chedotgame.com/search Résolu

Question

Bonjour, 

Mon ordi a été contaminé à la suite du téléchargement d'un patch (visiblement un faux patch) par un virus dont je ne connais pas le nom. 

Mon IE affiche en permanence la page "chedotgame.com/search" au demarrage malgrès les reinitialisations que j'ai faites.

J'ai lancé mon antivirus (MCafee) qui a trouvé des fichiers corrompus avec mise en quarantaine et élimination. Mais j'ai peur qu'il y est encore des restes. Mon PC est serieusement ralenti depuis ce probleme.

Avez vous des conseils, une marche a suivre pour nettoyer mon PC une bonne fois pour toute?

Merci de votre aide.

Configuration: Windows / Chrome 47.0.2526.106

Malekal_morte- · Answer

Salut,

Commence par un nettoyage adwcleaner : https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start=
Donne le rapport de nettoyage dans un message

--

Velvet · Answer

Merci pour ta réponse très rapide! :)

J'ai lancé adwcleaner, scan, clean puis reboot et voici le log:

# AdwCleaner v5.026 - Logfile created 22/12/2015 at 09:28:58
# Updated 21/12/2015 by Xplode
# Database : 2015-12-21.3 [Server]
# Operating system : Windows 8.1  (x64)
# Username : velvet - VELVET
# Running from : C:\Users\velvet\Downloads\adwcleaner_5.026.exe
# Option : Cleaning
# Support : http://toolslib.net/forum

 [ Services ] *****

[-] Service Deleted : CltMngSvc
[-] Service Deleted : SPPD

 [ Folders ] *****

[#] Folder Deleted : C:\Program Files (x86)\SearchProtect
[#] Folder Deleted : C:\Users\velvet\AppData\Local\SearchProtect

 [ Files ] *****

[-] File Deleted : C:\Users\velvet\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_chedotgame.com_0.localstorage
[-] File Deleted : C:\Users\velvet\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_chedotgame.com_0.localstorage-journal
[-] File Deleted : C:\windows\apppatch\apppatch64\vcldr64.dll
[-] File Deleted : C:\windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
[-] File Deleted : C:\windows\AppPatch\Custom\Custom64\{cf2797aa-b7ec-e311-8ed9-005056c00008}.sdb
[-] File Deleted : C:\windows\AppPatch
bin\VC32Loader.dll

 [ DLLs ] *****
 [ Shortcuts ] *****
 [ Scheduled tasks ] *****
 [ Registry ] *****

[-] Key Deleted : HKLM\SOFTWARE\SearchProtect
[-] Key Deleted : HKLM\SOFTWARE\SPPDCOM
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
[-] Data Restored : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
[-] Data Restored : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
[-] Key Deleted : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\chedotgame.com

 [ Web browsers ] *****

[-] [C:\Users\velvet\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Startup_URLs] Deleted : hxxp://search.iminent.com/?appId=A6434F30-87E2-4BF0-82B4-FA6590F5B0B2
[-] [C:\Users\velvet\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Deleted : booedmolknjekdopkepjjeckmjkdpfgl
[-] [C:\Users\velvet\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Deleted : flpcjncodpafbgdpnkljologafpionhb



:: "Tracing" keys removed
:: Winsock settings cleared

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [2361 bytes] ##########

Velvet · Answer

Une petite précision: 

J'ai installé entre temps (dimanche) Chrome et en ai fait mon navigateur par défaut.
Mais l'infection est arrivé quand j'utilisais IE11. Depuis j'ai désactivé IE11 dans les paramètres Windows. Je viens de le réactiver pour voir et la page d'accueille est revenue à la normale.

Malekal_morte- · Answer

Est-ce que Search Protect n'est plus actif (icone verte/bleu) en bas à droite ? 
voir : https://www.supprimer-virus.com/search-protect/


car AdwCleaner a un peu tendance à mal le virer.
Vérifie stp.

Velvet · Answer

Search protect est toujours la, icone bleu en bas a droite

Malekal_morte- · Answer

ok, pas bon :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Velvet · Answer

FRST64.exe lancé, voici les rapports:

http://pjjoint.malekal.com/files.php?id=FRST_20151222_r12e10k10o11b5

http://pjjoint.malekal.com/files.php?id=20151222_o10z13e9c13i15

http://pjjoint.malekal.com/files.php?id=20151222_c58712p10

Malekal_morte- · Answer

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


AppInit_DLLs: C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC64LO~1.DLL => C:\Program Files (x86)\SearchProtect\SearchProtect\bin\VC64Loader.dll [247056 2015-12-02] (Client Connect LTD) 
 AppInit_DLLs-x32: C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL => C:\Program Files (x86)\SearchProtect\SearchProtect\bin\VC32Loader.dll [219920 2015-12-02] (Client Connect LTD) 
  R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3241744 2015-12-02] (Client Connect LTD)  
   R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3241744 2015-12-02] (Client Connect LTD)  
 C:\Program Files (x86)\SearchProtect
 
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

 Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
 Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
 Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

Velvet · Answer

ok c'est fait, voici le rapport (je redémarre et réinitialise en suivant):

Fix result of Farbar Recovery Scan Tool (x64) Version:20-12-2015
Ran by velvet (2015-12-22 10:32:42) Run:1
Running from C:\Users\velvet\Desktop
Loaded Profiles: velvet (Available Profiles: velvet)
Boot Mode: Normal
==============================================

fixlist content:


AppInit_DLLs: C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC64LO~1.DLL => C:\Program Files (x86)\SearchProtect\SearchProtect\bin\VC64Loader.dll [247056 2015-12-02] (Client Connect LTD) 
AppInit_DLLs-x32: C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL => C:\Program Files (x86)\SearchProtect\SearchProtect\bin\VC32Loader.dll [219920 2015-12-02] (Client Connect LTD) 
R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3241744 2015-12-02] (Client Connect LTD) 
R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3241744 2015-12-02] (Client Connect LTD) 
C:\Program Files (x86)\SearchProtect



"C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC64LO~1.DLL" => Value data removed successfully.
"C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL" => Value data removed successfully.
CltMngSvc => Unable to stop service.
CltMngSvc => service removed successfully
CltMngSvc => Unable to stop service.
CltMngSvc => service removed successfully

"C:\Program Files (x86)\SearchProtect" folder move:

Could not move "C:\Program Files (x86)\SearchProtect" => Scheduled to move on reboot.


Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 2015-12-22 10:33:50)

"C:\Program Files (x86)\SearchProtect" => Could not move
 End of Fixlog 10:33:52

Malekal_morte- · Answer

Well done !
Bonnes fêtes =)

Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Velvet · Answer

Un très grand Merci pour cette aide très précieuse et surtout très détaillée!
Je te souhaite de très bonnes fêtes également ainsi qu'à tous les gens du forum.

Je ne manquerai pas de suivre les conseils indiqués pour ne pas me faire avoir a nouveau. :)

Merci encore!

Chedotgame.com/search

11 réponses

End of Fixlog 10:33:52

Discussions similaires

Newsletters