[Résolu] Yahoo Community Smartbar Engine

[ttave94]

Bonjour,

 

J'ai attrapé (je ne sais où) le malware suivant, détecté par zhpdiag, mais non éradiqué par zhpfix (à jour) :

 

O42 - Logiciel: Yahoo Community Smartbar Engine - (.Linkury Inc..) [HKCU][64Bits] – {88ff7832-86ad-499f-853c-55aeaae39de4}

 

Impossible de le désinstaller dans programmes et fonctionnalités de windows. J'ai également essayé adwcleaner, MBAM, et émisoft antimalware, tous à jour bien sûr, ils ne le trouvent pas, et la « bestiole est toujours là !! »

 

Merci donc à tous pour votre aide et bonne journée.

Modifié le 10 août 2014 par ttave94

[pear]

Bonjour,

 

Réinitialiser le navigateur

[ttave94]

Tout d'abord, merci de m'aider.

Firefox reinitialisé, estensions réinstallées, Yahoo Community Smartbar Engine toujours présent lors d'un examen zhpdiag et non éradiqué par zhpfix

[pear]

Télécharger OTL sur le bureau




Si la protection en temps réel de Malwarebytes Anti-Malware est activée..
Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs (scan all users)
Sous Rapport (output)
Cliquez ----------------------------->Rapport Standard (Standard Output)
Sous Régistre Standard(Standard Registry) cocher Tous(All)
Cochez------------------------------> Lop check et Purity check

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:


SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
afd.sys
ahcix86s.sys
atapi.sys
iaStor.sys
iastorv.sys
ipsec.sys
netbt.sys
tcpip.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
explorer.exe
ntoskrnl.exe
services.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT

Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports

Aller sur le site:Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Modifié le 10 août 2014 par pear

[ttave94]

fichier OTL : http://cjoint.com/?DHkoRs0fpQZ

Extras : http://cjoint.com/?DHkoSia1UEg

[pear]

Revenez dans Otl


Sous Custom scan Files ou Personnalisation

Copiez Collez

:OTL

IE - HKU\.DEFAULT\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found
IE - HKU\S-1-5-19\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found
IE - HKU\S-1-5-20\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found
IE - HKU\S-1-5-21-3405425675-1607447685-1565947682-1000\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_14_0_0_145.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=11.11.2: File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=11.11.2: File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28:64bit: - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:C134524B
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:5C321E34
[HKEY_USERS\S-1-5-21-3405425675-1607447685-1565947682-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{88ff7832-86ad-499f-853c-55aeaae39de4}" =-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88ff7832-86ad-499f-853c-55aeaae39de4}]
HKLM\..\SearchScopes\{6D116501-AAFF-9CF7-404B-157A4F687732}: "URL" = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=airmsd&cd=2XzuyEtN2Y1L1QzutC0CyC0FyCyDyEtCtCtAtB0B0BtDtBtAtN0D0Tzu0CyDzztCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu1T1L1C1H1B1Q&cr=306735660&ir=

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

64bit: - [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

[purity]
[emptytemp]
[resethosts]

-------->Cliquer Runfix ou Correction

OTL redémarrera le système automatiquement.
Postez le rapport.

[ttave94]

(je m'adresse à vous depuis un autre PC

 

Combien de temps OTL mettra t-il pour redémarrer, car cela "tourne" depuis déja 15mn environ : Processing registry data 64 bits,

 

Et rien ne se passe !!

[pear]

Ce n'est pas normal.

Arrêtez le.

 

 

Télécharger sur le bureauOTM by OldTimer .
Double-clic sur OTM.exe pour le lancer.
Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur
Dans le cadre gauche, "Paste Instructions...."

Copiez /Collez les lignes ci dessous) en vert:

:Reg
[HKEY_USERS\S-1-5-21-3405425675-1607447685-1565947682-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{88ff7832-86ad-499f-853c-55aeaae39de4}" =-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88ff7832-86ad-499f-853c-55aeaae39de4}]

:Commands
:Commands
[purity]
[emptytemp]
[Reboot]

Revenez dans OTM,
Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).
Click le bouton rouge Moveit!
Fermez OTM
Votre Pc va redémarrer.
Rendez vous dans le dossier C:\_OTM\MovedFiles ,
ouvrez le dernier fichier .log
Copiez/collez en le contenu dans votre prochaine réponse

[ttave94]

Statu quo !, lorsque je pointe la souris sur l'interface d'OTL, le petit rond bleu tourne ... et tjrs rien ne se passe

 

Je suppose que vous parlez de ce fichier : lien : http://cjoint.com/?DHkq4IYclud

[pear]

Stoppez la machine

 

Redémarrez

 

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe
Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->
Taper

Smartbar

Cocher"Chercher également dans le régistre"
Calculer le cheksum:Md5 .
Cocher Informations supplémentaires
Après la recherche un rapport s'affiche à l'écran .
Il est aussi sauvegardé là:C:\SEAFlog.txt

Comment poster les rapports lourds

Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Modifié le 10 août 2014 par pear