Sujet Précédent Sujet Suivant

NationZoom & cie

Fermé
passito - 15 janv. 2014 à 17:22
kuyuh Messages postés 9 Date d'inscription samedi 29 octobre 2005 Statut Membre Dernière intervention 2 mars 2014 - 1 mars 2014 à 20:08
Bonjour,

je viens vous voir car on m'a chargé de "supprimer le virus" sur cet ordinateur. C'est mon père qui a téléchargé un programme sur internet, ce dernier installant surement nombre de virus ainsi que la fameuse page internet "nation zoom".

Donc je me suis déja un peu renseigné et j'ai téléchargé AdwClearner, et j'ai fait le scan. Voici le rapport :

----------------------------------------------

# AdwCleaner v3.017 - Rapport créé le 27/12/2013 à 17:12:29
# Mis à jour le 12/01/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Daniel - DANIEL-PC
# Exécuté depuis : C:\Users\Daniel\supprvirus\adwcleaner-3.017.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : Software_update
[#] Service Supprimé : Software_update_m
Service Supprimé : Wpm

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\BoxUpdChk
Dossier Supprimé : C:\ProgramData\WPM
Dossier Supprimé : C:\Program Files (x86)\BabylonToolbar
Dossier Supprimé : C:\Program Files (x86)\Boxore
Dossier Supprimé : C:\Program Files (x86)\MyPC Backup
Dossier Supprimé : C:\Users\Daniel\AppData\Local\lollipop
Dossier Supprimé : C:\Users\Daniel\AppData\Local\Temp\BabylonToolbar
Dossier Supprimé : C:\Users\Daniel\AppData\Local\Temp\Iminent
Dossier Supprimé : C:\Users\Daniel\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Daniel\AppData\Roaming\goforfiles
Dossier Supprimé : C:\Users\Daniel\AppData\Roaming\OpenCandy
Dossier Supprimé : C:\Users\Daniel\Documents\optimizer pro
Dossier Supprimé : C:\Program Files (x86)\Software
Dossier Supprimé : C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
Dossier Supprimé : C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo
Dossier Supprimé : C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa
Fichier Supprimé : C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\syfntdax.default\Extensions\***@***
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\nationzoom.xml
Fichier Supprimé : C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\syfntdax.default\user.js
Fichier Supprimé : C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
Fichier Supprimé : C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ifohbjbgfchkkfhphahclmkpgejiplfo_0.localstorage
Fichier Supprimé : C:\Windows\System32\Tasks\BoxSoftwareUpdate
Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job
Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineCore
Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job
Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineUA

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
Raccourci Désinfecté : C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Raccourci Désinfecté : C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Raccourci Désinfecté : C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
Raccourci Désinfecté : C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\GoforFiles_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\GoforFiles_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Boxore Client]
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=3
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=9
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{1B97A696-5576-43AC-A73B-E1D2C78F21E8}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{75BF416E-4326-45B5-8A2D-AE32D05B930B}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\Boxore
Clé Supprimée : HKCU\Software\GoforFiles
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\Software\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\BabylonToolbar
Clé Supprimée : HKLM\Software\Boxore
Clé Supprimée : HKLM\Software\GoforFiles
Clé Supprimée : HKLM\Software\Iminent
Clé Supprimée : HKLM\Software\nationzoomSoftware
Clé Supprimée : HKLM\Software\supWPM
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CA2B24FD-EE10-42B9-B049-AA80268E7E21}
Clé Supprimée : HKLM\Software\Classes\Installer\Features\DF42B2AC01EE9B240B94AA0862E8E712
Clé Supprimée : HKLM\Software\Classes\Installer\Products\DF42B2AC01EE9B240B94AA0862E8E712

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16428

Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\syfntdax.default\prefs.js ]

Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://www.nationzoom.com/newtab/?type=nt&ts=1387023538&from=tugs&uid=HitachiXHDS721010CLA332_JP9930HZ0A4DKH0A4DKHX");
Ligne Supprimée : user_pref("browser.search.order.1", "Search the web (Babylon)");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Ligne Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.excTlbr", false);
Ligne Supprimée : user_pref("extensions.BabylonToolbar.id", "b0e0c9a300000000000068a3c45b1836");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15640");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=b0e0c9a300000000000068a3c45b1836&q=");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.8.3.8");
Ligne Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.8.3.8");
Ligne Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", true);
Ligne Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://isearch.babylon.com/?affID=116222&tt=4312_4&babsrc=NT_ss&mntrId=b0e0c9a300000000000068a3c45b1836");
Ligne Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Ligne Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.3.813:05:39");
Ligne Supprimée : user_pref("keyword.URL", "hxxp://isearch.babylon.com/?affID=116222&tt=4312_4&babsrc=KW_ss&mntrId=b0e0c9a300000000000068a3c45b1836&q=");

-\\ Google Chrome v31.0.1650.63

[ Fichier : C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée : homepage
Supprimée : search_url
Supprimée : keyword
Supprimée : urls_to_restore_on_startup

*************************

AdwCleaner[R0].txt - [12485 octets] - [27/12/2013 17:11:14]
AdwCleaner[S0].txt - [10108 octets] - [27/12/2013 17:12:29]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [10169 octets] ##########

Que dois-je faire ensuite ? Merci d'avance pour votre aide.

A+, passito.

10 réponses

Réponse 1 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
15 janv. 2014 à 17:23
Salut,

Probleme réglé?
0
Réponse 2 / 10
passito
15 janv. 2014 à 17:43
salut, nation zoom a disparu mais je suppose que l'ordi est plein de virus,
donc j'aimerai bien analyser tout ca mais je ne sait pas par ou commencer, en tout cas le nationzoom a disparu.
Que dois-je télécharger pour voir toutes les infections ?
Merci d'avance
0
Réponse 3 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
15 janv. 2014 à 17:43
Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

Et enfin un scan HijackThis :
================================

- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

0
Réponse 4 / 10
passito
15 janv. 2014 à 18:00
Ok donc les extensions firefox :

"adobe acrobat - Create PDF 2.0 (désactivé)"
"Widget context 3.0.0.0 (désactivé)"

et les extensions chrome:

"adobe acrobat - Créer un fichier PDF 11.0.0.379"
"Documents Google 0.5"
"Smart Dispay 1.6"
"Widget context 3.0"

et voici le lien du hijackthis

http://pjjoint.malekal.com/files.php?read=HijackThis_20140115_z5w14y9v9n6
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
15 janv. 2014 à 18:24
supprime :
"Smart Dispay 1.6"
"Widget context 3.0"

Désinstalle :
McAfee Security Scan - sert à rien.


vois ce que cela donne.
0
Réponse 6 / 10
passito
16 janv. 2014 à 00:09
Bonsoir

Le bouton "supprimer" n'apparait pas pour supprimer l'extension "widget context" dans firefox. Tous les autres navigateurs semblent agir normalement

Sinon, le scan hijackthis est normal ? Y'aurait un autre outil qui pourrait detecter d'eventuels virus que hijackthis ne voie pas ?
0
Réponse 7 / 10
passito
16 janv. 2014 à 01:47
re-bonsoir,

j'ai fait un scan avec "ZHPDiag" comme beaucoup le conseillent, et il s'avere qu'il reste plusieurs infections sur l'ordi :

http://pjjoint.malekal.com/files.php?read=ZHPDiag_20140116_t15r14x9r5t13

ca me paraissait trop beau pour etre vrai que y'ai plus rien sur l'ordi lol
0
Réponse 8 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2014 à 08:18
ZHPDiag ne sert à rien dans ton cas et il a tendance à trouver plein de trucs (clefs dans le registre etc), ce qui n'est pas synonyme d'infection active.

Les boutons supprimer ne sont pas actifs car les extensions mentionnées sont désactivées?
0
Réponse 9 / 10
passito
16 janv. 2014 à 13:30
oui les extensions sont désactivées.
Maintenant moi j'aimerai bien savoir pourquoi tu dis que le scan zhpdiag ne sert a rien car il trouve quand meme des executables sur le pc qui sont des virus

~ http://nicolascoolman.webs.com/apps/blog/show/38737316-pup-wpmanager =>PUP.WpManager
~ http://nicolascoolman.webs.com/apps/blog/show/26626977-adware-boxore =>Adware.Boxore
~ http://nicolascoolman.webs.com/apps/blog/show/26627369-toolbar-babylon =>PUP.Babylon
~ http://nicolascoolman.webs.com/apps/blog/show/27229962-adware-predictad =>Adware.PredictAd

C:\Users\Daniel\AppData\Local\Temp\BoxoreInstaller.exe =>Adware.Boxore^
C:\Users\Daniel\AppData\Local\Temp\pricepeep_1.exe =>Adware.PricePeep^
C:\Users\Daniel\AppData\Local\Temp\toolbar1417516064.exe =>PUP.Babylon^
C:\Users\Daniel\AppData\Local\Temp\uninstall1327708.exe =>P2P.GoforFiles^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2014 à 13:42
Parce que ZHPDiag est trop sensible.
Ce sont des fichiers isolés dans le dossier Temp.

Ton PC n'est pas infecté.
0
Réponse 10 / 10
kuyuh Messages postés 9 Date d'inscription samedi 29 octobre 2005 Statut Membre Dernière intervention 2 mars 2014
1 mars 2014 à 20:08
Bonjour Passito, au cas où, j'ai trouvé comment se débarrasser de "widget context" dans firefox.
Ici:
https://forums.commentcamarche.net/forum/affich-29793997-module-widget-context-dans-firefox#4
0

Discussions similaires

encore PayPal ...est-ce une arnaque ?
erwin16 -
sissi12 -

2 réponses
Virement paypal
Cherine.melisa -
Utilisateur anonyme -

2 réponses
paypal prélèvement suspect
islandpie -
marie6claude -

3 réponses
prelèvement frauduleux sur paypal
kenpachi07 -
Kro -

18 réponses
Prélèvement Amazon inconnus
Pierre67_ -
bazfile -

2 réponses