[Résolu] Ask Toolbar s'installe même si on refuse

[nanotek]

Bonjour,

 

1 - En faisant un nettoyage avec Regseeker, j'ai utilisé sa fonction "rechercher" dans le registre et il m'a découvert les choses suivantes :

 

HKLM\SYSTEM\ControlSet 001\Services\control\asktb

HKLM\SYSTEM\ControlSet 001\Services\UPS\asktb

HKLM\SYSTEM\ControlSet 003\Services\UPS\asktb

HKLM\SYSTEM\ControlSet 004\Services\UPS\asktb

HKLM\SYSTEM\CurrentControlSet\Services\UPS\asktb

HKLM\SYSTEM\ControlSet004\ENUM\LPTENUM\asktoolbar

HKLM\SYSTEM\CurrentControlSet\ENUM\LPTENUM\asktoolbar

Les termes (asktb et asktoolbar) sont en bleu.

 

2 - A toutes fins utiles, je suis allé dans ma BdR explorer ces clés. => ni asktb ni asktoolbar ne s'y trouvent.

Je suppose donc que ces "asktb / asktoolbar" sont cachés dans ma BdR ?

J'ai utilisé le bouton "supprimer" de Regseeker, mais c'est inopérant, car au boot suivant, tout ré-apparaît. Il y a donc un truc dans mon pc qui les ré-installe !

 

3 - J'ai constaté que les install ou MàJ de petits utilitaires tels que "Recuva", "Foxit Reader" et beaucoup d'autres installaient aussi asktb et asktoolbar, même si on refuse en cochant la case adéquate.

La présence de ces petits machins est donc récurrente. Il serait alors intéressant de disposer d'un outil spécifique pour supprimer automatiquement ces choses là -et seulement celles là- pour soulager un peu les Helpers ?

 

4 - KIS 2010 et MBAM ne trouvent rien.

 

Pouvez me conseiller, car mon pc se traîne depuis quelques jours ?

Merci d'avance

cordialement,

Modifié le 15 avril 2011 par nanotek

[Apollo]

Bonjour,

 

KIS et MBAM ont d'autres chats à fouetter que ces toolbars de merde; beaucoup d'utilisateurs les installent eux-mêmes puis viennent chialer sur les forums. C'est pourtant facile de décocher l'une ou l'autre case que ces fourbes cochent d'avance.

 

Mais c'est vrai que certains programmes gratuits comme Foxit Reader et autres ne laissent même plus le choix.

 

Il faut utiliser Ad-Remover bien à jour.

 

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ad-Remover : Telechargement

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique pour XP, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône Ad-R placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

++

Modifié le 30 mars 2011 par Apollo

[nanotek]

Bonsoir Apollo,

 

merci d'avoir répondu.

Comme je m'y attendais, Ad-Remover ne marche pas chez moi. ( "TeamXscript ne répond pas" ). ça m'est déjà arrivé dans un Topic précédent.

J'ai fait plusieurs tentatives, après nettoyage à la paille de fer et reboot.

En vain.

Par dessus le marché, à la 1ère tentative d'exécution de Ad-R, KIS-2010 a rouspété, comme prévu, mais j'ai autorisé l'exécution. Ce qui n'a pas empêché que figure dans le rapport de KIS une menace intitulée "lien de Phishing"... (alors que c'était R.A.S avant)

Que puis-je faire maintenant ?

cordialement,

[Apollo]

Oui la réaction de Kasper est logique. Mais "phishing" c'est une erreur (FP). (c'est arrivé il n'y a pas si longtemps avec FindyKill - même site).

 

As-tu essayé Ad-Remover en mode sans échec?

 

Si ça n'allait pas non plus, tu peux passer Toolbar S&S.

 

1) Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

 

Ou ici: http://eric71.geekstogo.com/tools/ToolBarSD.exe

 

• Lance l'installation du programme en exécutant le fichier téléchargé.
  
• Double-clique sur le raccourci de Toolbar-S&D.
  
• --> Sous VISTA: clic droit Exécuter en temps qu'administrateur.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  Poste le rapport généré. (C:\TB.txt)

 

--------------------------------------------------------------

2) Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".

 

--> Sous VISTA: clic droit Exécuter en temps qu'administrateur.

Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu dans ta réponse.

 

NB: Si ton Bureau ne réapparaissait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."

Tape explorer puis valide.

 

 

--------------

On verra ce que ça a donné, puis tu feras un ZHPDiag pour voir ce qui pourrait encore traîner dans les parages.

 

--------------

Un autre outil pour les TB en général mais j'avoue que je ne l'ai guère vu à l'oeuvre:

Multi-Toolbar Remover : un logiciel portable pour supprimer les barres d'outils indésirables

 

@++

[nanotek]

bonjour Apollo,

 

Rien n'a pu faire marcher Ad-R, même en Mode sans Echec (et même après déconnexion du réseau et arrêt de KIS). Pourquoi ça ne marche pas chez moi ?

 

J'ai exécuté Toolbar-S&D dont le rapport est ci-dessous. Mais je n'y vois aucune trace de askTB ou askToolbar

 

-----------\\ ToolBar S&D 1.2.9 XP/Vista

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel® Core2 Quad CPU Q6600 @ 2.40GHz )

BIOS : BIOS Date: 11/29/07 10:16:52 Ver: 08.00.12

USER : pc ( Administrator )

BOOT : Normal boot

Antivirus : Kaspersky Internet Security 9.0.0.736 (Activated)

Firewall : Kaspersky Internet Security 9.0.0.736 (Activated)

C:\ (Local Disk) - NTFS - Total:40 Go (Free:30 Go)

D:\ (CD or DVD)

E:\ (Local Disk) - NTFS - Total:425 Go (Free:378 Go)

 

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )

Option : [1] ( 31/03/2011|18:35 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

-----------\\ Extensions

 

(pc) - {0545b830-f0aa-4d7e-8820-50a4629a56fe} => clrtabs

(pc) - {0b457cAA-602d-484a-8fe7-c1d894a011ba} => fireshot

(pc) - {35106bca-6c78-48c7-ac28-56df30b51d2b} => windowsupdate

(pc) - {37E4D8EA-8BDA-4831-8EA1-89053939A250} => pdfdownload

(pc) - {463F6CA5-EE3C-4be1-B7E6-7FEE11953374} => foxytunes

(pc) - {71328583-3CA7-4809-B4BA-570A85818FBB} => cacheviewer

(pc) - {73a6fe31-595d-460b-a920-fcc0f8843232} => noscript

(pc) - {73a6fe31-595d-460b-a920-fcc0f8843232} => noscript

(pc) - {a7c6cf7f-112c-4500-a7ea-39801a327e5f} => fireftp

(pc) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper

(pc) - {c151d79e-e61b-4a90-a887-5a46d38fba99} => pagesaver

(pc) - {DDC359D1-844A-42a7-9AA1-88A850A938A8} => chrome

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

"start page"="http://www.google.fr/"

"Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Default_page_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Search bar"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?linkid=54896"

"Url"="http://go.microsoft.com/fwlink/?LinkID=68928"

"Url"="http://go.microsoft.com/fwlink/?LinkID=44406"

"Url"="http://go.microsoft.com/fwlink/?LinkID=68929"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"start page"="http://fr.msn.com/"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Search bar"="http://search.msn.com/spbasic.htm"

 

--------------------\\ Recherche d'autres infections

 

Aucune autre infection trouvée !

 

1 - "C:\ToolBar SD\TB_1.txt" - 31/03/2011|18:35 - Option : [1]

 

-----------\\ Fin du rapport a 18:35:51,17

 

Comment se fait-il que regseeker décèle des traces de askxxx ?

J'attends bien sûr tes commentaires avant de lancer un ZHPDiags

Est-ce que je suis un "concerné"... ?

Cordialement

[Apollo]

Bonsoir,

 

Bah, si tu n'as pas de manifestation de la toolbar ou du moteur de recherche, je crois que tu n'as pas à t'inquiéter outre-mesure. (les outils auraient réagi).

 

Fais un ZHPDiag si tu veux et héberge le rapport stp.

 

@++

[nanotek]

Bonsoir Apollo,

 

Voici le rapport ZHPDiag

http://www.cijoint.f.../cijHujyk8R.txt

 

Je n'y vois pas grand chose, et en suis très étonné, compte tenu des découvertes de regseeker.

 

Je sais qu'il ne faut pas trop chatouiller la BdR, mais selon toi, dans les découvertes de regseeker ci-dessous, et même si les askxxx n'apparaissent pas dans ma BdR, puis-je supprimer les clés en rouge sans dommage ?

 

HKLM\SYSTEM\ControlSet 001\Services\control\asktb

HKLM\SYSTEM\ControlSet 001\Services\UPS\asktb

HKLM\SYSTEM\ControlSet 003\Services\UPS\asktb

HKLM\SYSTEM\ControlSet 004\Services\UPS\asktb

HKLM\SYSTEM\CurrentControlSet\Services\UPS\asktb

HKLM\SYSTEM\ControlSet004\ENUM\LPTENUM\asktoolbar

HKLM\SYSTEM\CurrentControlSet\ENUM\LPTENUM\asktoolbar

 

cordialement

Modifié le 31 mars 2011 par nanotek

[Apollo]

Re,

 

Quelques restes quand-même.

 

Une analyse MBAM cmplète après mise à jour ne serait pas superflue je crois.

 

Pour ZHPFIX, il y a eu l'un ou l'autre changement; tu verras notamment un bouton "Go" mais dans le fond les manip restent les mêmes qu'avant. (faudra que je modifie légèrement mon canned).

 

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur H

 

[*]Copie-colle les lignes ci-dessous dans la fenêtre

 

 [HKLM\Software\OpenCandy]     
[HKCR\nctaudiocdgrabber2.audiocdgrabber2]    
[HKCR\nctaudiocdgrabber2.audiocdgrabber2.1]   
[HKCR\nctaudiocdgrabber2.freedbinformation2]    
[HKCR\nctaudiocdgrabber2.freedbinformation2.1]     
[HKCR\nctaudiofile2.audiofile2]    
[HKCR\nctaudiofile2.audiofile2.2]     
[HKCR\nctaudiofile2.audiofile2lameenc]    
[HKCR\nctaudiofile2.audiofile2lameenc.1]   
[HKCR\TypeLib\{2996f0e7-292b-4cae-893f-47b8b1c05b56}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKLM\Software\Canneverbe Limited\OpenCandy]    
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]    
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe]   
O51 - MPSK:{6e8e7e38-2d47-11e0-88f9-001e8c870c07}\AutoRun\command - Clé orpheline    
M3 - MFPP: Plugins - [pc] -- C:\Documents and Settings\pc\Application Data\Mozilla\Firefoxrofiles\5b6uthnu.default\searchplugins\sweetim.xml  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]    

 

• Tu cliques sur Tout sélectionner, puis clic-droit -> Copier
  Tu positionnes le curseur dans la zone blanche vide de ZHPFix, puis clic-droit -> Coller

 

[*]Vérifie que toutes les lignes que je t'ai demandé de copier-coller, et seulement ces lignes sont listées dans la fenêtre

 

[*]Clique sur OK puis:

 

[*]Clique sur Tous puis sur Nettoyer

 

[*]Valide par Oui la désinstallation des programmes si demandé

 

[*]Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

 

[*]Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[nanotek]

Re,

 

OK, je fais tout ça attentivement, c'est à dire lentement....

Merci pour ta patience.

 

à demain si tu as encore le temps.

 

Good night

[Apollo]

Avec le temps...

Avec le temps, va, tout s'en va...

 

(Léo Ferré)

 

@++