> Tous les forums > Forum Sécurité
 SafeFinder difficile à enleverSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
yoshyosh444
  Posté le 25/10/2014 @ 09:57 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

Depuis le téléchargement d'un logiciel douteux (plus jamais ! ), je me suis attrapé plein d'adwares et autres cochonneries !

Après un coup d'ADWCleaner et un passage de MalwareBytes, la plupart des cochonneries sont parties, mais il reste SafeFinder sur Mozilla Firefox (qui se met et remet en page d'accueil) !

Et il est toujours là après la réinitialisation de Firefox !

Si quelqu'un savait comment faire partir cet adware, merci d'avance !

Publicité
poussebois
 Posté le 25/10/2014 à 10:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour ,

Si tu penses que ton PC est infecté :

  1. Tu lis attentivement l’aide au diagnostic d’un PC infecté (en rouge, en bas dans ma signature).
  2. Tu suis scrupuleusement les indications indiquées, à savoir postes dans l’ordre les 3 rapports demandés : MBAM, AdwCleaner, ZHPDiag.
  3. Tu attends qu’un membre du Groupe Sécurité te prenne en charge.

@ +

philbz
 Posté le 25/10/2014 à 10:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

As-tu essayé en allant sur la gestion des moteurs de recherche ?

La c'est "Bing" dans mon exemple, tu dois avoir SafeFinder dans la liste, mets là en surbrillance et supprime

yoshyosh444
 Posté le 25/10/2014 à 10:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci à poussebois et philbz,

Je suis en train de faire les rapports .

Et pour les moteurs de recherche, i n'y a pas SafeFinder ! :

A tout de suite !

Pierre95
 Posté le 25/10/2014 à 11:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Eh oui Phillbz, les Malwares sont suffisament malins pour qu'on les supprime pas aussi facilement !!!

philbz
 Posté le 25/10/2014 à 11:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Je te dispense de tes commentaires douteux

j'ai fait partie de l'équipe sécurité suffisamment longtemps pour savoir qu'on doit commencer par les solutions les plus simples avant d'entamer une procédure de désinfection qui peut être longue et parfois hasardeuse

yoshyosh444
 Posté le 25/10/2014 à 11:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

En commençant par le scan MBAM, un message d'erreur apparaît :

Je venais juste de réinstaller MalwareBytes avec l'outil MalwareBytes Removal Tool, car j'avais le même message d'erreur !

Puis j'aperçois un autre message d'erreur avant que l'ordinateur ne redémarre subitement, pour qu'ensuite il commence l'analyse après le démarrage de l'ordi !

Pierre95
 Posté le 25/10/2014 à 11:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Phillbizz

Excuses moi, mon intention n'était pas de te te blesser

Bon weekend

Pierre95

yoshyosh444
 Posté le 25/10/2014 à 11:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Scan MBAM.txt

Publicité
yoshyosh444
 Posté le 25/10/2014 à 12:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Pierre95
 Posté le 25/10/2014 à 12:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

---\\ Enumère les fichiers Crack & Keygen (CKF) (O82)

C:\Program Files (x86)\FDRLab\Turbo Zip Cracker\TurboZipCracker.exe =>.Crack,Keygen

C:\Program Files (x86)\FDRLab\Turbo Zip Cracker\unins000.dat =>.Crack,Keygen

C:\Program Files (x86)\FDRLab\Turbo Zip Cracker\unins000.exe =>.Crack,Keygen

C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_keygenjukebox.com_0.localstorage =>.Crack,Keygen

C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_keygenjukebox.com_0.localstorage-journal =>.Crack,Keygen

C:\Users\Pierre\Desktop\Fichiers en bazar\Tonec.Inc.Internet.Download.Manager.v6.15.Retail.Multilingual.Incl.Keygen.and.Patch-BRD\idman615f.exe =>.Crack,Keygen

C:\Program Files (x86)\FDRLab\Turbo Zip Cracker\TurboZipCracker.exe =>.Crack,Keygen

C:\Program Files (x86)\FDRLab\Turbo Zip Cracker\unins000.dat =>.Crack,Keygen

C:\Program Files (x86)\FDRLab\Turbo Zip Cracker\unins000.exe =>.Crack,Keygen

C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_keygenjukebox.com_0.localstorage =>.Crack,Keygen

C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_keygenjukebox.com_0.localstorage-journal =>.Crack,Keygen

C:\Users\Pierre\Desktop\Fichiers en bazar\Tonec.Inc.Internet.Download.Manager.v6.15.Retail.Multilingual.Incl.Keygen.and.Patch-BRD\idman615f.exe =>.Crack,Keygen

~ Files: Scanned in 02mn 41s

Les cracks et Keygens ne sont pas les bienvenus car vecteurs d'infections.

Les helpers s' interdisent de faire des désinfections sur des PC contenant des programmes crackés.

De la lecture et de la vidéo:

http://forum.malekal.com/danger-des-cracks-keygen-t893.html

http://www.sansdanger.com/videos/le-danger-des-cracks-exemple-avec-le-trojan-bagle-3993

Si tu veux qu'un membre du Groupe Sécurité puisse te prendre en charge, tu dois supprimer tes cracks, et refaire en dernier une analyse ZHPDiag et nous le poster.

Dans l'attente

Pierre95



Modifié par Pierre95 le 25/10/2014 12:43
yoshyosh444
 Posté le 25/10/2014 à 12:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[S6].txt

yoshyosh444
 Posté le 25/10/2014 à 12:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je pensais les avoirs supprimés !

Je le fais de ce pas !

yoshyosh444
 Posté le 25/10/2014 à 12:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

C'est fait !

Mais j'ai juste supprimé les fichiers aux endroits indiqués dans le rapport .



Modifié par yoshyosh444 le 25/10/2014 12:59
yoshyosh444
 Posté le 27/10/2014 à 18:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Pierre95
 Posté le 27/10/2014 à 18:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Yoshyosh44,

Malgré les suppressions effectuées par ADWcleaner et MBAM, le rapport ZHPDiag, indique qu'il reste des traces d'infection.

---\\ Récapitulatif des détections trouvées sur votre station

http://nicolascoolman.fr/hijacker-smartbar =>Hijacker.SmartBar

http://nicolascoolman.fr/adware-imbooster =>Adware.IMBooster

http://nicolascoolman.fr/33962622-toolbar-lastpass =>Toolbar.LastPass

http://nicolascoolman.fr/33161900-adware-simplefiles =>Adware.SimpleFiles

http://nicolascoolman.fr/pup-tarma =>PUP.Tarma

http://nicolascoolman.fr/adware-incredibar =>Adware.IncrediBar

http://nicolascoolman.fr/pup-greenerweb =>PUP.GreenerWeb

http://nicolascoolman.fr/pup-infotrigger =>PUP.InfoTrigger

http://nicolascoolman.fr/pup-mutiplug =>PUP.Multiplug

~ MSI: 9 link(s) detected in 00mn 00s

Mon travail s'arrête là, seul un membre du Groupe Sécurité est habilité sur ce forum à continuer la désinfection.

Dès qu’il sera disponible, il viendra te donner les prochaines instructions.

Je te souhaites une bonne fin de désinfection.

Pierre95

Pierre95
 Posté le 28/10/2014 à 15:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

up

Publicité
MacPeter
 Posté le 28/10/2014 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Yoshyosh444

Pierre95

Je reviens avec la marche à suivre pour la suite.

MacPeter
 Posté le 29/10/2014 à 04:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re:

Voici la suite:

Lance ZHPFix par l'icône sur le bureau

image


Elle a été créée lors de l'installation de ZHPDiag.

image Clique sur Importer dans la fenêtre de l'outil et sur OK dans le message suivant

image*******image

image Tu copies le script suivant (dans l'encadré Code ci-dessous)

Code
Script ZHPFix
M2 - MFEP: prefs.js [Pierre - zqarz926.default\{c4d52825-bf32-f46f-8d0e-87625f6661b8}] [] SafeFinder Smartbar v3.1.54 (..)
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.iminent.com
O4 - GS\Program [Pierre]: Search.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://feed.safefinder.com
O4 - GS\Desktop [Pierre]: Search.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://feed.safefinder.com
[MD5.00000000000000000000000000000000] [APT] [Ouverture d'utorrent] (...) -- C:\Users\Pierre\AppData\Roaming\uTorrent\uTorrent.exe (.not file.) [0]
[HKCU\Software\SimpleFiles]
O43 - CFD: 19/06/2014 - 12:04:38 - [] ----D C:\ProgramData\InstallMate
O45 - LFCP:[MD5.E5E7B94066B465AA49DE3F42730433C0] - 02/09/2014 - 19:55:05 ---A- - C:\Windows\Prefetch\UTORRENT.EXE-40D259D0.pf
O45 - LFCP:[MD5.C20573D1C39AE944E76BCC0CBFF99696] - 25/10/2014 - 09:32:02 ---A- - C:\Windows\Prefetch\UTORRENT.EXE-58858566.pf
[MD5.E891DE918A54A615DF677DDA5AC93AD5] [WIS][27/08/2014] (.LPT - LPT System Updater Service.) -- C:\Windows\Installer\44643cb.msi [2138112]
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateGreenerWeb_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateGreenerWeb_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateInfoTrigger2_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateInfoTrigger2_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilGreenerWeb_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilGreenerWeb_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilInfoTrigger2_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilInfoTrigger2_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\uTorrent_RASAPI32
[HKCR\CLSID\{BBB4660F-4C1D-1DD8-04B2-697A590360E0}] (YoutubeAdblocker)
EmptyFlash
EmptyTemp
EmptyCLSID



image Tu le colles dans la fenêtre de ZHPFix comme ci-dessous, sans ligne vide au début, tu cliques sur GO pour le lancer.

image

Confirme la suppression par Oui dans l'avertissement qui s'affiche

image

Le résultat va s'afficher dans la fenêtre de l'outil et un rapport va s'ouvrir avec le bloc-notes.

image Tu envoies un copier-coller du rapport dans ta réponse, il est enregistré sur le bureau.

image

________________

Il va falloir aussi réinitialiser tous tes navigateurs->Google Chrome etc...

yoshyosh444
 Posté le 29/10/2014 à 11:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour MacPeter et merci de me prendre en charge,

Je t'envoie le le rapport !

yoshyosh444
 Posté le 29/10/2014 à 11:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport de ZHPFix 2014.10.24.11 par Nicolas Coolman, Update du 24/10/2014
Fichier d'export Registre :
Run by papamaman at 29/10/2014 11:46:35
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (9600)

Corbeille vidée (00mn 05s)

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateGreenerWeb_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateGreenerWeb_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateInfoTrigger2_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateInfoTrigger2_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilGreenerWeb_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilGreenerWeb_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilInfoTrigger2_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilInfoTrigger2_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\uTorrent_RASAPI32
SUPPRIMÉ:* HKCR\CLSID\{BBB4660F-4C1D-1DD8-04B2-697A590360E0}

========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R0 - Main,Start Page = KCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ: c:\windows\prefetch\utorrent.exe-40d259d0.pf
SUPPRIMÉS Flash Cookies (0) (0 octets)
SUPPRIMÉS Temporaires Windows (0) (0 octets)

========== Tache planifiée ==========
SUPPRIMÉ: Ouverture d'utorrent


========== Récapitulatif ==========
10 : Clés du Registre
1 : Eléments de donnée du Registre
1 : Dossiers
3 : Fichiers
1 : Tache planifiée


End of clean in 00mn 58s

========== Chemin de fichier rapport ==========
C:\Users\papamaman\AppData\Roaming\ZHP\ZHPFix[R1].txt - 29/10/2014 11:46:41 [1799]



Modifié par yoshyosh444 le 29/10/2014 11:49
yoshyosh444
 Posté le 29/10/2014 à 13:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Les navigateurs ont étés réinitialisés !

MacPeter
 Posté le 29/10/2014 à 17:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

OK.

Comment se comporte l'ordi maintenant?

yoshyosh444
 Posté le 29/10/2014 à 17:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

SafeFinder est toujours là !

MacPeter
 Posté le 30/10/2014 à 04:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

OK.

On va le supprimer avec la marche à suivre que je vais te donner. Je reviens.

MacPeter
 Posté le 30/10/2014 à 18:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Yoshyosh444,

Voici donc la suite:

__________________________________________________

Internet Explorer :

  • Lancer le navigateur et appuyer simultanément sur Alt + U.
  • Choisir Options Internet.
  • Cliquer sur l’onglet Général et supprimer/remplacer la Page d’accueil. Cliquer sur OK.
  • Appuyer de nouveau sur les touches Alt + U, puis choisissez Gérer les modules complémentaires.
  • Cliquer sur Fournisseurs de recherche dans le menu sur la gauche, sélectionner le moteur indésirable s'il est toujours là et cliquez sur Supprimer.

Mozilla Firefox :

  • Lancer le navigateur et appuyez en même temps sur les touches Alt + O.
  • Sélectionnez Options puis allez dans l’onglet Général et modifier la Page d’accueil. Cliquer sur OK.
  • Cliquez sur le menu déroulant en haut à droite de votre navigateur, à gauche de la zone de recherche.
  • Sélectionner Gérer les moteurs de recherche.
  • S'il est toujours présent dans la liste, sélectionner le fournisseur de recherche indésirable et cliquer sur Supprimer puis sur OK.

Google Chrome :

  • Lancer le navigateur puis cliquer sur le bouton Paramètres de Chrome en haut à droite de Chrome.
  • Aller dans la rubrique Au démarrage, et cocher Ouvrir une page spécifique ou un ensemble de pages, et cliquer sur Ensemble de pages.
  • Supprimer/remplacer l’URL qui pose problème et cliquer sur OK.
  • Dans la section Recherche, il faut que le moteur de recherche habituel soit bien selectionné, si ce n'est pas le cas cliquer sur Gérer les moteurs de recherche.
  • Effacer les moteurs de recherche encore présents qui paraissent suspects en cliquant sur X de chacun d'entre eux.
  • Appuyer sur Utiliser par défaut sur le moteur de recherche habituel.

_________________________________________________

On va continuer en fonction des résultats...

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
virus difficile à enlever
programme difficile à enlever
que dois je enlever?
Comment enlever Pub.optional.crossRider.a
publicités impossibles a enlever
PC Portable lent, démarrage difficile et écran qui "saute"
Mozilla Forefox : Comment enlever "search.certified-toolbar.com" ?
omiga-plus impossible à enlever
enlever l'ouverture de site
connection web difficile + firefox très long à démarrer
Plus de sujets relatifs à SafeFinder difficile à enlever
 > Tous les forums > Forum Sécurité