malware tibsearch.comRésolu/Fermé

Question

Bonjour,

Depuis hier, mon ordinateur est infecté par ce malware : tibsearch.com qui (malgré Adblock Plus, installé sur Firefox) ouvre des fenêtres de pub intempestives et surtout, surligne plein de mots sur les textes qui ouvre une fenêtre au passage de la souris.

En faisant une recherche Google pour tenter de supprimer ce malware, je ne trouve que des sites marchands, pour la plupart en anglais, essayant de me faire installer un programme payant nommé SpyHunter.

J'ai passé CCleaner sans succès.

J'ajoute que je suis une utilisatrice assidue d'internet mais nulle en informatique ; il faut expliquer avec des mots de tt les jours et en détaillant bien les étapes ^-^

Si quelqu'un peut m'aider, je le remercie par avance.

juju666 · Answer

Salut,

&#9654 Télécharge ici (lien direct): AdwCleaner (de Xplode)

&#9654 Lance-le

&#9654 Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre.

~~

&#9654 Télécharge ici : Junkware Removal Tool

 !!! Ne clique pas sur Download !!! , attends simplement que la fenetre de telechargement arrive pour confirmation

&#9654 Enregistre ce fichier sur le bureau.

&#9654 Ferme tout tes navigateurs 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.
Sous Vista/7/8, clic droit et Exécuter en temps qu'administrateur.
    
&#9654 NB: Le bureau disparaitra un instant, c'est normal.
    
&#9654 Laisse le programme travailler ne touche plus à rien
    
&#9654 Poste le rapport généré à la fin de l'analyse. 

Tuto : http://hackinginterdit.blogspot.fr/2013/02/junkware-removal-tool.html

~~

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée. 

A+

bill24 · Answer

Bonjour,
Telecharges MalwareByte Antimalware(gratuit) : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Puis AdwCleaner(gratuit egalement) : https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/

Anamorphose75 · Answer

Merci de vos réponses super rapides, mais je fais quoi ?
La seconde solution semble plus rapide :)

juju666 · Answer

Bah ... la mienne est plus détaillée mais ce sont les 2 mêmes outils :p

Et JRT prend 10 secondes supplémentaires mais il supprime ce que adwcleaner et mbam loupent

Anamorphose75 · Answer

ok, je vais suivre tes instructions juju, mais seulement cet après midi car je dois m'absenter ; sera-tu là cet après midi ?

juju666 · Answer

En principe oui :)

Anamorphose75 · Answer

Re.
Julient, es-tu là ? (ou alors une autre personne qui saurait me répondre) 

J'ai effectué la première partie de ce que vous m'avez demandé de faire (télécharger AdwCleaner + nettoyer) l'ordinateur s'est éteint et se rallume avec un dossier Bloc-notes de AdwCleaner : je suppose que c'est le rapport.
Vous me demander de poster ce rapport : mais où ?
Ici ?
Sur un autre lien ?

Anamorphose75 · Answer

PS : en tout cas, j'ai vérifié ; le problème perdure...

bill24 · Answer

les malwares ont bien été supprimés? 
si oui,pas besoin de poster le rapport a la vue de tous...
Le probléme revient ou pas?

Anamorphose75 · Answer

non, le problème n'est pas résolu :(

Anamorphose75 · Answer

mais je n'ai pas encore téléchargé ni exécuté Malwarebytes' Anti-Malware (MBAM), car je suis les instructions à la lettre et il est indiqué de poster le rapport AdwCleaner AVANT de faire passer Malwarebytes

Anamorphose75 · Answer

je peux enregistrer le rapport de AdwCleaner et passer les autres programmes ?

bill24 · Answer

Oui tu peux enregistrer le rapport .txt adwCleaner ,tu pourras ainsi le retrouver.
Et passer aux autres utilitaires nommés ci dessus,en suivant les tutos.

juju666 · Answer

Re,

J'étais chez le banquier.

Je désires consulter TOUS les rapports :) afin de voir :
- si les outils ont bien travaillés
- faire des remontées éventuelles aux codeurs.

Ici, tu dis que le problème n'est pas réglé mais je ne sais te dire pourquoi : je n'ai pas de rapport ...

Si jamais il y a des données confidentielles sur celui-ci, un modérateur peut passer pour effacer celles-ci.

Anamorphose75 · Answer

Juju, si tu as accès à mon mail ; envoie moi un message et je te emailerai mes rapports... ok ?

Anamorphose75 · Answer

ouiiiiiiiiiiiiii   !
Merci

je passe le 3° programme et je t'envoie les 3 rapports

juju666 · Answer

ok ça roule :)

Anamorphose75 · Answer

Voilà, je t'ai envoyé les 3 rapports

juju666 · Answer

Vu les rapports.

Houla tu as du sirefef et du trojan.banker on va attaquer autrement la bêbête :)

&#9654 Télécharge ici :  RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan PUIS SUPPRESSION. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

!!! Je répète bien cliquer sur Scan PUIS SUPPRESSION !!!

Anamorphose75 · Answer

Je pense que j'ai la version 32bits

Je viens d'ouvrir Panneau de config + système et sécurité + centre de maintenance 

et j'ai vu, dans la zone "Sécurité", que :

* Service Centre de sécurité Windows (important) 
   le Service Centre de sécurité Windows est désactivé (mais ça doit être parce que j'ai Avast! Antivirus)


* Élimination du virus Win32/Small.CA
   Windows a détecté Win32/Small.CA, un virus informatique courant, sur votre PC. Win32/Small.CA a altéré le fonctionnement de votre ordinateur 1 fois, la dernière fois le 01/06/2013 20:36

Anamorphose75 · Answer

Bon, j'ai fait une recherche et, en fait, j'aurais une version 64bits

démarrer + ordinateur + click droit propriété

système :

type du système : système d'exploitation 64bits

Anamorphose75 · Answer

Bonjour,

J'ai préscanné avec RoqueKiller. J'ai accepté Eula et j'ai scanné. "Suppression" c'est alors rendu disponible et j'ai cliqué dessus.... mais...

une page internet s'est ouverte : https://www.adlice.com/remove-zeroaccess/
et sur RoqueKiller un gros symbole  "attention" plus ZeroAccess clignotent sur la ligne "Suppression"

Dois-je suivre les instructions de "ZeroAccess removal with RogueKiller" ?

qui sont :

RogueKiller in build 8.6.5+ is able to remove that variant, in 2 steps.

    . First removal: RUN key, Service key, service kill, and some files/folder deletion.
    . Then a reboot is necessary to refresh computer's memory
    . Second removal: Deletion of remaining files/folders

Sauf que je ne sais pas trop bien quoi faire :(

Anamorphose75 · Answer

Faut-il que je fasse comme ça ? : https://www.youtube.com/watch?v=GW-z6F0LGeM

Anamorphose75 · Answer

Je n'ai rien fait mais juste attendu et, finalement, RogueKiller m'a demandé de redémarrer l'ordinateur et, à sa réouverture, j'avais un rapport Bloc-notes de RogueKiller.

Je l'envoie à juju666 mais le problème du début est toujours présent.

Anamorphose75 · Answer

hello !
je suis tjrs en panne :((

juju666 · Answer

Hello,

Il serait tout de même intéressant de poster les rapports ici pour les personnes qui suivent le sujet dans l'ombre :)

Suis maintenant cette procédure et poste le lien du rapport hébergé comme demandé : http://www.security-helpzone.com/gen-hackman/pre_scan-2/canned-speech/

De toute manière, sur les rapports, à par ton prénom, on ne voit rien d'autre :) et d'ici une paire de jours le rapport sera effacé de cjoint ;)

Anamorphose75 · Answer

Alors, voilà le dernier scan : http://cjoint.com/data3/3BivIryatMO.htm

J'ai l'impression que mon ordinateur "rame" de + en +

juju666 · Answer

J'ai l'impression que mon ordinateur "rame" de + en +

Bah, ça devrait être l'inverse, on est en train de le désinfester là :p

Redémarre à nouveau 

======================

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur CJOINT et donne les liens obtenus en échange

Anamorphose75 · Answer

Merci pour ta réponse.
Demain, ça ira ? Je m'endors là

Anamorphose75 · Answer

Voici les rapports (comme j'avais oublié de renseigner "Tous les utilisateurs" en haut, les 2 premiers sont sans "Tous les utilisateurs" et les 2 autres AVEC) :

http://cjoint.com/data3/3BjkeUGXtRJ.htm
http://cjoint.com/data3/3BjkgkQDhX2.htm

et

http://cjoint.com/14fe/DBjkQgce5g7.htm
http://cjoint.com/data3/3BjkRpXJeJS.htm

Je n'ai fait aucune autre action pour réparer, je n'ai pas cliqué sur "Correction" : dois-je le faire ?

juju666 · Answer

Bonjour,

Ne clique sur Correction qu'avec mes instructions ! :) donc pas maintenant.

Il ne reste que quelques traces.

Fais tout de même Malwarebytes anti rootkit par précaution :

&#9654 Télécharges ici:  mbar 
&#9654 Décompresses le contenu du dossier vers le bureau.
&#9654 Ouvrir le dossier et exécuter mbar.exe (Sous Vista/7 : exécuter en tant qu'administrateur)
&#9654 La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
&#9654 Clic sur Next
&#9654 La nouvelle fenêtre te propose de faire la mise a jour. Clic sur Update et une fois terminé clic sur next
&#9654 Pour lancer l'analyse clic sur scan
&#9654 Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
&#9654 Patiente pendant le processus de nettoyage qui peut être long.
&#9654 Lorsque terminé, envois les deux rapports qui se trouvent dans le dossier MBAR : mbar-log.txt et log.txt

Anamorphose75 · Answer

Chef, oui chef !

je ne fais que ce que tu dis :)
A bientôt pour les nouveaux rapports....

juju666 · Answer

;)

Anamorphose75 · Answer

Je vais déjà les désactiver et voir ce que cela donne ; STP dis moi comment les désinstaller

Anamorphose75 · Answer

J'ai désactivé les vilains modules puis redémarré mon ordinateur et..... plus de problèmes !!!!

Dois-je simplement cliquer sur "supprimer" en face des modules indésirables dans le gestionnaire de modules complémentaires de Firefox ?

PS : tous ces nettoyages ont été très salutaires quand même : avant il ne me restait que 110 GO de libres sur mon disque dur, maintenant j'en ai 286 !!!.....

Anamorphose75 · Answer

Voilà, j'ai marqué le sujet "résolu"

Je remercie chaleureusement Comment Ça Marche et tout particulièrement juju666, pour le temps passé, la disponibilité, l'efficacité et la bienveillance.

MERCI

juju666 · Answer

Re,

De rien :)

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Malware tibsearch.com

37 réponses

Discussions similaires

Newsletters