[Résolu] Piratage de Firefox et Internet Explorer

[fildariange]

RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: webmail http://webmail.ovh.net

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 14:54:50 le 12/06/2012, Mode normal

 

Microsoft Windows 7 Professionnel Service Pack 1 (X86)

Solange Demeure@PC-DE-SOLANGEDE (Dell Inc. XPS M1330)

 

============== ACTION(S) ==============

 

 

 

(!) -- Fichiers temporaires supprimés.

 

 

Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [4.0.1 (fr)] ****

 

HKLM_MozillaPlugins\@mcafee.com/SAFFPlugin (x)

HKLM_MozillaPlugins\Adobe Reader (x)

Searchplugins\babylon.xml (hxxp://search.babylon.com/)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Searchplugins\McSiteAdvisor.xml ( hxxp://search.yahoo.com/search)

Components\browsercomps.dll (Mozilla Foundation)

Extensions - "[email protected]" (?)

Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype Click to Call)

HKLM_Extensions|{4ED1F68A-5463-4931-9384-8FFF5ED91D92} - C:\Program Files\McAfee\SiteAdvisor

 

-- C:\Users\Solange Demeure\AppData\Roaming\Mozilla\FireFox\Profiles\3i4eok2q.default --

Extensions\[email protected] (Babylon)

Extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} (DealPly)

Prefs.js - browser.download.dir, C:\\Users\\Solange Demeure\\Downloads

Prefs.js - browser.download.lastDir, C:\\Users\\Solange Demeure\\Desktop

Prefs.js - browser.search.defaultenginename, Search the web (Babylon)

Prefs.js - browser.search.defaulturl, hxxp://www.bing.com/search?FORM=WLETDF&PC=WLEM&q=

Prefs.js - browser.search.selectedEngine,

Prefs.js - browser.startup.homepage, hxxp://search.babylon.com/?affID=110819&tt=060612_8_&babsrc=HP_ss&mntrId=fc5956f60000000000000...

Prefs.js - browser.startup.homepage_override.buildID, 20110413222027

Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

Prefs.js - keyword.URL, hxxp://search.babylon.com/?affID=110819&tt=060612_8_&babsrc=KW_ss&mntrId=fc5956f6000000000000001f3c8ce5ce&q...

 

========================================

 

**** Internet Explorer Version [9.0.8112.16421] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_URLSearchHooks|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - "McAfee SiteAdvisor Toolbar" (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=cUB3pvorFCcdr5sAD_Qsyay7ti4?q={searchTerms})

HKLM_Toolbar|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files\Microsoft\BingBar\7.1.382.0\BingExt.dll") (x)

HKLM_Toolbar|{98889811-442D-49dd-99D7-DC866BE87DBC} (C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll)

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\system32\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\system32\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{442E3CEB-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)

HKLM_ElevationPolicy\{7f53e9e1-fcf1-4560-9143-8d6528784a70} - C:\Program Files\Microsoft\BingBar\7.1.382.0\BingBar.exe (Microsoft Corporation.)

HKLM_ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe (Babylon Ltd.)

HKLM_ElevationPolicy\{b1b9682a-a114-4c87-b29a-18b340ae927c} - C:\Program Files\Microsoft\BingBar\7.1.382.0\BingApp.exe (Microsoft Corporation.)

HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC5F} - c:\Program Files\McAfee\SiteAdvisor\McSACore.exe (McAfee, Inc.)

HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC6F} - c:\Program Files\McAfee\SiteAdvisor\saUI.exe (McAfee, Inc.)

HKLM_ElevationPolicy\{F365CC6C-656A-4108-8CF0-16DF98696395} - C:\Program Files\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe (?)

HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)

BHO\{2EECD738-5844-4a99-B4B6-146BF802613B} - "Babylon toolbar helper" (C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll)

BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll)

BHO\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - "DealPly" (C:\Program Files\DealPly\DealPlyIE.dll)

BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype Browser Helper" (C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} - "McAfee SiteAdvisor BHO" (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\Program Files\Dell\BAE\BAE.dll)

BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" (C:\Program Files\Microsoft\BingBar\7.1.382.0\BingExt.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 12/06/2012 14:50:40 (6567 Octet(s))

C:\Ad-Report-CLEAN[2].txt - 12/06/2012 15:01:42 (6132 Octet(s))

 

Fin à: 15:02:36, 12/06/2012

 

============== E.O.F ==============

[Apollo]

Fais un nouveau scan avec ZHPDiag, je rappelle la procédure mais ne le re-télécharge pas, puisque tu l'as déjà.

 

 

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*] Clique à droite sur le petit tournevis et coche "TOUS".

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[fildariange]

Lien CJoint.com BFmqadaGqnM

[Apollo]

Pas grand-chose à se mettre sous la dent dans ce rapport; je ne vois pas le pourquoi de la "renaissance" de Babylone.

Si cela persistait, il faudra que je contacte le développeur de l'outil AdwCleaner.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[MD5.2D79A30E0F0814CC770B366DF97F9140] [APT] [RNUpgradeHelperResumePrompt_Solange Demeure] (.RealNetworks, Inc..) -- C:\Users\Solange Demeure\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\9.11\rnupgagent.exe    
[MD5.00000000000000000000000000000000] [APT] [{F09249D7-2745-45CE-99E0-D16845BAFA7C}] (...) -- C:\Users\Solange Demeure\Downloads\PDFCreator-Setup.exe (.not file.)    
O61 - LFC:Last File Created 12/06/2012 - 10:55:07 ---A- C:\Users\Solange Demeure\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\9.11\rnupgagent.exe   [317080]    
Firewallraz
emptytemp
emptyflash   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

 

------------------

Fais ce scan en ligne stp:

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
   
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
   
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
   
  NB: Tu peux également désinstaller eset online par ajout/suppression de programmes (xp), ou programmes et fonctionnalités sous Vista/7 ou alors via le dossier eset qui est sur le C:\ qui contient un fichier unins ou uninstall.exe à exécuter.
   
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

@++

[fildariange]

Merci pour ton aide; pour le moment je ne vois plus ce babylon nulle part. J'attends demain pour voir s'il réapparait et alors

je ferai ce que tu suggères. Mon firefox est revenu "tout vierge" et même mon réseau sans fil a dû être réparé (sans souci) car

il ne fonctionnait plus. Maintenant tout fonctionne; wait and see....

Bonne soirée et je fais la pub sur ma page facebook !

[Dylav]

Bonjour Fildariange,

 

Dès que tu considéreras que la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet.

 

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.

[Apollo]

Bonjour Dylav

 

Avant de clôturer, je demande toujours de vérifier les mises à jour des applications.

 

Fildariange, fais ce qui suit stp pour la sécurité de ton ordi. C'est indispensable.

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

 

@++

[fildariange]

Lien CJoint.com 3FnnhZDTvnD

Bonjour

Merci pour tout.

Ci-dessus le rapport java (au cas où....).

J'ai effectué les mises à jours et téléchargements suggérés.

Avant d'indiquer "résolu" je me laisse encore quelques jours d'attente (on ne sait jamais )

[Dylav]

Dylav, Avant de clôturer, je demande toujours de vérifier les mises à jour des applications.

Vu, Apollo…

 

Avant d'indiquer "résolu" je me laisse encore quelques jours d'attente (on ne sait jamais )

Vu, Fildariange…

[fildariange]

Bonjour

Je ne vois pas comment indiquer "résolu" ; à ce jour rien de méchant à signaler

Donc je peux considérer que c'est résolu.

Encore merci

Fildariange