Virus services.exe (sur seven 64bits)

Résolu
IamLuke Messages postés 17 Statut Membre -  
IamLuke Messages postés 17 Statut Membre -
Bonjour,
je crois avoir été infecté par un virus
Mon antivirus (Avira) bloque sur la présence de "services.exe"

Comment pourrait-on éradiquer ce virus ???

Merci de votre aide
Amicalement
IamLuke

13 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    [*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
    [*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!
    0
  2. IamLuke Messages postés 17 Statut Membre
     
    Voici les rapports de roguekiller ...
    Avant redemarrage :

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Sebastien [Droits d'admin]
    Mode : Recherche -- Date : 07/06/2013 09:42:21
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 7 ¤¤¤
    [TASK][SUSP PATH] Test TimeTrigger : C:\Users\Sebastien\AppData\Local\Temp\Runner.exe C:\Users\Sebastien\AppData\Local\Temp\DNS.exe [x] -> TROUVÉ
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy1.babygo.fr:8118) -> TROUVÉ
    [HJ] HKLM\[...]\Wow6432Node\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
    [HJ] HKLM\[...]\Wow6432Node\Security Center : FirewallDisableNotify (1) -> TROUVÉ
    [HJ] HKLM\[...]\Wow6432Node\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\@ [-] --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\L --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST31000528AS +++++
    --- User ---
    [MBR] a3458ea48f584460090cf901f5466a8f
    [BSP] fc5a98079ea7d71852dbf6e1f3fa3768 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939656 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924622336 | Size: 14111 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST3320820AS +++++
    --- User ---
    [MBR] 44b82498dd6e1aaadb4411bc68b22722
    [BSP] a673e9b32ac32229e79c3e2b4fd57f0f : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 63 | Size: 7993 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16370235 | Size: 297241 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive2: WD Ext HDD 1021 USB Device +++++
    --- User ---
    [MBR] f9a4dcd4b0e3b34d9863c1066cc2959a
    [BSP] f961e70f9a59eb5fb7836dbfda65b858 : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1907726 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_07062013_094221.txt >>
    RKreport[1]_S_07062013_094221.txt
    0
  3. IamLuke Messages postés 17 Statut Membre
     
    ... et après redemarrage ...

    RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Sebastien [Droits d'admin]
    Mode : Suppression -- Date : 07/06/2013 09:44:14
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 7 ¤¤¤
    [TASK][SUSP PATH] Test TimeTrigger : C:\Users\Sebastien\AppData\Local\Temp\Runner.exe C:\Users\Sebastien\AppData\Local\Temp\DNS.exe [x] -> SUPPRIMÉ
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy1.babygo.fr:8118) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
    [HJ] HKLM\[...]\Wow6432Node\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
    [HJ] HKLM\[...]\Wow6432Node\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
    [HJ] HKLM\[...]\Wow6432Node\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\@ [-] --> SUPPRIMÉ AU REBOOT
    [Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U\00000004.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U\00000008.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 000000cb.@ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U\000000cb.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 80000000.@ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U\80000000.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 80000032.@ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U\80000032.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 80000064.@ : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U\80000064.@ [-] --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{4445176e-3231-58f5-703e-d45cffe9dc13}\L --> SUPPRIMÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST31000528AS +++++
    --- User ---
    [MBR] a3458ea48f584460090cf901f5466a8f
    [BSP] fc5a98079ea7d71852dbf6e1f3fa3768 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939656 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924622336 | Size: 14111 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST3320820AS +++++
    --- User ---
    [MBR] 44b82498dd6e1aaadb4411bc68b22722
    [BSP] a673e9b32ac32229e79c3e2b4fd57f0f : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 63 | Size: 7993 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16370235 | Size: 297241 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive2: WD Ext HDD 1021 USB Device +++++
    --- User ---
    [MBR] f9a4dcd4b0e3b34d9863c1066cc2959a
    [BSP] f961e70f9a59eb5fb7836dbfda65b858 : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1907726 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2]_D_07062013_094414.txt >>
    RKreport[1]_S_07062013_094221.txt ; RKreport[2]_D_07062013_094414.txt
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. IamLuke Messages postés 17 Statut Membre
     
    Bonsoir,

    Voici les rapports

    OTL.TXT : https://pjjoint.malekal.com/files.php?id=20130607_y14r149y9v9
    Extra.txt : https://pjjoint.malekal.com/files.php?id=20130607_p10y11v7k13v6

    PS : J'ai eu un message d'erreur pendant OTL (un DLL manquant). J'ai ignoré, et OTL a continué son travail ...

    Rapport AdwCleaner :

    # AdwCleaner v2.302 - Rapport créé le 07/06/2013 à 17:23:35
    # Mis à jour le 06/06/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Sebastien - SEBASTIEN-HP
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Sebastien\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Conduit
    Dossier Supprimé : C:\ProgramData\Babylon
    Dossier Supprimé : C:\Users\Sebastien\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp
    Dossier Supprimé : C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Dossier Supprimé : C:\Users\Sebastien\AppData\Local\PackageAware
    Dossier Supprimé : C:\Users\Sebastien\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\Sebastien\AppData\LocalLow\PriceGong
    Dossier Supprimé : C:\Users\Sebastien\AppData\Roaming\Babylon
    Dossier Supprimé : C:\Users\Sebastien\AppData\Roaming\Mozilla\Firefox\Profiles\tlwf80ty.default\Smartbar
    Fichier Supprimé : C:\END
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
    Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
    Fichier Supprimé : C:\Users\Sebastien\AppData\Roaming\Mozilla\Firefox\Profiles\tlwf80ty.default\searchplugins\babylon1.xml
    Supprimé au redémarrage : C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
    Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
    Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
    Clé Supprimée : HKCU\Software\BabylonToolbar
    Clé Supprimée : HKCU\Software\Conduit
    Clé Supprimée : HKCU\Software\Cr_Installer
    Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp
    Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Clé Supprimée : HKCU\Software\InstallCore
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    Clé Supprimée : HKLM\Software\Babylon
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3128284
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
    Clé Supprimée : HKLM\Software\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings-InternalInstaller_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings-InternalInstaller_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    Clé Supprimée : HKLM\SOFTWARE\Software
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v10.0.9200.16576

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v21.0 (fr)

    Fichier : C:\Users\Sebastien\AppData\Roaming\Mozilla\Firefox\Profiles\tlwf80ty.default\prefs.js

    C:\Users\Sebastien\AppData\Roaming\Mozilla\Firefox\Profiles\tlwf80ty.default\user.js ... Supprimé !

    Supprimée : user_pref("CT2851639.1000234.TWC_TMP_city", "PARIS");
    Supprimée : user_pref("CT2851639.1000234.TWC_TMP_country", "FR");
    Supprimée : user_pref("CT2851639.1000234.TWC_country", "FRANCE");
    Supprimée : user_pref("CT2851639.1000234.TWC_locId", "FRXX0076");
    Supprimée : user_pref("CT2851639.1000234.TWC_location", "Paris, France");
    Supprimée : user_pref("CT2851639.1000234.TWC_region", "FR");
    Supprimée : user_pref("CT2851639.1000234.TWC_temp_dis", "c");
    Supprimée : user_pref("CT2851639.1000234.TWC_wind_dis", "kmh");
    Supprimée : user_pref("CT2851639.1000234.weatherData", "{\"icon\":\"27.png\",\"temperature\":\"3°C\",\"temperatu[...]
    Supprimée : user_pref("CT2851639.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT2851639.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
    Supprimée : user_pref("CT2851639.FirstTime", "true");
    Supprimée : user_pref("CT2851639.FirstTimeFF3", "true");
    Supprimée : user_pref("CT2851639.PG_ENABLE", "dHJ1ZQ==");
    Supprimée : user_pref("CT2851639.PG_ENABLE.enc", "ZEhKMVpRPT0=");
    Supprimée : user_pref("CT2851639.SF_JUST_INSTALLED.enc", "RkFMU0U=");
    Supprimée : user_pref("CT2851639.SF_STATUS.enc", "RU5BQkxFRA==");
    Supprimée : user_pref("CT2851639.SF_USER_ID.enc", "Y2lkXzI2MzIwMTM3NDI0MzMzNTc4OTU=");
    Supprimée : user_pref("CT2851639.SearchAppState.enc", "Mw==");
    Supprimée : user_pref("CT2851639.UserID", "UN72862057175336247");
    Supprimée : user_pref("CT2851639.addressBarTakeOverEnabledInHidden", "true");
    Supprimée : user_pref("CT2851639.autoDisableScopes", -1);
    Supprimée : user_pref("CT2851639.cbcountry_001", "FR");
    Supprimée : user_pref("CT2851639.cbfirsttime.enc", "U3VuIEF1ZyAwNSAyMDEyIDE3OjE5OjAzIEdNVCswMjAw");
    Supprimée : user_pref("CT2851639.defaultSearch", "FALSE");
    Supprimée : user_pref("CT2851639.embeddedsData", "[{\"appId\":\"129351529700743801\",\"apiPermissions\":{\"cross[...]
    Supprimée : user_pref("CT2851639.enableAlerts", "always");
    Supprimée : user_pref("CT2851639.enableFix404ByUser", "FALSE");
    Supprimée : user_pref("CT2851639.enableSearchFromAddressBar", "FALSE");
    Supprimée : user_pref("CT2851639.firstTimeDialogOpened", "true");
    Supprimée : user_pref("CT2851639.fixPageNotFoundError", "true");
    Supprimée : user_pref("CT2851639.fixPageNotFoundErrorByUser", "true");
    Supprimée : user_pref("CT2851639.fixPageNotFoundErrorInHidden", "true");
    Supprimée : user_pref("CT2851639.fixUrls", true);
    Supprimée : user_pref("CT2851639.installId", "fft2F98.tmp.exe");
    Supprimée : user_pref("CT2851639.installType", "XPE");
    Supprimée : user_pref("CT2851639.isCheckedStartAsHidden", true);
    Supprimée : user_pref("CT2851639.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT2851639.isFirstTimeToolbarLoading", "false");
    Supprimée : user_pref("CT2851639.isNewTabEnabled", true);
    Supprimée : user_pref("CT2851639.isPerformedSmartBarTransition", "true");
    Supprimée : user_pref("CT2851639.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
    Supprimée : user_pref("CT2851639.isWelcomPage", "{\"dataType\":\"boolean\",\"data\":\"true\"}");
    Supprimée : user_pref("CT2851639.lastNewTabSettings", "{\"isEnabled\":true,\"newTabUrl\":\"hxxp://search.conduit[...]
    Supprimée : user_pref("CT2851639.lastVersion", "10.15.0.562");
    Supprimée : user_pref("CT2851639.mam_gk_appStateReportTime.enc", "MTM2NDUxMjIxODk0OQ==");
    Supprimée : user_pref("CT2851639.mam_gk_appState_CouponBuddy.enc", "b24=");
    Supprimée : user_pref("CT2851639.mam_gk_appState_PriceGong.enc", "b24=");
    Supprimée : user_pref("CT2851639.mam_gk_appState_WindowShopper.enc", "b24=");
    Supprimée : user_pref("CT2851639.mam_gk_appsData.enc", "eyJhcHBzIjpbeyJpZCI6IlByaWNlR29uZyIsInVybCI6Imh0dHA6Ly9w[...]
    Supprimée : user_pref("CT2851639.mam_gk_appsDefaultEnabled.enc", "bnVsbA==");
    Supprimée : user_pref("CT2851639.mam_gk_configuration.enc", "eyJjb25maWd1cmF0aW9uIjpbeyJpZCI6IkNvdXBvbkJ1ZGR5Iiw[...]
    Supprimée : user_pref("CT2851639.mam_gk_currentVersion.enc", "MS40LjQuNg==");
    Supprimée : user_pref("CT2851639.mam_gk_first_time.enc", "MQ==");
    Supprimée : user_pref("CT2851639.mam_gk_lastLoginTime.enc", "MTM2NDUxMjIxNDkxMw==");
    Supprimée : user_pref("CT2851639.mam_gk_localization.enc", "eyJnYWRnZXRDb250ZW50UG9saWN5Ijp7IlRleHQiOiJQb2xpdGlx[...]
    Supprimée : user_pref("CT2851639.mam_gk_pgUnloadedOnce.enc", "dHJ1ZQ==");
    Supprimée : user_pref("CT2851639.mam_gk_settings1.4.4.6.enc", "eyJTdGF0dXMiOiJzdWNjZWVkZWQiLCJEYXRhIjp7ImludGVyd[...]
    Supprimée : user_pref("CT2851639.mam_gk_showCloseButton.enc", "dHJ1ZQ==");
    Supprimée : user_pref("CT2851639.mam_gk_showWelcomeGadget.enc", "ZmFsc2U=");
    Supprimée : user_pref("CT2851639.mam_gk_userId.enc", "NTlkOTQwZGMtMTgwZi00ZGM1LTkxNWItNzg2OGUxYzYxNDBl");
    Supprimée : user_pref("CT2851639.migrateAppsAndComponents", true);
    Supprimée : user_pref("CT2851639.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"hxxp%[...]
    Supprimée : user_pref("CT2851639.openThankYouPage", "true");
    Supprimée : user_pref("CT2851639.openUninstallPage", "FALSE");
    Supprimée : user_pref("CT2851639.price-gong.isManagedApp", "true");
    Supprimée : user_pref("CT2851639.scriptSource", "hxxp://127.0.0.1:10000/gui/");
    Supprimée : user_pref("CT2851639.search.searchAppId", "129351529700743801");
    Supprimée : user_pref("CT2851639.search.searchCount", "0");
    Supprimée : user_pref("CT2851639.searchInNewTabEnabledByUser", "true");
    Supprimée : user_pref("CT2851639.searchInNewTabEnabledInHidden", "true");
    Supprimée : user_pref("CT2851639.searchProtector.notifyChanges", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT2851639.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT2851639.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
    Supprimée : user_pref("CT2851639.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
    Supprimée : user_pref("CT2851639.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
    Supprimée : user_pref("CT2851639.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
    Supprimée : user_pref("CT2851639.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
    Supprimée : user_pref("CT2851639.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
    Supprimée : user_pref("CT2851639.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]
    Supprimée : user_pref("CT2851639.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1364280270650");
    Supprimée : user_pref("CT2851639.serviceLayer_services_appTracking_lastUpdate", "1344179943034");
    Supprimée : user_pref("CT2851639.serviceLayer_services_appsMetadata_lastUpdate", "1364454504274");
    Supprimée : user_pref("CT2851639.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1364280270727");
    Supprimée : user_pref("CT2851639.serviceLayer_services_location_lastUpdate", "1364488265662");
    Supprimée : user_pref("CT2851639.serviceLayer_services_login_10.10.20.14_lastUpdate", "1346100139130");
    Supprimée : user_pref("CT2851639.serviceLayer_services_login_10.10.27.6_lastUpdate", "1354736571526");
    Supprimée : user_pref("CT2851639.serviceLayer_services_login_10.14.370.524_lastUpdate", "1364252340955");
    Supprimée : user_pref("CT2851639.serviceLayer_services_login_10.14.65.43_lastUpdate", "1363207115317");
    Supprimée : user_pref("CT2851639.serviceLayer_services_login_10.15.0.562_lastUpdate", "1364454504285");
    Supprimée : user_pref("CT2851639.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1364280270782");
    Supprimée : user_pref("CT2851639.serviceLayer_services_searchAPI_lastUpdate", "1364454504370");
    Supprimée : user_pref("CT2851639.serviceLayer_services_serviceMap_lastUpdate", "1364488265533");
    Supprimée : user_pref("CT2851639.serviceLayer_services_toolbarContextMenu_lastUpdate", "1364280270656");
    Supprimée : user_pref("CT2851639.serviceLayer_services_toolbarSettings_lastUpdate", "1364454504350");
    Supprimée : user_pref("CT2851639.serviceLayer_services_translation_lastUpdate", "1364488265929");
    Supprimée : user_pref("CT2851639.settingsINI", true);
    Supprimée : user_pref("CT2851639.shouldFirstTimeDialog", "false");
    Supprimée : user_pref("CT2851639.showToolbarPermission", "false");
    Supprimée : user_pref("CT2851639.smartbar.CTID", "CT2851639");
    Supprimée : user_pref("CT2851639.smartbar.Uninstall", "0");
    Supprimée : user_pref("CT2851639.smartbar.toolbarName", "uTorrentBar_FR ");
    Supprimée : user_pref("CT2851639.startPage", "userChanged");
    Supprimée : user_pref("CT2851639.toolbarBornServerTime", "5-8-2012");
    Supprimée : user_pref("CT2851639.toolbarCurrentServerTime", "28-3-2013");
    Supprimée : user_pref("CT2851639.toolbarLoginClientTime", "Thu Mar 14 2013 09:05:06 GMT+0100");
    Supprimée : user_pref("CT2851639.upgradeFromClearSBVersion", true);
    Supprimée : user_pref("CT2851639.url_history0001.enc", "aHR0cDovL3d3dy5nYW1lZHVlbGwuZnIvZ2QvZ2FtZXNQYWdlL2dhbWVz[...]
    Supprimée : user_pref("CT2851639_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
    Supprimée : user_pref("CT3128284.1000082.isPlayDisplay", "true");
    Supprimée : user_pref("CT3128284.1000082.state", "{\"state\":\"stopped\",\"text\":\"RMC\",\"description\":\"RMC\[...]
    Supprimée : user_pref("CT3128284.1000234.TWC_TMP_city", "PARIS");
    Supprimée : user_pref("CT3128284.1000234.TWC_TMP_country", "FR");
    Supprimée : user_pref("CT3128284.1000234.TWC_country", "FRANCE");
    Supprimée : user_pref("CT3128284.1000234.TWC_locId", "FRXX0076");
    Supprimée : user_pref("CT3128284.1000234.TWC_location", "Paris, France");
    Supprimée : user_pref("CT3128284.1000234.TWC_region", "FR");
    Supprimée : user_pref("CT3128284.1000234.TWC_temp_dis", "c");
    Supprimée : user_pref("CT3128284.1000234.TWC_wind_dis", "kmh");
    Supprimée : user_pref("CT3128284.1000234.weatherData", "{\"icon\":\"27.png\",\"temperature\":\"3°C\",\"temperatu[...]
    Supprimée : user_pref("CT3128284.3128284a129638404769606799000000paramsGK0.enc", "eyJ1cGRhdGVSZXFUaW1lIjoxMzY0NT[...]
    Supprimée : user_pref("CT3128284.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT3128284.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
    Supprimée : user_pref("CT3128284.FirstTime", "true");
    Supprimée : user_pref("CT3128284.FirstTimeFF3", "true");
    Supprimée : user_pref("CT3128284.PG_ENABLE", "dHJ1ZQ==");
    Supprimée : user_pref("CT3128284.PG_ENABLE.enc", "ZEhKMVpRPT0=");
    Supprimée : user_pref("CT3128284.RSS_Pub_Config.enc", "eyJzZXR0aW5ncyI6eyJpY29uIjoiaHR0cDovL3N0b3JhZ2UuY29uZHVpd[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000ReadItemsArr", "%7B%22571295%22%3A0%2C%22[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat1", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000embeddedVersion.enc", "Mi40LjA=");
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000feedsObj", "%7B%22channels%22%3A%7B%22id%[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000lastReportTime.enc", "MTM2NDUxMjIxMzE1MSA[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000newFeeds.enc", "bmV3RmVlZHM=");
    Supprimée : user_pref("CT3128284.SearchAppState.enc", "MQ==");
    Supprimée : user_pref("CT3128284.SearchAppTracking.enc", "c2VudA==");
    Supprimée : user_pref("CT3128284.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]
    Supprimée : user_pref("CT3128284.UserID", "UN80576866756273161");
    Supprimée : user_pref("CT3128284.addressBarTakeOverEnabledInHidden", "true");
    Supprimée : user_pref("CT3128284.autoDisableScopes", -1);
    Supprimée : user_pref("CT3128284.browser.search.defaultthis.engineName", true);
    Supprimée : user_pref("CT3128284.defaultSearch", "true");
    Supprimée : user_pref("CT3128284.embeddedsData", "[{\"appId\":\"129638404645388048\",\"apiPermissions\":{\"cross[...]
    Supprimée : user_pref("CT3128284.enableAlerts", "always");
    Supprimée : user_pref("CT3128284.enableFix404ByUser", "TRUE");
    Supprimée : user_pref("CT3128284.enableSearchFromAddressBar", "true");
    Supprimée : user_pref("CT3128284.firstTimeDialogOpened", "true");
    Supprimée : user_pref("CT3128284.fixPageNotFoundError", "true");
    Supprimée : user_pref("CT3128284.fixPageNotFoundErrorByUser", "true");
    Supprimée : user_pref("CT3128284.fixPageNotFoundErrorInHidden", "true");
    Supprimée : user_pref("CT3128284.fixUrls", true);
    Supprimée : user_pref("CT3128284.installId", "ct3128284_01net.com.exe");
    Supprimée : user_pref("CT3128284.installType", "ConduitNSISIntegration");
    Supprimée : user_pref("CT3128284.isCheckedStartAsHidden", true);
    Supprimée : user_pref("CT3128284.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT3128284.isFirstTimeToolbarLoading", "false");
    Supprimée : user_pref("CT3128284.isNewTabEnabled", true);
    Supprimée : user_pref("CT3128284.isPerformedSmartBarTransition", "true");
    Supprimée : user_pref("CT3128284.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
    Supprimée : user_pref("CT3128284.keyword", true);
    Supprimée : user_pref("CT3128284.lastNewTabSettings", "{\"isEnabled\":true,\"newTabUrl\":\"hxxp://search.conduit[...]
    Supprimée : user_pref("CT3128284.lastVersion", "10.15.0.562");
    Supprimée : user_pref("CT3128284.mam_gk_appStateReportTime.enc", "MTM2NDUxMjIxODkyMw==");
    Supprimée : user_pref("CT3128284.mam_gk_appState_PriceGong.enc", "b24=");
    Supprimée : user_pref("CT3128284.mam_gk_appsData.enc", "eyJhcHBzIjpbeyJpZCI6IlByaWNlR29uZyIsInVybCI6Imh0dHA6Ly9w[...]
    Supprimée : user_pref("CT3128284.mam_gk_appsDefaultEnabled.enc", "bnVsbA==");
    Supprimée : user_pref("CT3128284.mam_gk_configuration.enc", "eyJjb25maWd1cmF0aW9uIjpbeyJpZCI6IlByaWNlR29uZyIsImN[...]
    Supprimée : user_pref("CT3128284.mam_gk_currentVersion.enc", "MS40LjQuNg==");
    Supprimée : user_pref("CT3128284.mam_gk_eventsCache.enc", "eyI5YWY2MGEwMy0yZDhmLTRkNzQtYjRmYy0yZGI0OGFiNzEyNTgiO[...]
    Supprimée : user_pref("CT3128284.mam_gk_first_time.enc", "MQ==");
    Supprimée : user_pref("CT3128284.mam_gk_gadgetOpen.enc", "MA==");
    Supprimée : user_pref("CT3128284.mam_gk_lastLoginTime.enc", "MTM2NDUxMjIxNDE5NA==");
    Supprimée : user_pref("CT3128284.mam_gk_localization.enc", "eyJnYWRnZXRDb250ZW50UG9saWN5Ijp7IlRleHQiOiJQb2xpdGlx[...]
    Supprimée : user_pref("CT3128284.mam_gk_pgUnloadedOnce.enc", "dHJ1ZQ==");
    Supprimée : user_pref("CT3128284.mam_gk_settings1.4.4.6.enc", "eyJTdGF0dXMiOiJzdWNjZWVkZWQiLCJEYXRhIjp7ImludGVyd[...]
    Supprimée : user_pref("CT3128284.mam_gk_showCloseButton.enc", "dHJ1ZQ==");
    Supprimée : user_pref("CT3128284.mam_gk_showWelcomeGadget.enc", "ZmFsc2U=");
    Supprimée : user_pref("CT3128284.mam_gk_userId.enc", "ZTU5YTY5YzAtZWQ1Ny00ODNjLTg4ZDctYmI3NGIzMTljNGE2");
    Supprimée : user_pref("CT3128284.migrateAppsAndComponents", true);
    Supprimée : user_pref("CT3128284.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"hxxp%[...]
    Supprimée : user_pref("CT3128284.openThankYouPage", "false");
    Supprimée : user_pref("CT3128284.openUninstallPage", "true");
    Supprimée : user_pref("CT3128284.price-gong.isManagedApp", "true");
    Supprimée : user_pref("CT3128284.search.searchAppId", "129638404645388048");
    Supprimée : user_pref("CT3128284.search.searchCount", "0");
    Supprimée : user_pref("CT3128284.searchInNewTabEnabledByUser", "true");
    Supprimée : user_pref("CT3128284.searchInNewTabEnabledInHidden", "true");
    Supprimée : user_pref("CT3128284.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT3128284.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]
    Supprimée : user_pref("CT3128284.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1364280269943");
    Supprimée : user_pref("CT3128284.serviceLayer_services_appTracking_lastUpdate", "1364280270246");
    Supprimée : user_pref("CT3128284.serviceLayer_services_appsMetadata_lastUpdate", "1364454504067");
    Supprimée : user_pref("CT3128284.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1364280269810");
    Supprimée : user_pref("CT3128284.serviceLayer_services_location_lastUpdate", "1364488263126");
    Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.10.12.503_lastUpdate", "1345067185525");
    Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.10.20.14_lastUpdate", "1346010800713");
    Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.10.27.6_lastUpdate", "1354736573298");
    Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.14.65.43_lastUpdate", "1364252340118");
    Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.15.0.562_lastUpdate", "1364454504136");
    Supprimée : user_pref("CT3128284.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1364280269888");
    Supprimée : user_pref("CT3128284.serviceLayer_services_searchAPI_lastUpdate", "1364454505688");
    Supprimée : user_pref("CT3128284.serviceLayer_services_serviceMap_lastUpdate", "1364488262592");
    Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarContextMenu_lastUpdate", "1364280269688");
    Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarSettings_lastUpdate", "1364454504430");
    Supprimée : user_pref("CT3128284.serviceLayer_services_translation_lastUpdate", "1364488266598");
    Supprimée : user_pref("CT3128284.settingsINI", true);
    Supprimée : user_pref("CT3128284.shouldFirstTimeDialog", "false");
    Supprimée : user_pref("CT3128284.showToolbarPermission", "false");
    Supprimée : user_pref("CT3128284.smartbar.CTID", "CT3128284");
    Supprimée : user_pref("CT3128284.smartbar.Uninstall", "0");
    Supprimée : user_pref("CT3128284.smartbar.homepage", true);
    Supprimée : user_pref("CT3128284.smartbar.toolbarName", "01NET.com ");
    Supprimée : user_pref("CT3128284.startPage", "userChanged");
    Supprimée : user_pref("CT3128284.toolbarBornServerTime", "14-8-2012");
    Supprimée : user_pref("CT3128284.toolbarCurrentServerTime", "28-3-2013");
    Supprimée : user_pref("CT3128284.toolbarLoginClientTime", "Tue Mar 26 2013 07:42:29 GMT+0100");
    Supprimée : user_pref("CT3128284.twitter_v1.8.0_twitter_app_open_t_f.enc", "ZmFsc2U=");
    Supprimée : user_pref("CT3128284.upgradeFromClearSBVersion", true);
    Supprimée : user_pref("CT3128284_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
    Supprimée : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=1[...]
    Supprimée : user_pref("Smartbar.ConduitSearchEngineList", "01NET.com Customized Web Search");
    Supprimée : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284[...]
    Supprimée : user_pref("Smartbar.keywordURLSelectedCTID", "CT3128284");
    Supprimée : user_pref("browser.search.selectedEngine", "01NET.com Customized Web Search");
    Supprimée : user_pref("browser.startup.homepage", "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=13");
    Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
    Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
    Supprimée : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
    Supprimée : user_pref("extensions.BabylonToolbar.autoRvrt", "false");
    Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
    Supprimée : user_pref("extensions.BabylonToolbar.excTlbr", false);
    Supprimée : user_pref("extensions.BabylonToolbar.id", "6855dbae00000000000068a3c46cd7ca");
    Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15680");
    Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
    Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
    Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
    Supprimée : user_pref("extensions.BabylonToolbar.rvrt", "false");
    Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "tb9");
    Supprimée : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
    Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.8.4.9");
    Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.8.4.9");
    Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
    Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=113357&tt=051212_ccp_4912_8");
    Supprimée : user_pref("extensions.BabylonToolbar_i.excTlbr", false);
    Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", false);
    Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
    Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
    Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.4.911:46:37");
    Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&CU[...]
    Supprimée : user_pref("smartbar.conduitHomepageList", "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=13[...]
    Supprimée : user_pref("smartbar.conduitSearchAddressUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT[...]
    Supprimée : user_pref("smartbar.machineId", "NWRSEZ/V7ROMZXYMQSNQ414M9JADCFDJUQMHAG8LJKFORXDYQLFO/D293FRVRNQONA+[...]
    Supprimée : user_pref("smartbar.originalHomepage", "hxxp://www.google.fr/");
    Supprimée : user_pref("smartbar.originalSearchAddressUrl", "");
    Supprimée : user_pref("smartbar.originalSearchEngine", "Search the web (Babylon)");

    -\\ Google Chrome v27.0.1453.110

    Fichier : C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée [l.2118] : homepage = "hxxp://search.babylon.com/?affID=113357&tt=051212_ccp_4912_8&babsrc=HP_ss&mntrId=685[...]

    *************************

    AdwCleaner[S1].txt - [27674 octets] - [07/06/2013 17:23:35]

    ########## EOF - C:\AdwCleaner[S1].txt - [27735 octets] ##########

    Amicalement
    Bonne soirée
    IamLuke
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll
    2013/02/18 22:43:58 | 000,135,517 | ---- | M] () (No name found) -- C:\Users\Sebastien\AppData\Roaming\mozilla\firefox\profiles\tlwf80ty.default\extensions\{4093c4de-454a-4329-8aff-c6b0b123c386}.xpi
    O3 - HKU\S-1-5-21-2075157169-1054132256-407842318-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.

    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Télécharge ce fichier sur ton bureau : https://www.malekal.com/download/ZeroAccess_ReparsePoint.cmd
    (sur le lien - Clic droit / enregistrer la cible du lien sous et mets sur le ton bureau).

    Tu dois donc avoir sur ton bureau ZeroAccess_ReparsePoint.cmd

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    Mets toi sur ta session.

    Sur ZeroAccess_ReparsePoint.cmd
    Clic droit / executer en tant qu'administrateur.
    Une fenêtre noire va s'ouvrir et se fermer.
    Un fichier texte va s'ouvrir, enregistre le sur le bureau (Menu Fichier / Enregistrer sous).

    Redémarre en mode normal.

    Regarde ce que cela donne pour les téléchargements.

    ~~

    Passe un coup d'ESET Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  8. IamLuke Messages postés 17 Statut Membre
     
    Voici le rapport OTL :

    ========== OTL ==========
    File C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll not found.
    Registry value HKEY_USERS\S-1-5-21-2075157169-1054132256-407842318-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}\ not found.

    OTL by OldTimer - Version 3.2.69.0 log created on 06082013_162537

    La suite (redemarrages ...) pour plus tard
    ;)))

    Amicalement
    IamLuke
    0
  9. IamLuke Messages postés 17 Statut Membre
     
    ZeroAccess_ReparsePoint.cmd effectué

    Rapport :
    @echo off
    cd "%PROGRAMFILES%\Windows Defender"
    for %%f in (*.*) do (
    fsutil reparsepoint delete %%f
    )
    fsutil reparsepoint delete "%PROGRAMFILES%\Windows Defender\en-US"
    fsutil reparsepoint delete "%PROGRAMFILES%\Windows Defender\fr-fr"
    dir > %TEMP%\hihi.Txt

    cd "%PROGRAMFILES%\Microsoft Security Client"
    for %%f in (*.*) do (
    fsutil reparsepoint delete %%f
    )
    fsutil reparsepoint delete "%PROGRAMFILES%\Microsoft Security Client\Backup"
    fsutil reparsepoint delete "%PROGRAMFILES%\Microsoft Security Client\Drivers"
    fsutil reparsepoint delete "%PROGRAMFILES%\Microsoft Security Client\en-us"
    fsutil reparsepoint delete "%PROGRAMFILES%\Microsoft Security Client\fr-fr"
    dir >> %TEMP%\hihi.Txt

    notepad %TEMP%\hihi.Txt

    Je n'ai pas compris la phrase : "Regarde ce que cela donne pour les téléchargements. "

    Amicalement
    IamLuke
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est pas bon, là t'as donné le contenu de ZeroAccess_ReparsePoint.cmd
      0
  10. IamLuke Messages postés 17 Statut Membre
     
    Effectivement ... pbm de copié-collé

    Voici le bon rapport : (hihi.txt)

    Le volume dans le lecteur C s'appelle OS
    Le num'ro de s'rie du volume est 6855-DBAE

    R'pertoire de C:\Program Files\Windows Defender

    16/08/2012 22:57 <REP> .
    16/08/2012 22:57 <REP> ..
    15/04/2011 18:22 <REP> fr-FR
    14/07/2009 03:41 10ÿ752 MpAsDesc.dll
    14/07/2009 03:41 571ÿ904 MpClient.dll
    14/07/2009 03:39 190ÿ976 MpCmdRun.exe
    14/07/2009 03:41 314ÿ880 MpCommu.dll
    14/07/2009 03:29 52ÿ224 MpEvMsg.dll
    14/07/2009 03:41 52ÿ224 MpOAV.dll
    14/07/2009 03:41 200ÿ192 MpRTP.dll
    14/07/2009 03:41 1ÿ011ÿ712 MpSvc.dll
    14/07/2009 03:39 961ÿ024 MSASCui.exe
    20/11/2010 15:27 60ÿ928 MsMpCom.dll
    14/07/2009 03:29 4ÿ608 MsMpLics.dll
    14/07/2009 03:41 487ÿ936 MsMpRes.dll
    12 fichier(s) 3ÿ919ÿ360 octets
    3 R'p(s) 585ÿ364ÿ205ÿ568 octets libres
    Le volume dans le lecteur C s'appelle OS
    Le num'ro de s'rie du volume est 6855-DBAE

    R'pertoire de C:\Program Files\Windows Defender

    16/08/2012 22:57 <REP> .
    16/08/2012 22:57 <REP> ..
    15/04/2011 18:22 <REP> fr-FR
    14/07/2009 03:41 10ÿ752 MpAsDesc.dll
    14/07/2009 03:41 571ÿ904 MpClient.dll
    14/07/2009 03:39 190ÿ976 MpCmdRun.exe
    14/07/2009 03:41 314ÿ880 MpCommu.dll
    14/07/2009 03:29 52ÿ224 MpEvMsg.dll
    14/07/2009 03:41 52ÿ224 MpOAV.dll
    14/07/2009 03:41 200ÿ192 MpRTP.dll
    14/07/2009 03:41 1ÿ011ÿ712 MpSvc.dll
    14/07/2009 03:39 961ÿ024 MSASCui.exe
    20/11/2010 15:27 60ÿ928 MsMpCom.dll
    14/07/2009 03:29 4ÿ608 MsMpLics.dll
    14/07/2009 03:41 487ÿ936 MsMpRes.dll
    12 fichier(s) 3ÿ919ÿ360 octets
    3 R'p(s) 585ÿ364ÿ205ÿ568 octets libres

    Amicalement
    IamLuke
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Comment va le PC ?
    0
  12. IamLuke Messages postés 17 Statut Membre
     
    Tout parait opérationnel

    Merci beaucoup
    Amicalement
    IamLuke
    0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    donc ça doit être bon.

    Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Fais des scans réguliers avec, il est efficace.

    Sécurise ton PC !

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    Passe le mot à tes amis !

    ~~

    Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
  14. IamLuke Messages postés 17 Statut Membre
     
    Merci encore,

    IamLuke
    0