Nation Zoom récalcitrant

[Bronskybit]

Bonjour,

Bonne année 2014 à tous !

Je commence bien l'année avec une espèce de truc que je n'arrive pas à éliminer (même en suivant la procédure sur ce forum) car adwcleaner plante lorsque je lance le nettoyage.

Voici mes éléments :
- Navigateur et système : firefox + Windows XP
- Antivirus : Avast
- J'ai fait une restauration à une date antérieure à l'installation du faux Java : ça n'a rien changé (du moins, ça change juste que la page d'accueil redevient celle désirée, par contre quand j'ouvre un nouvel onglet, je me retrouve avec nation Zoom en page d'accueil de ce nouvel onglet)
- J'ai supprimé les programmes via le panneau de config : Lollipop, speedmypc, mais pas de NAtion zoom dans la liste.
puis ensuite, comme ça ne donnait rien, je suis venu chercher du secours sur ce forum.

Voici ce que j'ai fait à partir de la procédure (en rouge ce qui varie):
Sujet : Supprimer Nation Zoom
* Pour Windows XP : Allez dans le Panneau de Configuration puis Ajout/Suppression de programmes
Désinstalle :
Nation Zoom Absent de la liste
SpeedMyPC
Storimbo
Lollipop

Téléchargez et installez Malwarebyte Anti-Malware : https://www.malekal.com/tutorial_Malware ... alware.php
Mettez les définitions à jour
faites un scan rapide, supprime tout et poste le rapport ici.
Voici ce rapport
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.01.07.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Utilisateur :: PC [administrateur]

Protection: Activé

07/01/2014 19:27:15
mbam-log-2014-01-07 (19-27-15).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 303510
Temps écoulé: 1 heure(s), 25 minute(s), 6 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 10
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\ConduitSearchScopes (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Datamngr (PUP.Optional.DataMngr.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\CROSSRIDER (PUP.Optional.CrossRider.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKCU\Software\Crossrider|Verifier (PUP.Optional.CrossRider.A) -> Données: 7bf79a2c6eaa8537a4e73704a0128922 -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Données: 0L1N1H2O1S -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|bProtectTabs (PUP.Optional.BrowserProtect.A) -> Données: http://www1.delta-search.com/?affID=121 ... 123F04FF64 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 14
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\weather (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\Babylon (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\ct3288691 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\ct3297124 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\ct3297861 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\ct3312330 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\ct3312330\xpi (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\ct3312330\xpi\defaults (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\ct3312330\xpi\defaults\preferences (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\CT3317209 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\All Users\Application Data\Conduit\IE (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 34
C:\Program Files\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071626.exe (PUP.Optional.BundleInstaller.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071669.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071670.dll (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071672.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071673.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071674.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071675.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071676.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071678.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{7677FEA6-0141-4945-B48D-537BF5A5B65A}\RP279\A0071681.exe (PUP.Optional.Feven.A) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\roboot.exe (PUP.Optional.PCPerformer.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\guid.dat (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\dtx.ini (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\geodata.xml (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\log.txt (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\preferences.dat (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\stats.dat (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\uninstallIE.dat (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\version.xml (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\weatherbutton_prefs.xml (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\weather\29dcc30c46c4a16ee5aa734a33f534e4 (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\weather\ea68121de5f46e0543b57265bd8f6cd7 (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\weather\forecasts_cache.xml (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nolwenn\Application Data\searchqutoolbar\weather\observations_cache.xml (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Tasks\EPUpdater.job (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared\BabMaint.exe (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared\BUSolution.dll (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared\chu.js (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared\Delta.ico (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared\GUninstaller.exe (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared\SetupParams.ini (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Utilisateur\Application Data\BabSolution\Shared\sqlite3.dll (PUP.Optional.BabSolution.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

A l'issu du scan, faites un clic droit puis "cochez tout".
Cliquez sur le bouton "Supprimer Selection" pour supprimer les éléments cochés.
OK fait


Si Malwarebytes réclament de redémarrer l'ordinateur, faites le avant de passer à l'étape suivante.

puis :

Suivez le tutorial AdwCleaner adwcleaner-t33839.html
Sur la page du tutorial, clicquez sur le lien de téléchargement AdwCleaner
Sur la page d'AdwCleaner, à droite, clicquez sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lancez AdwCleaner, cliquez sur [Scanner] (Le scan peux durer plusieurs minutes, patienter.)
Au moment de lancer le nettoyage, le pc plante, j'ai essayé plusieurs fois, la pc plante à chaque fois. Voici le rapport de logs que j'obtiens avec adwcleaner (avant de lancer le nettoyage donc puisqu'ensuite, ça ne fonctionne plus) :
# AdwCleaner v3.016 - Rapport créé le 08/01/2014 à 10:15:48
# Mis à jour le 23/12/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Utilisateur - PC
# Exécuté depuis : C:\Documents and Settings\Utilisateur\Mes

documents\Téléchargements\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Présent C:\Documents and Settings\All Users\Application Data\boost_interprocess
Dossier Présent C:\Documents and Settings\All Users\Application Data\Conduit
Dossier Présent C:\Documents and Settings\All Users\Application Data\Tarma Installer
Dossier Présent C:\Documents and Settings\Nolwenn\Application Data\searchquband
Dossier Présent C:\Program Files\Conduit
Dossier Présent C:\Program Files\MyPC Backup
Fichier Présent : C:\END
Fichier Présent : C:\Program Files\Mozilla Firefox\browser\searchplugins\adawaretb.xml
Fichier Présent : C:\Program Files\Mozilla Firefox\searchplugins\Search_Results.xml

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKCU\Software\BabSolution
Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\Microsoft\Internet

Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKCU\Software\Microsoft\Internet

Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}
Clé Présente : HKCU\Software\Microsoft\Internet

Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start

Menu2\Programs\BrowserProtect
Clé Présente : HKCU\Software\SmartBar
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\Software\Babylon
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{AF175732-0D59-716D-F757-9F1492D808D9}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT3312330
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Présente : HKLM\Software\Conduit
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet

Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}
Clé Présente :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CNXT_MODEM_PCI_VEN_8086&DEV_24x6&SU

BSYS_542214F1
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Toolbar Cleaner
Clé Présente : HKLM\Software\Tarma Installer

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Documents and Settings\Utilisateur\Application

Data\Mozilla\Firefox\Profiles\xbnzlmcq.default-1385451724624\prefs.js ]

Ligne Trouvée : user_pref("browser.newtab.url",

"hxxp://www.nationzoom.com/newtab/?type=nt&ts=1 ... 2040AH_NP0

ET553UVR8T553UVR8X");
Ligne Trouvée : user_pref("browser.search.defaultenginename", "nationzoom");
Ligne Trouvée : user_pref("browser.search.selectedEngine", "nationzoom");
Ligne Trouvée : user_pref("extensions.crossrider.bic", "1436bb00b98c162e55f8472487b0aa22");

[ Fichier : C:\Documents and Settings\Nolwenn\Application

Data\Mozilla\Firefox\Profiles\hd10xmsr.default\prefs.js ]

Ligne Trouvée : user_pref("keyword.URL",

"hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=421&sr=0&q=");

[ Fichier : C:\Documents and Settings\Administrateur\Application

Data\Mozilla\Firefox\Profiles\rw5asjze.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [4189 octets] - [07/01/2014 21:41:01]
AdwCleaner[R1].txt - [4308 octets] - [07/01/2014 21:52:14]
AdwCleaner[R2].txt - [4088 octets] - [08/01/2014 10:15:48]
AdwCleaner[S0].txt - [409 octets] - [07/01/2014 21:43:27]
AdwCleaner[S1].txt - [409 octets] - [07/01/2014 21:53:54]

########## EOF - C:\AdwCleaner\AdwCleaner[R2].txt - [4266 octets] ##########


nation zoom est toujours là quand j'ouvre un nouvel onglet sous firefox, je ne comprends pas.
Merci pour votre aide car là ça dépasse mes compétences

A bientôt j'espère
merci
Nicolas

[hackinginterdit]

Bonjour,

• Télécharge Shortcut Cleaner de Grinler et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône sc-cleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Une invite de commandes s'ouvre, laisser l'outil travailler
• A la fin de l'analyse et nettoyage, valider par OK le message d'information
• Le rapport sc-cleaner.txt s'ouvre. Poste ce rapport dans ta prochaine réponse.
  Le rapport est enregistré sur le Bureau

Ca donne quoi?

[Bronskybit]

Bonjour,

Désolé pour le temps pris pour ma réponse, j'avais effacé mon profile firefox (et donc les mots de passe) pour supprimer cette cochonnerie de Nation Zoom

voici le rapport suite à la manip avec shortcut cleaner :
Shortcut Cleaner 1.2.6 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2014 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
http://www.bleepingcomputer.com/downloa ... t-cleaner/

Windows Version: Microsoft Windows XP Service Pack 3
Program started at: 01/13/2014 04:17:31 PM.

Scanning for registry hijacks:

* No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Documents and Settings\Utilisateur\Menu Démarrer\

Searching C:\Documents and Settings\All Users\Menu Démarrer\

Searching C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Documents and Settings\All Users\Bureau\

Searching C:\Documents and Settings\Utilisateur\Bureau


0 bad shortcuts found.

Program finished at: 01/13/2014 04:17:37 PM
Execution time: 0 hours(s), 0 minute(s), and 6 seconds(s)

Merci pour l'aide fournie,

[hackinginterdit]

Hello

Ca doit être OK ?

[Bronskybit]

bonjour,

Oui le nation zoom a l'air d'avoir disparu, ainsi que tous mes mots de passe et raccourcis vu que je n'avais pas sauvegardé mon profil firefox, bon c'est pas grave, l'essentiel est que cette cochonnerie de malware stupide ait été destroyed. Merci pour l'aide fournie sur ce forum, c'est très utile, à bientôt

[hackinginterdit]

Bonjour,

Supprimes Adwcleaner et Shortcut Cleaner