Se connecter / S'enregistrer
Votre question

Infection du PC par www.search-web.net

Tags :
  • www
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Juillet 2011 22:33:09

Bonjour a vous,


J'ai le même soucis que Hihara, ce fameux www.search-web.net a infecté mon pc.
Mon OS: vista
Mon navigateur: Mozilla

Merci de m'aider,

Autres pages sur : infection www search web net

a c 614 8 Sécurité
28 Juillet 2011 22:49:12

Re-bonsoir,

Regardons cela :


Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a c 614 8 Sécurité
    29 Juillet 2011 10:14:14

    Re,


    1) Désinstalle les programmes suivants : (si présent)

    - Java(TM) 6 Update 18 (obsolète risque de faille de sécurité)
    - Java 2 Runtime Environment, SE v1.4.2 (idem)
    - Ad-Aware (inutile et peu efficace, la preuve, tu es ici ...)
    - Conduit Engine (adware, logiciel publicitaire)
    - DAEMON Tools Toolbar (sauf réelle utilité, les modifications et pub sont arrivé en sponsor de cette toolbar et de msn plus!)
    - Messenger Plus FR Toolbar (idem)
    - Spyware Doctor 6.0 (tendancieux : http://forum.malekal.com/faux-blogs-securite-spyhunter-... )

    [2011/07/28 21:55:04 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Users\Céline_2\Desktop\spybotsd162.exe
    -> Ne l'installe pas ou désinstalle-le si c'est fait, même topo qu'ad-aware


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    MOD - [2008/11/03 09:05:46 | 000,146,312 | ---- | M] (PC Tools) -- C:\Program Files\Spyware Doctor\smumhook.dll
    SRV - [2011/06/28 13:19:39 | 002,151,640 | ---- | M] (Lavasoft Limited) [Auto | Running] -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
    SRV - [2008/11/03 09:05:33 | 001,079,176 | ---- | M] (PC Tools) [Auto | Running] -- C:\Program Files\Spyware Doctor\pctsSvc.exe -- (sdCoreService)
    SRV - [2008/06/13 15:29:14 | 000,356,920 | ---- | M] (PC Tools) [Auto | Running] -- C:\Program Files\Spyware Doctor\pctsAuxs.exe -- (sdAuxService)
    DRV - [2011/07/28 21:23:17 | 000,002,560 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\mchInjDrv.sys -- (mchInjDrv)
    DRV - [2011/02/04 16:27:14 | 000,015,232 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
    DRV - [2008/11/03 09:05:19 | 000,081,288 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | System | Running] -- C:\Windows\System32\drivers\iksyssec.sys -- (IKSysSec)
    DRV - [2008/11/03 09:05:19 | 000,066,952 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | System | Running] -- C:\Windows\System32\drivers\iksysflt.sys -- (IKSysFlt)
    DRV - [2008/11/03 09:05:18 | 000,040,840 | ---- | M] (PCTools Research Pty Ltd.) [File_System | Boot | Running] -- C:\Windows\system32\drivers\ikfilesec.sys -- (IKFileSec)
    IE - HKLM\..\URLSearchHook: {3d4d238c-9c48-47cd-a95c-53259acf9e56} - C:\Program Files\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-web.net/keyword/
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search-web.net/results.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&ie=iso-8859-1&oe=iso-8859-1&sa=Rechercher&lang=en&q={searchTerms}
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-web.net
    IE - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\..\URLSearchHook: {3d4d238c-9c48-47cd-a95c-53259acf9e56} - C:\Program Files\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@igeared: C:\Program Files\AVG\AVG10\Toolbar\Firefox\avg@igeared
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
    [2010/05/19 07:22:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    [2010/09/16 09:50:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2010/11/14 23:55:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    [2011/03/10 09:42:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O2 - BHO: (Messenger Plus FR Toolbar) - {3d4d238c-9c48-47cd-a95c-53259acf9e56} - C:\Program Files\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Messenger Plus FR Toolbar) - {3d4d238c-9c48-47cd-a95c-53259acf9e56} - C:\Program Files\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004\..\Toolbar\WebBrowser: (Messenger Plus FR Toolbar) - {3D4D238C-9C48-47CD-A95C-53259ACF9E56} - C:\Program Files\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
    O4 - HKLM..\Run: [Apanel] File not found
    O4 - HKLM..\Run: [ISTray] C:\Program Files\Spyware Doctor\pctsTray.exe (PC Tools)
    O4 - HKLM..\Run: [RivaTunerStartupDaemon] File not found
    O4 - HKLM..\Run: [svwss] File not found
    O4 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004..\Run: [886210] File not found
    O4 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004..\Run: [cacaoweb] C:\Users\Céline_2\AppData\Roaming\cacaoweb\cacaoweb.exe ()
    O4 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004..\Run: [Google Update] File not found
    O4 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004..\Run: [ISUSPM] File not found
    O4 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004..\Run: [Regedit32] File not found
    O4 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004..\Run: [RGSC] File not found
    O4 - HKU\S-1-5-21-3070276257-2317514618-522367346-1004..\Run: [Uniblue RegistryBooster 2009] File not found
    O4 - Startup: C:\Users\Céline_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\santa.bat ()
    O8 - Extra context menu item: Recherche avec search-web - C:\Users\Céline_2\scriptjava.html ()
    O21 - SSODL: PiDtDCkWNtNcvM - {E4D7FB70-4E7D-51DA-ACC3-21E0BC02008A} - File not found
    O33 - MountPoints2\{383ed3ab-8863-11dc-aead-00016c0ebc16}\Shell - "" = AutoRun
    O33 - MountPoints2\{383ed3ab-8863-11dc-aead-00016c0ebc16}\Shell\AutoRun\command - "" = M:\Autorun.exe
    O33 - MountPoints2\{75e9e5ab-680e-11dc-a405-00016c0ebc16}\Shell - "" = AutoRun
    O33 - MountPoints2\{75e9e5ab-680e-11dc-a405-00016c0ebc16}\Shell\AutoRun\command - "" = K:\Autorun.exe
    O33 - MountPoints2\{75e9e5b7-680e-11dc-a405-00016c0ebc16}\Shell - "" = AutoRun
    O33 - MountPoints2\{75e9e5b7-680e-11dc-a405-00016c0ebc16}\Shell\AutoRun\command - "" = L:\Autorun.exe
    O33 - MountPoints2\{88a51f80-b96a-11dd-b900-000272c7cf67}\Shell - "" = AutoRun
    O33 - MountPoints2\{88a51f80-b96a-11dd-b900-000272c7cf67}\Shell\AutoRun\command - "" = K:\setup.exe
    O33 - MountPoints2\{88a51f80-b96a-11dd-b900-000272c7cf67}\Shell\install\command - "" = K:\setup.exe
    O33 - MountPoints2\{a04de03a-0ab2-11dd-b19a-000272c7cf67}\Shell\AutoRun\command - "" = tmf3w3g0.com
    O33 - MountPoints2\{a04de03a-0ab2-11dd-b19a-000272c7cf67}\Shell\explore\Command - "" = tmf3w3g0.com
    O33 - MountPoints2\{a04de03a-0ab2-11dd-b19a-000272c7cf67}\Shell\open\Command - "" = tmf3w3g0.com
    O33 - MountPoints2\{ce6a5c7c-f59c-11dc-b024-000272c7cf67}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Sys.exe
    O33 - MountPoints2\{d6942bb1-5a02-11dc-9b8a-00016c0ebc16}\Shell - "" = AutoRun
    O33 - MountPoints2\{d6942bb1-5a02-11dc-9b8a-00016c0ebc16}\Shell\AutoRun\command - "" = J:\Autorun.exe
    [7 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
    [2 C:\Users\Céline_2\*.tmp files -> C:\Users\Céline_2\*.tmp -> ]
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp ->
    [2011/07/21 19:41:44 | 000,018,747 | ---- | M] () -- C:\Users\Céline_2\Protection.jar
    [2011/07/21 19:25:00 | 000,000,502 | ---- | M] () -- C:\Users\Céline_2\scriptjava.html
    [2011/07/21 19:24:47 | 000,000,000 | ---- | M] () -- C:\Users\Céline_2\tmp1.17
    [2011/07/21 19:23:01 | 000,003,926 | ---- | M] () -- C:\Users\Céline_2\F_ajour.jar
    [2011/07/28 20:14:09 | 000,000,126 | ---- | M] () -- C:\Users\Céline_2\parm.fr
    [2011/06/29 22:46:22 | 000,000,000 | ---- | M] () -- C:\Users\Céline_2\tmp1.16
    [2011/07/21 19:24:47 | 000,000,000 | ---- | C] () -- C:\Users\Céline_2\tmp1.17
    [2010/10/27 11:58:39 | 000,000,000 | ---D | M] -- C:\Users\Céline_2\AppData\Roaming\AVG10
    [2010/09/22 18:28:02 | 000,000,000 | ---D | M] -- C:\Users\Céline_2\AppData\Roaming\cacaoweb
    [2009/04/03 09:26:51 | 000,000,000 | ---D | M] -- C:\Users\Céline_2\AppData\Roaming\ESET
    [2007/11/05 13:07:36 | 000,000,000 | ---D | M] -- C:\Users\Céline_2\AppData\Roaming\PC Tools
    [2009/04/09 08:25:22 | 000,000,000 | ---D | M] -- C:\Users\Céline_2\AppData\Roaming\Uniblue
    [2010/09/22 13:40:28 | 000,309,760 | ---- | M] () -- C:\Users\Céline_2\AppData\Roaming\cacaoweb\cacaoweb.exe
    @Alternate Data Stream - 487 bytes -> C:\ProgramData\TEMP:05EE1EEF
    @Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:DFC5A2B2
    @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:B606BA34
    @Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:1EE00E38

    :Files
    C:\Program Files\Spyware Doctor
    C:\Program Files\Lavasoft

    :Commands
    [emptytemp]
    [emptyflash]
    [resethosts]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.

    Ensuite :


    Télécharge UsbFix (de El Desaparecido et C_XX) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 614 8 Sécurité
    29 Juillet 2011 14:00:37

    Re,

    Comment ce comporte le pc ? mieux ?

    à faire :

    Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    30 Juillet 2011 00:14:45

    Merci, tout fonctionne a merveille maintenant, problème résolu :) 
    a c 614 8 Sécurité
    30 Juillet 2011 10:37:17

    Re,

    Attention, ce n'est pas terminé, continu la procédure que je te fourni dans le précédent message !!!
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS