[Résolu] Delta Search

[sylwya]

Bonjour,

 

Eh voilà comment se faire avoir J'aieu une alerte me disant que PDF CREATOR pas à jour (j'étais en train de réduire un fichier PDF avec) j'ai mais OK pour la mise à jour et me voilà infectée par ce qui semble être une toolbar, elle s'invite à chaque nouvelle page web ouverte, elle fait disjoncter WOT qui me dit que toutes les pages web ont mauvaises réputations........ j'ai passé un adwcleaner mais est toujours là en moins forte. Voici le rapport ZHPDIAG

 

© CJoint.com, 2012

 

Merci de votre aide

Modifié le 7 avril 2013 par sylwya

[bernard53]

Bonsoir

Ceci s.t.p.

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

 

Téléchargements - Outils de Xplode - AdwCleaner

 

 

 

- Lances le en mode normal , puis cliques sur [suppression]

- Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche , cliquez sur [OK]

 

- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.

- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [suppression]

 

- Cliquez dessus, puis patientes pendant la suppression.

- Une fois la suppression effectuée, AdwCleaner vous invitera à redémarrer l'ordinateur

 

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

 

Ensuite:

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKCU\Software\DataMngr_Toolbar] => Infection PUP (PUP.BearShare)*

O43 - CFD: 06/04/2013 - 11:13:38 - [0,669] ----D C:\Users\AdminEcoWin\AppData\Roaming\BabSolution => Infection PUP (Hijacker.BabSolution)

O45 - LFCP:[MD5.ACB0F819EDA94B1B192CF9400A201D0E] - 06/04/2013 - 09:53:06 ---A- - C:\Windows\Prefetch\LATESTDLMGR.EXE-BF4C66E5.pf => Infection PUP (Adware.OpenCandy)

O45 - LFCP:[MD5.DA6F5C3A50B80D9F0241FBC4F02DEBD9] - 06/04/2013 - 10:10:17 ---A- - C:\Windows\Prefetch\BROWSERPROTECT.EXE-EAF067F3.pf => Infection PUP (Toolbar.Babylon)*

O61 - LFC: 06/04/2013 - 09:53:46 ---A- C:\Users\AdminEcoWin\AppData\Roaming\BabMaint.exe [9800] => Infection FakeAlert (Possible)

O61 - LFC: 06/04/2013 - 09:53:46 ---A- C:\Users\AdminEcoWin\AppData\Roaming\BabSolution\Shared\BUSolution.dll [701000] => Infection PUP (Hijacker.BabSolution)

O61 - LFC: 06/04/2013 - 10:12:43 ---A- C:\Users\AdminEcoWin\AppData\Roaming\BabSolution\Shared\chu.js [2] => Infection PUP (Hijacker.BabSolution)

[MD5.06D4F8F40814EF453CBAA45F036F9A5D] [sPRF][06/04/2013] (...) -- C:\Users\AdminEcoWin\AppData\Roaming\BabMaint.exe [9800] => Infection PUP (Toolbar.Babylon)

[HKLM\Software\Classes\Prod.cap] => Infection PUP (Toolbar.Babylon)

C:\Users\AdminEcoWin\AppData\Roaming\BabSolution => Infection PUP (Hijacker.BabSolution)

[HKCU\Software\5c48d8bb76ae414\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1125.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}" => Infection PUP (Toolbar.Babylon)

[HKCU\Software\5c48d8bb76ae414\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1125.80]:version="2.6.1125.80" => Infection PUP (Toolbar.Babylon)

[HKLM\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}] => Toolbar.DeltaSearch

[HKLM\Software\Wow6432Node\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}] => Toolbar.DeltaSearch

[HKLM\Software\Wow6432Node\Microsoft\Tracing\Setup_RASAPI32] => Toolbar.Conduit

[HKLM\Software\Wow6432Node\Microsoft\Tracing\Setup_RASMANCS] => Toolbar.Conduit

[HKCU\Software\5c48d8bb76ae414]

[HKLM\Software\Wow6432Node\5c48d8bb76ae414]

FirewallRaz

EmptyFlash

Emptytemp

SysRestore

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

[sylwya]

Bonjour Bernard, merci de ton aide

 

voici déjà le rapport ADWCleanern je m'attèle de suite au reste !

 

# AdwCleaner v2.200 - Rapport créé le 07/04/2013 à 09:49:54

# Mis à jour le 02/04/2013 par Xplode

# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)

# Nom d'utilisateur : Sylvie - SYLVIE-PC

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\AdminEcoWin\Downloads\adwcleaner (3).exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\AdminEcoWin\AppData\Roaming\BabSolution

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\DataMngr_Toolbar

Clé Supprimée : HKCU\Software\5c48d8bb76ae414

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\5c48d8bb76ae414

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16470

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v20.0 (fr)

 

Fichier : C:\Users\AdminEcoWin\AppData\Roaming\Mozilla\Firefox\Profiles\ju0pg2fw.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Users\AdminEcoWin\AppData\Roaming\Mozilla\Firefox\Profiles\ju0pg2fw.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Users\AdminEcoWin\AppData\Roaming\Mozilla\Firefox\Profiles\ju0pg2fw.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Users\AdminEcoWin\AppData\Roaming\Mozilla\Firefox\Profiles\ju0pg2fw.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Users\AdminEcoWin\AppData\Roaming\Mozilla\Firefox\Profiles\ju0pg2fw.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v26.0.1410.43

 

Fichier : C:\Users\AdminEcoWin\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Supprimée [l.37] : icon_url = "hxxp://www.delta-search.com/favicon.ico",

Supprimée [l.40] : keyword = "delta-search.com",

Supprimée [l.44] : search_url = "hxxp://www.delta-search.com/?q={searchTerms}&affID=121562&babsrc=SP_ss&mntrId=7[...]

Supprimée [l.2379] : homepage = "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId=72CB0008D392D5E7",

Supprimée [l.2890] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId[...]

 

Fichier : C:\Users\AdminEcoWin\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Supprimée [l.37] : icon_url = "hxxp://www.delta-search.com/favicon.ico",

Supprimée [l.40] : keyword = "delta-search.com",

Supprimée [l.44] : search_url = "hxxp://www.delta-search.com/?q={searchTerms}&affID=121562&babsrc=SP_ss&mntrId=7[...]

Supprimée [l.2379] : homepage = "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId=72CB0008D392D5E7",

Supprimée [l.2890] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId[...]

 

Fichier : C:\Users\AdminEcoWin\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Supprimée [l.37] : icon_url = "hxxp://www.delta-search.com/favicon.ico",

Supprimée [l.40] : keyword = "delta-search.com",

Supprimée [l.44] : search_url = "hxxp://www.delta-search.com/?q={searchTerms}&affID=121562&babsrc=SP_ss&mntrId=7[...]

Supprimée [l.2379] : homepage = "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId=72CB0008D392D5E7",

Supprimée [l.2890] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId[...]

 

Fichier : C:\Users\AdminEcoWin\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Supprimée [l.37] : icon_url = "hxxp://www.delta-search.com/favicon.ico",

Supprimée [l.40] : keyword = "delta-search.com",

Supprimée [l.44] : search_url = "hxxp://www.delta-search.com/?q={searchTerms}&affID=121562&babsrc=SP_ss&mntrId=7[...]

Supprimée [l.2379] : homepage = "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId=72CB0008D392D5E7",

Supprimée [l.2890] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId[...]

 

Fichier : C:\Users\AdminEcoWin\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Supprimée [l.37] : icon_url = "hxxp://www.delta-search.com/favicon.ico",

Supprimée [l.40] : keyword = "delta-search.com",

Supprimée [l.44] : search_url = "hxxp://www.delta-search.com/?q={searchTerms}&affID=121562&babsrc=SP_ss&mntrId=7[...]

Supprimée [l.2379] : homepage = "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId=72CB0008D392D5E7",

Supprimée [l.2890] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=121562&babsrc=HP_ss&mntrId[...]

 

*************************

 

AdwCleaner[s11].txt - [2443 octets] - [28/03/2013 22:22:34]

AdwCleaner[s12].txt - [2273 octets] - [06/04/2013 11:13:35]

AdwCleaner[s13].txt - [1928 octets] - [06/04/2013 11:56:04]

AdwCleaner[s14].txt - [4963 octets] - [07/04/2013 09:49:54]

 

########## EOF - C:\AdwCleaner[s14].txt - [5024 octets] ##########

[sylwya]

J'ai une question ! comment est-il possible de recevoir une notification de mise à jour (pour ce cas : PDF Creator (je l'utilise régulièrement)) alors que derrière c'est une toolbar avec tout ce que cela engendre comme problème ? n'y a t-il pas un truc pour éviter cela? j'ai ABP - Noscrpit - wot et malgré tout voilà..... ??!

 

Et le rapport ZHP

 

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-07-04-2013-10-05-11.txt

Run by Sylvie at 07/04/2013 10:05:11

High Elevated Privileges : OK

Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

 

Corbeille vidée

 

========== Clé(s) du Registre ==========

ABSENT Key: HKCU\Software\DataMngr_Toolbar

ABSENT Key: HKLM\Software\Classes\Prod.cap

ABSENT Key: HKLM\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

ABSENT Key: HKLM\Software\Wow6432Node\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\Setup_RASAPI32

SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\Setup_RASMANCS

ABSENT Key: HKCU\Software\5c48d8bb76ae414

ABSENT Key: HKLM\Software\Wow6432Node\5c48d8bb76ae414

 

========== Valeur(s) du Registre ==========

ABSENT [HKCU\Software\5c48d8bb76ae414\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1125.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"

ABSENT [HKCU\Software\5c48d8bb76ae414\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1125.80]:version="2.6.1125.80"

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Dossier(s) ==========

ABSENT C:\Users\AdminEcoWin\AppData\Roaming\BabSolution

SUPPRIME Flash Cookies

SUPPRIME Temporaires Windows

 

========== Fichier(s) ==========

ABSENT File: c:\windows\prefetch\latestdlmgr.exe-bf4c66e5.pf

ABSENT File: c:\windows\prefetch\browserprotect.exe-eaf067f3.pf

SUPPRIME File: c:\users\adminecowin\appdata\roaming\babmaint.exe

ABSENT File: c:\users\adminecowin\appdata\roaming\babsolution\shared\busolution.dll

ABSENT File: c:\users\adminecowin\appdata\roaming\babsolution\shared\chu.js

ABSENT Folder/File: c:\users\adminecowin\appdata\roaming\babmaint.exe

ABSENT Folder/File: c:\users\adminecowin\appdata\roaming\babsolution

SUPPRIME Flash Cookies

SUPPRIME Temporaires Windows

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

8 : Clé(s) du Registre

4 : Valeur(s) du Registre

3 : Dossier(s)

9 : Fichier(s)

1 : Restauration Système

 

 

End of clean in 00mn 28s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 28/03/2013 21:19:48 [4737]

C:\ZHP\ZHPFix[R2].txt - 07/04/2013 10:05:11 [2322]

[bernard53]

Je ne sais plus si lors d'une mise a jour on peux désactiver l'installation de cette toolbar

Une chose est sur,lors de la première installe on peux.

 

la notification de mise à jour se fait lors du démarrage de Pdf créator mais seulement une fois dans la journée.

Comment va ton pc cette fois?

[sylwya]

non je n'ai pas eu la possibilité de décocher quoique ce soit, rien ne m'a été proposé

 

Le PC roule super bien

 

MERCI

[bernard53]

non je n'ai pas eu la possibilité de décocher quoique ce soit, rien ne m'a été proposé

Oui je m'en doutais un peu.

L'idéal dans ce cas en de refuser les mises à jour et une fois de temps en temps refaire un téléchargement de Pdf Créator.

 

Bon dimanche et valide ton post en résolu s.t.p si tu penses quye tout est OK.

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html