Infections diverses

Salutation,

1° Après être parti le mois passé en quête de nouveaux logiciels, me voici infecté par plusieurs indésirables. Webcake est la raison "goutte d'eau" de ma présence, surtout après avoir voulu le supprimer via un faux logiciel espion nommé Sphyhunter. N'étant pas un expert je préfère être vivement conseillé.

2° Le gestionnaire de tâche indique ceci: http://www.hostingpics.net/viewer.php?id=350664sdfsdf.png

3° Voici ce que le conséquent rapport de AdwCleaner , sachant que j'ai désinstallé avant sous XP le logiciel via CCleaner et fait un scan de Malwarebytes Anti-Malware ne décelant ... rien (un grand sourire s'impose)

# AdwCleaner v2.304 - Rapport créé le 06/07/2013 à 18:25:34
# Mis à jour le 03/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Whitley - APERTURE
# Mode de démarrage : Normal
# Exécuté depuis : I:\Documents and Settings\Whitley\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\rsk6zvt9.default\Smartbar
Dossier Supprimé : I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\zc4e2h1w.default\extensions\toolbar@ask.com
Dossier Supprimé : I:\Documents and Settings\Whitley\Local Settings\Application Data\Conduit
Dossier Supprimé : I:\Program Files\Conduit
Dossier Supprimé : I:\Program Files\Mozilla Firefox\Extensions\ffxtlbr@babylon.com
Fichier Supprimé : I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\rsk6zvt9.default\searchplugins\babylon1.xml
Fichier Supprimé : I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\rsk6zvt9.default\searchplugins\BrowserProtect.xml
Fichier Supprimé : I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\rsk6zvt9.default\searchplugins\delta.xml
Fichier Supprimé : I:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : I:\WINDOWS\system32\roboot.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\59e88dae634ef41
Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\BI
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\ImInstaller
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Rechercher sur le Web
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKCU\Software\PriceGong
Clé Supprimée : HKCU\Software\SmartBar
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Clé Supprimée : HKLM\Software\IB Updater
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Clé Supprimée : HKLM\Software\PIP
Clé Supprimée : HKLM\Software\Tarma Installer
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www1.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=28F3002275403ADE --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - bProtectTabs] = hxxp://www1.delta-search.com/?affID=119816&tt=gc_&babsrc=NT_ss&mntrId=28F3002275403ADE --> hxxp://www.google.com

-\\ Mozilla Firefox v22.0 (fr)

Fichier : I:\Documents and Settings\NetworkService\Application Data\Mozilla\Firefox\Profiles\b0rc89qc.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\rsk6zvt9.default\prefs.js

I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\rsk6zvt9.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Supprimée : user_pref("extensions.BabylonToolbar.autoRvrt", "false");
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.excTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar.id", "00000000000000000000002275403ade");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15698");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.rvrt", "false");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.8.7.2");
Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.8.7.2");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=44444&tt=231112_9101_5212_3");
Supprimée : user_pref("extensions.BabylonToolbar_i.excTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", false);
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.7.220:21:50");
Supprimée : user_pref("extensions.claro.admin", false);
Supprimée : user_pref("extensions.claro.aflt", "babsst");
Supprimée : user_pref("extensions.claro.appId", "{C3110516-8EFC-49D6-8B72-69354F332062}");
Supprimée : user_pref("extensions.claro.dfltLng", "en");
Supprimée : user_pref("extensions.claro.excTlbr", false);
Supprimée : user_pref("extensions.claro.id", "00000000000000000000002275403ade");
Supprimée : user_pref("extensions.claro.instlDay", "15669");
Supprimée : user_pref("extensions.claro.instlRef", "sst");
Supprimée : user_pref("extensions.claro.prdct", "claro");
Supprimée : user_pref("extensions.claro.prtnrId", "claro");
Supprimée : user_pref("extensions.claro.tlbrId", "irhnew");
Supprimée : user_pref("extensions.claro.tlbrSrchUrl", "");
Supprimée : user_pref("extensions.claro.vrsn", "1.8.3.10");
Supprimée : user_pref("extensions.claro.vrsni", "1.8.3.10");
Supprimée : user_pref("extensions.claro_i.smplGrp", "none");
Supprimée : user_pref("extensions.claro_i.vrsnTs", "1.8.3.104:51:16");
Supprimée : user_pref("extensions.delta.admin", false);
Supprimée : user_pref("extensions.delta.aflt", "babsst");
Supprimée : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Supprimée : user_pref("extensions.delta.autoRvrt", "false");
Supprimée : user_pref("extensions.delta.dfltLng", "en");
Supprimée : user_pref("extensions.delta.excTlbr", false);
Supprimée : user_pref("extensions.delta.ffxUnstlRst", true);
Supprimée : user_pref("extensions.delta.id", "00000000000000000000002275403ade");
Supprimée : user_pref("extensions.delta.instlDay", "15840");
Supprimée : user_pref("extensions.delta.instlRef", "sst");
Supprimée : user_pref("extensions.delta.newTab", false);
Supprimée : user_pref("extensions.delta.prdct", "delta");
Supprimée : user_pref("extensions.delta.prtnrId", "delta");
Supprimée : user_pref("extensions.delta.rvrt", "false");
Supprimée : user_pref("extensions.delta.smplGrp", "none");
Supprimée : user_pref("extensions.delta.tlbrId", "base");
Supprimée : user_pref("extensions.delta.tlbrSrchUrl", "");
Supprimée : user_pref("extensions.delta.vrsn", "1.8.16.16");
Supprimée : user_pref("extensions.delta.vrsnTs", "1.8.16.1612:47:34");
Supprimée : user_pref("extensions.delta.vrsni", "1.8.16.16");
Supprimée : user_pref("extensions.incredibar_i.aflt", "orgnl");
Supprimée : user_pref("extensions.incredibar_i.dfltLng", "");
Supprimée : user_pref("extensions.incredibar_i.did", "10643");
Supprimée : user_pref("extensions.incredibar_i.excTlbr", false);
Supprimée : user_pref("extensions.incredibar_i.id", "00000000000000000000002275403ade");
Supprimée : user_pref("extensions.incredibar_i.installerproductid", "26");
Supprimée : user_pref("extensions.incredibar_i.instlDay", "15698");
Supprimée : user_pref("extensions.incredibar_i.instlRef", "");
Supprimée : user_pref("extensions.incredibar_i.ms_url_id", "");
Supprimée : user_pref("extensions.incredibar_i.newTab", false);
Supprimée : user_pref("extensions.incredibar_i.ppd", "");
Supprimée : user_pref("extensions.incredibar_i.prdct", "incredibar");
Supprimée : user_pref("extensions.incredibar_i.productid", "26");
Supprimée : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Supprimée : user_pref("extensions.incredibar_i.smplGrp", "none");
Supprimée : user_pref("extensions.incredibar_i.tlbrId", "base");
Supprimée : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyYbL4BLA&loc=IB[...]
Supprimée : user_pref("extensions.incredibar_i.upn2", "6OyYbL4BLA");
Supprimée : user_pref("extensions.incredibar_i.upn2n", "92262678240619658");
Supprimée : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Supprimée : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1420:40:09");
Supprimée : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");

Fichier : I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\zc4e2h1w.default\prefs.js

I:\Documents and Settings\Whitley\Application Data\Mozilla\Firefox\Profiles\zc4e2h1w.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Chromium v27.0.1500.0

Fichier : I:\Documents and Settings\Whitley\Local Settings\Application Data\Chromium\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [12180 octets] - [06/07/2013 18:25:34]

########## EOF - I:\AdwCleaner[S1].txt - [12241 octets] ##########


4° J'attends un éventuel éclairage d'un habitué.

Bien à vous,


PS: Rien n'est plus puissant qu'une idée dont le moment est venu.



----------------------------------------------------------------------

5° En espérant que cela simplifie la tâche de tous, je viens de lancer une analyse OTL (tous les utilisations, sous 360 jours) avec le script suivant :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
Pjjoint disponible ici https://pjjoint.malekal.com/files.php?read=OTL_20130706_m15o11v13d6d14