[Résolu] Impossible de supprimer comment supprimer http://www.search-web.net/

Rappel du premier message :

Bonjour,

comment supprimer http://www.search-web.net/ il s'est installé en page d'accueil et il m'est impossible de le supprimer, j'ai besoin d'aide s'il vous plait...
j'ai essayer toutes les demarches que vous avez indiquer mais quand je fait l'étape 2 avec OTL l'ordi ne redémarre pas et je n'ai donc aucun rapport...

Désinstalle adwCleaner via le panneau de configuration ou en le relançant choisir désinstaller puis
retelecharge le , la version a été mise à jour en prenant en compte l'évolution de cette infection.

Laddy a écrit:

Bonjour
pour avance ton helper, réalise ceci uniquement en mode recherche

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

c'est bon je n'ai plus le problème j'ai réussi à le virer
merci.

Comment ? ça pourrait en aider d'autre

c'est marqué en première page...

Bonjour Jeremy
On a réussit à supprimer cette vilaine enfin, elle ne figure plus dans le dernier rapport, mais il reste ceci :
O4 - HKCU\..\Run: [lan] . (...) -- C:\Users\darty\chat-land\Chat-Landmessenger.jar
O4 - HKUS\S-1-5-21-2967710077-763968665-3288585169-1000\..\Run: [lan] . (...) -- C:\Users\darty\chat-land\Chat-Landmessenger.jar
Que comptes tu faire de ceci ? C'est ceci qui était à l'origine de cette infection, je te mets
en garde contre ce site piégé


Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier

O53 - SMSR:HKLM\...\startupreg\binternet [Key] . (...) -- C:\Users\darty\binternet.jar (.not file.)
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] =>Parasite.Pugi
[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] =>Adware.Hotbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}] =>Toolbar.Babylon
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}] =>Toolbar.Babylon
[HKLM\Software\WOW6432Node\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}] =>Toolbar.Babylon
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] =>Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] =>Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}] =>Toolbar.Babylon
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}] =>Toolbar.Babylon
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}] =>Toolbar.Agent
[HKCU\Software\vShare.tv] =>Toolbar.Agent
O43 - CFD: 24/05/2011 - 15:05:54 - [328] ----D- C:\Users\darty\AppData\Roaming\YouSendIt

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt

Ensuite, tu vas faire des mises à jours, très important pour boucher les failles de sécurité :
Essaye de mettre à jour Internet Explorer en installant la version 9 avec Windows Update

Installe la version 6 de Firefox :
http://www.mozilla.org/fr/firefox/features/

Adobe n'est pas à jour
Installe la nouvelle version en cliquant sur ce lien
http://www.adobe.com/fr/products/reader/
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose
Ensuite, fait ceci:
• Lance Adobe Reader
• Clique sur Edition --> Préférences --> JavaScript
• Décoche Activer Acrobat JavaScript
• Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien


Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

rapport zhpfix

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key*: StartupReg: binternet
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
SUPPRIME Key: HKCU\Software\vShare.tv

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\darty\AppData\Roaming\YouSendIt

========== Fichier(s) ==========
ABSENT File: c:\users\darty\binternet.jar (.not file.)


========== Récapitulatif ==========
20 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan in 00mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 20/09/2011 15:46:30 [2809]

rapport zhpdiag
zhpdiag.txt

Petite astuce supplémentaire, j'ai remarqué que sur IE 9, il n'y avait pas la barre de recherche rapide comme dans la capture d'écran ci-dessous, est-il possible de la mettre?

Pour Internet Explorer9 et la barre de recherche rapide, je ne sais pas trop



ATTENTION, le script qui suit a été spécialement conçu pour jérémy ,
il n'est pas transportable sur un autre ordinateur

Crées sur ton bureau (et pas ailleurs) un fichier sur le bloc-notes que tu nommeras CFScript.txt
Copies ce qui est en gras ci-dessous sur le bloc-notes

KillAll::

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\binternet]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}]
[-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}]
[-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
[-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}]
[-HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}]
[-HKEY_CURRENT_USER\Software\vShare.tv]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lan"=-
[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run]
"lan"=-


* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
https://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

voici le dernier rapport combofix:

ComboFix.txt

Pourrais tu me refaire ZHPDiag pour qui je puisse voir si le PC est clean maintenant

voila:

zhpdiag.txt

Ah enfin, ComboFix a été efficace contre les clés récalcitrantes

Le PC est propre
Tu peux virer tous ces dossiers suivant
O43 - CFD: 26/05/2011 - 09:11:32 - [0] ----D- C:\Users\darty\AppData\Local\{00461873-648E-4E23-8E8D-89EB5BD9570F}
car ils sont tous vides, et ne servent à rien

Tu vas y accéder comme ceci
Presse les touches Windows+R, ce qui va ouvrir la fenêtre exécuter
Tape ceci
"%LOCALAPPDATA%", puis valide, ce qui va t'ouvrir directement le dossier Local
où figurent ces dossiers vides, ne touche pas aux autres dossier, supprime
seulement les dossier dont le nom ressemble à celui qui est en gras
Vérifie par le pointeur qu'ils sont vides

super,
merci beaucoup vraiment...

Bonjour
Tu vas mettre à jour Malwarebytes, et faire un scan complet

Ensuite, on va va finaliser


- DelFix - Option Suppression
Télécharge Del Fix (de Xplode) sur ton bureau

http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix

Lance le (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)

Sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par Messagerie Privée en précisant la raison et le lien vers ce sujet.
Ceci ne s'applique qu'à Jeremy13008.
Pour les autres, créez votre propre sujet svp.