[Fermé] Windows Searchqu Toolbar

Bonjour Gros Bébé,
J'arrive ici car également contaminé
J'ai passé un coup de Malwarebytes puis après redémarrage, j'ai passé un coup de AD-R trouvé ici et le symptôme a disparu (à savoir homepage par défaut sur "searchqu.com").

Y a-t'il d'autres actions à entreprendre?

Ci-dessous le log de AD-R.

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:23:05 le 08/08/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
philoux@PHILOU ( )

============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\Windows Searchqu Toolbar
Dossier supprimé: C:\Documents and Settings\philoux\Application Data\Mozilla\FireFox\Profiles\rdv73ugj.default\extensions\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\philoux\Application Data\Mozilla\FireFox\Profiles\rdv73ugj.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.searchqu.com/410");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Clé supprimée: HKLM\Software\Classes\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}
Clé supprimée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé supprimée: HKLM\Software\Classes\Interface\{83B2FE06-BA20-4F7D-96C6-6FC3A4E877D3}
Clé supprimée: HKLM\Software\Classes\Interface\{B32966A2-F7C2-4362-A6CF-399EC8B44110}
Clé supprimée: HKLM\Software\Classes\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}
Clé supprimée: HKLM\Software\Classes\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}
Clé supprimée: HKLM\Software\DataMngr
Clé supprimée: HKLM\Software\SearchquMediabarTb
Clé supprimée: HKCU\Software\DataMngr
Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\HBliteSA

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|DataMngr


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0 (fr)] ****

Plugins\npDivxPlayerPlugin.dll (DivX, Inc)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Searchplugins\SearchResults.xml ( hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&q={searchTerms}/)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} (Java Console)
HKLM_Extensions|{23fcfd51-4958-4f00-80a3-ae97e717ed8b} - C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video
HKLM_Extensions|{6904342A-8307-11DF-A508-4AE2DFD72085} - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa

-- C:\Documents and Settings\philoux\Application Data\Mozilla\FireFox\Profiles\rdv73ugj.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Searchplugins\SearchResults.xml ( hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&q={searchTerms}/)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\philoux\\Mes documents\\Téléchargements
Prefs.js - browser.download.lastDir, D:\\Very best of
Prefs.js - browser.search.defaultenginename, Search Results
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0
Prefs.js - keyword.URL, hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&q=

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} - "Search Results" (hxxp://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms})
HKLM_SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} - "Search Results" (hxxp://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms})
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{99079a25-328f-4bd4-be04-00955acaa0a7} (x)
HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - C:\Program Files\Fichiers communs\DivX Shared\DesktopService\DDMService.exe (DivX, LLC)
HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - C:\Program Files\DivX\DivX Plus Web Player\dwpBroker.exe (DivX, LLC)
HKLM_ElevationPolicy\{9F1318C8-AAEE-44BB-BF4E-39E56A952123} - C:\PROGRA~1\WI9130~1\Datamngr\ToolBar\dtUser.exe (x)
HKLM_ElevationPolicy\{A492E928-85D7-4ea3-B601-9BFFA4C2EE25} - C:\Program Files\Nuance\NaturallySpeaking10\Program\natspeak.exe (Nuance Communications, Inc.)
HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
HKLM_ElevationPolicy\{DD993BDC-06E0-4131-B889-DD3B9AEBE253} - C:\Program Files\Microsoft Office\Office14\IEContentService.exe (?)
HKLM_ElevationPolicy\{F3D86ACD-0298-4626-B81E-056653067D8E} - C:\Program Files\Dassault Systemes\Virtual Earth - 3DVIA\intel_a\code\bin\VirtualEarth3DVIA.exe (x)
HKLM_Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - "Create Mobile Favorite" (C:\PROGRA~1\MICROS~3\INetRepl.dll,210)
HKLM_Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)
BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5

Bonjour

sujet divisé merci de ne pas intervenir dans les désinfections d'autres utilisateurs.

Pour savoir si tout est ok tu dois founir un rapporgt d'analyse
Un helper te prendra en charge dès que possible le temps d'analyser tes rapports
Poste le rapport de malwarebyte : ouvrir le logiciel puis onglet rapports logs poste le si trop long merci d'utilser
Procédure décrite dans cette page http://www.bibou0007.com/t2887-procedure-a-suivre-avant-de-poster
http://www.cijoint.fr

ZHPDiag :



Cliquez ici pour Télécharger ZHPDiag ( de Nicolas coolman ) : http://telechargement.zebulon.fr/telecharger-zhpdiag.html


Double cliquez sur le fichier d'installation, puis installez le avec les paramètres par défaut (Cochez " Créer une icône sur le bureau " )


•Lancez ZHPDiag en double cliquant sur l'icône présente sur votre bureau (Clic droit -> Exécuter en tant qu'administrateur ( Vista/seven )


•Cliquez sur la loupe en haut à gauche, puis laissez l'outil scanner


•Une fois le scan terminé, cliquez sur l'icône en forme de disquette et enregistrez le fichier sur votre bureau

Postez le contenu du rapport

Merci Laddy,
cijoint.fr est en maintenance.
j'ai relancé un malwarebytes, je fais suivre le log.

Voili voilou, il me dit que tout est clean.

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7409

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/08/2011 17:42:09
mbam-log-2011-08-08 (17-42-09).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 190494
Temps écoulé: 11 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Bonjour
manque le rapport zhpdiag si le site en maintenance choisis en un autre genre http://www.uppi.fr

http://www.cijoint.fr/cjlink.php?file=cj201108/cijoCh0ujc.txt

Voila le rapport zhpdiag.

Merci

Bonsoir Filofax2000

Toujours besoin d'aide ?

Bonjour GrosBébé,

Je te remercie pour ta réponse, le symptôme a disparu (je n'ai plus le "searchqu" comme homepage automatique, mais tu as les rapports, et il semblerait (à mes yeux d'amateur) que tout soit clean. Si tu as d'autres conseils, je suis preneur.

Bonne journée,

F

Bonjour Filofax2000

D'après les rapports, il en reste encore des traces. Je te réponds dans la soirée, je ne suis pas sur le bon pc.

Bon après midi.

Bonsoir


Tu as installé un proxy ?

Essaie de désinstaller le programme suivant Windows Searchqu Toolbar ou Searchqu 0 MediaBar


================================================================

J'emprunte encore une fois le canned d'Elowen (que je remercie au passage).


NB : L'outil que tu vas utiliser juste après ferme le processus "explorer.exe". Il est possible qu'après son exécution, ton bureau reste sans icônes et sans barre des tâches.
Ce n'est pas grave. Il suffit de relancer explorer.exe

• Pour cela, tu presseras simultanément ctrl+alt+suppr pour ouvrir le gestionnaire de tâches
  
• Une fois dans le gestionnaire, tu cliqueras sur "fichier" et sur "nouvelle tâche"
  
• Dans le champ de saisie, tu taperas explorer.exe et tu cliqueras sur OK
  
• Tout redeviendra normal

* * * * *


• Sélectionne et copie (ctrl+c) les lignes en gras ci-après situées entre les deux lignes :

_____________________________________________

B0 - SPO: operaprefs.ini [philoux] Home URL=http://www.searchqu.com/410
B1 - OSP: search.ini [philoux] URL=http://dts.search-results.com/sr?src=opb&appid=0&systemid=410&q=%s
M3 - MFPP: Plugins - [philoux] -- C:\Program Files\Mozilla FireFox\searchplugins\SearchResults.xml
O3 - Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} . (...) -- (.not file.)
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (.not file.)
O4 - HKUS\S-1-5-21-606747145-842925246-725345543-1003\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (.not file.)
O20 - AppInit_DLLs: . (...) - C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll (.not file.)
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 0 MediaBar
[HKCU\Software\DataMngr_Toolbar]
[HKCU\Software\searchqutoolbar]
[HKLM\Software\41953426]
O43 - CFD: 08/08/2011 - 15:23:12 - [0] ----D- C:\Documents and Settings\philoux\Application Data\searchquband
O43 - CFD: 08/08/2011 - 15:23:24 - [566123] ----D- C:\Documents and Settings\philoux\Application Data\searchqutoolbar
O51 - MPSK:{bf8245bc-3c5d-11dd-871c-0007e9f6863d}\AutoRun\command - Clé orpheline
O51 - MPSK:{eb5857de-aa66-11dc-8702-0007e9f6863d}\AutoRun\command - Clé orpheline
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} - (Search Results) - http://dts.search-results.com
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {2F0149B9-28EA-40B4-9523-541F101B026C} - (ScanQuery) - http://www.scanquery.com
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {2F0149B9-28EA-40B4-9523-541F101B026C} - (ScanQuery) - http://www.scanquery.com
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShopperReportsSA] =>Adware.ClickPotato
[HKLM\Software\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}] =>Adware.ClickPotato
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9F1318C8-AAEE-44BB-BF4E-39E56A952123}]
Emptytemp
Firewallraz

_____________________________________________

• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
• Clique sur l’icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le
• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.


================================================================

Clique ici pour télécharger AdwCleaner sur ton bureau
Lance AdwCleaner.exe
Accepte l'avertissement qui suit, et clique sur Recherche
Patiente le temps de la recherche, puis poste le rapport qui apparait à la fin.


================================================================

Bonne soirée

Bonjour Filofax2000

Toujours avec nous ?

Sujet fermé en raison de l'inactivité. Si vous souhaitez réouvrir ce sujet, faites en la demande par Messagerie Privée en précisant la raison et le lien vers ce sujet.
Ceci ne s'applique qu'à Filofax2000.
Pour les autres, créez votre propre sujet svp.