Ads.regiedepub.com avec HijackThis

[Hellea]

Bonjour,

 

Je suis nouvelle et je m'excuse par avance si jamais je post au mauvais endroit !

 

Voici mon problème, j'ai une page qui s'ouvre sans cesse, avec comme adresse ce lien:

 

http://ads.regiedepub.com/cgi-bin/advert/getads?x_dp_id=1225

 

J'ai lancé Hijack voici mon rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:53:51, on 26/06/2012

Platform: Unknown Windows (WinNT 6.01.3505 SP1)

MSIE: Internet Explorer v9.00 (9.00.8112.16446)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskhost.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\PenWes\penwes.exe

C:\Windows\System32\rundll32.exe

C:\Users\DIVEXP\AppData\Roaming\Tuto4pc\Tuto4pc\UpdateTuto4PCHP.exe

C:\Program Files\IDT\WDM\sttray.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe

C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\WavXDocMgr.exe

C:\Program Files\DellTPad\Apoint.exe

C:\Program Files\Microsoft Security Client\msseces.exe

C:\Windows\WindowsMobile\wmdcBase.exe

C:\Program Files\Tuto4pc\tuto4pc.exe

C:\Program Files\Dell\Dell System Manager\DCPSysMgr.exe

C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmNotify.exe

C:\Program Files\DellTPad\ApMsgFwd.exe

C:\Program Files\DellTPad\Apntex.exe

C:\Windows\system32\conhost.exe

C:\Program Files\DellTPad\HidFind.exe

C:\Windows\system32\igfxext.exe

C:\Windows\system32\igfxsrvc.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Windows\system32\taskhost.exe

C:\Windows\system32\StikyNot.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_262.exe

C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_262.exe

C:\Users\DIVEXP\AppData\Local\Temp\01net\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dell | MSN

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail.fr, Messenger, Skype, Actualité, Sport, People, Femmes - MSN France

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail.fr, Messenger, Skype, Actualité, Sport, People, Femmes - MSN France

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Tuto4pcBHO - {0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA} - C:\Program Files\Tuto4pc\Tuto4pcBHO.dll

O2 - BHO: CrossriderApp0004479 - {11111111-1111-1111-1111-110011441179} - C:\Program Files\Giant Savings\Giant Savings.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll

O2 - BHO: BHO_PROJECT - {DB26DEC7-5D32-4608-BB28-ED22fAE7647A} - C:\Program Files\OApps\bho_project.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [sysTrayApp] C:\Program Files\IDT\WDM\sttray.exe

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [iAStorIcon] C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe

O4 - HKLM\..\Run: [WavXMgr] C:\Program Files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe

O4 - HKLM\..\Run: [uSCService] C:\Program Files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe

O4 - HKLM\..\Run: [VDownloader] C:\Program Files\VDownloader\VDownloader.exe /silent

O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe

O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey

O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdcBase.exe

O4 - HKLM\..\Run: [Tutorials] "C:\Program Files\Tuto4pc\tuto4pc.exe"

O4 - HKLM\..\RunOnce: [updateTuto4PCHP] C:\Users\DIVEXP\AppData\Roaming\Tuto4pc\Tuto4pc\UpdateTuto4PCHP.exe -runonce

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\system32\StikyNot.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

O4 - Global Startup: Dell System Manager.lnk = C:\Program Files\Dell\Dell System Manager\DCPSysMgr.exe

O4 - Global Startup: TdmNotify.lnk = C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmNotify.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll

O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O13 - Gopher Prefix:

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5686C790-779C-4CAF-AAA3-523996C30672}: NameServer = 178.33.41.181,46.4.70.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{5686C790-779C-4CAF-AAA3-523996C30672}: NameServer = 178.33.41.181,46.4.70.20

O17 - HKLM\System\CS2\Services\Tcpip\..\{5686C790-779C-4CAF-AAA3-523996C30672}: NameServer = 178.33.41.181,46.4.70.20

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\aestsrv.exe

O23 - Service: Credential Vault Host Control Service - Broadcom Corporation - C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe

O23 - Service: Credential Vault Host Storage - Broadcom Corporation - C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe

O23 - Service: Dell System Manager Service (dcpsysmgrsvc) - Dell Inc. - c:\Program Files\Dell\Dell System Manager\DCPSysMgrSvc.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: Intel® Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: SecureStorageService - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe

O23 - Service: @%SystemRoot%\system32\stlang.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: NTRU TSS v1.2.1.29 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe

O23 - Service: TdmService - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe

 

--

End of file - 10419 bytes

 

J'aimerais supprimer les bon composant mais j'avoue ne pas m'y retrouver, merci à ceux qui prendront le temps de me lire

[pear]

Bonjour,

 

1)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

2)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

3)

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

4)Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[Hellea]

Merci beaucoup

 

Pour commencer voici le rapport d' AdwCleaner: [R1]

 

# AdwCleaner v1.609 - Rapport créé le 26/06/2012 à 14:16:26

# Mis à jour le 10/06/2012 par Xplode

# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)

# Nom d'utilisateur : DIVEXP - BESR-PC

# Exécuté depuis : C:\Users\DIVEXP\Desktop\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\Users\autre\AppData\Local\Tuto4pc

Dossier Présent : C:\Users\DIVEXP\AppData\Local\Tuto4pc

Dossier Présent : C:\Users\DIVEXP\AppData\Local\Temp\BabylonToolbar

Dossier Présent : C:\Users\DIVEXP\AppData\LocalLow\BabylonToolbar

Dossier Présent : C:\Users\DIVEXP\AppData\Roaming\Tuto4pc

Dossier Présent : C:\ProgramData\IBUpdaterService

Dossier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tuto4pc

Dossier Présent : C:\Program Files\Tuto4pc

 

***** [Registre] *****

 

Clé Présente : HKCU\Software\Tuto4PC

Clé Présente : HKCU\Software\Tutorials

Clé Présente : HKLM\SOFTWARE\Tuto4pc

Clé Présente : HKLM\SOFTWARE\Classes\bho_project.bho_object

Clé Présente : HKLM\SOFTWARE\Classes\bho_project.bho_object.1

Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Clé Présente : HKLM\SOFTWARE\Google\chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl

Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuto Firefox_is1

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuto4pc_is1

Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Tutorials]

 

***** [Registre - GUID] *****

 

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{BD490E24-D18C-4323-B481-79DD4F62E758}

Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{8640C08A-5D22-4529-A8AD-0436026188F2}

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v13.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Users\autre\AppData\Roaming\Mozilla\Firefox\Profiles\q318isxl.default\prefs.js

 

Présente : user_pref("extensions.crossriderapp4479.4479.InstallationTime", 1340281811);

Présente : user_pref("extensions.crossriderapp4479.4479.active", true);

Présente : user_pref("extensions.crossriderapp4479.4479.addressbar", "");

Présente : user_pref("extensions.crossriderapp4479.4479.affid", "0");

Présente : user_pref("extensions.crossriderapp4479.4479.certdomaininstaller", "");

Présente : user_pref("extensions.crossriderapp4479.4479.changeprevious", false);

Présente : user_pref("extensions.crossriderapp4479.4479.cookie.InstallationTime.expiration", "Fri Feb 01 2030 0[...]

Présente : user_pref("extensions.crossriderapp4479.4479.cookie.InstallationTime.value", "1340281811");

Présente : user_pref("extensions.crossriderapp4479.4479.description", "Save big with Giant Savings! Coupons dis[...]

Présente : user_pref("extensions.crossriderapp4479.4479.domain", "");

Présente : user_pref("extensions.crossriderapp4479.4479.emailsig", "");

Présente : user_pref("extensions.crossriderapp4479.4479.enablesearch", false);

Présente : user_pref("extensions.crossriderapp4479.4479.exposesites", "");

Présente : user_pref("extensions.crossriderapp4479.4479.fbremoteurl", "");

Présente : user_pref("extensions.crossriderapp4479.4479.group", 0);

Présente : user_pref("extensions.crossriderapp4479.4479.homepage", "");

Présente : user_pref("extensions.crossriderapp4479.4479.iframe", false);

Présente : user_pref("extensions.crossriderapp4479.4479.manifesturl", "");

Présente : user_pref("extensions.crossriderapp4479.4479.name", "Giant Savings");

Présente : user_pref("extensions.crossriderapp4479.4479.newtab", "");

Présente : user_pref("extensions.crossriderapp4479.4479.opensearch", "");

Présente : user_pref("extensions.crossriderapp4479.4479.pluginsurl", "hxxp://app-static.crossrider.com/plugin/a[...]

Présente : user_pref("extensions.crossriderapp4479.4479.premium", true);

Présente : user_pref("extensions.crossriderapp4479.4479.publisher", "215 Apps");

Présente : user_pref("extensions.crossriderapp4479.4479.searchstatus", 0);

Présente : user_pref("extensions.crossriderapp4479.4479.setnewtab", false);

Présente : user_pref("extensions.crossriderapp4479.4479.settingsurl", "");

Présente : user_pref("extensions.crossriderapp4479.4479.thankyou", "hxxp://crossrider.com/thank_you/4479");

Présente : user_pref("extensions.crossriderapp4479.4479.updateinterval", 360);

Présente : user_pref("extensions.crossriderapp4479.4479.ver", 0);

Présente : user_pref("extensions.crossriderapp4479.adsOldValue", -1);

Présente : user_pref("extensions.crossriderapp4479.bic", "1380f05715b9688c235032a524126a39");

Présente : user_pref("extensions.crossriderapp4479.firstrun", false);

Présente : user_pref("extensions.crossriderapp4479.installationdate", 1340281811);

Présente : user_pref("extensions.crossriderapp4479.lastcheck", 22342265);

Présente : user_pref("extensions.crossriderapp4479.lastcheckitem", 22342280);

Présente : user_pref("extensions.crossriderapp4479.misc.lastBgWorkerTimer", "1340536945256");

Présente : user_pref("extensions.crossriderapp4479.misc.lastDomWorkerTimer", "1340536945244");

Présente : user_pref("extensions.crossriderapp4479.modetype", "production");

Présente : user_pref("extensions.enabledAddons", "[email protected]:0.81.13,{972ce4c6-7e08-4474-[...]

 

Nom du profil : default

Fichier : C:\Users\DIVEXP\AppData\Roaming\Mozilla\Firefox\Profiles\k98ldais.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [6362 octets] - [26/06/2012 14:16:26]

 

########## EOF - C:\AdwCleaner[R1].txt - [6490 octets] ##########

 

 

Voici [s3] (oui il m'a fallu du temps pour comprendre votre explication et la mnière dont fonctionne AdwCleaner ^^)

 

# AdwCleaner v1.609 - Rapport créé le 26/06/2012 à 14:30:54

# Mis à jour le 10/06/2012 par Xplode

# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)

# Nom d'utilisateur : DIVEXP - BESR-PC

# Exécuté depuis : C:\Users\DIVEXP\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\autre\AppData\Local\Tuto4pc

Dossier Supprimé : C:\Users\DIVEXP\AppData\Local\Tuto4pc

Dossier Supprimé : C:\Users\DIVEXP\AppData\Local\Temp\BabylonToolbar

Dossier Supprimé : C:\Users\DIVEXP\AppData\LocalLow\BabylonToolbar

Dossier Supprimé : C:\Users\DIVEXP\AppData\Roaming\Tuto4pc

Dossier Supprimé : C:\ProgramData\IBUpdaterService

Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tuto4pc

Dossier Supprimé : C:\Program Files\Tuto4pc

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\Tuto4PC

Clé Supprimée : HKCU\Software\Tutorials

Clé Supprimée : HKLM\SOFTWARE\Tuto4pc

Clé Supprimée : HKLM\SOFTWARE\Classes\bho_project.bho_object

Clé Supprimée : HKLM\SOFTWARE\Classes\bho_project.bho_object.1

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuto Firefox_is1

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuto4pc_is1

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Tutorials]

 

***** [Registre - GUID] *****

 

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BD490E24-D18C-4323-B481-79DD4F62E758}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8640C08A-5D22-4529-A8AD-0436026188F2}

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0722A2AC-4CF8-4310-AFEE-F87AA9BE10AA}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v13.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Users\autre\AppData\Roaming\Mozilla\Firefox\Profiles\q318isxl.default\prefs.js

 

Supprimée : user_pref("extensions.crossriderapp4479.4479.InstallationTime", 1340281811);

Supprimée : user_pref("extensions.crossriderapp4479.4479.active", true);

Supprimée : user_pref("extensions.crossriderapp4479.4479.addressbar", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.affid", "0");

Supprimée : user_pref("extensions.crossriderapp4479.4479.certdomaininstaller", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.changeprevious", false);

Supprimée : user_pref("extensions.crossriderapp4479.4479.cookie.InstallationTime.expiration", "Fri Feb 01 2030 0[...]

Supprimée : user_pref("extensions.crossriderapp4479.4479.cookie.InstallationTime.value", "1340281811");

Supprimée : user_pref("extensions.crossriderapp4479.4479.description", "Save big with Giant Savings! Coupons dis[...]

Supprimée : user_pref("extensions.crossriderapp4479.4479.domain", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.emailsig", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.enablesearch", false);

Supprimée : user_pref("extensions.crossriderapp4479.4479.exposesites", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.fbremoteurl", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.group", 0);

Supprimée : user_pref("extensions.crossriderapp4479.4479.homepage", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.iframe", false);

Supprimée : user_pref("extensions.crossriderapp4479.4479.manifesturl", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.name", "Giant Savings");

Supprimée : user_pref("extensions.crossriderapp4479.4479.newtab", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.opensearch", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.pluginsurl", "hxxp://app-static.crossrider.com/plugin/a[...]

Supprimée : user_pref("extensions.crossriderapp4479.4479.premium", true);

Supprimée : user_pref("extensions.crossriderapp4479.4479.publisher", "215 Apps");

Supprimée : user_pref("extensions.crossriderapp4479.4479.searchstatus", 0);

Supprimée : user_pref("extensions.crossriderapp4479.4479.setnewtab", false);

Supprimée : user_pref("extensions.crossriderapp4479.4479.settingsurl", "");

Supprimée : user_pref("extensions.crossriderapp4479.4479.thankyou", "hxxp://crossrider.com/thank_you/4479");

Supprimée : user_pref("extensions.crossriderapp4479.4479.updateinterval", 360);

Supprimée : user_pref("extensions.crossriderapp4479.4479.ver", 0);

Supprimée : user_pref("extensions.crossriderapp4479.adsOldValue", -1);

Supprimée : user_pref("extensions.crossriderapp4479.bic", "1380f05715b9688c235032a524126a39");

Supprimée : user_pref("extensions.crossriderapp4479.firstrun", false);

Supprimée : user_pref("extensions.crossriderapp4479.installationdate", 1340281811);

Supprimée : user_pref("extensions.crossriderapp4479.lastcheck", 22342265);

Supprimée : user_pref("extensions.crossriderapp4479.lastcheckitem", 22342280);

Supprimée : user_pref("extensions.crossriderapp4479.misc.lastBgWorkerTimer", "1340536945256");

Supprimée : user_pref("extensions.crossriderapp4479.misc.lastDomWorkerTimer", "1340536945244");

Supprimée : user_pref("extensions.crossriderapp4479.modetype", "production");

Supprimée : user_pref("extensions.enabledAddons", "[email protected]:0.81.13,{972ce4c6-7e08-4474-[...]

 

Nom du profil : default

Fichier : C:\Users\DIVEXP\AppData\Roaming\Mozilla\Firefox\Profiles\k98ldais.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [6491 octets] - [26/06/2012 14:16:26]

AdwCleaner[R2].txt - [6551 octets] - [26/06/2012 14:18:12]

AdwCleaner[s1].txt - [301 octets] - [26/06/2012 14:18:22]

AdwCleaner[R3].txt - [6670 octets] - [26/06/2012 14:26:58]

AdwCleaner[s2].txt - [301 octets] - [26/06/2012 14:29:17]

AdwCleaner[R4].txt - [6789 octets] - [26/06/2012 14:29:30]

AdwCleaner[s3].txt - [6701 octets] - [26/06/2012 14:30:54]

 

########## EOF - C:\AdwCleaner[s3].txt - [6829 octets] ##########

Modifié le 26 juin 2012 par Hellea

[Hellea]

Malwarebytes Anti-Malware (Essai) 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.06.26.04

 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

DIVEXP :: BESR-PC [administrateur]

 

Protection: Activé

 

26/06/2012 14:37:25

mbam-log-2012-06-26 (14-37-25).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 391019

Temps écoulé: 2 heure(s), 4 minute(s), 25 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 16

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vfd-apl (Rootkit.Agent) -> Mis en quarantaine et supprimé avec succès.

HKCR\CrossriderApp0004479.BHO (PUP.CrossFire.Gen) -> Mis en quarantaine et supprimé avec succès.

HKCR\CrossriderApp0004479.BHO.1 (PUP.CrossFire.Gen) -> Mis en quarantaine et supprimé avec succès.

HKCR\CrossriderApp0004479.FBApi (PUP.CrossFire.Gen) -> Mis en quarantaine et supprimé avec succès.

HKCR\CrossriderApp0004479.FBApi.1 (PUP.CrossFire.Gen) -> Mis en quarantaine et supprimé avec succès.

HKCR\CrossriderApp0004479.Sandbox (PUP.CrossFire.Gen) -> Mis en quarantaine et supprimé avec succès.

HKCR\CrossriderApp0004479.Sandbox.1 (PUP.CrossFire.Gen) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011441179} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

HKCR\CLSID\{11111111-1111-1111-1111-110011441179} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

HKCR\TypeLib\{44444444-4444-4444-4444-440044444479} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

HKCR\Interface\{55555555-5555-5555-5555-550055445579} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011441179} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011441179} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 1

HKCU\Software\InstalledBrowserExtensions\215 Apps|4479 (PUP.CrossFire.SA) -> Données: Giant Savings -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 5

C:\Program Files\OApps\vfd-apl_uninstall.exe (Rootkit.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Users\autre\Downloads\QQ International.exe (PUP.AdBundler) -> Mis en quarantaine et supprimé avec succès.

C:\Users\DIVEXP\AppData\Local\Temp\01net\01NET.com.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.

C:\Users\DIVEXP\Downloads\hijackthis_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files\Giant Savings\Giant Savings.dll (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[pear]

Bien.

 

Où en est votre problème initial.?

 

Encore des détournements ?