[Résolu] Détournement page d'accueil « oursurfing »

[rapu]

Bonjour,

La page d'accueil de mon navigateur a été détournée. A chaque fois, le navigateur s'ouvre sur "oursurfing.com" . En plus, j'ai remarqué la présence de programmes inconnus.

J'ai essayé des corrections "normales" (réinitialisationde firefox, élimination de programmes avec CCleaner, changement des statuts de lancement des programmes au démarrage de windows, scan et élimination par mon antivirus et avec MBAM).Rien n'y fait, il reste des choses suspectes et ma page de démarrage est toujours détournée.

Je suis sur Windows 8.1, avec Bitdefender Internet Security 2015, et la version à jour de Firefox.


Voici le lien du rapport ZHPDiag: http://www.cjoint.com/c/EIgmnX684TS


Pouvez-vous m'aider? Je ne sais plus quoi faire d'autre... Merci d'avance!

[Apollo]

Bonjour,

 

Télécharger ZHPcleaner de Nicolas Coolman: http://www.nicolascoolman.fr/download/zhpcleaner/ sur le bureau.

 

Il ne nécessite aucune installation.

 

 

Le lancer par double-clic sous XP et par clic droit/exécuter en temps qu'administrateur sous Windows Vista/7/8.

 

Cliquer sur Scanner puis sur Nettoyer.

 

Le rapport de réparation sera généré sur le bureau: poste-le dans ta réponse stp.

 

 

 

@++

[rapu]

Bonjour Apollo, et merci de ta réponse.

 

Voici le rapport:

 

~ ZHPCleaner v2015.9.4.342 by Nicolas Coolman (2015/09/04)
~ Run by rupana_admin (Administrator) (06/09/2015 15:09:12)
~ Site : http://www.nicolascoolman.fr
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\rupana_admin\Favorites\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\rupana_admin\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8.1, 64-bit (Build 9600)


---\\ Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Navigateur internet. (2)
REMPLACÉ Desktop: C:\Users\rupana_admin\Favorites\Desktop\Windows 8 Info.lnk [bad : http://www.oursurfing.com/?type=sc&ts=1440018414&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=amt&uid=3219913727_198313_CAC9E2E4] (Hijacker.Browser)
REMPLACÉ TaskBar: C:\Users\rupana_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk [bad : http://www.oursurfing.com/?type=sc&ts=1440018414&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=amt&uid=3219913727_198313_CAC9E2E4] (Hijacker.Browser)


---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)


---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Explorateur ( Dossiers, Fichiers ). (3)
DEPLACÉ fichier: C:\WINDOWS\Prefetch\CROSSBROWSE.EXE-3A672F00.pf =>PUP.Optional.CrossBrowse
DEPLACÉ dossier: C:\Users\rupana_admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi =>
DEPLACÉ dossier: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accelerer PC =>Superfluous.PCSpeedUp


---\\ Base de Registres ( Clés, Valeurs, Données ). (4)
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\Crossbrowse [] =>PUP.Optional.CrossBrowse
SUPPRIMÉ valeur: HKLM64\Software\Classes\.shtml\OpenWithProgIDs\\CRSBRWSHTML [] =>PUP.Optional.CrossBrowse
SUPPRIMÉ valeur: HKLM64\Software\Classes\.webp\OpenWithProgIDs\\CRSBRWSHTML [] =>PUP.Optional.CrossBrowse
SUPPRIMÉ valeur: HKLM64\Software\Classes\.xht\OpenWithProgIDs\\CRSBRWSHTML [] =>PUP.Optional.CrossBrowse


---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent (Google Chrome)


---\\ Statistiques
~ Items scannés : 1482
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 9


~ End of clean in 0 minutes
===================
ZHPCleaner-[R]-06092015-15_09_49.txt
ZHPCleaner--06092015-14_52_33.txt

[Apollo]

Re,

 

Peux-tu poster le rapport de ton analyse MBAM stp?

 

-------------------

 

1) Télécharge Junkware Removal Tool sur le bureau: http://downloads.malwarebytes.org/file/jrt

 

http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

 

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Prendre patience pendant que JRT tourne, il est plus lent qu'AdwCleaner.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

 

 

 

------------------------------

*** Si tu as une ancienne version d'AdwCleaner, lance-le et clique sur désinstaller.***

 

2) Télécharge AdwCleaner par Xplode.

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[C1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

[rapu]

Re, et re-merci,

 

Voici le rapport MBAM avant de faire les autres étapes: http://www.cjoint.com/c/EIgp4elRM1S

 

Puis le rapport JRT: http://www.cjoint.com/c/EIgp5avGfpS

 

Puis le Rapport AdwCleaner: http://www.cjoint.com/c/EIgp5IDPonS

 

Et un second rapport MBAM refait ensuite (je n'étais pas sûr duquel serait le plus pertinent): http://www.cjoint.com/c/EIgp7jKHakS

[Apollo]

Il faudrait refaire les manip avec AdwCleaner en mode sans échec car il n'a pas supprimé certaines clés.

 

Mais après le fix si nécessaire après avoir fait un nouveau scan ZHPDiag. (pas ZHPCleaner): ne pas confondre.

 

Héberge son rapport stp.

 

@++

[rapu]

Voici le lien du scan AdwCleaner en mode sans échec: http://www.cjoint.com/c/EIgtEct3o3S

 

Et celui de ZHPDiag: http://www.cjoint.com/c/EIgtFC2CVPS

[Apollo]

Re,

 

ça a l'air bon.

 

Pour mon info, quel est ton antivirus?

 

==>> Comment se comporte la machine? <<==

 

Fais ces vérifications de sécurité stp.

 

Si tout va bien après les éventuelles mises à jour des applications, on clôturera.

 

@++

[rapu]

Merci beaucoup, je ne vois plus aucun signe d'activité suspecte.

 

Mon antivirus est celui de la suite Bitdefender Internet Security 2015... qui visiblement a l'air de laisser passer des choses.

 

Un tout grand merci pour ton aide!

[Apollo]

Ok,

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. https://toolslib.net/downloads/viewdownload/2-delfix/

Lance-le et coche "Supprimer les outils de désinfection" ET "purger la restauration système" ; >> Exécuter.

 

 

Delfix s'autodétruira ensuite.

• Pense à éditer ton premier post pour ajouter [Résolu] devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

Utilise pour ça, l'éditeur complet

 

 

@++