Problème avec Babylon (oui, encore un ...)

Voilà pour l'étape 1/

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:42:03 le 06/06/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Poste@POSTE ( )

============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\GamesBar

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé supprimée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé supprimée: HKLM\Software\Freeze.com
Clé supprimée: HKLM\Software\GamesBarSetup
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\AbsoluCasino
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{AEEC3B59-CA98-4EBA-A140-57B94E283583} (x)
HKCU_SearchScopes\{814C76CB-2623-43F4-AAD0-58A0E5190A20} - "Orange" (hxxp://www.orange.fr/bin/frame1px.cgi?u=hxxp%3A//r.voila.fr/se%3Frdata%3D{search...)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKCU_Toolbar\WebBrowser|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\orange\ToolbarFR\ToolbarContainer101000317.dll)
HKLM_Toolbar|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\orange\ToolbarFR\ToolbarContainer101000317.dll)
HKLM_Toolbar|{98889811-442D-49dd-99D7-DC866BE87DBC} (x)
HKCU_ElevationPolicy\{72208D32-A3D9-4E36-8F44-DB875E2D1CA1} - c:\Metaboli\YProxLauncher.exe (?)
HKLM_ElevationPolicy\${ELV_GUID} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (x)
HKLM_ElevationPolicy\{44295CB8-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (?)
HKLM_ElevationPolicy\{8EBFFAE0-F0A4-4ee6-8524-2751906624C4} - C:\Program Files\Player Metaboli\GPlayer.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Fichiers communs\Oberon Media\OberonBroker\1.0.0.76\OberonBroker.exe (x)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{2EECD738-5844-4a99-B4B6-146BF802613B} - "CescrtHlpr Object" () (x)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 12 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/06/2011 12:42:12 (2622 Octet(s))

Fin à: 12:42:57, 06/06/2011

============== E.O.F ==============

Reste ZHPDiag

Justement, ca a marché Ad remover ! Quand j'ouvre un nouvel onglet, la page nouvel onglet s'affiche normalement. Plus de BabylonSearch !
Est ce que c'est vraiment nécessaire maintenant de faire un diagnostic de mon pc ?

D'accord, alors voila le lien :
https://pjjoint.malekal.com/files.php?id=e13f15j14k11m14q14g8d5n6
Mais je n'ai pas soumis un fichier, j'ai copié/collé le contenu du rapport, c'est pareil ?

Salut,

1/

Rapport de ZHPFix 1.12.330 par Nicolas Coolman, Update du 05/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-07-06-2011-19-42-32.txt
Run by Poste at 07/06/2011 19:42:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
ABSENT HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
SUPPRIME HKCU\Software\BabylonToolbar
SUPPRIME HKLM\Software\BabylonToolbar

========== Valeur(s) du Registre ==========
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
SUPPRIME FirewallRaz (SP) : D:\NeroExpress\Installation\Setupx.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\World of Warcraft\Launcher.patch.exe
Aucune valeur présente dans la clé d'exception du registreFirewallRaz :

========== Elément(s) de donnée du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

========== Dossier(s) ==========
SUPPRIME c:\documents and settings\poste\application data\babylontoolbar
SUPPRIME Temporaires Windows: : 10
SUPPRIME Flash Cookies: 1232

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 12
SUPPRIME Flash Cookies: 578


========== Récapitulatif ==========
5 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
3 : Dossier(s)
2 : Fichier(s)


End of the scan

Par contre pour le 2/, j'ai téléchargé usbfix, le raccourci bureau ne s'est pas installé. Par contre, la fenetre est apparue, j'ai cliqué sur suppression, et vers 70% elle a disparu, ne laissant sur l'écran que mon fond d'écran et ma souris (sans les raccourcis de mon bureau ni la barre de tâches windows). Après avoir longuement attendu j'ai cru qu'il y avait eu un probleme qq part, alors j'ai étent et rallumé mon ordi sauf que maintenant, usbdisk ne s'est pas installé (alors que je l'ai telechargé) et comme il me l'avait prévenue, il a du désactiver temporairement mon antivirus. Sauf qu'il ne s'est pas réactivé !
Est ce que j'aurais du attendre un peu plus longtemps, ou y a il vraiment eu un probleme qq part ?

Ok mais pendant ce temps j'ai plus d'antivirus :/

3/

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6802

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/06/2011 22:44:44
mbam-log-2011-06-07 (22-44-44).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 262596
Temps écoulé: 33 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
f:\WINDOWS\system32\solitaire.exe (Malware.Gen) -> Quarantined and deleted successfully.

Re,

ca marche pas ! J'ai cliqué sur suppression, la fenetre avec le suivi de la progression (ac les %) est apparue, puis mes raccourcis et la barre des taches windows ont disparus! j'ai attendu une heure qu'ils reviennent mais ils ne sont pas réaparu, alors j'ai du éteindre mon ordi en restant appuyé sur le bouton d'allumage puis je l'ai rallumé. Donc aucun rapport ne s'est affiché. Il est sauvegardé ou ?

Oui effectivement, il manque la fin. Voilà le lien : https://pjjoint.malekal.com/files.php?id=ca1035ed0c9158

Et on a un autre problème : pour Internet Explorer c'est bon, mais quand j'ouvre Google Chrome, la page qui s'affiche en premier est ... Babylon Search :/

Salut, voila le rapport :

Rapport de ZHPFix 1.12.330 par Nicolas Coolman, Update du 05/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-06-2011-02-05-10.txt
Run by Poste at 10/06/2011 02:05:10
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Mozilla Plugin: @oberon-media.com/ONCAdapter
ABSENT CLSID DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8}
ABSENT HKCU\Software\Eset
ABSENT CLSID BHO: {2EECD738-5844-4a99-B4B6-146BF802613B}

========== Valeur(s) du Registre ==========
ABSENT O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} . (.Pas de propriétaire - Pas de description.) -- (.not file.)

========== Dossier(s) ==========
ABSENT C:\Program Files\Eset

========== Fichier(s) ==========
ABSENT File: c:\program files\fichiers communs\oberon media\ncadapter\1.0.0.7\npapicomadapter.dll


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan

et merci pour le lien pour l'antivirus :)

Salut, je n'ai trouvé aucun des deux fichier parce que quand j'arrive à Poste, je ne trouve ni Application Data, ni Local Settings :/

Re,

Est ce que tu as lancé une recherche pour localiser ce fichier ?

Si c'est du fichier Preferences dont tu parle, alors oui, j'ai fait une recherche et ca n'a rien donné :/ .

Salut,

J'ai desinstallé et réinstallé google chrome et c'est bon, babylon a disparu :)
Et le rapport ZHPDiag, j'en fais quoi ? Je le met sur ce lien http://pjjoint.malekal.com/ ?

Hello,

Pour avancer Marmar66,

Oui postes le nouveau ZHPDiag depuis le lien de Malekal.

Bonne journée

Salut à tous

Merci Nicolas Coolman

En attendant le nouveau rapport...

@+

Voilà le nouveau rapport :
https://pjjoint.malekal.com/files.php?id=52f004502271315

a ++

hello,

Tout cela me semble bien, tu as maintenant retrouvé ton fichier de préférences Chrome.

---\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
C:\Documents and Settings\Poste\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Bonne fin de désinfection avec Marmar66.

A bientôt...

Salut,

Ton message "MBR rootkit code detected", il doit apparaître quand ? Dans le rapport mbr qui est apparu sur le bureau, j'ai :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

C'est ca ? Sinon, lorsque je lance mbr, une fenêtre noir avec des écritures blanches s'affiche, mais elle ne reste pas assez longtemps pour que j'ai le termps de lire ce qu'il y a d'écrit :/ c'est normal ?

Salut,

Tout ca :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

c'était déja la dans le tout premier rapport. Je fais quoi maintenant ?