Hola Search

[ABN84]

Bonjour,
Après avoir récupéré mon PC de chez des proches, jai eu la surprise de voir en ouvrant un nouvel onglet FF, une page quasi-identique à google mais pas tout à fait (Hola Search).
J'ai regardé dans les programme installés, j'ai trouvé pas mal de "ToolBars","Smiley". J'ai tout désinstallé. et passé un coup de MBAM (version payante) qui a trouvé des choses (que j'ai neutralisé).
Il n'empèche que j'ai toujours la page de démarrage Hola Search.
Donc dans le doute, je joint les rapports demandés.
info.txt
log.txt
-----

[migau]

Bonjour,
Après avoir récupéré mon PC de chez des proches, jai eu la surprise de voir en ouvrant un nouvel onglet FF, une page quasi-identique à google mais pas tout à fait (Hola Search).
J'ai regardé dans les programme installés, j'ai trouvé pas mal de "ToolBars","Smiley". J'ai tout désinstallé. et passé un coup de MBAM (version payante) qui a trouvé des choses (que j'ai neutralisé).
Il n'empèche que j'ai toujours la page de démarrage Hola Search.
Donc dans le doute, je joint les rapports demandés.
Pièce jointe 221814
Pièce jointe 221815

bonjour

peux tu me faire ceci, stp?

$$££££££££££££££££££££££££££££ ££££££££££
OTL :

/!\ Important ===>>> Pour les utilisateurs de l'antivirus Avast, OTL ne doit pas être lancé en mode Sandbox. /!\

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Vérifie que les cases Tous les utilisateurs , Recherche Lop et Recherche Purity soient cochées
  
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit :

netsvcs
msconfig
activex
drivers32
/md5start
system.exe
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\ *.sys /lockedfiles
hklm\software\clients\startmen uinternet|command /rs
hklm\software\clients\startmen uinternet|command /64 /rs
CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
• heberge les rapports en pièces jointes
• Les rapports sont sauvegardés sur le Bureau.

££££££££££££££££££££££££££££££ ££££
sont attendus les 2rapports

OTL.txt et extras.txt

[ABN84]

bonjour,
voici les rapports demandés.OTL.TxtExtras.TxtOTL.TxtExtras.TxtExtras.Txt

[migau]

bonjour,
voici les rapports demandés.

hello

désinstalle , si tu peux ceci, si ça bloque n'insiste pas

£££££££££££££££££££££££££££££

yontoo
search iminent
holasearch
babylon
search conduit

££££££££££££££££££££££££££££££ ££££££££

===================
Adwcleaner


Option Suppression :


* Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

/!\ Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même /!\
[*] pour les possesseurs de l'antivirus antivir , qui ont activé les conditions d'installation du Webguard d'Antivir dans sa version gratuite.
Désactivez la recherche/suppression de la barre d'outil et des programmes Ask.


* Lance le, clique sur [Suppression]


[*] lire le tuto indiquant la procédure de désactivation.

un tuto d' aide à lire

* puis patiente le temps du scan.
* Une fois le scan fini, un rapport s'ouvrira.
* Poste moi son contenu dans ta prochaine réponse.

* puis patiente le temps du scan.
* Une fois le scan fini, un rapport s'ouvrira.
* Poste moi, en pièce jointe, son contenu dans ta prochaine réponse

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[*] Tutoriel d'Aide

===================

Malwaresbyte's Anti-Malware


Télécharge MalwareByte's Anti-Malware sur ton Bureau.
en cliquant sur Download Now version FREE

/!\ prendre la version gratuite /!\

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
  Une fois l'installation et la mise à jour effectuées :
  
  ==>> Dans l'onglet Paramètres,[/color]
• puis Paramètres d'examen,
• sélectionne Afficher dans les résultats,
• pré-cocher pour suppression pour les 3 actions
• Programmes potentiellement indésirables (PUP)
• Modifications potentiellement indésirables (PUM)
• actions pour les programmes de pair à pair ( per2 per)

• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".
• Afin de lancer la recherche, clic sur "Rechercher
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

*_* Attention Deux possibilités s'offrent à toi :

• Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
  
• Lis bien la suite
  
• Si des infections sont présentes
  
• clic sur " Afficher les résultats"
  
• puis sur " Supprimer la sélection. "
  
• Enregistre le rapport sur ton Bureau.
  
• Fais redémarrer ton ordinateur normalement
  
• poste en pièce jointe le rapport dans ta prochaine réponse.

REMARQUE :
Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
accepte en cliquant sur Ok

si au reboot , ton pc reste figé

il faut faire la combinaison des touches suivantes ==>>

ctrl+ alt+ suppr
dans le gestionnaire des taches
nouvelle tache
taper explorer.exe
entrée

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

Tutoriel

============================== ============================== =====

à te lire avec les rapports

[A voir en vidéo sur Futura]

[ABN84]

hello

désinstalle , si tu peux ceci, si ça bloque n'insiste pas

£££££££££££££££££££££££££££££

yontoo
search iminent
holasearch
babylon
search conduit

££££££££££££££££££££££££££££££ ££££££££
adwcleaner: AdwCleaner[S1].txt
MBAM: rien trouvé

===================

Aucun de ces logiciels n'est présent, je les a déjà désinstallé.

[ABN84]

Désolé pour l'erreur de formattage de mon message

[migau]

Désolé pour l'erreur de formattage de mon message

hello


pourquoi as tu modifié ton rapport?

C:\Users\xxxx\AppData\

comment veux tu que je supprimes les fichiers douteux?

le fichier hosts est absent aussi , pourquoi?

[ABN84]

Bonsoir,

pourquoi as tu modifié ton rapport?

C:\Users\xxxx\AppData\

pour éviter que mon Nom apparaisse en public sur internet. Si tu m'indique le chemin en xxxx je saurais le reconstruire.

le fichier hosts est absent aussi , pourquoi?

Je n'ai pas compris.

[migau]

Bonsoir,

pour éviter que mon Nom apparaisse en public sur internet. Si tu m'indique le chemin en xxxx je saurais le reconstruire.

Je n'ai pas compris.

hello

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ $$$

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  
  
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)

Code:

:OTL
IE - HKU\S-1-5-21-2731323951-36267266-1381417423-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com/?appId=7328C741-D7C4-49A8-A377-C7E320DFA2F3
IE - HKU\S-1-5-21-2731323951-36267266-1381417423-1001\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found
IE - HKU\S-1-5-21-2731323951-36267266-1381417423-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.holasearch.com/?affID=121962&babsrc=HP_ss&mntrId=9202047D7BFB53D2
IE - HKU\S-1-5-21-2731323951-36267266-1381417423-1002\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2731323951-36267266-1381417423-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.holasearch.com/?q={searchTerms}&affID=121962&babsrc=SP_ss&mntrId=9202047D7BFB53D2
FF - prefs.js..browser.search.defaultthis.engineName: "NCH_FR Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3282499&CUI=UN63509527079401601&UM=1&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "NCH_FR Customized Web Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3282499&octid=CT3282499&SearchSource=61&CUI=UN63509527079401601&UM=1&UP=SP5E1CBF98-DB32-49EF-A61C-4145873288E4"
FF - prefs.js..CT3282499.browser.search.defaultthis.engineName: "true"
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40holasearch.com:1.6.0
FF - prefs.js..extensions.enabledAddons: plugin%40yontoo.com:1.20.00
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\webbooster@iminent.com: C:\Program Files (x86)\Iminent\webbooster@iminent.com
[2013/04/25 17:02:01 | 000,000,000 | ---D | M] (NCH_FR) -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\u2n5pgwa.default\extensions\{c555fc82-6131-4948-8732-b41332924763}
[2013/04/25 16:47:19 | 000,001,304 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\u2n5pgwa.default\searchplugins\holasearch.xml
[2013/04/25 17:03:11 | 000,001,086 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\u2n5pgwa.default\searchplugins\nchfr-customized-web-search.xml
File not found (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\U2N5PGWA.DEFAULT\EXTENSIONS\FFXTLBR@HOLASEARCH.COM
File not found (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\U2N5PGWA.DEFAULT\EXTENSIONS\PLUGIN@YONTOO.COM
[2013/04/25 16:47:03 | 000,006,463 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
CHR - homepage: http://www.holasearch.com/?affID=121962&babsrc=HP_ss&mntrId=9202047D7BFB53D2
3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2731323951-36267266-1381417423-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2731323951-36267266-1381417423-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-2731323951-36267266-1381417423-1001..\Run: [SearchProtect] C:\Users\xxxx\AppData\Roaming\SearchProtect\bin\cltmng.exe File not found
O4 - HKLM..\RunOnce: [SpUninstallCleanUp] REG delete HKEY_CURRENT_USER\Software\SearchProtect /f File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2731323951-36267266-1381417423-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2731323951-36267266-1381417423-1002..\RunOnce: [SpUninstallDeleteDir] rmdir /s /q "C:\Users\Admin\AppData\Roaming\SearchProtect" File not found
[2013/06/16 13:27:00 | 000,001,002 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013/06/16 12:48:20 | 000,001,078 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013/01/08 22:06:14 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Babylon
[2012/12/27 00:49:06 | 000,000,000 | ---D | M] -- C:\Users\xxxx\AppData\Roaming\Iminent

:files
ipconfig /flushdns /c



:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
[RESETHOSTS]
[PURITY]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste en pièces jointes , le contenu du rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Est attendu le rapport C:\_OTL\MovedFiles\********_** ****.log