> Tous les forums > Forum Sécurité
 Page d'accueil Firefox remplacée par easysear.chSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
al.herman
  Posté le 21/12/2010 @ 20:43 
Aller en bas de la page 
Petit astucien

Bonsoir,

Je viens de voir mes pages d'accueil de Firefox remplacées par la page www.easysear.ch; de plus des pages s'ouvrent d'elles-mêmes (il s'agit évidemment de pub).

J'ai lancé AD-Remover mais sans résultat.

Que puis-je faire ?

Merci d'avance.

PS : Seul Firefox a l'air infecté, pas IE ni Chrome.

Publicité
Vrni
 Posté le 21/12/2010 à 20:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour et bienvenu sur le forum de PCA

Utilise l'outil suivant.

Télécharge OTL (de OldTimer) sur ton Bureau.

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

  • Double-clique sur OTL pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu’administrateur.
  • Sélectionne l’option tous les utilisateurs.
  • Dans la partie Personnalisation, copie/colle la liste suivante.

netsvcs
Drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s

%appdata%\*.exe /s
%APPDATA%\*.
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT

  • clique sur le bouton Analyse rapide
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt.
    Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Poste les sur le forum.

Pour cela, utilise le lien en bas de la page Inserer le rapport .

A+

al.herman
 Posté le 21/12/2010 à 21:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : OTL.Txt

al.herman
 Posté le 21/12/2010 à 21:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Extras.Txt

al.herman
 Posté le 21/12/2010 à 21:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici les fichiers demandés.

Merci d'avance

Vrni
 Posté le 21/12/2010 à 21:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Pour ton problème de pubs, cela vient d'une infection qui s'appelle InstallPedia.
Elle a du migrée puisqu'elle actuellement bien détecté par les outils de désnfection.

Il me faudrait le vérifier.

------------------------------------

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier
http://www.virustotal.com/fr/

  • Copier le chemin indiqué ci-dessous et le coller dans la zone à analyser

Chemin : C:\Program Files\Installer\lnetworker.exe

  • Tu cliques ensuite sur envoyer le fichier.
  • Après analyse et affichage des résultats, copie l'adresse de la page des résultats.

Indique moi le lien dans ta prochaine réponse.

Même manip avec C:\Windows\BackupIP\service.exe

A+

al.herman
 Posté le 21/12/2010 à 21:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Vrni
 Posté le 21/12/2010 à 22:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

pas évident du tout.
J'ai eu le même post iil y a quelques jours et cela m'avait réservé quelques surprises.
On va y aller pas à pas.

Désinstalle Installer dans la liste des programmes.
Redémarre le PC.
Va sur le net et dis-moi si il y a une différence ( pubs ).
pour la page d'accueil, on verra ensuite mais n'as-tu pas la possibilité de la changer

A+

al.herman
 Posté le 21/12/2010 à 22:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bon, les pubs n'ont plus l'air de se pointer. {#}

Par contre, j'ai beau remettre mes pages d'accueil, après redémarrage, elles ont disparu et sont remplacées par easysear.ch {#}

Je suppose onc qu'une applic quelconque remplace mon fichier de préférences Firefox par le sien.

Si je ne découvre pas laquelle, j'aurai beau faire.

Merci pour tout.

Publicité
Vrni
 Posté le 21/12/2010 à 23:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Comme je te le disais, on va y aller molo.
Je pourrais sans doute supprimer différentes choses mais je préfère pour l'instant voir ce qui se passe étape par étape.

Cela sera du coup un peu plus long.

------------------------------------------------------

Relance OTL.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
  • :OTL
    PRC - [2010/12/20 11:59:49 | 000,007,168 | ---- | M] () -- C:\Program Files\Installer\lnetworker.exe
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
    IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
    IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
    O2 - BHO: (no name) - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {CEDDA62D-5FBE-4AB2-AE2E-5E069F444444} - No CLSID value found.
    O4 - HKLM..\Run: [] File not found
    O4 - HKLM..\Run: [AuditVista] File not found
    O4 - HKLM..\Run: [installer] C:\Program Files\Installer\lnetworker.exe ()

    :Commands
    [Emptytemp]
    [Emptyflash]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, le PC va redémarrer.

  • Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
    Sauvegarde-le sur ton Bureau et poste-le.

    Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
    Regarde suivant la date : 12262009_xxxxxxxx.log

  • Ensuite, poste un nouveau log OTL en choisissant uniquement Analyse rapide.
  • A+



    Modifié par Vrni le 21/12/2010 23:04
    al.herman
     Posté le 22/12/2010 à 16:50 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voici le log après la "Carrection"

    al.herman
     Posté le 22/12/2010 à 16:58 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : Correction.txt

    Vrni
     Posté le 22/12/2010 à 17:00 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    al.herman,

    le problème de la page d'accueil doit être réglé ?

    Poste le rapport d'OTL comme demandé.

    A+

    al.herman
     Posté le 22/12/2010 à 17:05 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Minute j'arrive .....

    al.herman
     Posté le 22/12/2010 à 17:07 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Entretemps, problème pas résolu {#}

    al.herman
     Posté le 22/12/2010 à 17:07 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : OTL_20101222_1705.Txt

    Vrni
     Posté le 22/12/2010 à 17:29 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    FF - prefs.js..browser.startup.homepage: "www.easysear.ch/"

    Easysear s'est mis dans les paramètres globaux de Firefox.
    Tu dois cette fois-ci pouvoir la changer.

    Ouvre Firefox --> Options --> général

    ---------------------------------------------------

    fais la manip suivante.

    • démarrer --> dans la zone de recherche , tape cmd
    • dans la fenêtre MS-Dos ouverte, tape successivement ce qui suit et valide à chaque fois par entrée.

    sc stop sdmBackupIP
    sc config sdmBackupIP start=disabled

    • Redémarre le PC puis reviens sur la discussion.
    • Dis moi si tout est OK ( page de démarrage, pubs )

    A+

    Publicité
    al.herman
     Posté le 22/12/2010 à 18:19 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    YOUPIIIIIIIIIIIIEEEEEEE ça marche !!!!!!!

    Juste pour info, je me cassais les dents sur les commandes dos (Not authorized) jusqu'à ce que je pense aller décocher "utiliser le contrôle des comptes utilisateurs".

    + il faut un espace entre "start=" et "disabled"

    En tout cas un grand merci pour ta patience et ton implication et respect pour tes connaissances.

    Compte sur moi pou te faire une pub d'enfer.

    Vrni
     Posté le 22/12/2010 à 18:45 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    al.herman

    Bonne chose pour le problème des pubs et de la page de démarrage.
    Effectivement, il faut activer l'UAC sous Vista pour avoir les droits administrateur.

    Merci

    -------------------------------------------------------

    Il faut terminer le nettoyage.
    Si tu veux bien prendre un peu de temps.
    Et puis, il faudra faire deux analyses pour vérifier que le PC est propre ( dont un logiciel qui te sera bien utile par la suite ).
    Il y a pas d'urgence, à mon avis. On n'est pas à la minute près.

    1/

    • démarrer --> dans la zone de recherche , tape cmd
    • dans la fenêtre MS-Dos ouverte, tape successivement ce qui suit et valide à chaque fois par entrée.

    sc delete sdmBackupIP

    2/

    Relance OTL.

    • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

    :OTL
    [2010/11/30 10:50:32 | 000,000,000 | ---D | C] -- C:\Windows\BackupIP
    [2010/11/30 10:50:31 | 000,000,000 | ---D | C] -- C:\Program Files\Installer
    [2010/11/30 10:50:28 | 000,197,632 | ---- | C] (Dino Chiesa) -- C:\Windows\System32\Ionic.Zip.Reduced.dll


    • Puis clique sur le bouton Correction en haut de la fenêtre.
    • Laisse le programme travailler, le PC ne va pas redémarrer.


    Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
    Sauvegarde-le sur ton Bureau et poste-le.

    Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles

    Regarde suivant la date : 12262009_xxxxxxxx.log


    3/ Il reste deux dossiers sans doute liés à l'infection.
    Je connais plus ou moins leur contenu mais il faudrait le vérifier.

    Relance OTL.

    • clique sur aucun
    • Puis sous personnalisation , copie le texte suivant :

    C:\Users\Alain\AppData\Local\assembly
    C:\Users\Alain\AppData\Local\networker

    • Clique ensuite sur Analyse.

    L'analyse va à peine prendre quelques secondes.
    Un rapport va s'ouvrir.
    Poste le dans ta prochaine réponse.

    A+

    al.herman
     Posté le 22/12/2010 à 19:00 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : 12222010_185926.txt

    al.herman
     Posté le 22/12/2010 à 19:02 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : OTL_20101222_1902.Txt

    Vrni
     Posté le 22/12/2010 à 19:08 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    al.herman,

    Oups, désolé,
    pour la dernière manip, j'ai oublié une chose.
    peux-tu recommencer avec le texte suivant ?

    :\Users\Alain\AppData\Local\assembly\*.* /s
    C:\Users\Alain\AppData\Local\networker\*.* /s

    al.herman
     Posté le 22/12/2010 à 19:18 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : OTL_20101222_1918.Txt

    al.herman
     Posté le 22/12/2010 à 19:19 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Je me suis permis d'ajouter le C début de la 1ère ligne

    Vrni
     Posté le 22/12/2010 à 20:27 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Je me suis permis d'ajouter le C début de la 1ère ligne

    pour l'erreur et pour l'humour.

    ---------------------------------------------

    1/ Bon, j'aimerais voir le contenu de 2 fichiers, user.config et __AssemblyInfo__.ini.
    Ils se trouvent en :

    C:\Users\Alain\AppData\Local\networker\Domain_2_Url_eyyeqgjj1gta0iw00blq4wjj2xfalg1x\1.0.0.0\user.config
    C:\Users\Alain\AppData\Local\assembly\dl3\CKBM1W5V.295\152LM5NR.0YC\5c8287ca\008445cb_039fcb01\__AssemblyInfo__.ini

    Le plus simple est de les zipper. cela évite de les copier/coller.

    • fais un click droit sur ces fichiers
    • Dans le menu contextuel, sélectionne l'option avec un Compresseur de données comme 7Zip, winrar
      Si tu n'en as pas, tu copieras les fichiers.

    Poste moi ensuite ces deux fichiers à l'adresse suivante : vi29XnTa@hotmail.fr

    2/ Une première analyse :

    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam.php

    • Tu l'installes. Choisis les options par défaut.
    • A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter . Accepte.

  • Après la mise à jour, le logiciel va s'ouvrir.
    • Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
    • Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. Clique sur lancer l'examen.
    • A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    • Si des infections sont trouvées, clique sur Supprimer la sélection.

    Note : Dans certains cas, le logiciel demande de redémarrer l'ordinateur pour supprimer les fichiers. Accepte.

    Tu postes le rapport dans ton prochain message .
    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs . Il y est. Clique dessus et choisir ouvrir.

    Le scan dure en moyenne 50 mn.

    A+

    al.herman
     Posté le 22/12/2010 à 22:52 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voici le rapport de MalwareBytes (rien détecté).

    Maintenant, vu mon âge, il est temps d'aller faire dodo {#}

    Publicité
    Pages : [1] 2 ... Fin
    Page 1 sur 2 [Fin]

    Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

    Vous n'avez pas de compte ? Créez-en un gratuitement !


    Sujets relatifs
    Page d'accueil orange remplacée par easysear.ch
    Page d'accueil Firefox indésirée et impossible à modifier
    Firefox page d'accueil "snapdo" indésirable
    Firefox : ma page d'accueil pas stable
    http://allssearch.com/ en page d'accueil Firefox
    Dans Firefox, page d'accueil intempestive
    changements impossibles sur page accueil firefox
    probleme avec page d'accueil lo.st sur firefox
    supprimer la page d'accueil de IE
    Page Firefox se fige.
    Plus de sujets relatifs à Page d''accueil Firefox remplacée par easysear.ch
     > Tous les forums > Forum Sécurité