FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Clémentn]

Bonjour ,
Apres avoir lu vos consignes , je pense poster au bon endroit .
J'ai lu quelque une de vos interventions/aides , et je dois dire que j'admire votre "bénévolat" et vos services rendus . Que cela marche ou non avec moi , merci d'avance . Vous faites un chouette boulot les gars !

Pour ce qui est de mon problème : je suis infecté par babylon et delta . Quand à adwcleaner il a supprimé quelques fichiers mais le problème persiste .

Pour gagner du temps j'ai cru comprendre qu'il vous fallait un rapport de ZHPDIAG : http://cjoint.com/?CECpUzIpM56

Encore merci , amicalement
Clément

[roro04]

Salut !

Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin :wink:
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne :wink:
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai -- Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
- Ne télécharge pas n'importe quel programme gratuit sans te renseigner dessus.
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects, préfère les sites connus ou le téléchargement directement sur le site de l'éditeur.
- Lis attentivement lorsque tu installes un programme gratuit, et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

-- Retélécharge et réinstalle ZHPDiag : https://www.sosvirus.net/telecharger/zhpdiag/

On va supprimer quelques lignes manuellement
/!\ Le script proposé ci-dessous n'est valable que pour l'helpé en cours /!\

• Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
• Copie le texte en gras ci-dessous.
  
  
  G1 - GCS: Preference [User Data\Default] http://search.babylon.com =Toolbar.Babylon
  G0 - GCSP: Preference [User Data\Default][HomePage] http://search.babylon.com =Toolbar.Babylon
  G0 - GCSP: Preference [User Data\Default] http://search.babylon.com =Toolbar.Babylon
  G2 - GCE: Preference [User Data\Default] [hggpkhijoeadmdfmlbdepfbngmhaldci] DealPly Shopping v.3.5.0.0 (Activé) =PUP.DealPly
  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\Dealply.job [300] =PUP.DealPly
  [MD5.00000000000000000000000000000000] [APT] [Dealply] (...) -- C:\Users\Clément\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.exe (.not file.) [0] =PUP.DealPly
  [MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (.not file.) [0] =PUP.DealPly
  [HKCU\Software\BabSolution] =Hijacker.BabSolution
  O43 - CFD: 20/05/2013 - 01:33:47 - [5,357] ----D C:\ProgramData\BrowserProtect =Toolbar.Babylon
  O45 - LFCP:[MD5.57C02627FA339642C9DF179BF8E30D3E] - 28/05/2013 - 05:33:34 ---A- - C:\Windows\Prefetch\BROWSERPROTECT.EXE-FB038691.pf =Toolbar.Babylon
  C:\ProgramData\BrowserProtect =Hijacker.Eazel
  O44 - LFC:[MD5.8CF2B639F0324328B9902120198FF4AA] - 28/05/2013 - 14:15:48 ---A- . (...) -- C:\Windows\DeleteOnReboot.bat [97] = Xplode - AdwCleaner DeleteOnReboot
  O44 - LFC:[MD5.C532B29AF0D9D488EEA19DA6F026D0C7] - 26/05/2013 - 23:46:13 ---A- . (...) -- C:\Windows\IE10_main.log [10360] = Fichiers de rapport (Log)
  O45 - LFCP:[MD5.E0AAB252442F036C9E69D664FC2EEC79] - 27/05/2013 - 14:00:45 ---A- - C:\Windows\Prefetch\27.0.1453.94_26.0.1410.64_CHR-89C96855.pf = Fichier du dossier Prefetcher
  O45 - LFCP:[MD5.C662AEF1212587EFEA318AA464303D55] - 28/05/2013 - 05:12:28 ---A- - C:\Windows\Prefetch\MY_INTEL_CPP_X64.EXE-E2867FA9.pf = Fichier du dossier Prefetcher
  O45 - LFCP:[MD5.0673CB8E378CBD60D4A420D753C90C1A] - 28/05/2013 - 14:18:56 ---A- - C:\Windows\Prefetch\APRP.EXE-DEF330CC.pf = Fichier du dossier Prefetcher
  O45 - LFCP:[MD5.29931E3AC299E29954DCC87110EFC0B4] - 28/05/2013 - 14:18:59 ---A- - C:\Windows\Prefetch\HOOLAPP.EXE-ACFD4B74.pf = Hoolapp
  O45 - LFCP:[MD5.52DB23BBA6E185A88706273E739C54FD] - 28/05/2013 - 14:19:03 ---A- - C:\Windows\Prefetch\ASUSVIBE2.0.EXE-A5DCBA2A.pf = Fichier du dossier Prefetcher
  [MD5.8390E3FF29B6C223A3039C4E339EC832] [SPRF][14/05/2013] (...) -- C:\Users\Clément\AppData\Local\Temp\defaultCache.reg [1472412] = Temporary file not necessary
  [MD5.E75BD8AB29F9FDE027ED1A7524CE60C8] [SPRF][13/05/2013] (.Pas de propriétaire - SelfUpdt Application.) -- C:\Users\Clément\AppData\Local\Temp\selfupdt.exe [1662464] = Temporary file not necessary
  [MD5.00000000000000000000000000000000] [APT] [EPUpdater] (...) -- C:\Users\Clément\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe (.not file.) [0] = Fichier absent
  [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS] =Toolbar.Bing
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\90C64EA18BA25EE488BF80DCF07F2FFD] =Toolbar.Agent
  [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}] =Toolbar.Agent
  [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32] =Toolbar.Bing
  
• Clique sur l'icone (Coller le presse papier)
• Clique sur Go.
• Poste le rapport qui s'affiche.

Ensuite refais un ZHPDiag

++

[Clémentn]

Voici le rapport affiché après la démarche indiquée : ( mes fenêtres chrome se sont fermées automatiquement , j'imagine que c'est normal ? )

Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28-05-2013-17-08-11.txt
Run by Clément at 28/05/2013 17:08:11
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Clément\AppData\Local\Temp\selfupdt.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\BabSolution
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\90C64EA18BA25EE488BF80DCF07F2FFD
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
PRESENT Chrome File: C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://search.babylon.com
PRESENT Chrome File: C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://search.babylon.com
ABSENT Folder Chrome C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Extensions\hggpkhijoeadmdfmlbdepfbngmhaldci

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\BrowserProtect

========== Fichier(s) ==========
SUPPRIME File: c:\windows\tasks\dealply.job
SUPPRIME File: c:\windows\prefetch\browserprotect.exe-fb038691.pf
ABSENT Folder/File: c:\programdata\browserprotect
SUPPRIME File: c:\windows\deleteonreboot.bat
SUPPRIME File: c:\windows\ie10_main.log
SUPPRIME File: c:\windows\prefetch\27.0.1453.94_26.0.1410.64_chr-89c96855.pf
SUPPRIME File: c:\windows\prefetch\my_intel_cpp_x64.exe-e2867fa9.pf
SUPPRIME File: c:\windows\prefetch\aprp.exe-def330cc.pf
SUPPRIME File: c:\windows\prefetch\hoolapp.exe-acfd4b74.pf
SUPPRIME File: c:\windows\prefetch\asusvibe2.0.exe-a5dcba2a.pf
SUPPRIME File: C:\Users\Clément\AppData\Local\Temp\defaultCache.reg
SUPPRIME File*: c:\users\clément\appdata\local\temp\defaultcache.reg
SUPPRIME File*: c:\users\clément\appdata\local\temp\selfupdt.exe

========== Tache planifiée ==========
SUPPRIME Task: Dealply
SUPPRIME Task: DealPlyUpdate
SUPPRIME Task: EPUpdater


========== Récapitulatif ==========
1 : Processus mémoire
5 : Clé(s) du Registre
1 : Dossier(s)
13 : Fichier(s)
9 : Préférences navigateur
3 : Tache planifiée


End of clean in 00mn 16s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 28/05/2013 17:08:11 [2865]


Voici le zhpdiag après : Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28-05-2013-17-08-11.txt
Run by Clément at 28/05/2013 17:08:11
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Clément\AppData\Local\Temp\selfupdt.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\BabSolution
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\90C64EA18BA25EE488BF80DCF07F2FFD
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
PRESENT Chrome File: C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://search.babylon.com
PRESENT Chrome File: C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://search.babylon.com
ABSENT Folder Chrome C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Extensions\hggpkhijoeadmdfmlbdepfbngmhaldci

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\BrowserProtect

========== Fichier(s) ==========
SUPPRIME File: c:\windows\tasks\dealply.job
SUPPRIME File: c:\windows\prefetch\browserprotect.exe-fb038691.pf
ABSENT Folder/File: c:\programdata\browserprotect
SUPPRIME File: c:\windows\deleteonreboot.bat
SUPPRIME File: c:\windows\ie10_main.log
SUPPRIME File: c:\windows\prefetch\27.0.1453.94_26.0.1410.64_chr-89c96855.pf
SUPPRIME File: c:\windows\prefetch\my_intel_cpp_x64.exe-e2867fa9.pf
SUPPRIME File: c:\windows\prefetch\aprp.exe-def330cc.pf
SUPPRIME File: c:\windows\prefetch\hoolapp.exe-acfd4b74.pf
SUPPRIME File: c:\windows\prefetch\asusvibe2.0.exe-a5dcba2a.pf
SUPPRIME File: C:\Users\Clément\AppData\Local\Temp\defaultCache.reg
SUPPRIME File*: c:\users\clément\appdata\local\temp\defaultcache.reg
SUPPRIME File*: c:\users\clément\appdata\local\temp\selfupdt.exe

========== Tache planifiée ==========
SUPPRIME Task: Dealply
SUPPRIME Task: DealPlyUpdate
SUPPRIME Task: EPUpdater


========== Récapitulatif ==========
1 : Processus mémoire
5 : Clé(s) du Registre
1 : Dossier(s)
13 : Fichier(s)
9 : Préférences navigateur
3 : Tache planifiée


End of clean in 00mn 16s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 28/05/2013 17:08:11 [2865]

[Clémentn]

Excusez moi , il semblerai que j'ai posté deux fois le meme rapport . Voici le dernier
http://cjoint.com/?CECruuk06qq

[roro04]

Re,

Bien

On va rechercher si des adwares sont présants sur ton PC

• Télécharges AdwCleaner (de Xplode) sur ton bureau.
• Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
• Clique sur Suppression
• Patiente le temps du scan.
• Poste le rapport qui apparait à la fin.
• Clique sur Quitter

---- Ensuite refais un ZHPDiag
++

[Clémentn]

rapport d'adwcleaner :
# AdwCleaner v2.301 - Rapport créé le 28/05/2013 à 23:18:48
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Clément - CLÉMENT-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Clément\Downloads\adwcleaner (1).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\261249~1.132\{c16c1~1\browse~1.dll

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16576

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v27.0.1453.94

Fichier : C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.22] : icon_url = "hxxp://www.babylon.com/favicon.ico",
Supprimée [l.25] : keyword = "babylon.com",
Supprimée [l.29] : search_url = "hxxp://search.babylon.com/?q={searchTerms}affID=121845tt=gc_170513_181616bab[...]
Supprimée [l.2000] : homepage = "hxxp://search.babylon.com/?affID=121845tt=gc_170513_181616babsrc=HP_ss_din2gmntrI[...]
Supprimée [l.2391] : urls_to_restore_on_startup = [ "hxxp://search.babylon.com/?affID=121845tt=gc_170513_181616b[...]

*************************

AdwCleaner[R1].txt - [11706 octets] - [28/05/2013 15:14:09]
AdwCleaner[S1].txt - [11783 octets] - [28/05/2013 15:14:42]
AdwCleaner[S2].txt - [1431 octets] - [28/05/2013 23:18:48]

########## EOF - C:\AdwCleaner[S2].txt - [1491 octets] ##########



rapport zhpdiag : http://cjoint.com/?CECxFdTZiN5

[roro04]

Poste moi le rapport situé dans C:\AdwCleaner[S1].txt

Je vais te faire analyser un fichier sur un site d'analyse en ligne

• Rends-toi sur cette page
• Clique sur "Choose File"
• Vas sur ton disque chercher ce fichier à cet emplacement :

C:\Windows\System32\mscoree.dll

• Clique ensuite sur le bouton "Scan It"

• Patiente le temps de l'analyse qui dépend de la taille du fichier

• Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):

Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :



++

[2011N2]

Où en-est votre problème ?

Deux solutions,

• Votre problème est résolu, dans ce cas pensez à nous en faire part.
• Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.
  
  
  À bientôt sur FEI !

[2011N2]

Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plus de 10 jours. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !