Windows 8 - cheval de Troie (Suptab/mystartsearch...)

[stephanie92]

Bonjour,
Je ne peux plus accéder à ma boite mail (yahoo) par le biais de mon ordinateur personnel.

Après une analyse Microsoft Security Essentials, le fichier "browsermodifier win32/Diplugem" a été détecté dans l’élément: file:C:\Program Files\Google\Chrome\Application\chrome.dll

Après suppressions du virus et de Chrome que je n'utilise pas, je n'arrive pas à me connecter à ma boite mail.
J'utilise Mozilla Firefox.
Comment faire?

Merci pour votre aide

[stephanie92]

C'est vrai cochonnerie! Après avoir supprimé le fichier concerné et le virus, j’ai fait une nouvelle analyse et revoilà le même virus sur d'autres fichiers.


Éléments :
file:C:\Program Files\Playjack\Playjack.exe
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{25F259ED-12F6-429F-5783-527C3E2F8586}
uninstall:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{25F259ED-12F6-429F-5783-527C3E2F8586}

[Malekal_morte]

Salut,

Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
* Télécharge le sur ton bureau ou dossier de téléchargement.
* Lance AdwCleaner, clique sur [Scanner].
* L'analyse peux durer plusieurs minutes, patiente.
* Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
* Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.

Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[stephanie92]

Merci de votre réponse et voici les résultat:

Adwcleaner:

# AdwCleaner v5.005 - Rapport créé le 02/09/2015 à 09:20:36
# Mis à jour le 31/08/2015 par Xplode
# Base de données : 2015-08-31.2 [Serveur]
# Système d'exploitation : Windows 7 Professional Service Pack 1 (x86)
# Nom d'utilisateur : user - USER-LAPTOP
# Exécuté depuis : C:\Users\user\Downloads\adwcleaner_5.005(2).exe
# Option : Scanner
# Support : http://toolslib.net/forum

***** [ Services ] *****


***** [ Dossiers ] *****


***** [ Fichiers ] *****


***** [ Raccourcis ] *****


***** [ Tâches planifiées ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

[C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Trouvé : dregol.com
[C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Trouvé : Dregol.com
[C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Default_Search_Provider_Data] Trouvée : hxxp://www.dregol.com/results.php?f=4&q={searc ... =&uref=afb

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [1374 octets] ##########

Et les 3 rapports:

http://pjjoint.malekal.com/files.php?id ... n5m11e12l9
http://pjjoint.malekal.com/files.php?id ... r10w12q9t9
http://pjjoint.malekal.com/files.php?id ... 10w5c13e15

Merci pour votre aide.

[Malekal_morte]

Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC

De même, je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.

~~



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


CustomCLSID: HKU\S-1-5-21-3944961494-3257858445-2355725494-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\user\AppData\Local\Temp\D600.exe Pas de fichier
AppInit_DLLs: C:\PROGRA~2\{EDCE0~1\1170~1.1\nado.dll => C:\ProgramData\{EDCE050D-BD4C-D48B-0CCA-A409DC487787}\1.17.0.1\nado.dll [1062912 2015-07-24] ()
S2 internetControllerService; C:\Users\user\AppData\Roaming\Internet-Controller\internet-controllerservice.exe [X]
C:\ProgramData\{EDCE050D-BD4C-D48B-0CCA-A409DC487787}



Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/

[stephanie92]

Voici le résultat:



Résultats de correction de Farbar Recovery Scan Tool (x86) Version:31-08-2015
Exécuté par user (2015-09-02 12:59:37) Run:1
Exécuté depuis C:\Users\user\Downloads
Profils chargés: user (Profils disponibles: user)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
CustomCLSID: HKU\S-1-5-21-3944961494-3257858445-2355725494-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\user\AppData\Local\Temp\D600.exe Pas de fichier
AppInit_DLLs: C:\PROGRA~2\{EDCE0~1\1170~1.1\nado.dll => C:\ProgramData\{EDCE050D-BD4C-D48B-0CCA-A409DC487787}\1.17.0.1\nado.dll [1062912 2015-07-24] ()
S2 internetControllerService; C:\Users\user\AppData\Roaming\Internet-Controller\internet-controllerservice.exe [X]
C:\ProgramData\{EDCE050D-BD4C-D48B-0CCA-A409DC487787}
*****************

"HKU\S-1-5-21-3944961494-3257858445-2355725494-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}" => clé supprimé(es) avec succès
"C:\PROGRA~2\{EDCE0~1\1170~1.1\nado.dll" => Données de la valeur supprimé(es) avec succès.
internetControllerService => service supprimé(es) avec succès
C:\ProgramData\{EDCE050D-BD4C-D48B-0CCA-A409DC487787} => déplacé(es) avec succès

==== Fin de Fixlog 12:59:37 ====

De plus je n'ai pas pu supprimer Spybot et McAfee Security Scan. Un message d’erreur m'indique que l'action ne peut pas être réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme alors que tout est fermé!

[Malekal_morte]

Redémarre l'ordinateur et tente de les désinstaller.
Si ça passe pas, on les supprimera avec FRST.

[stephanie92]

J'ai réussi à supprimer McAfee Security Scan, il ne reste plus que Spybot.
J'ai retrouvé l'usage de ma boite mail! Merci

[Malekal_morte]

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :



HKLM\...\Run: [SDTray] => C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
R2 SDScannerService; C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.)
C:\Program Files\Spybot - Search & Destroy 2



Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[stephanie92]

Bonjour, j'ai réussi à supprimer Spybot en nettoyant le disque.
Merci pour ton aide

[Malekal_morte]

ok, il reste quel problème du coup ?

[Malekal_morte]

ok, il reste quel problème du coup ?

[stephanie92]

Tout refonctionne!
Merci beaucoup

[Malekal_morte]

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html