Page 1 sur 2

comment-supprimer-mystart-search-d-ie [Résolu]

Posté : ven. 19 juin 2015 10:02
par Jean-Da
Bonjour,
J'ai attrapé cette saleté de mystart-search en faisant je ne sais trop quoi
Je suis équipé, au travail, du'ne machine DELL très performante. W7 / 64 pro IE11
Comment faire pour me débarrasser de cette saleté.
J'ai déjà passé Malwarebytes antimalware. Cette saleté ne figure pas dans programmes et fonctionnalités.
Merci de me dépanner simplement.
Je ne suis pas pressé, car je ne reviens pas avant lundi matin.
Bien cordialement
Jean-Da

Re: comment-supprimer-mystart-search-d-ie

Posté : ven. 19 juin 2015 11:13
par chantal11
Bonjour Jean-Da,

J'ai déplacé ta demande d'aide dans "Désinfection", cela ne change rien pour toi.

Infection par adwares/hijackers qui se sont installés avec ton consentement, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.


Nous allons commencer par établir un rapport de diagnostic pour cibler les éléments néfastes avec cet outil :

---------------------------------------------------------------------------------------------

FRST :
  • Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important

    Pour un système en 32 bits -> FRST
    Pour un système en 64 bits -> FRST64
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
    Rappel : FRST doit être enregistré sur ton Bureau <-- Important
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan Image et patiente le temps de l'analyse
  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

@+

Re: comment-supprimer-mystart-search-d-ie

Posté : ven. 19 juin 2015 17:33
par Jean-Da
Hello Chantal,
Je ne suis pas sur la machine infectée, je la retrouve à mon travail lundi à 7h30 et jusqu'à 10h (je suis un vieux soixante-huitard, retraité qui a gardé une activité bénévole dans une bibliothèque universitaire de ma ville)
Je ferai la procédure que tu m'as donnée lundi matin et te posterai les fichiers aussitôt.
Bien cordialement
Jean-Da

Re: comment-supprimer-mystart-search-d-ie

Posté : ven. 19 juin 2015 19:15
par chantal11
Re,

Pas de souci, à lundi donc et bon Week-End :D

Re: comment-supprimer-mystart-search-d-ie

Posté : ven. 19 juin 2015 19:16
par chantal11
Re,

Pas de souci, à lundi donc et bon Week-End :D

Re: comment-supprimer-mystart-search-d-ie

Posté : lun. 22 juin 2015 07:24
par Jean-Da

[L’extension txt a été désactivée et ne peut plus être affichée.]

Bonjour Chantal
Voilà, je suis sur cette machine infectée jusqu'à 10h ce matin et demain matin jusqu'à 11h45
Je te transmets donc les deux fichiers demandés:
Merci et cordialement.
Jean-Da

lien pour addition http://up.security-x.fr/file.php?h=R11f ... add3297017

lien pour frst http://up.security-x.fr/file.php?h=R96d ... bb79baf03f

Re: comment-supprimer-mystart-search-d-ie

Posté : lun. 22 juin 2015 10:15
par Jean-Da
Hello Chantal,
Je serai de retour demain mardi 23 juin à 07h15 et jusqu'à 11h45.
J'ai pu travailler normalement sur l'office: Word et Excel, mais internet se mélange les pinceaux sur IE11 et même dur Google Chrome.
Je t'ai transmis les fichiers "frst" et "addition" comme tu l'as demandé, je ne sais pas que faire maintenant.
Bien cordialement.
Jean-Da

Re: comment-supprimer-mystart-search-d-ie

Posté : lun. 22 juin 2015 10:57
par chantal11
Bonjour,


--------------------------------------------------------------------------------------------------------------

Il faut être plus vigilant sur ce qui est validé lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec. Il faut décocher les cases des sponsors.
Stop la pub !
Exemple sur l'Installation d'une application sponsorisée, les pièges à éviter !

Tu appliques les procédures dans l'ordre où elles sont présentées.

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :
  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
    start
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-1168640644-780688045-8547516-23350\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-1168640644-780688045-8547516-23350 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
    SearchScopes: HKU\S-1-5-21-1168640644-780688045-8547516-23350 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
    SearchScopes: HKU\S-1-5-21-1168640644-780688045-8547516-23350 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-1168640644-780688045-8547516-23350 -> {CC3F1F5D-0329-4C96-B873-045BB3F08D17} URL =
    SearchScopes: HKU\S-1-5-21-1168640644-780688045-8547516-23350 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL =
    BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-16] (Thinknice Co. Limited)
    FF user.js: detected! => C:\Users\perretj3\AppData\Roaming\Mozilla\Firefox\Profiles\b6lu9odz.default\user.js [2015-06-19]
    FF Extension: QuickSearch - C:\Users\perretj3\AppData\Roaming\Mozilla\Firefox\Profiles\b6lu9odz.default\Extensions\searchffv2@gmail.com [2015-06-19]
    FF Extension: Search Enginer - C:\Users\perretj3\AppData\Roaming\Mozilla\Firefox\Profiles\b6lu9odz.default\Extensions\sweetsearch@gmail.com [2015-06-19]
    FF HKLM-x32\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Users\perretj3\AppData\Roaming\Mozilla\Firefox\Profiles\b6lu9odz.default\extensions\searchffv2@gmail.com
    FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\perretj3\AppData\Roaming\Mozilla\Firefox\Profiles\b6lu9odz.default\extensions\sweetsearch@gmail.com
    FF Extension: No Name - C:\Users\perretj3\AppData\Roaming\Mozilla\Firefox\Profiles\b6lu9odz.default\extensions\ccf7276c-d388-480f-8835-5b680025e1ca@gmail.com [not found]
    CHR Extension: (No Name) - C:\Users\perretj3\AppData\Local\Google\Chrome\User Data\Default\Extensions\acklnhgjphbhhomkneonohbjnbmkclfb [2015-06-19]
    S2 WinFixRealTimeProtector; C:\Program Files\WinFix\WinFix Protector\WinFixGuard.exe [X]
    2015-06-19 07:51 - 2015-06-19 08:17 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
    2015-06-19 07:48 - 2015-06-19 07:56 - 00000000 ____D C:\Users\perretj3\SupTab
    2015-06-19 07:44 - 2015-06-19 07:44 - 00000000 ____D C:\ProgramData\8e069cc200004950
    2015-06-19 07:43 - 2015-06-22 07:10 - 00001698 _____ C:\Windows\Tasks\BYAIAMUF.job
    2015-06-19 07:43 - 2015-06-22 07:10 - 00001346 _____ C:\Windows\Tasks\GNOK.job
    2015-06-19 07:43 - 2015-06-19 08:58 - 00000000 ____D C:\Program Files (x86)\69dc8177-a574-4dff-8461-b3267b078dcf
    2015-06-19 07:43 - 2015-06-19 07:43 - 00004730 _____ C:\Windows\System32\Tasks\BYAIAMUF
    2015-06-19 07:43 - 2015-06-19 07:43 - 00004378 _____ C:\Windows\System32\Tasks\GNOK
    2015-06-19 07:42 - 2015-06-19 08:58 - 00000000 ____D C:\Program Files (x86)\globalUpdate
    2015-06-19 07:42 - 2015-06-19 07:42 - 00000000 ____D C:\Users\perretj3\AppData\Local\globalUpdate
    2015-06-19 07:40 - 2015-06-19 07:40 - 00004282 _____ C:\Windows\System32\Tasks\WinFixUpdater
    2015-06-19 07:39 - 2015-06-19 09:03 - 00000000 ____D C:\Program Files (x86)\MiuiTab
    2015-06-19 07:39 - 2015-06-19 07:41 - 00000144 _____ C:\Windows\Reimage.ini
    2015-06-19 07:39 - 2015-06-19 07:40 - 00000072 _____ C:\Windows\winfix.ini
    2015-06-19 07:39 - 2015-06-19 07:39 - 00000000 _____ C:\Windows\prleth.sys
    2015-06-19 07:39 - 2015-06-19 07:39 - 00000000 _____ C:\Windows\hgfs.sys
    2015-06-19 07:38 - 2015-06-19 07:50 - 00000346 _____ C:\Windows\Tasks\Bidaily Synchronize Task[3c32].job
    2015-06-19 07:38 - 2015-06-19 07:38 - 00003264 _____ C:\Windows\System32\Tasks\Bidaily Synchronize Task[3c32]
    2015-06-19 07:38 - 2015-06-19 07:38 - 00000000 ____D C:\ProgramData\{03f189dc-2eef-d4a5-03f1-189dc2ee2770}
    2015-03-09 23:30 - 2015-03-09 23:30 - 0005487 _____ () C:\Users\perretj3\AppData\Roaming\BYAIAMUF
    2015-01-25 18:12 - 2015-01-25 18:12 - 0002086 _____ () C:\Users\perretj3\AppData\Roaming\GNOK
    C:\Program Files\WinFix
    C:\Users\perretj3\AppData\Roaming\BYAIAMUF.exe
    C:\Users\perretj3\AppData\Roaming\GNOK.exe
    C:\Users\perretj3\AppData\Roaming\mystartsearch
    Task: {187F72E5-8FB5-4342-B313-3D1E1F4C7F88} - System32\Tasks\BYAIAMUF => C:\Users\perretj3\AppData\Roaming\BYAIAMUF.exe
    Task: {BC8D46B1-A4C4-42C1-AFD1-499E067592E7} - \WPD\SqmUpload_S-1-5-21-1880470417-4003164424-3182860430-500 No Task File
    Task: {CD1EBFB8-35D9-46B4-8B14-3DB34BA2E290} - System32\Tasks\Bidaily Synchronize Task[3c32] => c:\programdata\{03f189dc-2eef-d4a5-03f1-189dc2ee2770}\hqghumeaylnlf.exe [2014-06-19] (PC Utilities Software Limited)
    Task: {CFB2E67A-77FB-4AE0-8674-198792CEEA74} - System32\Tasks\{3F8B4945-3037-4438-A78A-6FFEB9521F9B} => pcalua.exe -a C:\Users\perretj3\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=ima
    Task: {D96FC8EB-B758-4636-B358-CCA3E4CC2D01} - System32\Tasks\GNOK => C:\Users\perretj3\AppData\Roaming\GNOK.exe
    Task: {EB8215EE-7BBE-4DF6-AE32-707853BCE053} - System32\Tasks\WinFixUpdater => C:\Program Files\WinFix\WinFix Protector\WinFixGuard.exe
    Task: C:\Windows\Tasks\Bidaily Synchronize Task[3c32].job => c:\programdata\{03f189dc-2eef-d4a5-03f1-189dc2ee2770}\hqghumeaylnlf.exe
    Task: C:\Windows\Tasks\BYAIAMUF.job => C:\Users\perretj3\AppData\Roaming\BYAIAMUF.exe
    Task: C:\Windows\Tasks\GNOK.job => C:\Users\perretj3\AppData\Roaming\GNOK.exe
    EmptyTemp:
    end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST64.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix Image et patiente le temps de la correction
  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

ZHPCleaner-Scanner :
  • Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
  • Ferme toutes les applications, y compris le navigateur
  • Double-clique sur l'icône ZHPCleaner.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
  • Clique sur le bouton Scanner
    Image
  • Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.

    Tutoriel d'utilisation ZHPCleaner en images
--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
ZHPCleaner-Scanner

@+

Re: comment-supprimer-mystart-search-d-ie

Posté : mar. 23 juin 2015 08:11
par Jean-Da
Chère chercheuse,
Quel mérite de savoir toutes ces astuces
Voilà donc les fichiers attendus:

Fixlog.txt
ZHPCleaner-Scanner

http://up.security-x.fr/file.php?h=R32a ... 9c22cc1320

http://up.security-x.fr/file.php?h=Ra3c ... 1e1a2e293a

Question: pourquoi la barre des menus ressort en anglais au lieu du français ?

Voilà, j'attende de tes nouvelles pour avoir un ordi battant neuf, merci!

Cordialement Jean-Da

Re: comment-supprimer-mystart-search-d-ie

Posté : mar. 23 juin 2015 08:47
par chantal11
Bonjour,

Question: pourquoi la barre des menus ressort en anglais au lieu du français ?
La barre de menu de quoi ?

Nous continuons le nettoyage.

--------------------------------------------------------------------------------------------------------------

ZHPCleaner-Nettoyer :
  • Ferme toutes les applications, y compris le navigateur
  • Double-clique sur l'icône ZHPCleaner.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur le bouton Scanner et patiente le temps de l'analyse, puis clique sur le bouton Nettoyer
  • L'interface de réparation s'affiche, clique sur Nettoyer. Le nettoyage se lance
    Image
  • Patiente le temps du nettoyage
  • Si un redémarrage est nécessaire pour compléter le nettoyage, clique sur OK et redémarre le système
  • Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche. Poste le rapport obtenu.

    Tutoriel d'utilisation ZHPCleaner en images
--------------------------------------------------------------------------------------------------------------

AdwCleaner - Scanner :
  • Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scanner
  • Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
  • Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).txt
Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
ZHPCleaner-Nettoyer
AdwCleaner-Scanner


@+