Infection Claro Search [résolu]

Bonsoir,

Mon PC est infecté par Claro Search et je ne m'en sors pas.
Je ne suis pas super doué, ni habitué aux forums, donc il faut m'expliquer lentement

Quelqu'un pour m'aider ?

Bonsoir, commence par ceci :

Télécharger AdwCleaner (d'Xplode) sur le bureau.
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Sous XP double-clic sur le fichier d'execution.
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.
Cliquer sur Suppression
Les programmes non vitaux seront fermés et un redémarrage peut être demandé par le programme. Si c'est le cas, un message d'avertissement apparaitra et le redémarrage se fera après la fermeture du message.
Poster le rapport de suppression (enregistré sous : C:\AdwCleaner[S1].txt)

Puis : Télécharger ZHPDiag (de Nicolas Coolman)
http://telechargement.zebulon.fr/zhpdiag.html
ou directement : ftp://zebulon.fr/ZHPDiag2.exe
Double-cliquer sur ZHPDiag.exe puis suivre les étapes de l'installation.
Cocher la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquer sur "Terminer".
L'installation est terminée, 3 icônes sont créées sur le bureau.
Lancer ZHPDiag.exe (sous Vista ou 7, clic droit/exécuter en tant qu'admin, puis cliquer sur le bouton "UAC" pour relancer le programme avec tous les droits d'administrateur)

Cliquer sur le tournevis (icône "options" à droite) et cliquer sur "tous"
Choisir l'option "Lancer le diagnostic" (1ère loupe en haut a gauche).
Pour ne pas ralentir l'analyse, évite de te servir du pc pendant le scan (qui prend moins de 10 minutes sur un pc peu performant)
Sous XP¨il proposera d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Si ZHPDiag affiche une erreur, fermer le programme, et relancer un scan sans toucher au tournevis.

# AdwCleaner v2.009 - Rapport créé le 29/11/2012 à 10:30:30
# Mis à jour le 24/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : PPN Vin - PPNVIN-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\PPN Vin\Downloads\adwcleaner (1).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\PPN Vin\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.10] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://www.claro-search.com/?affI[...]
Supprimée [l.36] : icon_url = "hxxp://www.claro-search.com/favicon.ico",
Supprimée [l.39] : keyword = "claro-search.com",
Supprimée [l.42] : search_url = "hxxp://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4812_4&babsrc=SP_c[...]
Supprimée [l.407] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://www.claro-search.com/?affID=1[...]

*************************

AdwCleaner[R1].txt - [3353 octets] - [29/11/2012 09:48:50]
AdwCleaner[S1].txt - [3062 octets] - [29/11/2012 09:50:46]
AdwCleaner[S2].txt - [1341 octets] - [29/11/2012 10:30:30]

########## EOF - C:\AdwCleaner[S2].txt - [1401 octets] ##########

heberge le rapport zhpdiag et poste le lien pour voir si il reste des traces de claro.

a première vue il n'y as plus de traces, claro est toujours présent?

Tu as planifié un scan avec ton antivirus apparemment, c'est le cas?

J'ai essayé diverses solutions d'anti-virus dans la journée, puis j'ai tout désinstallé et suis revenu au MCAffee d'origine. Je n'ai donc rien planifié. Je n'ai plus Claro comme Toolbar mais dès que je tape dans la barre d'adresse ça revient

dans quel navigateur exactement?
tu peux faire une capture et l'héberger que je vois exactement de quoi il s'agit?

J'essaie. Juste le temps de me rappeler comment faire

Tu as une touche print ou impr sur ton clavier pour copier l'ecran, il te suffit ensuite d'ouvrir paint, et de coller l'image (clic droit/coller), l'enregistrer et l'heberger sur cjoint, imageshack, hiboox ou autre.

Je ne trouve pas. J'ai un icone qui ressemble à 1 appareil photo mais je ne sais pas comment l'activer : Portable ASUS tout neuf

Le lien qui s'affiche dès que je tape quelque chose

http://www.claro-search.com/?q=google.fr&s=web&as=3&rlz=0&babsrc=SP_clro

ok, c'est avec quel navigateur?

Chrome

Telecharge Ad-Remover sur le bureau :
http://general-changelog-team.fr/fr/downloads/finish/14-outils-de-c-xx/5-ad-remover
Lance le (sur vista et windows 7, clic droit/executer en tant qu'admin)
clique sur Nettoyer et laisse le travailler
Poste le rapport qui apparaitra.

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:19:48 le 30/11/2012, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
PPN Vin@PPNVIN-PC (ASUSTeK COMPUTER INC. X75VD)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - "McAfee SiteAdvisor Toolbar" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)
HKLM_Toolbar|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{1FCCD250-A453-4348-86C1-E5EA9B76FADB} - C:\Program Files (x86)\McAfee\VirusScan\mcvsmap.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{A8F94DF3-F6C6-422a-8BFC-7EE0F60A8609} - C:\Program Files (x86)\McAfee\VirusScan\mcvsshld.exe (x)
HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files (x86)\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC5F} - c:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe (McAfee, Inc.)
HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC6F} - c:\Program Files (x86)\McAfee\SiteAdvisor\saUI.exe (McAfee, Inc.)
BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120223185159.dll)
BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} - "McAfee SiteAdvisor BHO" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/11/2012 00:20:03 (3388 Octet(s))

Fin à: 00:21:20, 30/11/2012

============== E.O.F ==============

Toujours présent j'imagine?

OUI

Rends toi sur www.virustotal.com
Clic surChoose filee et selectionne ce fichier si tu peux : C:\Users\PPN Vin\AppData\Roaming\sp_data.sys
Clic sur scan it et donne moi le lien de la page d'analyse

Lance ZHPFix (tu as le raccourci sur le bureau logiquement)
sur vista et windows 7, clic droit/executer en tant qu'admin
copie les lignes de ce fichier : http://cjoint.com/data3/3KEaQjXLxgA_fix.txt
clic sur la 2e icone a gauche dans zhpfix (coller le presse papier)
Clic sur GO
Le programme va fermer les processus inutiles et nettoyer
si onj te propose de redémarrer, accepte
A la fin du nettoyage un rapport apparaitra, heberge le et poste le lien
dis moi aussi si chrome est encore pollué

E-LINE.COM ca te dis quelque chose?

Sur le rapport on voit :
Unselected Option: O45,O61,O62,O65,O66,O80,O82,O89

Je t'avais demandé de cocher toutes les options pour avoir un rapport plus complet, si claro est encore présent, refait un rapport en cochant bien toutes les options (avec le tournevis)

Pas de Appdata dans PPNvin

c'est un dossier caché, il faut afficher les fichiers cachés dans le panneau de configuration, mais pour le moment laisse on verra demain.

PAsse zhpfix pour nettoyer les reglages de chrome

OK merci. Bonne nuit

bonne nuit a toi aussi.
Je te donnerai la suite demain si zhpfix ne supprime pas claro (les dernières versions sont décidément coriaces ^^)

Rapport zhpfix : http://cjoint.com/?0KEbb5DR4Ss

Toujours infecté