Infection par Delta toolbarRésolu/Fermé

Question

Bonjour à tous je poste sur ce forum pour la première fois. 
Il faut bien un début à tout même si j'aurais preférè que ce soit dans d'autres circonstances.
Mon problème étant le suivant : Suite à un téléchargement j'ai par inadvertance téléchargé Delta Toolbar le problème étant que désormais j'ai beau le supprimer il revient toujours c'est tenace ces choses là :s 
Au passage je voulais savoir si vous pouviez m'aider à remettre aux propres mon pc c'est à dire faire un grand coup de ménage si possible.
Je vous remercie d'avance de l'attention que vous porterez à mon problème.
Bonne journée à tous et excusez moi pour les fautes :)

2011N2 · Answer

Bonjour,

Passe AdwCleaner et poste moi le rapport : http://www.forum-entraide-informatique.com/support/adwcleaner-tutoriel-t875.html

Gabriel.

oznich · Answer

Voilà ce que ça me donne :)



# AdwCleaner v3.001 - Rapport créé le 26/08/2013 à 11:40:57
# Mis à jour le 24/08/2013 par Xplode
# Système d'exploitation : Windows 8  (64 bits)
# Nom d'utilisateur : ben - MSI-16
# Exécuté depuis : C:\Users\jeanm_000\Downloads\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****

Service Présent : BrowserDefendert

***** [ Fichiers / Dossiers ] *****

Dossier Présent C:\ProgramData\Babylon
Dossier Présent C:\ProgramData\boost_interprocess
Dossier Présent C:\ProgramData\BrowserDefender
Dossier Présent C:\Users\jeanm_000\AppData\Local\EoRezo
Dossier Présent C:\Users\jeanm_000\AppData\Local\EoRezo
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\BabSolution
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\BabSolution
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\Babylon
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\Babylon
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\cacaoweb
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\cacaoweb
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
Dossier Présent C:\Users\jeanm_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
Fichier Présent : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data
Fichier Présent : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data
Fichier Présent : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences
Fichier Présent : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences
Fichier Présent : C:\Users\jeanm_000\Desktop\cacaoweb.exe
Fichier Présent : C:\Users\jeanm_000\Desktop\cacaoweb.exe

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKCU\Software\5c28b8fe66ee414
Clé Présente : HKCU\Software\BabSolution
Clé Présente : HKCU\Software\Boxore
Clé Présente : HKCU\Software\cacaoweb
Clé Présente : HKCU\Software\DataMngr
Clé Présente : HKCU\Software\DataMngr_Toolbar
Clé Présente : HKCU\Software\Delta
Clé Présente : HKCU\Software\InstallCore
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKCU\Software\Tutorials
Clé Présente : HKCU\Software\TutoTag
Clé Présente : [x64] HKCU\Software\BabSolution
Clé Présente : [x64] HKCU\Software\Boxore
Clé Présente : [x64] HKCU\Software\cacaoweb
Clé Présente : [x64] HKCU\Software\DataMngr
Clé Présente : [x64] HKCU\Software\DataMngr_Toolbar

oznich · Answer

Du coup je sais pas s'il y a un rapport mais en gros il y a un message qui apparaît en boucle: "an attempt to replace your homepage settings has been blocked"

2011N2 · Answer

Re,

Où est ce message ?

D'une part le rapport n'est pas complet, et d'autre part j'avais demandé le mode Nettoyer. :)

Gabriel.

oznich · Answer

Oups excuse moi j'avais pas compris qu'il fallait que je nettoie avant (-.-)
J'espére que c'est ça

# AdwCleaner v3.001 - Rapport créé le 26/08/2013 à 12:26:29
# Mis à jour le 24/08/2013 par Xplode
# Système d'exploitation : Windows 8  (64 bits)
# Nom d'utilisateur : ben - MSI-16
# Exécuté depuis : C:\Users\jeanm_000\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

Service Supprimé : BrowserDefendert

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\BrowserDefender
Dossier Supprimé : C:\Users\jeanm_000\AppData\Local\EoRezo
Dossier Supprimé : C:\Users\jeanm_000\AppData\Roaming\BabSolution
Dossier Supprimé : C:\Users\jeanm_000\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\jeanm_000\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\jeanm_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
Fichier Supprimé : C:\Users\jeanm_000\Desktop\cacaoweb.exe
Fichier Supprimé : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data
Fichier Supprimé : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Main [bprotector start page]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKCU\Software\5c28b8fe66ee414
Clé Supprimée : HKLM\SOFTWARE\5c28b8fe66ee414
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\BabSolution
Clé Supprimée : HKCU\Software\Boxore
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\DataMngr
[#] Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\Delta
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\TutoTag
Clé Supprimée : HKLM\Software\Boxore
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\Delta
Clé Supprimée : HKLM\Software\Iminent
Clé Supprimée : HKLM\Software\Tuto4PC
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - c:\progra~3\browse~1\261562~1.220\{c16c1~1\browse~1.dll

***** [ Navigateurs ] *****

-\ Internet Explorer v10.0.9200.16660


-\ Google Chrome v29.0.1547.57

[ Fichier : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\preferences ]


[ Fichier : C:\Users\jeanm_000\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [4847 octets] - [26/08/2013 11:40:57]
AdwCleaner[S0].txt - [3554 octets] - [26/08/2013 12:26:29]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [3614 octets] ##########

2011N2 · Answer

Re,

Oui c'est bon. :)

Maintenant passe Junkware Removal Tool comme ceci : http://www.forum-entraide-informatique.com/support/junkware-removal-tool-tutoriel-t8260.html

Gabriel.

oznich · Answer

Voila le lien :)

https://www.cjoint.com/?3HAm1Qr3hmj

2011N2 · Answer

Re,

Ok, fais un diagnostic de ton PC avec ZHPDiag comme ceci : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html
Poste moi le rapport hébergé sur cjoint.

Gabriel.

oznich · Answer

voila la suite 
https://www.cjoint.com/?3HAneSWVVrM

2011N2 · Answer

Re,

Souhaites-tu conserver les barres d'outils Avast et Google ?

Gabriel.

oznich · Answer

Si ce n'est pas spécialement nécessaire ça ne me derange pas de les supprimées.
J'utilise juste google chrome

2011N2 · Answer

Re,

Oui pas de souci je vais pas toucher à Chrome. :)

Fais ZHPFix comme ceci avec ces lignes.

Gabriel.

oznich · Answer

Faut il supprimer la ligne Ci joint qui est dans ZHPFix ou sinon coller les lignes que vous m'avez envoyé juste en dessous ?

2011N2 · Answer

Non tu ouvres ce lien : https://dl.dropboxusercontent.com/u/32869654/Pour%20oznich.txt
Et tu copies tout ce qui est dedans (Ctrl + A puis Ctrl + C).

Gabriel.

oznich · Answer

Voilà 
https://www.cjoint.com/?3HAnJM9tKU0

2011N2 · Answer

Re,

Très bien.
Fais un examen complet sur tous les disques avec MBAM. Tu supprimeras les éléments détectés et me posteras le rapport : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html

Gabriel.

oznich · Answer

Voilà c'est fait cela a pris un peu de temps :)

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.08.26.02

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16660
ben :: MSI-16 [administrateur]

Protection: Activé

26/08/2013 13:47:00
mbam-log-2013-08-26 (13-47-00).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 808173
Temps écoulé: 2 heure(s), 32 minute(s), 42 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

2011N2 · Answer

Re,

Ok comment se comporte le PC ?
Fais moi un dernier ZHPDiag pour voir si tout est ok.
Après, il nous restera encore à finaliser.

Gabriel.

oznich · Answer

Malware me dit qu'il a bloqué certains intrusions. Aprés je pense que  j'ai du subir une infection de certains virus.

https://www.cjoint.com/?3HBkrwjNSeK mais voilà le rapport de ZHPDiag :)

2011N2 · Answer

Salut,

Ok refais ZHPFix avec ces lignes.

Gabriel.

oznich · Answer

Rapport de ZHPFix 2013.8.25.1 par Nicolas Coolman, Update du 25/08/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-27-08-2013-14-21-24.txt
Run by ben at 27/08/2013 14:21:24
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit  (Build 9200)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: startertv_fr_8
ABSENT [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:startertv_fr_8


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 26/08/2013 12:33:30 [16286]
C:\ZHP\ZHPFix[R2].txt - 27/08/2013 14:21:24 [784]


Voilà le rapport :)

2011N2 · Answer

Re,

Ok comment se comporte le PC ?

Gabriel.

oznich · Answer

A première vue ça va je pense qu'il n'y  pas trop de problèmes il a l'air "normal" :)

oznich · Answer

J'ai fait une analyse anti virus avec l'edition gratuite de Avast en minutieux à priori il n'y a rien de suspect

oznich · Answer

En faites je viens d'avoir un message qui disait :
"Blocage reussi d'un site web malveillant"

2011N2 · Answer

Re,

Tu as le lien du site en question ?
Tu naviguais sur le web à ce moment là ?

À priori ce n'est pas grave. ;)

Gabriel.

oznich · Answer

Non je n'ai pas le lien mais par contre oui je naviguais sur internet sur des sites de jeux vidéo (world of warcraft, jeuxvideo.com ou autre) ^^

oznich · Answer

Le site en question qui a dy s'ouvrir est peut-être 
tps://dl.dropboxusercontent.com/u/32869654/Pour%20oznich2.txt
dl.dropboxusercontent.com
Car ce site ne me dit rien du tout

2011N2 · Answer

C'est Dropbox, un hébergeur, et c'est la page de script que je t'ai donnée^^

Sinon pas d'autre problème on peut commencer à finaliser ?

Gabriel.

oznich · Answer

ah ouiii ^^^
Du coup je pense qu'on peut finaliser :)

2011N2 · Answer

Pas de problème, voici la procédure : http://www.forum-entraide-informatique.com/support/finalisation-t8237.html

Tiens moi au courant de ton avancée au fur et à mesure. :)

Gabriel.

oznich · Answer

Voila le rapport de Delfix 

# DelFix v10.4 - Rapport créé le 27/08/2013 à 17:19:20
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : ben - MSI-16
# Système d'exploitation : Windows 8  (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\jeanm_000\Desktop\JRT.txt
Supprimé : C:\Users\jeanm_000\Desktop\ZHPDiag.txt
Supprimé : C:\Users\jeanm_000\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\jeanm_000\Downloads\adwcleaner.exe
Supprimé : C:\Users\jeanm_000\Downloads\JRT.exe
Supprimé : C:\Users\jeanm_000\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########

2011N2 · Answer

Re,

C'est bon aussi pour Security Check.

Tu as terminé toute la procédure ?
As-tu des questions sur la désinfection ?

Gabriel.

oznich · Answer

A priori non donc là du coup l'ordinateur est normalement purgé ?

2011N2 · Answer

Si tu veux dire sans infection, propre, oui. ;)

Gabriel.

oznich · Answer

bon bah nan alors je n'ai plus du tout de question en tout cas je vous remercie et ça me rassure désormais :)

Infection par Delta toolbar

36 réponses

Discussions similaires

Newsletters