Windows 7 infecté, page "www-searching.com" sur Firefox

[ArthurH]

Bonjours à tous,

Je vous présente mon problème : J'ai téléchargé un logiciel assez violent, il m'a installé une trentaine de programme en un clique j'ai donc supprimé le .exe téléchargé, j'ai supprimé les 30 programmes installés, fais tourner ccleaner, adwcleaner et hitman pro puis redémarré mon Windows. La plupart des soucis semblent avoir été réglés sauf que je ne peux uplus accéder à certains sites comme Google, Facebook et bien d'autres (j'ai de la chance de pouvoir accéder à votre forum)

La page qui se charge au démarrage de firefox est www-searching.com, j'avais également un logiciel nommé mpc cleaner très dur à désinstaller. Voilà je ne sais plus quoi faire et me tourne donc vers vous pour savoir si vous pouviez m'aider à retrouver un Windows stable!

Bonne journée!

[Malekal_morte]

Salut,


Réinitialise manuellement tes navigateurs :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer



puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[ArthurH]

Merci pour cette réponse rapide et pour la correction du titre (désolé pour mon imprécision :p)

Après avoir réinitialisé Mozilla Firefox (je n'ai ni internet explorer ni Google Chrome par contre j'utilise Opera parfois) c'est un peu mieux (j’accède a certains sites plus facilement) mais j'ai eu beaucoup de mal à télécharger FRST et a poster mes rapports. Voici les 3 rapports demandés :

FRST : http://pjjoint.malekal.com/files.php?id ... z10m7v7o13
additional : http://pjjoint.malekal.com/files.php?id ... 12o12n5k10
Short cut : http://pjjoint.malekal.com/files.php?id ... 8s14x6q6c5

[Malekal_morte]

Tes DNS sont pourris par des malware et il te reste des adwares.

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.
De même pour : Intel Security True Key


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
ShortcutWithArgument: C:\Users\MSI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\MSI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3e3bfeb0c4dcabb6\Google Chrome.lnk -> E:\Systeme\Programmes\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G7Fztutdk0004,6d014971-4b80-45d8-8850-9d58dc88d7e0 --disable-quic
Task: {B83CD305-C7D3-417C-9CA9-9DF64CD32CD8} - System32\Tasks\Domory Host => C:\Program Files (x86)\Clagosemerzos\dmrhostSheratycava.exe [2016-07-15] ()
Task: {A58B4E68-0875-4E42-BD6C-FF0119ED4CCB} - System32\Tasks\{8EF66271-33AB-4FE7-9369-5E7FF88D27D9} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe"
HKU\S-1-5-21-4094542862-2663416055-238121899-1000\...\Run: [QGuan10in1] => C:\Users\MSI\AppData\Roaming\UPUpdata\service72564.exe [0 2016-07-15] ()
HKLM-x32\...\Run: [win_en_77] => [X]
HKLM-x32\...\Run: [sun21] => [X]
 2016-07-16 15:30 - 2016-07-16 15:39 - 00009664 _____ C:\Windows\SysWOW64\zdengineOff.ini  
 2016-07-16 15:30 - 2016-07-16 15:39 - 00009664 _____ C:\Windows\system32\zdengineOff.ini  
 2016-07-16 15:30 - 2016-07-16 15:30 - 00369527 _____ (zdengine) C:\Windows\system32\zdengine64.dll  
 2016-07-16 15:30 - 2016-07-16 15:30 - 00307863 _____ (zdengine) C:\Windows\SysWOW64\zdengine.dll 
2016-07-15 19:03 - 2016-07-16 15:29 - 00000000 ____D C:\Program Files\Yragqehpagau
2016-07-15 19:03 - 2016-07-15 19:03 - 00000000 ____D C:\Users\MSI\AppData\LocalLow005CB3A0
2016-07-15 23:03 - 2016-07-15 23:03 - 00000000 ____D C:\Users\MSI\AppData\Roaming\MCorp
2016-07-15 22:58 - 2016-07-15 22:58 - 00000000 ____D C:\Users\MSI\AppData\LocalLow0054D688
2016-07-15 18:37 - 2015-04-26 20:16 - 02461320 _____ (SosVirus) C:\Users\MSI\Desktop\AdsFix.exe
2016-07-15 18:23 - 2016-07-17 12:27 - 00000000 ____D C:\AdwCleaner
2016-07-15 18:12 - 2016-07-15 18:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Social2Sea
2016-07-15 18:11 - 2016-07-16 15:27 - 00000000 ____D C:\Program Files (x86)\QuickSearch
2016-07-15 18:11 - 2016-07-15 18:11 - 00000000 ____D C:\Users\MSI\AppData\LocalLow026A57F8
2016-07-15 18:11 - 2016-07-15 18:11 - 00000000 ____D C:\Users\MSI\AppData\LocalLow00000000024C1C88
2016-07-15 18:11 - 2016-07-15 18:11 - 00000000 ____D C:\Users\MSI\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
2016-07-15 18:11 - 2016-07-15 18:11 - 00000000 ____D C:\uninst
2016-07-15 18:10 - 2016-07-16 15:27 - 00000000 ____D C:\Users\MSI\AppData\Roaming\UPUpdata
2016-07-15 18:10 - 2016-07-15 18:10 - 00848437 _____ C:\Users\MSI\AppData\Roaming\X-tam.bin
2016-07-15 18:10 - 2016-07-15 18:10 - 00018288 _____ C:\Users\MSI\AppData\Roaming\InstallationConfiguration.xml
2016-07-15 18:10 - 2016-07-15 18:10 - 00003086 _____ C:\Windows\System32\Tasks\{8EF66271-33AB-4FE7-9369-5E7FF88D27D9}
2016-07-15 18:05 - 2016-07-15 18:05 - 00000517 _____ C:\coldsearch.xml
2016-07-15 18:04 - 2016-07-15 18:17 - 00000000 ____D C:\Program Files (x86)\Reivich
2016-07-15 18:04 - 2016-07-15 18:13 - 00000000 ____D C:\Program Files (x86)\SystemHealer
2016-07-15 18:04 - 2016-07-15 18:04 - 00008944 _____ C:\Windows\System32\Tasks\Domory Host
2016-07-15 18:04 - 2016-07-15 18:04 - 00000000 ____D C:\Program Files (x86)\Lesght
2016-07-15 18:03 - 2016-07-16 15:27 - 00000000 ____D C:\Program Files (x86)\host
2016-07-15 18:03 - 2016-07-15 18:26 - 00000000 ____D C:\Program Files (x86)\Clagosemerzos
2016-07-15 17:57 - 2016-07-16 15:32 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
2016-07-15 17:57 - 2016-07-15 17:57 - 00000000 _____ C:\Windows\system32\__000000013F5FD395__C0000005.dmp
2016-07-15 17:56 - 2016-07-17 12:33 - 00000000 ____D C:\Program Files (x86)\OtherSearch
2016-07-15 17:56 - 2016-07-15 18:10 - 00000000 ____D C:\ProgramData\ProductData
2016-07-14 16:16 - 2016-07-14 16:16 - 00079952 _____ C:\Windows\system32\Drivers\c8222f43ad70e0df7edd265ef817189b.sys
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\MSI\AppData\Roaming\FnlltZ6sbVf4ZTRcohQ06
 S2 dmrhostGeiphbaserward.exe; C:\Program Files (x86)\Clagosemerzos\dmrhostGeiphbaserward.exe [712416 2016-07-15] () 
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.

3/ Réinitialise à nouveau manuellement tes navigateurs WEB.

[ArthurH]

Bonjour,

J'ai désinstallé intel key secure et macafee,

J'ai suivis les trois points et voici le rapport :

http://pjjoint.malekal.com/files.php?id ... 5j11p5e8o8

ça continue de ramer sur le net et j'ai un écran noir assez long entre "Windows en cours de démarrage" et "bienvenue"

C'est quand même beaucoup mieux merci pour cette super aide!

[Malekal_morte]

Tu as bien remis les DNS en automatique ?
Tu peux refaire un scan FRST et donner les nouveaux liens pjjoint.

[ArthurH]

Oui j'ai remis en automatique les dns,

voici les trois nouveaux rapports :

Addition : http://pjjoint.malekal.com/files.php?id ... 13h15d8k14
FRST : http://pjjoint.malekal.com/files.php?id ... 15g6i5p7h8
Shortcut : http://pjjoint.malekal.com/files.php?id ... k9x14e13t6

[ArthurH]

Je me permets de reposter car les DNS se remettent tout seuls en manuel...
je ne sais pas quoi faire...

Merci pour l'aide déjà apportée...

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {FAE7C43F-0DBC-4F9F-94F0-25DC0464EE5F} - System32\Tasks\{B8A6D07C-DC58-4067-BDD9-A2907F2FE8C9} => Chrome.exe 
Task: {97B50AD9-79D1-4DF3-ABC7-31F6EC5C41C5} - System32\Tasks\{02D672B3-A088-4683-84C4-F514B06825BD} => Chrome.exe 
Task: {75BA0AA1-7C0F-4EDA-8BC7-0F74344B68E8} - \vwe3034 -> Pas de fichier <==== ATTENTION
StartMenuInternet: Google Chrome.JHZOILCMIBYUAPBMO3TUEOHCHQ - E:\Systeme\Programmes\Google\Chrome\Application\chrome.exe hxxp://www.coldsearch.com/?uid=62167490-5647-4d02-8cb7-7a361448ebf5

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Désinstalle hitman Pro et :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel Malwarebytes Anti-Malware (MBAM) version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

[ArthurH]

Hier j'ai relancé adwcleaner (qui m'a supprimé des menaces) puis a nouveau ccleaner (qui avait encore du taff aussi)
J'ai désinstallé Hitman pro

voici les deux rapports :
Fixlog : http://pjjoint.malekal.com/files.php?id ... 12d7r7p7p8
MBAM : journal protection : http://pjjoint.malekal.com/files.php?id ... 12j6y12i15
journal analyse : http://pjjoint.malekal.com/files.php?id ... 1n15r15m10

Tout semble OK maintenant sauf écran noir d'une minute ou deux entre "démarrage windows" et "bienvenue"

[Malekal_morte]

Les serveurs DNS restent en automatique ?

[ArthurH]

oui les dns restent en auto! Le seul problème est l'écran noir de quelques minutes