Bonjour à tous, je me tourne vers vous après avoir hérité (temporairement) d'un PC infecté, toutes les recherches tapées dans les navigateurs sont redirigées vers la page de recherche Yahoo Search et à ceci s'ajoute l'apparition intempestive de pop up publicitaires, malgré l'utilisation d'Adblock...
 
Si une bonne âme à envie de m'aider, voici le rapport Adwcleaner
 
AdwCleaner[S0].txt
 
 
Le rapport Malwarebytes avec détection des rootkits
 
mbam.txt
 
 
Et le rapport ZHPDiag  
 
ZHPDiag.txt
 
 
En théorie Windows est à jour et les différents programmes également.
 
 
Edit: en complément les rapports FRST.txt et Addition.txt
 
Je sais bien que tous ces rapports ne sont pas forcément utiles au début, mais si ça peut servir
 
 
Merci d'avance de vos conseils et de votre assistance.

Bonjour,
 
Je vais te faire parvenir un script de correction.
 
Est-ce que tu utilises le notificateur mail d'Orange car tu pourrais désinstaller toute la suite des programmes Orange qui sont pour le moins inutiles ?

Bonjour, merci de t'occuper de moi, le PC est à une amie et même si ça n'est pas l'envie qui me manque de virer ce "bordel" Orange, je ne vais pas lui chambouler ses habitudes, elle à un usage du PC tellement "anecdotique" que je pense qu'elle utilise ce notificateur

Dommage car c'est vraiment intrusif et lourd.  
 
 
 
==> FRST Correction
 
 

• Appuyer simultanément sur les touches du clavier Windows et R
• Une fenêtre va s'ouvrir, taper ceci : notepad
• Cliquer sur OK

Note : Le bloc-notes va s'ouvrir
 
   
 

• Copier toutes les lignes en gras ci dessous :

 
Start
CloseProcesses:
Task: C:\Windows\Tasks\At1.job
Task: C:\Windows\Tasks\At2.job
Task: C:\Windows\Tasks\At3.job
Task: C:\Windows\Tasks\At4.job
Task: {24BE1325-2646-4418-A428-F7E9EC0D8B72} - System32\Tasks\At4 => icacls  
Task: {37BE9B52-0384-48B4-A204-2515BCAAE99C} - System32\Tasks\At2 => icacls  
Task: {5F8D7905-33AE-4A8B-914D-EDCD7615E62B} - System32\Tasks\At3 => icacls
Task: {8E0A1E04-4CCE-43E8-8E83-B584454F789A} - \WPD\SqmUpload_S-1-5-21-3192688723-3583283576-3592128054-500 No Task File  
Task: {A73698A5-3889-4DB6-8626-0CB66167FB50} - System32\Tasks\At1 => icacls
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction
SearchScopes: HKLM -> OldSearch URL = http://www.bing.com/search?q={sear [...] -SearchBox
SearchScopes: HKLM -> {783F6FD3-02A0-42E1-A6C6-3FB115D6F83A} URL =  
SearchScopes: HKLM-x32 -> {783F6FD3-02A0-42E1-A6C6-3FB115D6F83A} URL = http://www.bing.com/search?q={sear [...] -SearchBox
SearchScopes: HKU\S-1-5-21-3192688723-3583283576-3592128054-1001 -> URL http://www.trovigo.com/Results.asp [...] rms}&SSPV=
SearchScopes: HKU\S-1-5-21-3192688723-3583283576-3592128054-1001 -> SuggestionsURL_JSON http://suggest.search.conduit.com/ [...] archTerms}
SearchScopes: HKU\S-1-5-21-3192688723-3583283576-3592128054-1001 -> OldSearch URL =  
SearchScopes: HKU\S-1-5-21-3192688723-3583283576-3592128054-1001 -> {333A1127-745B-46B0-96F2-01A51765766C} URL =
FF user.js: detected! => C:\Users\Lycéen\AppData\Roaming\Mozilla\Firefox\Profiles\l21cz2gh.default\user.js
C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
C:\Users\Administrateur\AppData\Local\Temp\FreemakeVideoConverter_3.1.2.0.exe
C:\Users\Administrateur\AppData\Local\Temp\FreemakeVideoConverter_3.2.1.0.exe
C:\Users\Lycéen\AppData\Local\Temp\gu5setup.exe
C:\Users\Lycéen\AppData\Local\Temp\JSaHCMAPI_2.2.503380235267808821543.dll
C:\Users\Lycéen\AppData\Local\Temp\Quarantine.exe
C:\Users\Lycéen\AppData\Local\Temp\sqlite3.dll
C:\Users\Lycéen\AppData\Local\Temp\vlc-2.2.1-win32.exe
DeleteKey: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C9A6357B-25CC-4BCF-96C1-78736985D412}
End
 
 

• Retourner dans le bloc note puis coller les lignes copiées.

• Cliquer sur la rubrique Fichier du bloc note, puis Enregistrer sous ..., nommer le rapport fixlist et enregistrer le sur le bureau.  

• A partir du bureau, lancer FRST par un clique droit puis "Exécuter en tant qu'administrateur"
• Cliquer sur Fix

    Note : Patienter le temps de la suppression
 
 
   
 

• Une fois le scan terminé, un rapport Fixlog.txt a été créé sur le bureau.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Merci, voici le Fixlog.txt

Ok, fais le point. De retour après manger.  
 

IE OK, Firefox OK, par contre Chrome (browser par défaut) ça n'est pas bon, la redirection se fait toujours ...
 
Bon appétit

Chrome est plus dur à nettoyer.    
 
 
 
==> Réinstallation de Google Chrome
 
 
1- On va tout d'abord sauvegarder les favoris (si tu en as):
 
 

 
Pour Exporter les favoris:
 

• Cliquez sur le menu Chrome Chrome menu dans la barre d'outils du navigateur (représenté par 3 barres, en haut à droite dans le coin).    
• Sélectionnez Favoris.  
• Sélectionnez Gestionnaire de favoris.  
• Dans le gestionnaire, cliquez sur le menu Organiser.  
• Sélectionnez Exporter les favoris.  
• Enregistrer le fichier sur le bureau.

 
 
2- Puis on supprime Google Chrome via le panneau de configuration/Désinstaller un programme. Penser à cocher la case '' Supprimer également vos données de navigation ''.
 
3- Redémarrer le PC  
 
 
4-Afficher les fichiers et dossiers cachés et supprimer ce fichier :
 
C:\Users\Mon nom\AppData\Local\Google\Chrome
 
 
5- Réinstaller Google Chrome
 
 
 
Pour Importer les favoris (après avoir réinstallé Google Chrome):
 

• Cliquez sur le menu Chrome Chrome menu dans la barre d'outils du navigateur Chrome.  
• Sélectionnez Favoris.  
• Sélectionnez Gestionnaire de favoris.  
• Dans le gestionnaire, cliquez sur le menu Organiser.  
• Sélectionnez Importer les favoris depuis un fichier HTML.  
• Ouvrez le fichier HTML que tu as enregistré sur le bureau.

Ok favoris sauvegardés, Chrome supprimé, dossier nettoyé, Chrome réinstallé, favoris importés, ça semble ok, plus de pub ni de redirection des recherches...

Si tu n'as plus de soucis, on peut alors finaliser la maintenance malware.
 
 
 
==> Nettoyage complémentaire :  
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC sur ton bureau.
• Lancer le programme
• Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis sur "Exécuter en tant qu'administrateur"
• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de l' ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.
• Lancer DelFix  
• Cocher toutes les cases comme indiquer sur l'image ci dessous
• Cliquer sur Exécuter

 
 
 
 
==> Mises à jour de sécurité :
 
 
Il est important de mettre à jour tous ses programmes et en particulier le système d'exploitation Windows, les navigateurs internet, Adobe Flash Player, Adobe Reader et Java, ces programmes étant les plus attaqués par les malwares notamment par des vers (virus de réseau) et par des exploits (infection automatique par simple visite d'un site web).  
L'installation des dernières mises à jour permettent ainsi de sécuriser le PC et de combler les failles par lesquelles les malwares entrent et se développent (pour plus de détails voir plus loin la rubrique " compléments d'informations" ):
 
 
 
1- Vérification et mises à jour du système d'exploitation Windows:
 

• Pour Windows Vista, Seven et 8 : se rendre dans le Panneau de configuration\Système et sécurité\Windows Update\  et sélectionner Rechercher des mises à jour.

 
 
2- Vérification et mises à jour des navigateurs internet :
 

• Pour Internet Explorer : les mises à jour se font en même temps que celles du système d'exploitation.  
• Pour Mozilla : OK !
• Pour Google Chrome : OK !

 
 
3- Adobe Reader: N'est pas à jour, c'est une faille de sécurité importante.
 

• Désinstaller la version actuelle via le panneau de configuration / Programmes / Désinstaller un programme.
• Télécharger et installer la nouvelle mouture d'Adobe Reader => Site Adobe Reader

Ne pas oublier avant le téléchargement de décocher la case proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 

 
 
4-Adobe Flash Player : OK !
 
 
 
5- Java : la version de java installée sur votre ordinateur n'est pas à jour:  
 

• Désinstaller l'ancienne ou les anciennes versions de Java via le panneau de configuration / Programmes / Désinstaller un programme.  
• Télécharger la nouvelle version => site de java (cliquer sur téléchargement gratuit de java).

Lors de l'installation du programme, ne pas oublier de décocher la case qui propose d'installer la barre d'outils Ask, elle ne sert à rien et transmet des informations sur tes habitudes de surf à ton insu...
 

 
 
 
 
==> Quelques conseils de prudence et de vigilance :
 
 

• Éviter de télécharger des programmes sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft, CNET, ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers).  

• Préférer les téléchargements chez l'éditeur du programme  

• Lors de l'installation d'un programme, lire attentivement ce que l'on propose, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles ou cliquer sur Skip (Passer).

• Chercher le vrai lien de téléchargement sur la page d'un site.

• Filtrer les publicités malicieuses (malvertising) qui peuvent installer des malwares à l'aide du programme Adblock Plus. Pour chaque navigateur internet concerné, copier l'adresse du lien ci dessous (clic droit de la souris), ouvrez le navigateur et collez le lien dans la barre d'adresse:  

         - pour Internet Explorer
         - pour Mozilla
         - pour Google Chrome  
         - pour Opéra
 

• Attention aux fausses mises à jour, plugins et faux codecs qui sont proposés notamment sur des sites de jeux, de streaming ou pornographiques, ceux-ci installent aussi des malwares.

• Au niveau des mails et des réseaux sociaux, n'ouvrez pas des pièces jointes et ne cliquer pas sur des liens en provenance d'inconnu, ceux pourraient être piégés.  

• Refuser de télécharger et d'utiliser illégalement des œuvres protégés par un copyright (non libre de droits). En plus d’être passible de sanctions vis-à-vis de la loi et d'Hadopi, ces œuvres piratées en provenance du réseau du P2P, du Direct Down Load ou par tout autre biais sont la source de la plupart des infections les plus dangereuses.

• Scanner (analyser) régulièrement son PC avec son antivirus résident et vérifier que la base de signatures est bien à jour afin de détecter les derniers malwares présents sur le net.  

• Vacciner ses supports amovibles externes (clés Usb, disques dur externes, cartes mémoire, Ipod, MP3…) à l'aide du programme UsbFix car beaucoup d'infections se propagent par ce biais.  

• Sauvegarder sur un disque dur externe vos données personnelles (documents, images, vidéo, musiques) au cas où une panne sérieuse arriverait et empêcherait le PC de redémarrer, ou qu'un malware supprime ou crypte de façon irréversible ces données (sauvegarder sur un disque dur externe non connecté en permanence).

 
 
 
==> Complément d'informations :
 
 

• Stop les publicités intempestives adwares et programmes parasites de Malekal.
• Pourquoi mettre à jour son PC contre les failles de sécurité Comment ça marche.net.
• Les risques sécuritaires du P2P Libellules.ch
• Sécuriser son ordinateur et connaitre les menaces de Malekal.

 
 
 
==> Jeu : tester votre capacité à éviter les logiciels indésirables PUP/LPI.
 

 
 

• Télécharger et lancer Adware Prevention de Guigui0001. Laissez-vous guider.

Note: ce programme pédagogique ne représente évidemment aucun danger.  
Google Chrome peut bloquer le téléchargement, autorisez-le.
 
 
 
 
Bon surf et bonne journée.  

Ok fait, ce début de rapport est il normal?  SFTGC.txt

Oui oui, ça passe à la poubelle

Ok, alors merci beaucoup, et bonne journée, passe un bon w-e
 
 
PS: quelle peut être la source d'infection?

La source d'infection est un programme indésirable qui a été installé pendant l'installation d'un autre programme. Il y a quelques explications plus haut.  
Ces programmes autorisés par les lois commerciales et informatiques créent beaucoup de problèmes fonctionnels en plus de problèmes se rapportant à la confidentialité. Certains sont quand même bloqués par les antivirus mais c'est de pire en pire, ça devient très difficile de télécharger un programme sans se faire infecté. Comme conseillé, il faut se rendre sur le site de l'éditeur.
Le point commun de tous ces petits " virus" c'est le marketing et oui...

Ok merci, on va essayer d'expliquer ça à la propriétaire du PC, et continue comme ça

Salut ! Je remonte ce topic car cette saloperie de Yahoo Search est de retour (pour vous jouer un mauvais tour...) !        
 
Je voulais installer un logiciel mais pour une fois, j'ai été un peu moins précautionneux et c'était un lien de merde. Du coup à l'installation, je me suis installé Avast, un antimalware et autres trucs dont je ne voulais pas du tout avec bien sûr le fameux Yahoo Search.
 
J'ai tout désinstallé à la main dans un premier temps mais il y a eu de la résistance.  
J'ai donc installé ADWCleaner (dernière version) et j'ai fait le ménage. Tout semble bon sauf que quand j'ouvre Chrome de nouveau (mon navigateur par défaut), je vois que Yahoo Search s'installe tout seul dans les extensions. Je le supprime et je refais ADWCleaner et après avoir redémarré le PC, quand je relance Chrome, j'ai ENCORE et TOUJOURS l'extension de Yahoo Search qui s'installe.
 
Une idée ?  
 
Merci à vous !
 
MAJ : bon, apparemment en réinitialisant Chrome, il n'y a cette fois plus de trace de Yahoo Search.