supprimer startpage.com

[unmecordinaire]

Bonjour tout le monde,

Hier j'ai lancé malheureusement téléchargé sur mon ordinateur puis ouvert un fichier douteux qui était dans un mail...

Tout de suite après j'ai redémarré mon ordinateur,
j'ai constaté ma page de démarrage avait changée pour : https://startpage.com/

et que mon ventilateur s'emballait, j'ai vérifié les performances du CPU via le gestionnaire des tâches, et il était à 100 % d'activité alors qu'il n y avait aucune tâche de lancée... je peux tout de même mettre fin à cette tâche.

J'ai relancé le pc sans qu'il soit connecté sur le internet ( j'ai débranché le cable éthernet) et là le CPU ne s'emballe pas (le programme malfaisant ne se lance pas visiblement)

Kapersky en ligne détecte un trojan dénommé Ramson
Exterminate it ! détecte ça
12:51:46.902 Found Gen:Variant.Symmi.18328 Malware c:\users\pierre-emmanuel\appdata\roaming\comfon.exe [3260] [file]
12:59:21.268 Found Gen:Variant.Symmi.18328 Malware C:\Users\Pierre-Emmanuel\AppData\Roaming\comfon.exe
12:59:25.045 Found Gen:Variant.Symmi.18328 Malware C:\Users\Pierre-Emmanuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pierre-Emmanuel.exe

Exterminate it enlève ce malware mais il réapparait toujours.

Et ces outils n'ont rien détectés
Spybot
CCleaner
Adwcleaner
Malwarebytes

Du coup je ne sais vraiment pas comment procéder, si quelqu'un pouvait m'aider merci d'avance

[Malekal_morte]

Salut,

Désinstalle spybot, pas effiace.
Ca ralentit le PC.

~~

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[unmecordinaire]

Merci infiniment pour ton aide

Je fais ça tout de suite.

[unmecordinaire]

Voila pour le lien du rapport OTL

http://pjjoint.malekal.com/files.php?id ... 2j13b7g7k9

[Malekal_morte]

Tu n'as pas fait le scan avec le script donné.



Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL

O2 - BHO: (Wondershare Video Converter Ultimate) - {65DEE40A-3E93-4cae-9F98-B8E06DCEE2BF} - C:\Program Files (x86)\Wondershare\Video Converter Ultimate\SVRIEPlugin.dll (Wondershare Software Co., Ltd.)
O4 - HKU\S-1-5-21-4187393333-1910657193-1276641993-1001..\Run: [CENTRAL] C:\Users\Pierre-Emmanuel\AppData\Roaming\comfon.exe ( )
[2013/11/04 15:27:22 | 000,000,000 | -HSD | C] -- C:\Users\Pierre-Emmanuel\AppData\Roaming\EYI4N2Xpq2Y07uG6hUttihQW7jgzTXWw
[2013/04/23 14:02:36 | 000,021,504 | ---- | C] () -- C:\Users\Pierre-Emmanuel\auth.exe
:Commands
[reboot]

* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.


~~

Refais le scan OTL avec le script.

[unmecordinaire]

Merci j'ai suivi la procédure
ce qui a engendré un redémarrage de l'ordi (et là pas de soucis de CPU...)

J'ai bien zippé comme demande le dossier du lecteur C
ce qui me donne bien un fichier MovedFiles.zip

par contre quand je l upload (le fichier fait 3 mo), la page m'indique au bout d'un temps que le format du fichier choisi est invalide.

[unmecordinaire]

Ici le lien quand j'ai relancé OTL avec le script que tu m'avais demandé

http://pjjoint.malekal.com/files.php?id ... 14w10y8u12

Par contre quand j'ai fait la procédure :

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL

O2 - BHO: (Wondershare Video Converter Ultimate) - {65DEE40A-3E93-4cae-9F98-B8E06DCEE2BF} - C:\Program Files (x86)\Wondershare\Video Converter Ultimate\SVRIEPlugin.dll (Wondershare Software Co., Ltd.)
O4 - HKU\S-1-5-21-4187393333-1910657193-1276641993-1001..\Run: [CENTRAL] C:\Users\Pierre-Emmanuel\AppData\Roaming\comfon.exe ( )
[2013/11/04 15:27:22 | 000,000,000 | -HSD | C] -- C:\Users\Pierre-Emmanuel\AppData\Roaming\EYI4N2Xpq2Y07uG6hUttihQW7jgzTXWw
[2013/04/23 14:02:36 | 000,021,504 | ---- | C] () -- C:\Users\Pierre-Emmanuel\auth.exe
:Commands
[reboot]


Mon ordinateur a redémarré après avoir cliqué sur correction mais je n'ai pas obtenu de rapport.

[Malekal_morte]

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-4187393333-1910657193-1276641993-1001..\Run: [CENTRAL] C:\Users\Pierre-Emmanuel\AppData\Roaming\comfon.exe ( )
O4 - Startup: C:\Users\Pierre-Emmanuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pierre-Emmanuel.exe ( )
:Commands
[reboot]

* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

[unmecordinaire]

Voila c'est fait

suite à la procédure l'ordinateur s'est redémarré
par contre pas de rapport au redémarrage

Donc lancé un rapport (sans script) ci dessous

http://pjjoint.malekal.com/files.php?id ... 8c6p15e7l9

Par contre j'ai bien zippé le fichier, mais le site ne le prend toujours pas.

[Malekal_morte]

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
IE - HKU\S-1-5-21-4187393333-1910657193-1276641993-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startpage.com


* poste le rapport ici

[unmecordinaire]

Voila c'est fait,

le rapport :

http://pjjoint.malekal.com/files.php?id ... 3o11k10f15

[Malekal_morte]

plus de startpage?

[unmecordinaire]

Non plus de startpage, et quand je redémarre mon ordinateur je n'ai plus de problème de CPU.

j'ai relancé exterminit pour vérifier tout est nickel plus de trojan...

je te remercie vraiment beaucoup, je ne savais plus comment m'en dépêtrer.

Par curiosité j'ai juste une question :

je savais qu'on pouvait tomber sur des malwares qui pouvaient changer la page de démarrage du navigateur. Mais qui puisse aussi faire tourner le processeur à 100 % je ne savais pas que c'était possible.

Ma question est quel est l'intérêt de faire cela ?
Faire claquer l'ordinateur ? ou bien récupérer mes données ? ou bien autre chose dont je ne soupçonne même pas l'existence ?

En tout cas tu as mes remerciements les plus sincères.

[Malekal_morte]

Tu avais un client Bitcoin : https://www.malekal.com/2011/09/14/bitc ... de-botnet/

Change tes mots de passe (mail, Facebook etc), on sait jamais.

Par contre, j'aimerai bien récupérer les fichiers :

ip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com