[PUP] do.search (résolu)

[Bef]

Bonjour à tous,
Soit un Portable avec Windows 8 et "http://do-search.com/?type=sc&ts=138425 ... J9CCC02075" a chaque ouvertures du navigateur que ce soit Firefox ou IE.
J'ai bien tenté de m'en débarrasser avec Adwcleaner, Malwarebyte, mais rien n'y fait le "moteur de recherche" do-search s'ouvre toujours alors que dans les options du navigateur ce n'est pas lui qui est renseigné.
quelqu'un peu m'aider?
Merci

Je joins un scan OTL

[Malekal_morte]

Salut,


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Clic ensuite sur le bouton [Nettoyer] pour lancer le nettoyage.

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html

NOTE : Pour Firefox et Google Chrome - si rien ne va, il y a la possibilité de les désinstaller/réinstaller, voir liens explicatifs ci-dessus.


puis : il faut nettoyer les raccourcis (icones) de lancement des navigateurs WEB.
Comme expliqué dans les liens précédents, faire un clic droit sur les icones de raccourcis de lancement des navigateurs puis propriétés.
Dans cible, à la fin, une adresse http a été ajoutée (exemple https://www.malekal.com/fichiers/forum/ ... find_7.png ) pour que le site s'ouvre au démarrage du navigateur, supprimer cette adresse http ET SEULEMENT cette adresse http.

[Bef]

Bonjour,
Avec un peu de retard , ci dessous le rapport AdwCleaner :
# AdwCleaner v3.012 - Rapport créé le 14/11/2013 à 12:35:08
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : ALSH-Fongrave - FONGRAVE
# Exécuté depuis : C:\Users\ALSH-Fongrave\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

***** [ Fichiers / Dossiers ] *****

***** [ Raccourcis ] *****

***** [ Registre ] *****

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16537
-\\ Mozilla Firefox v25.0 (fr)
[ Fichier : C:\Users\ALSH-Fongrave\AppData\Roaming\Mozilla\Firefox\Profiles\y1rcu1ql.default-1384260450077\prefs.js ]

*************************
AdwCleaner[R5].txt - [817 octets] - [14/11/2013 12:27:19]
AdwCleaner[S2].txt - [739 octets] - [14/11/2013 12:35:08]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [798 octets] ##########

[Malekal_morte]

Fais le reste, ça doit rouler!

[Bef]

Non non justement c'est là que ça commence a être sérieusement compliqué
C'est que chaque fois que j'ouvre FireFox il m'affiche la page de do.search !!!!
alors qu'il n'y a aucune extension installée et les plugin sont les basiques installés (acrobat, office 2010, flash et vlc)
??
....
une piste ?

[Malekal_morte]

Tu as quoi en page de démarrage configurée ?

[Bef]

La page d'accueil dans les otptions configurée est "https://www.google.fr"
dans le registre et malgré le passage de malwarebyte et adwcleaner je retrouve bien l'adresse de do.search qui est renseignée :

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=138425 ... J9CCC02075
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=13 ... earchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=13 ... earchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=138425 ... J9CCC02075


je retrouve aussi dans la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
la commande suivante
"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://do-search.com/?type=sc&ts=138425 ... J9CCC02075

et ici
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
la commande :
C:\Program Files\Internet Explorer\iexplore.exe http://do-search.com/?type=sc&ts=138425 ... J9CCC02075

[Bef]

j'ai desinstallé firefox et réinstallé , a priori do.search a disparu
quelle est la valeur de la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

Le nom de la valeur est (par défaut)
les données de la valeur :
C:\Program Files\Internet Explorer\iexplore.exe http://do-search.com/?type=sc&ts=138425 ... J9CCC02075

et effectivement si pour firefox je n'ai plus le problème , pour IE le moteur de recherche s'affiche a la première ouverture du navigateur.

si je peux avoir la valeur de cette clé par défaut, peut etre que je pourrai me débarrasser définitivement de ce problème.

[Bef]

désolé mais je découvre qu'il a créée une clé
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\do-searchSoftware
avec une chaine
Nom : (par défaut)
type : REG SZ
Données : (valeur non définie)

ainsi qu'une sous clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\do-searchSoftware\do-searchhp
avec 3 chaines
Nom : (par défaut)
type : REG SZ
Données : (valeur non définie)

Nom : oem
type : REG SZ
Données : adks

Nom : Time
type : REG_QWORD
Données : 0x528205f9 (1384252921)

je peux virer ces clés ?

[Bef]

bonjour,
pas de réponses ?
en fait je voudrai savoir si je peux virer les clés suivantes sans risques de planter le pc :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\do-searchSoftware
et
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\do-searchSoftware\do-searchhp

et ensuite si quelqu'un connait la valeur "par défaut" de la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

Merci
Bef

[Malekal_morte]

oui tu peux.

[Bef]

ok merci
et pour remplacer la clé? :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

[Bef]

c'est bon j'ai remplacé par
C:\Program Files\Internet Explorer\iexplore.exe https://www.google.fr
et tout re fonctionne nickel .
Merci !

[Malekal_morte]

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

[bambou4482]

Bonjour,

J'ai eu le même problème que vous même, après la désinstallation tant dans les logiciels que les moteurs de recherche et fait un nettoyage complet, le do-search.com est toujours là comme moteur de recherche malgré des tentatives d'installation de Google comme page d'accueil.
Je suis allée à la racine de IE, j'ai fait un copier sur mon bureau et tout re-fonctionne normalement.
Je n'ai peut-être pas retiré les clefs mais je ne suis pas une pro.
Voilà ma petite expérience de cette belle m....
Bonne journée à tous,
Bambou4482