ça rame, ça rame.... Résolu/Fermé

Question

Bonsoir à tous,
j'ai quelques soucis avec mon ordi. Il met des heures à démarrer, les applications sont assez lentes d'exécution, bref ça devient vraiment un tracteur. Je ne suis pas doué du tout en informatique mais un pote m'a dit que "ça sentait le virus et le tojan à plein nez!". Bon, je lui fais confiance mais je ne sais pas du tout comment m'en débarrasser. Je ne crois pas avoir de logiciel installé sur l'ordi pour réparer ça. Pouvez vous m'aidez svp?!

juju666 · Answer

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur CJOINT et donne les liens obtenus en échange

babin63 · Answer

Merci pour ta réponse rapide, je crois avoir tout compris.... Je lance l'analyse, à toute!

juju666 · Answer

Configure-le bien comme sur l'image :)

A toute ;)

babin63 · Answer

Voilà l'analyse est terminée et voici les liens des 2 fichiers de rapports
Je fais quoi maintenant?
Merci pour ton aide!

https://www.cjoint.com/?0FwwdAfJ8v4
https://www.cjoint.com/?0FwwfC3g4xW

juju666 · Answer

Je lis ça, un instant, et je te donne de nouvelles instructions :)

babin63 · Answer

ça roule, bonne lecture!

juju666 · Answer

Attends un truc trop marrant :)

Relance OTL, colle ça :

:Files
reg query "HKEY_CURRENT_USER\Software\hacked" /S /C 

Click Correction et poste le rapport

babin63 · Answer

Ok! Trop marrant??!! Bref! Avec les mêmes config que la première fois?

juju666 · Answer

non non tu colle les 2 lignes et tu clique sur correction directement :)
ça va aller très vite ça me permet juste de voir ce qu'il y a dans cette clé :p

babin63 · Answer

Ok ça part...

nessa170 · Answer

Ton ordinateur est récent ou bien ? Cela pourrait peut-être expliquer ton problème. ;)

babin63 · Answer

Je comprends rien, j'aime pas ça, mais voilà le rapport!

========== FILES ==========
[color=#A23BEC]< reg query "HKEY_CURRENT_USER\Software\hacked" /S /C  >[/color]
HKEY_CURRENT_USER\Software\hacked
    FirstExecution    REG_EXPAND_SZ    23/05/2013 -- 20:27
    NewIdentification    REG_EXPAND_SZ    hacked
    NewGroup    REG_EXPAND_SZ    
C:\Users\jeanluc\Downloads\cmd.bat deleted successfully.
C:\Users\jeanluc\Downloads\cmd.txt deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 06222013_221645

juju666 · Answer

Elle est bidon cette clé ^^

=====================

Désinstalle Mac a fric security bidon

=====================

 &#9654 Télécharge ici: AdwCleaner (de Xplode)

&#9654 Lance-le

&#9654 Clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

babin63 · Answer

Purée tu m'as fait limite peur! J'exécute à plus maestro!

juju666 · Answer

Bah faut pas avoir peur  :) 
 
 .::. Contributeur Sécurité .::.

babin63 · Answer

a pu peur ;-)
voilà le rapport!

# AdwCleaner v2.303 - Rapport créé le 22/06/2013 à 22:26:32
# Mis à jour le 08/06/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : jeanluc - AE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\jeanluc\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\BabylonToolbar
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\freeTVRadio
Dossier Supprimé : C:\Program Files (x86)\interdescargas-FR
Dossier Supprimé : C:\Program Files (x86)\OfferBoxSearch
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\freeTVRadio
Dossier Supprimé : C:\Users\jeanluc\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Dossier Supprimé : C:\Users\jeanluc\AppData\Local\PackageAware
Dossier Supprimé : C:\Users\jeanluc\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\jeanluc\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\jeanluc\AppData\LocalLow\interdescargas-FR
Dossier Supprimé : C:\Users\jeanluc\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\jeanluc\AppData\Roaming\BabylonToolbar
Dossier Supprimé : C:\Users\jeanluc\AppData\Roaming\freeTVRadio
Dossier Supprimé : C:\Users\jeanluc\AppData\Roaming\Mozilla\Firefox\Profiles\lxkjcvfx.default\extensions\ffxtlbr@babylon.com
Dossier Supprimé : C:\Users\jeanluc\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\jeanluc\AppData\Roaming\WebPlayerBdd
Dossier Supprimé : C:\Windows\Installer\{2C8574B5-6935-4FCE-860E-F4E8602378FF}
Dossier Supprimé : C:\Windows\Installer\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\user.js
Fichier Supprimé : C:\Users\jeanluc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\binternet.lnk
Fichier Supprimé : C:\Users\jeanluc\AppData\Roaming\Mozilla\Firefox\Profiles\lxkjcvfx.default\searchplugins\Cherche.xml
Fichier Supprimé : C:\Users\jeanluc\binternet.jar
Fichier Supprimé : C:\Users\jeanluc\errorlog.tmp
Fichier Supprimé : C:\Users\jeanluc\F_ajour.jar
Fichier Supprimé : C:\Users\jeanluc\scriptjava.html
Fichier Supprimé : C:\Users\jeanluc\vers

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\interdescargas-FR
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\freeTVRadio
Clé Supprimée : HKCU\Software\Microsoft\Babylon
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec search-web
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31C322DC-5878-452E-A2D8-C4AAB9973C9A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31C322DC-5878-452E-A2D8-C4AAB9973C9A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Clé Supprimée : HKLM\Software\Classes\Installer\Features\3192AA38321C641458DBDAF83979D193
Clé Supprimée : HKLM\Software\Classes\Installer\Features\64B074831FB9EA045A886FDAD6C1D224
Clé Supprimée : HKLM\Software\Classes\Installer\Features\90C64EA18BA25EE488BF80DCF07F2FFD
Clé Supprimée : HKLM\Software\Classes\Installer\Products\3192AA38321C641458DBDAF83979D193
Clé Supprimée : HKLM\Software\Classes\Installer\Products\64B074831FB9EA045A886FDAD6C1D224
Clé Supprimée : HKLM\Software\Classes\Installer\Products\90C64EA18BA25EE488BF80DCF07F2FFD
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB06155.IEToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB06155.IEToolbar.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2423182
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.TBSB06155
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.TBSB06155.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\freeTVRadio
Clé Supprimée : HKLM\Software\interdescargas-FR
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5832FCAB-6BF9-4BFB-8FB5-BBAB78D7D3A3}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{291BCCC1-6890-484A-89D3-318C928DAC1B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{31C322DC-5878-452E-A2D8-C4AAB9973C9A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5832FCAB-6BF9-4BFB-8FB5-BBAB78D7D3A3}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31C322DC-5878-452E-A2D8-C4AAB9973C9A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{83AA2913-C123-4146-85BD-AD8F93971D39}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\interdescargas-FR Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{31C322DC-5878-452E-A2D8-C4AAB9973C9A}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{31C322DC-5878-452E-A2D8-C4AAB9973C9A}]
Valeur Supprimée : HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel [Homepage]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{31C322DC-5878-452E-A2D8-C4AAB9973C9A}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{31C322DC-5878-452E-A2D8-C4AAB9973C9A}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16611

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=111020&tt=060612_7_&babsrc=HP_ss&mntrId=168fc91300000000000090e6ba7b0fd9 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.search-web.net --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.search-web.net --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Secondary_Page_URL] = hxxp://www.search-web.net --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page_bak] = hxxp://www.search-web.net --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.search-web.net --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Search_URL] = hxxp://www.search-web.net/keyword/ --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = search-web.net --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://search-web.net/results.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&ie=iso-8859-1&oe=iso-8859-1&sa=Rechercher&lang=en&q={searchTerms} --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - SearchAssistant] = hxxp://www.search-web.net --> hxxp://www.google.com
Remplacé : [HKU\S-1-5-21-543864299-1283040606-3268411328-1000\Software\Policies\Microsoft\Internet Explorer\Main - Start Page] = hxxp://seeearch.com/ --> hxxp://www.google.com

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Users\jeanluc\AppData\Roaming\Mozilla\Firefox\Profiles\27m1dv4l.default-1341035170178\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\jeanluc\AppData\Roaming\Mozilla\Firefox\Profiles\lxkjcvfx.default\prefs.js

C:\Users\jeanluc\AppData\Roaming\Mozilla\Firefox\Profiles\lxkjcvfx.default\user.js ... Supprimé !

Supprimée : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Supprimée : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.order.1", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar.babTrack", "affID=111020&tt=060612_7_");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 30);
Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", false);
Supprimée : user_pref("extensions.BabylonToolbar.hmpg", false);
Supprimée : user_pref("extensions.BabylonToolbar.id", "168fc91300000000000090e6ba7b0fd9");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15506");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 30);
Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1718:07:38");
Supprimée : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "13.0");
Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Supprimée : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 79595166);
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1718:07:38");
Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=111020&tt=060612_7_");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "168fc91300000000000090e6ba7b0fd9");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "168fc91300000000000090e6ba7b0fd9");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15506");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?affID=111020&tt=06061[...]
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1718:07:38");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.enabledAddons", "{635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.4.8.20120412011105,f[...]
Supprimée : user_pref("extensions.vshare@toolbar.update.enabled", false);
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?affID=111020&tt=060612_7_&babsrc=KW_ss&mntrId=1[...]
Supprimée : user_pref("vshare.install.laststatreq", "1332806400000");

-\ Google Chrome v27.0.1453.116

Fichier : C:\Users\jeanluc\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [19401 octets] - [22/06/2013 22:26:32]

########## EOF - C:\AdwCleaner[S1].txt - [19462 octets] ##########

juju666 · Answer

Parfait :)

Relance AdwCleaner clique sur Désinstaller

======================


 &#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

babin63 · Answer

Oh punaise, je suis pas couché en gros!! Merci pour ce que tu fais c'est cool, je fais ça tout de suite :-) à toute

juju666 · Answer

Lol si tu veux tu peux laisser MBAM tourner pendant la nuit et me poster le rapport demain :)

babin63 · Answer

c'est si long que ça!!!!!!!!

babin63 · Answer

Bonjour!
Et voilà, bien dormi et rapport MBAM au rapport!

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.22.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
jeanluc :: AE [administrateur]

22/06/2013 22:52:22
mbam-log-2013-06-22 (22-52-22).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 406934
Temps écoulé: 2 heure(s), 56 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\hacked (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\Software\hacked|FirstExecution (Backdoor.Trace) -> Données: 23/05/2013 -- 20:27 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Users\jeanluc\Downloads\Megaplayer(1).exe (Adware.Seeearch) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jeanluc\Downloads\Megaplayer.exe (Adware.Seeearch) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jeanluc\Downloads\rk_uninstall(1).exe (Keylogger.Logixoft) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jeanluc\Downloads\rk_uninstall.exe (Keylogger.Logixoft) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jeanluc\Downloads\WebPlayerv21.exe (Adware.Dropper) -> Mis en quarantaine et supprimé avec succès.

(fin)

juju666 · Answer

Hello 
VU

Relance OTL, clique sur Analyse rapide 
Quand le rapport OTL.txt est élaboré héberge-le et donne le lien obtenu en échange

babin63 · Answer

quel talent! ça marche déjà beaucoup mieux comme ça!
je lance la suite, à toute ;-)

babin63 · Answer

voilà le rapport de l'analyse rapide. C'est clean docteur?!

	https://www.cjoint.com/?3FxqkjoDrJW

juju666 · Answer

Vire ces dossiers : (faudra afficher tes fichiers et tes dossiers cachés )

C:\Users\jeanluc\AppData\Roaming\Windir    
C:\Users\jeanluc\AppData\Roaming\168FC913      

=================

Faudra aussi reparamètrer google chrome et vire babylon, voir aide : https://www.malekal.com/reparer-google-chrome/?t=35837&start=

babin63 · Answer

d'ac
Google chrome je m'en sers pas je peux le supprimer aussi.

Et après ça c'est fini?

juju666 · Answer

Ah ouais désinstalle-le alors :)
Sert à rien de conserver des trucs qu'on utilise pas.

Après ça y'a les petits conseils de finalité :

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Fais des scans réguliers avec Malwarebytes il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

babin63 · Answer

Super!! Merci à toi et à tous ceux qui contribuent à nous dépanner!!
Encore merci, tchao!!

juju666 · Answer

Eh lis bien hein :)

ça rame, ça rame....

29 réponses

Discussions similaires