Virus et Spyware MyWebSearch [Résolu]

[delphistp]

Bonjour à tous...

Apparemment, je ne suis pas le seul infecté du net...

Je viens de suivre les conseils de votre site et ai récupérer le résultat d'un scan HijackThis... que voici

Logfile of HijackThis v1.99.1
EDIT MODO : Pas de rapport directement sur le forum !
Merci de regarder ce post-it.

Angeldark

Quelqu'un pourrait-il m'aider SVP?

J'ai l'impression de m'être mis dans un sacré pétrain...

Merci d'avance et à bientôt...

[Jet Li]

Bonjour, fais ceci dans l'ordre :

1/ Télécharge et installe :

CCleaner
AVG Antispyware (pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").
Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. )

2/ Affiche tous les dossiers cachés

3/ Refais un scan hijackthis, coches ces lignes, puis clique sur Fix Checked :

[delphistp]

Rebonjour,

Merci pour ton aide Jet Li,

J'ai été un peu long à répondre mais l'ordi à quasiment tourné toute la nuit pour pouvoir rédiger cette réponse...

Voici donc l'ensemble des scans demandés ainsi qu'un HijackThis au cas où :

Scan AVG en mode sans échec : http://cjoint.com/?blk32OHLUP

Scan panda : http://cjoint.com/?blk6uMRjly

Scan Kaspersky : http://cjoint.com/?blk64HrxJF

et enfin en cas de nécessité avec hijackThis :
http://cjoint.com/?bllcDzAfds

Ce fut long mais satisfaisant et instructif...

J'espère que cela pourra nous aider.

A plus tard,

delphistp

[Jet Li]

A présent fais ceci :

1/ Télécharge et installe :

Spybot-Search & Destroy

2/ Vas dans démarrer/Executer et tape regedit

Navigue et supprime les 2 clées en gras ( ne supprime rien d'autre !!! ):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}

3/ Dans ajout/suppr de programmes, désinstalle si tu trouves :

MyWebSearch
New.Net ou NewDoNet
ClamWin

4/ Supprime les dossiers si tu trouves :

C:/Programmes Files/MyWebSearch
C:/Programmes Files/NewDoNet
C:/Program Files/ClamWin

Vide ta corbeille si necessaire

5/ Désactive ta restauration du système

6/ Redémarre en mode sans échec

[delphistp]

Bonsoir à tous,
Bonsoir Jet-li,

Je lis actuellement ton message mais ne trouve pas mywebsearch ni newdonet sauf dans les fichiers zip de spybotsearch and destroy...

Que dois-je faire?

Je poursuis quand même la procédure que tu m'as donnée mais pour le reste?

Bonne soirée à tous et merci à toi, Jet li, de me consacrer un peu de ton temps.

Delphistp

P.S. : Je suis là toute la soirée

[Jet Li]

Ok, c'était juste pour vérifier que je t'ai demandé de chercher mywebsearch et newdonet.

Pour Spybot, tu supprimes ces fichiers en quarantaines, et tu continues la procédure
_________________
Jet Li

[delphistp]

Re...

Je reviens du scan Spybot en mode sans échec et il ne trouve rien... Je n'avais cependant pas fait la mise à jour...

Est-ce grave?

Je viens donc de la faire...

Je continue?

[Jet Li]

Oui, fais la mise a jour, et refais le scan ( lis bien tout ce que je t'écris )
_________________
Jet Li

[delphistp]

Re...

Voici comme tu me l'as demandé le résultat des scan Panda, Kaspersky, Spybot (mis à jour) et HitjackThis.org...

C'est de pire en pire

Mais bon, il y a de l'amélioration... quand même oui...

Scan Panda : http://cjoint.com/?blx2u2QUWH

Scan Kaspersky : http://cjoint.com/?blx27mNxOi

Scan Spybot : R.A.S. (Rien à signaler)

Scan HitjackThis : http://cjoint.com/?blx3u1iulm

Voilà, Je te souhaite une bonne soirée et nuit si nous ne nous lisons plus aujoud'hui... et toujours merci pour ton aide

A plus,

delphis

[Jet Li]

C'est déja mieu

Télécharge RegSrch.zip (Registry Search de Bill James) ->
Dézippe le sur le bureau et double-clique sur regsrch.vbs
(si tu as une protection, enlève la s'il te plaît)
Dans la boîte de dialogue qui s'ouvre, entre :


Clique sur 'OK'
Tu recevras un message disant que la recherche est terminée, clique sur 'OK'
Enregistre le contenu de la fenêtre Wordpad sur le disque et poste le rapport.


Supprime cette clée en gras dans regedit :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44cf-8957-5838F569A31D}

Refais un scan pandaet poste le rapport ici.
_________________
Jet Li

[delphistp]

Oui, pas mal... C'est fait pour la clé... en ayant désactivé la restauration système...

Par contre, ce que je dois taper dans RegSrch.vbs n'est pas lisible dans ton message... Pourrais-tu le réécrire S.T.P.?

[Jet Li]

Oups désolé

Télécharge RegSrch.zip (Registry Search de Bill James) ->
Dézippe le sur le bureau et double-clique sur regsrch.vbs
(si tu as une protection, enlève la s'il te plaît)
Dans la boîte de dialogue qui s'ouvre, entre :

( les clés que tu recherches )

Clique sur 'OK'
Tu recevras un message disant que la recherche est terminée, clique sur 'OK'
Enregistre le contenu de la fenêtre Wordpad sur le disque et poste le rapport.
_________________
Jet Li

[delphistp]

Bonjour Jet-li,

Message bien reçu et pas de problème sur l'illisibilité...

Les clés à rechercher concernent pywebsearch et newdo.net?

Si c'est cela, je n'ai pas les clé... Si c'est le nom, je recherche tout de suite...

J'ai une nouvelle clé infectée depuis hier suite à un scan Panda... Je la supprimerai ensuite...

Mais rassure-moi, c'est pas trop grave?

A tout de suite,

delphis

[Sév]

Bonjour à tous les deux,

Perso je te conseille d'essayer de virer tout ça avec KazaaBegone avant de t'aventurer avec le registre.

@+
_________________

[delphistp]

Re...

Voici les liens que tu m'as demandés...

Panda scan : http://cjoint.com/?bnmUaUoEFA

RegSrch. : http://cjoint.com/?bnmTIoIpni

Est-je bien procédé avec RegScrh? J'ai fait une recherche avec Mywebsearch (le nom) qui fut fructueuse et une avec newdonet (et son nom) qui n'a rien donnée...

A plus tard...

delphis