Votre question

Comment se débarrasser de www.searchuq.com ?

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Juin 2011 15:51:07

Bonjour,

J'ai découvert un changement sur mon ordinateur depuis le téléchargement d'Ilivid (aujourd'hui, de ce fait, désinstallé.)
En effet, à chaque ouverture de Mozilla, au lieu d'arriver sur la page http://www.google.fr/firefox (configurée par défaut par mes soins) j'arrive sur http://www.searchqu.com/
Après quelques recherches sur le sujet il apparait que je suis loin d'être la seule à avoir ce problème. Mais s'agit-il véritablement d'un virus ?

Avant toute chose :
- J'ai déjà désintaller la Searchqu Toolbar (via la désinstallation window)
- j'ai été modifier mes options pour que ma page http://www.google.fr/firefox apparaisse par défaut à l'ouverture du navigateur. Cela est concluant : SAUF LORSQUE J'OUVRE UN NOUVEL ONGLET A PARTIR DE CETTE PAGE; c'est alors http://www.searchqu.com/ qui s'ouvre de nouveau.
- J'ai déjà fait marcher divers anti-virus tels que Malwarebytes, Avast, Spybot, et aucun d'entre eux ne m'a trouver la moindre menace.

En consultant des forums j'ai pris connaissance du téléchargement nécessaire d' Ad-Remover. Veuillez donc trouver ci-joint le scan résultant du nettoyage :
Spoiler
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:11:01 le 04/06/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium (X64)
Audrey@AUDREY-TOSH (TOSHIBA Satellite L655)

============== ACTION(S) ==============


Fichier supprimé: C:\Program Files (x86)\Mozilla FireFox\searchplugins\SearchquWebSearch.xml
Fichier supprimé: C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\kgw8vo7e.default\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Users\Audrey\AppData\LocalLow\Conduit
Dossier supprimé: C:\Users\Audrey\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files (x86)\ConduitEngine

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\kgw8vo7e.default\Prefs.js --
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&systemid=406&q=");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée: HKLM\Software\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Clé supprimée: HKLM\Software\DataMngr
Clé supprimée: HKLM\Software\SearchquMediabarTb
Clé supprimée: HKCU\Software\DataMngr
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|DataMngr


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

HKLM_Extensions|msntoolbar@msn.com - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1399.0\Firefox
HKLM_Extensions|{B7082FAA-CB62-4872-9106-E42DD88EDE45} - C:\Program Files (x86)\McAfee\SiteAdvisor

-- C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\kgw8vo7e.default --
Prefs.js - browser.search.defaultenginename, Web Search
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/firefox
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - "McAfee SiteAdvisor Toolbar" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKCU_URLSearchHooks|{472734EA-242A-422b-ADF8-83D1E48CC825} (x)
HKCU_SearchScopes\{3037D94C-D9C3-4EEE-88BA-BB1603652553} - "?" (?)
HKCU_SearchScopes\{6A1FB2CA-F4BB-4ED6-8852-43DE1B5E4CDC} - "?" (?)
HKCU_SearchScopes\{C12C6710-4441-4863-BD76-7721AC4DAE08} - "eBay" (hxxp://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms})
HKLM_Toolbar|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1399.0\npwinext.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKLM_Toolbar|{99079a25-328f-4bd4-be04-00955acaa0a7} (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{9B652246-3624-4979-8C2A-DBD43EF6CFC7} - C:\PROGRA~2\WI3C8A~1\ToolBar\dtUser.exe (Visicom Media Inc.)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC5F} - c:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe (McAfee, Inc.)
HKLM_ElevationPolicy\{EE0DF950-5C7F-4261-8CFA-AE01D71FD9BD} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\SetupUtility.exe (<TOSHIBA>)
HKLM_ElevationPolicy\{F3C88694-EFFA-4d78-B409-54B7B2535B14} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\MTSProc.exe (<TOSHIBA>)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} - "McAfee SiteAdvisor BHO" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
BHO\{F3C88694-EFFA-4d78-B409-54B7B2535B14} - "TOSHIBA Media Controller Plug-in" (C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\TOSHIBAMediaControllerIE.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 6 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/06/2011 15:11:11 (6600 Octet(s))

Fin à: 15:12:42, 04/06/2011

============== E.O.F ==============



Et celui du scan (également depuis Ad-remover)


Spoiler
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:17:01 le 04/06/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium (X64)
Audrey@AUDREY-TOSH (TOSHIBA Satellite L655)

============== RECHERCHE ==============





============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

HKLM_Extensions|msntoolbar@msn.com - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1399.0\Firefox
HKLM_Extensions|{B7082FAA-CB62-4872-9106-E42DD88EDE45} - C:\Program Files (x86)\McAfee\SiteAdvisor

-- C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\kgw8vo7e.default --
Prefs.js - browser.search.defaultenginename, Web Search
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/firefox
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - "McAfee SiteAdvisor Toolbar" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKCU_URLSearchHooks|{472734EA-242A-422b-ADF8-83D1E48CC825} (x)
HKCU_SearchScopes\{3037D94C-D9C3-4EEE-88BA-BB1603652553} - "?" (?)
HKCU_SearchScopes\{6A1FB2CA-F4BB-4ED6-8852-43DE1B5E4CDC} - "?" (?)
HKCU_SearchScopes\{C12C6710-4441-4863-BD76-7721AC4DAE08} - "eBay" (hxxp://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms})
HKLM_Toolbar|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1399.0\npwinext.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKLM_Toolbar|{99079a25-328f-4bd4-be04-00955acaa0a7} (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{9B652246-3624-4979-8C2A-DBD43EF6CFC7} - C:\PROGRA~2\WI3C8A~1\ToolBar\dtUser.exe (Visicom Media Inc.)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC5F} - c:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe (McAfee, Inc.)
HKLM_ElevationPolicy\{EE0DF950-5C7F-4261-8CFA-AE01D71FD9BD} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\SetupUtility.exe (<TOSHIBA>)
HKLM_ElevationPolicy\{F3C88694-EFFA-4d78-B409-54B7B2535B14} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\MTSProc.exe (<TOSHIBA>)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} - "McAfee SiteAdvisor BHO" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
BHO\{F3C88694-EFFA-4d78-B409-54B7B2535B14} - "TOSHIBA Media Controller Plug-in" (C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\TOSHIBAMediaControllerIE.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 6 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/06/2011 15:11:11 (6739 Octet(s))
C:\Ad-Report-SCAN[1].txt - 04/06/2011 15:17:04 (4544 Octet(s))

Fin à: 15:17:56, 04/06/2011

============== E.O.F ==============


En espérant une réponse rapide et vite en finir avec cette petite saleté ;) 


<config>Windows 7 / Firefox 3.6.16</config>

Autres pages sur : debarrasser www searchuq com

a b 8 Sécurité
4 Juin 2011 21:25:05

Salut, on va voir tout ça ensemble si tu veux bien ;) 

On va déjà faire le point pour avoir une vue d'ensemble de ton système.


__________________


Pour le bon déroulement de la désinfection :[/#ff]


  • Utilise le moins possible ton PC pendant la procédure, afin de faciliter la désinfection.

  • Suis les procédures données, mais ne tente rien par toi-même : si il y a un souci pendant une procédure, fais-m'en part plutôt que de cliquer au hasard et provoquer une panne sur ton système.

  • Si tu suis déjà une procédure sur un autre forum, merci de le signaler, il est important de ne suivre qu'une seule désinfection à la fois.

  • Même si les symptômes de l'infection ont disparu, le PC n'est pas forcément clean : attends bien que l'on t'ait dit que le PC est désinfecté avant de l'utiliser à nouveau.

  • Même si les désinfections sont faites par des personnes ayant des connaissances approfondies dans la désinfection, il est toujours possible que ton PC plante. Pense à bien sauvegarder tes données ;) 

  • Pour finir, sache que je suis actuellement en formation, ce qui signifie que mes réponses doivent être validées par un helper confirmé avant de les poster, le temps entre mes réponses pourrait donc être allongé.

    __________________


    Si tu es prêt(e), allons-y :

    Ensuite :

    [#ff9000]Diagnostic :


  • Télécharge OTL (de [#ff9000]OldTimer[/#ff]) sur ton Bureau.

  • Si tu es sous XP, double-clique dessus pour le lancer, si tu es sous Vista/7, fais un clic droit dessus et fais Exécuter en tant qu'administrateur pour le lancer.

  • Une fenêtre apparaît.

  • Coche la case : Tous les utilisateurs

  • Coche les cases correspondant à la Recherche LOP et à la Recherche Purity (En bleu vers le bas de la fenêtre).

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop
    CREATERESTOREPOINT


  • Enfin, clique sur le bouton Analyse. Pendant la durée du scanne, ne touche à rien. Le scan prendra quelques temps.

  • A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

    Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a b 8 Sécurité
    6 Juin 2011 21:50:50

    Re, pas grand chose de choquant dans ton rapport, AD-R a l'air d'avoir fait son boulot, on va fixer quelques lignes, par contre, essaye ceci avant :

    Démarre Firefox, puis va dans Outils / Extensions pour supprimer searchqu s'il est présent.

    De plus, va dans Panneau de configuration > Programmes et fonctionnalités et désinstalle Searchqu 406 MediaBar. Dis-moi ce qu'il en est !
    7 Juin 2011 18:27:13

    J'ai suivi la procédure, mais je n'ai pas trouvé, dans chacun des cas, la présence de Searchqu.
    Je précise que je ne tombe sur cette page que lorsque je clique sur "ouvrir un nouvel onglet" depuis une page mozilla déjà ouverte. Lorsque j'ouvre au départ une page internet, c'est Mozilla qui s'affiche. Existe-t-il un moyen de régler ce problème (fortement handicapant pour faire plusieurs recherches) ?
    a b 8 Sécurité
    8 Juin 2011 16:14:55

    Ok

    Désinstalle Spybot S&D qui est complètement inutile de nos jours et qui pourrait gêner le déroulement des choses.


    Analyse et suppression des logiciels malveillants

  • Télécharge Malwarebytes' Anti-Malware (MBAM) (de Marcin Kleczynski et Bruce Harriss).

  • Installe-le, puis mets bien à jour le programme à la fin de l'installation.

  • Une fois l'opération terminée, MBAM se lance. Vérifie que la case Examen rapide est bien cochée, puis appuye sur Rechercher (encadré en rouge dans l'image ci-dessous )



  • A la fin de l'analyse, un message va s'afficher :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ou bien :
    L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté.


  • Clique sur OK pour continuer. Si MBAM n'a rien trouvé, fais-le moi savoir et quitte le programme.

  • Si il a trouvé des malwares (donc si tu obtiens le message "Afficher les résultats' pour afficher tous les objets trouvés"), continue :

    Ferme toutes les applications en cours (à part MBAM) [/#ff]

  • Clique sur Afficher les résultats.

  • Coche toutes les cases et clique sur Supprimer la sélection. Ainsi, les malwares vont être mis en quarantaine.

  • Un rapport va s'afficher. Colle ce rapport dans ta prochaine réponse stp ;) 

    [#ffb200]Pour t'aider
  • : Tuto sur MBAM
    8 Juin 2011 17:35:01

    Spybot S&D est à présent désinstallé ;-)

    J'avais déjà pris la peine d'interroger MBAM (voir mon premier post). J'ai tout de même relancé l'anti-virus, et aucun élément nuisible n'a été détecté à la suite de l'analyse.

    Spoiler
    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6766

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    08/06/2011 17:28:38
    mbam-log-2011-06-08 (17-28-38).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
    Elément(s) analysé(s): 283882
    Temps écoulé: 37 minute(s), 12 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    a b 8 Sécurité
    8 Juin 2011 18:33:32

    Bon, pas grand chose dans les rapports, ça te dérange de réinstaller Firefox ?
    8 Juin 2011 18:37:35

    Bonjour, après plusieurs recherches j'ai pensé à rechercher dans le disque C le mot-clé : searchqu.
    Et là surprise, de nombreux fichiers divers ont été trouvés. Ci-joint la capture d'écran. Dois-je supprimer ces fichiers ?

    http://imageshack.us/photo/my-images/90/aidep.png
    a b 8 Sécurité
    8 Juin 2011 18:51:17

    Bizarre, les fichiers ne sont pas visibles dans mes rapports...

    Recherche approfondie

  • Télécharge SEAF (de C_XX).

  • Double-clique sur SEAF.exe pour lancer l'outil (il ne nécessite pas d'installation) (POUR WINDOWS VISTA/7 : Il faut faire un clic droit sur l'icône, puis cliquer sur Exécuter en tant qu'administrateur)

  • Coche les cases Chercher également dans le registre et Afficher également des dossiers.

  • Dans la case de la Recherche, tape

    searchqutoolbar;searchqu


    et clique sur [#ff0000]Lancer la recherche[/#ff]

  • Laisse tourner l'outil.

  • Poste le contenu du rapport [#ff0000BF]SEAFlog.txt[/#ff] qui s'affiche dans ta réponse

    Si il ne s'affiche pas, tu le trouveras ici : C:\SEAFlog.txt
    8 Juin 2011 21:08:28

    Non, cela ne me dérange pas. J'ai voulu essayer tout à l'heure, sauf qu'en allant dans l'outil de désinstallation window, il refuse de l'effectuer (sous prétexte qu'il faut d'abord fermer toutes les fenêtres mozilla : or, c'est déjà le cas... Pas moyen donc d'y parvenir...)

    Euh, Avast me détecte SEAF comme présentant un risque, est-ce normal ?
    a b 8 Sécurité
    8 Juin 2011 21:45:21

    Bon laisse tomber pour la désinstallation de Mozilla pour l'instant.

    Pour SEAF, tu veux dire que c'est la sandbox Avast qui te prévient de cela ?

    Si c'est le cas, choisis lancer normalement et valide, l'outil n'a pas de virus.
    8 Juin 2011 22:03:35

    Je ne parviens pas à ouvrir SEAF... Je clique tout en exécutant en tant qu'administrateur, mais rien ne se passe ni ne s'ouvre... Décidément. J'ai aussi l'impression que mon pc rame davantage depuis ce problème avec searchqu
    a b 8 Sécurité
    9 Juin 2011 14:57:09

    C'est bizarre ton truc...

    On va voir l'hypothèse du rootkit, mais ça me paraît assez étrange.

    Scan de rootkit

    Télécharge Gmer. (de Przemyslaw Gmerek[/#ff])

  • Dézippe-le dans un dossier dédié ou sur ton Bureau.

    [#ff0000] Ferme toutes les applications en cours (à part GMER) [/#ff]

  • Double-clique sur Gmer.exe.

    [#ff0000]Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.[/#ff]

  • Clique sur l'onglet Rootkit/Malware.

  • A droite, coche seulement Files, Services & Registry, comme dans l'image ci-dessous :



  • Clique maintenant sur Scan.

  • Lorsque le scan est terminé, clique sur Copy.

  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.

  • Le rapport doit alors apparaître.

  • Enregistre le fichier sur ton Bureau et poste le contenu ici.

    [#ffb200]Pour t'aider
  • : Tuto sur GMER
    17 Juin 2011 19:08:20

    Bonjour, excusez moi de m'imposer mais j'ai le même problème, j'ai suivi la démarche et le rapport de SEAF me parait proche de la solution, puis-je avoir un peu d'aide ?
    Spoiler
    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 19:00:22 le 17/06/2011
    4.
    5. Valeur(s) recherchée(s):
    6. searchqutoolbar
    7. searchqu
    8.
    9. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    10.
    11. (!) --- Affichage des dossiers
    12. (!) --- Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16. Aucun fichier trouvé
    17.
    18.
    19. ====== Entrée(s) du registre ======
    20.
    21.
    22. [HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASAPI32]
    23. DA: 10/06/2011 15:22:03
    24.
    25. [HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASMANCS]
    26. DA: 10/06/2011 15:22:03
    27.
    28. [HKLM\Software\Microsoft\Tracing\SearchquMediaBar_RASAPI32]
    29. DA: 10/06/2011 15:22:03
    30.
    31. [HKLM\Software\Microsoft\Tracing\SearchquMediaBar_RASMANCS]
    32. DA: 10/06/2011 15:22:03
    33.
    34. [HKLM\Software\Microsoft\Tracing\SetupDataMngr_searchqu_RASAPI32]
    35. DA: 10/06/2011 15:22:03
    36.
    37. [HKLM\Software\Microsoft\Tracing\SetupDataMngr_searchqu_RASMANCS]
    38. DA: 10/06/2011 15:22:03
    39.
    40. [HKLM\Software\Classes\Interface\{AB310581-AC80-11D1-8DF3-00C04FB6EF63}]
    41. ""="ISearchQueryHelper" (REG_SZ)
    42.
    43. [HKLM\Software\Classes\Wow6432Node\Interface\{AB310581-AC80-11D1-8DF3-00C04FB6EF63}]
    44. ""="ISearchQueryHelper" (REG_SZ)
    45.
    46. [HKU\S-1-5-21-2381285565-1726502693-398665703-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]
    47. "1"="searchqu" (REG_BINARY)
    48.
    49. =========================
    50.
    51. Fin à: 19:02:25 le 17/06/2011
    52. 467245 Éléments analysés
    53.
    54. =========================
    55. E.O.F
    1 Août 2011 10:38:23

    bonjour,

    alors javais le meme probleme j'ai un peu suivi les differentes demarche avec mon fournisseur d'antivirus une solution m'a ete proposé immediate et radicale et qui fonctionne tres bien c combofix.

    suivre la
    procédure ci-dessous mais avant d'effectuer la procédure
    ci-dessous pour supprimer les fichiers infectés de votre PC
    veuillez sauvegarder toute vos données importante.


    Redémarrez votre ordinateur en mode sans échec, lors du
    premier affichage des écritures en blanc sur fond noir
    appuyez sur

    la touche F5 ou F8 de manière successive sans vous arrêter
    jusqu'a

    obtention d'un menu d'options avancées. Si le menu de boot
    apparait, faites

    entrée une fois et recommencez directement à taper sur F8.

    Choisissez avec les flèches haut et bas du clavier le "mode

    sans échec avec prise en charge reseau" puis appuyez sur entrée.

    Faites de même pour le choix du système d'exploitation.

    À l'ouverture de session prenez la session administrateur.

    Faites oui sur le message de confirmation d'utilisation du

    mode sans échec.


    Téléchargez le programme Combofix en cliquant sur le lien
    ci-dessous, puis sauvegardez le sur votre bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe



    Veuillez exécuter combofix.



    Combofix va lancer la sauvegarde du registre puis commencer
    le nettoyage

    (il va surement vous déconnecter d'internet, c'est normal)

    Il y a aura des étapes, ne touchez à rien pendant ces
    opérations. Cela peut

    prendre plus de quinze minutes, une fois qu'il aura fini il
    vous l'indiquera et vous pourrez redémarrer le PC normalement.

    apres cela modifier sur votre navigateur la pages d'accueil redemarrez l'ordi et voila



    a c 614 8 Sécurité
    1 Août 2011 10:55:15

    Bonjour fafa0659,

    Combofix est un outil extrêmement puissant et dangereux, l'utiliser sans connaissances et pour des infections simples comme cet adware n'est pas du tout conseillé ...

    Et que ce soit votre fournisseur d'antivirus qui vous donne cela comme solution me fait sourire ... :sarcastic: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS