VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar DGFE » 02 Aoû 2011 09:12

Bonjour,

Je pense que mon ordinateur a un virus.
Au début, mon moteur de recherche est devenu search-web. puis ensuite, le site chat-land est venu remplacer de façon systématique mon navigateur internet.
Un ami informaticien est intervenu, mais il n'est pas arrivé à tout enlever puisque maintenant c'est la fenêtre "I Info a détecté un changement de vos paramètres de navigateur" qui s'affiche. Il m'a dit que si je cliquais sur cette fenêtre j'allais réinstaller chat-land comme navigateur par défaut.
J'ai lu les posts sur la façon de supprimer cette icône mais comme vous dites que chaque cas est différent, pourriez-vous m'assister dans l'analyse de mon poste (je me débrouille en info mais ne suis pas un expert......).
C'est vrai que ce problème n'empêche pas l'ordi de fonctionner mais c'est très énervant...
Par avance merci pour votre aide et très bonne journée à vous.
DGFE

Messages: 1
Inscription: 02 Aoû 2011 7:56 am
Message privéEnvoyer un e-mail à DGFEHaut
--------------------------------------------------------------------------------
DGFE
 
Messages: 6
Inscription: 02 Aoû 2011 07:56

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar nardino » 02 Aoû 2011 11:40

Bonjour,
Deux outils à passer dans l'immédiat.
ImageTélécharge AD-Remover sur ton bureau.

Image Double clique sur AD-R.exe
Clique sur le bouton Nettoyer.
Image Poste le rapport qui va s'ouvrir en fin de scan.
Le rapport est sauvegardé sous C:\Ad-report-SCAN[1].txt
Ferme le programme par Quitter.

Image Télécharge et installe Malwarebytes Anti-Malware

Image Double-clique sur le fichier mbam-setup-1.50.1.exe
(Sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
    -Mettre à jour Malwarebytes' Anti-Malware
    -Exécuter Malwarebytes' Anti-Malware
Image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Image Exécuter un examen rapide, clique sur le bouton Image

Image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

Et pour terminer un rapport à poster, établi avec cet outil.

Image Télécharge ZHPDiag de Nicolas Coolman sur ton bureau, à partir du lien suivant

Image Décompresse le fichier téléchargé et lance l'icône ZHPDiag
Image Dans l'interface clique sur la loupe en haut dans la barre d'outil.
Laisse faire le scan jusqu'à ce que la barre de progression soit à 100%. Tu fermes ZHPDiag.
Un fichier ZHPDiag.txt sera enregistré sur le bureau, tu l'héberges sur Cjoint
Image Tu me communiques le lien obtenu dans ta réponse.

Deux tutos si nécessaire.
ZHPDiag
Cjoint
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar DGFE » 02 Aoû 2011 13:27

Bonjour nardino,
Et merci d'avoir bien voulu m'aider.
Voici ce que tu m'as demandé :
- rapport AD

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:40:59 le 02/08/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
ferrerod@FERRERO-D ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.3 (fr)] ****


-- C:\Documents and Settings\ferrerod\Application Data\Mozilla\FireFox\Profiles\evhuwgny.default --
Prefs.js - keyword.URL, hxxp://search-web.net/results.php?cx=pa ... BT%3A000...
Prefs.js - browser.startup.homepage, hxxp://www.search-web.net/

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{4866F811-A1C3-41B6-9D95-43D293F21CC9} - C:\Program Files\Citrix\ICA Client\pnagent.exe (Citrix Systems, Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/08/2011 13:41:09 (1776 Octet(s))

Fin à: 13:41:43, 02/08/2011

============== E.O.F ==============


- rapport mbam :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7354

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/08/2011 14:18:15
mbam-log-2011-08-02 (14-18-15).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 203092
Temps écoulé: 11 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)


Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et le lien :


http://cjoint.com/?3HcoyvtrCZl

Merci encore mille fois
Damien
DGFE
 
Messages: 6
Inscription: 02 Aoû 2011 07:56

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar nardino » 02 Aoû 2011 17:22

Bonjour,
Relance Ad-Remover par le bouton Nettoyer.
Je n'irai pas plus loin car ta version de Windows n'est pas légale.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar nardino » 03 Aoû 2011 12:57

Bonjour,
Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.
Copie-colle les lignes suivantes dans le grand cadre.

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec search-web]
C:\Documents and Settings\ferrerod\scriptjava.html
C:\WINDOWS\System32\prncnfgd


Clique sur le bouton Nettoyer .
Poste le rapport obtenu.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar DGFE » 03 Aoû 2011 16:55

Re-

Voici le rapport obtenu :


Rapport de ZHPFix 1.12.3344 par Nicolas Coolman, Update du 21/07/2011
Fichier d'export Registre :
Run by ferrerod at 03/08/2011 17:52:50
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec search-web

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\ferrerod\scriptjava.html
SUPPRIME File: C:\WINDOWS\System32\prncnfgd


========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPFix\ZHPFixReport.txt



End of the scan in 00mn 01s


@ +
DGFE
 
Messages: 6
Inscription: 02 Aoû 2011 07:56

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar nardino » 03 Aoû 2011 22:42

Bonsoir,
Dernière phase, le nettoyage des outils.
** Suppression de Ad-Remover**
Lance-le et clique sur le bouton Désinstaller
**Suppression de ZHPDiag**
Explication en image http://rue-du-montceau.pagesperso-orang ... iag_3.html
** Nettoyage quarantaine de MalwaresBytes**
Tu vas dans l'onglet quarantaine et tu vides celle-ci de tout son contenu.
**Nettoyage des fichiers temporaires**
Télécharge ATFCleaner de Atribune
http://www.atribune.org/ccount/click.php?id=1
Il ne nécessite pas d'installation.
Clique sur le fichier ATF-Cleaner.exe
Dans Main clique sur Select All et décoche Prefetch
Clique sur Empty Selected
Puis sur OK sur le popup suivant qui t'annonce ce qui a été supprimé.
Tu peux renouveler pour Firefox, Opéra si tu utilises ces navigateurs.
Après Select All il te sera demandé si tu veux supprimer les mots de passes enregistrés.
"Are you sure you want to delete Firefox (ou Opéra) saved password?"
A toi d'en décider en cliquant sur Oui ou Non.
**Création d'un point sain de restauration système**
Désactive la restauration système comme indiqué ici : http://forum.pcastuces.com/desactiver_l ... -f31s7.htm
Réactive-la pour recréer automatiquement un point sain de toute infection.
**Fermeture du sujet**
Tu peux éditer le titre de ta question de base et y ajouter [résolu].

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar DGFE » 04 Aoû 2011 10:12

Merci ! J'ai suivi tes conseils à le lettre, par contre je ne peux pas réaliser la dernière étape [création d'un point sain de restauration système] car, pour Windows XP, ton tutoriel n'affiche pas les images donc je ne sais pas sur quoi cliquer !
DGFE
 
Messages: 6
Inscription: 02 Aoû 2011 07:56

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar nardino » 04 Aoû 2011 13:27

Bonjour
Clic droit sur le poste de travail et sur Propriétés.
Ouvre l'onglet Restauration système, coche la case "Désactiver la Restauration du système", valide par Appliquer.
Confirme par oui dans le message qui s'ouvre.
Redécoche la case et valide par Appliquer
Dans Etat tu dois lire au moins (C:) Surveillance.
Et voilà le tour est joué.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

[RESOLU] VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar DGFE » 04 Aoû 2011 15:13

Merci beaucoup nardino.
Tu m'as été d'une aide précieuse.
C'est bien que ce genre d'entraide existe.

Bonne continuation

@ +
DGFE
 
Messages: 6
Inscription: 02 Aoû 2011 07:56

Re: VIRUS CHAT-LAND, SEARCH-NET ET carré bleu I Infos

Messagepar nardino » 05 Aoû 2011 10:30

Bonjour
Edite le message initial et ajoute [resolu] au titre.
Merci
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités