwireTB.A</vendor><action>success</action><valuedata>|ÔJf@¡­BCØt@</valuedata><hash>d1c77949c9b292a4b70caef42bd7e31d</hash></value>

<value><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER</path><valuename>{D4027C7F-154A-4066-A1AD-4243D8127440}</valuename><vendor>PUP.Optional.FrostwireTB.A</vendor><action>success</action><valuedata>|ÔJf@¡­BCØt@</valuedata><hash>d1c77949c9b292a4b70caef42bd7e31d</hash></value>

<value><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER\{D4027C7F-154A-4066-A1AD-4243D8127440}</path><valuename></valuename><vendor>PUP.Optional.FrostwireTB.A</vendor><action>success</action><valuedata></valuedata><hash>b2e6efd35e1db185fec54b571ce60df3</hash></value>

<value><path>HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN</path><valuename>Framework Windows</valuename><vendor>Trojan.FakeAlert</vendor><action>success</action><valuedata>frmwrk32.exe</valuedata><hash>f99f8b37413acd6948744a4242c1f709</hash></value>

<value><path>HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON</path><valuename>Shell</valuename><vendor>Hijack.Shell.Gen</vendor><action>success</action><valuedata>C:\Windows\system32\config\systemprofile\AppData\Roaming\svc-qwta.exe</valuedata><hash>3e5ad8eaaccfa096be2f4163887b52ae</hash></value>

<value><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN</path><valuename>drvsyskit</valuename><vendor>Worm.Bagle</vendor><action>success</action><valuedata>C:\Users\THEO\AppData\Roaming\drivers\winupgro.exe</valuedata><hash>e7b16260e29946f03f894f27fd0629d7</hash></value>

<value><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN</path><valuename>mule_st_key</valuename><vendor>Worm.Bagle</vendor><action>success</action><valuedata>C:\Users\THEO\AppData\Roaming\m\flec006.exe</valuedata><hash>9701ebd7dd9ec274d32e6d0cd92acf31</hash></value>

<value><path>HKU\S-1-5-21-2607671638-3674802985-1885122093-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON</path><valuename>Shell</valuename><vendor>Hijack.Shell.Gen</vendor><action>success</action><valuedata>C:\Users\PATOU\AppData\Roaming\svc-shgn.exe</valuedata><hash>2177cff3176446f020cd40649172f709</hash></value>

<folder><path>C:\Users\PATOU\AppData\Local\Google\Chrome\User Data\Default\Extensions\pflphaooapbgpeakohlggbpidpppgdff</path><vendor>PUP.Optional.MySpeedDial.A</vendor><action>success</action><hash>fe9ad2f032493006d9b3c6ef3fc3fc04</hash></folder>

</items>

</mbam-log>

a plus

[Apollo]

Ce rapport me parle en "javanais"...

 

Tu as toujours des problèmes avec Nation Zoom? Si oui, avec quel navigateur?

[gepetto38]

désolé pour le rapport je te l'envoie en format xml des fois que ca te parle mieux :

 

http://cjoint.com/?DHjtdqtYDcM

 

il a detecté 6 objets malveillants.

 

pour ce qui est de nation zoom, quand je fais une recherche sur chrome, une adresse avec nationzoom commence à apparaitre puis disparait pour laisser place à une recherche

yahoo (qui doit etre le moteur de recherche par defaut) mais au demarrage de google chrome je n'ai aucun moteur de recherche specifique (j'inscris ma recherche directement en haut et il se passe ce que j'ai decrit plus haut)

Pour internet explorer je tombe sur google et pour mozilla sur v9.

 

Et il m'envoie une notification de maniere reguliere qui dit : "l'exception unknown software exception (0x00000fd) s'est produite dans l'application à l'emplacement 0x773955ab." ??? je sais pas si ca a quelque chose à voir...

 

voilà, je sais pas si j'ai été très clair mais cet ordi est un peu bizarre dans ses reactions c'est assez difficile à décrire...

 

pour ZHPdiag j'ai bien fait clic droit etc mais il veut pas s'ouvrir...

 

à plus

[Apollo]

1) Télécharger ZHPcleaner de Nicolas Coolman: http://www.nicolascoolman.fr/download/zhpcleaner/ sur le bureau.

 

Il ne nécessite aucune installation.

 

Le lancer par double-clic sous XP et par clic droit/exécuter en temps qu'administrateur sous Windows Vista/7/8.

 

Cliquer sur Réparer.

 

Le rapport de réparation sera généré sur le bureau: poste-le dans ta réponse stp.

 

 

 

---------------------

 

2) Si ZHPDiag n'allait toujours pas:

 

Télécharge NcDiag sur le bureau: http://www.nicolascoolman.fr/download/ncdiag/

 

Fais un clic droit dessus => Exécuter en tant qu'administrateur (sauf pour XP).

 

Patiente quelques instants pendant que le logiciel travaille (probablement moins d'une minute).

 

À la fin, un rapport sauvegardé sur le Bureau, va s'ouvrir.

 

Héberge le rapport sur http://cjoint.com svp.

Poste le lien généré.

 

@++