Sujet Précédent Sujet Suivant

Un petit adware pour la route ...

Résolu/Fermé
Utilisateur anonyme - 30 juil. 2012 à 19:58
 Utilisateur anonyme - 31 juil. 2012 à 17:18
Salut,

Alors voilà je pense avoir été infecté par un malware, et je sais à peu prêt d'où ça vient.
Donc j'ai téléchargé un truc sur Internet et finalement au lieu d'avoir le bon truc j'ai eu une sorte de logiciel bizarre qui s'appelle YourFile Downloader.
Bon je l'ai installé vite fait et mon antivirus (Dans la partie Config en bas) a détecté un truc.

C:\Users\Sylvain\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.29.1\BabylonToolbar4ie.exe -> Suspicious@10k4i87hp0gr5

Donc détecté et mis en quarantaine.
Du côté de la Sandbox :

C:\Users\Sylvain\AppData\Local\Temp\12BC9774-BAB0-7891-B8B1-AB63BD21D2AE\Latest\MyBabylonTB.exe -> C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

Donc mes processus ont été scannés par ce truc.

Mais bon voilà la Sécurité je connais les bases, mais je ne sais pas si cette infection a vraiment un dangé ou pas. C'est rare que je télécharge des merdes sur Internet je fais vraiment très attention.

Alors du coup ma page d'accueil Firefox a changé vers le site Babylon et mon moteur de recherche par défaut, pareil.

Donc voilà si vous pouvez me guider pour savoir si je suis infecté ou pas, merci d'avance.

PS : Je n'ai jamais demandé à avoir cette page de recherche, je ne suis pas du genre à cliquer sur Suivant comme un dingue.


3 réponses

Réponse 1 / 3
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
30 juil. 2012 à 20:00
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

- Télécharge ZHPDiag (de Nicolas Coolman)
- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
- Vérifie si tu trouves une icône "UAC" en haut à droite de ZHPDiag : si c'est le cas, clique dessus.
- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

0
Utilisateur anonyme
Modifié par DJ Fire-Black le 30/07/2012 à 20:18
Merci

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120730_e8k9u5v10s9

Edit : J'ai remis la page d'accueil / moteur de recherche sous Firefox sur google avant de lancer.
0
Réponse 2 / 3
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
30 juil. 2012 à 22:27
On va supprimer ce logiciel publicitaire ;)


1) Les barres d'outils sont inutiles, elles ralentissent le navigateur et peuvent le rendre instable : je te conseille de les désinstaller. Pour ça, ouvre le menu démarrer --> panneau de configuration --> désinstaller un programme --> Sélectionne les programmes suivants et désinstalle les :
BabylonObjectInstaller
DAEMON Tools Toolbar
Google Toolbar


2) Ensuite, utilise cet outil de désinfection spécifique aux logiciels publicitaires :

¶ Télécharge AdwCleaner (de Xplode) sur ton Bureau.
¶ Lance le, clique sur Suppression puis patiente le temps du scan.
¶ Une fois la suppression terminée, un message de prévention va s'afficher, je te conseille de le lire attentivement (n'hésite pas à me poser des questions si tu n'as pas compris certaines choses dans ce message).
¶ Ensuite, le rapport s'ouvrira : poste le dans ta prochaine réponse.


3) Puis utilise ce logiciel de désinfection généraliste :

¶ Télécharge et installe Malwarebytes' Anti-Malware
¶ A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
¶ Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
¶ Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
¶ A la fin de l'analyse, clique sur Afficher les résultats
¶ Coche tous les éléments détectés puis clique sur Supprimer la sélection
¶ Enregistre le rapport
¶ S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
¶ Poste dans ta prochaine réponse le rapport apparaissant après la suppression


4) Enfin, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent).

0
Utilisateur anonyme
31 juil. 2012 à 01:35
J'en ai profité pour mettre un gros coup de CCleaner après l'analyse MBAM.

AdwCleaner : 
# AdwCleaner v1.703 - Rapport créé le 31/07/2012 à 00:53:34
# Mis à jour le 20/07/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Sylvain - PCC-SYLVAIN
# Exécuté depuis : C:\Users\Sylvain\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Sylvain\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Sylvain\AppData\Roaming\Nosibay
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Program Files (x86)\DAEMON Tools Toolbar
Dossier Supprimé : C:\ProgramData\Partner
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\DT Soft

***** [Registre - GUID] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}
[x64] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=112555&tt=3112_3&babsrc=HP_ss&mntrId=06048d21000000000000c44619498ed3 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?affID=112555&tt=3112_3&babsrc=NT_ss&mntrId=06048d21000000000000c44619498ed3 --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [2290 octets] - [19/12/2011 20:17:14]
AdwCleaner[S2].txt - [2388 octets] - [31/07/2012 00:53:34]

########## EOF - C:\AdwCleaner[S2].txt - [2516 octets] ##########


MBAM : 

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.30.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sylvain :: PCC-SYLVAIN [administrateur]

31/07/2012 01:02:53
mbam-log-2012-07-31 (01-02-53).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 222331
Temps écoulé: 10 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


ZHP :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120731_r8q15i12c8s9
0
Réponse 3 / 3
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
31 juil. 2012 à 16:29
Ce script va cibler certains éléments à supprimer :

¶ Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
¶ Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
¶ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse


Après ça, ton ordinateur ne sera plus infecté. Voici les conseils de finition :


1) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (Comodo dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer ces deux extensions de Firefox :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Plusieurs logiciels ne sont pas à jour sur ton ordinateur, cela rend ton ordinateur vulnérable :
- Java : Désinstalle le puis télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)
- Adobe Reader : Désinstalle le puis télécharge et installe la nouvelle version ici (tu peux décocher le programme qui est proposé en option lors du téléchargement).
- Flash Player : Ferme ton navigateur, puis désinstalle toutes les versions de Adobe Flash Player. Ensuite, télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option avant de cliquer pour lancer le téléchargement).
- Mozilla Thunderbird : Ouvre le --> clique sur le point d'interrogation dans la barre des menus --> A propos de Thunderbird.
- OpenOffice, deux possibilités : soit tu télécharges la dernière version ici, soit tu le désinstalles et tu le remplaces par LibreOffice qui est basé sur OpenOffice mais bien plus suivi par ses développeurs.
- VLC : télécharge la dernière version ici.

* Pour éviter d'autres failles de sécurité à l'avenir, je me permets de te signaler l'existence d'une lettre d'information proposée en bas à gauche de ce site (pour information, je suis l'une des personnes qui rédigent ces newsletters). En t'inscrivant, tu recevras un e-mail dès que des mises à jour importantes pour la sécurité de ton ordinateur sont disponibles. Ces messages contiendront des explications pour savoir comment procéder, au cas où tu ne te sentes pas à l'aise pour le faire seul.



2) Optimisation :

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, lance CCleaner --> clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : Adobe Reader Speed Launcher / Adobe ARM / StartCCC

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

0
Utilisateur anonyme
31 juil. 2012 à 17:18 
Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-31-07-2012-17-13-38.txt
Run by Sylvain at 31/07/2012 17:13:38
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Sylvain\AppData\Local\Temp\toolbar29141969.exe

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
ABSENT URLSearchHook: {f999a48b-1950-4d81-9971-79018f807b4b}

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
SUPPRIME Mozilla Pref: user_pref("browser.newtab.url", "http://search.babylon.com/?affID=112555&tt=3112_3&babsrc=NT_ss&mntrId=06048d21000000000000c446194[...]
SUPPRIME Mozilla Pref: user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("browser.search.order.1", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.admin", false);
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.aflt", "babsst");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.dfltLng", "en");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.excTlbr", false);
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.id", "06048d21000000000000c44619498ed3");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.instlDay", "15551");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.instlRef", "sst");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.tlbrId", "base");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "https://www.google.com/webhp?gws_rd=ssl");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.vrsn", "1.5.29.1");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.vrsni", "1.5.29.1");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.babExt", "");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.babTrack", "affID=112555&tt=3112_3");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.newTab", true);
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.newTabUrl", "http://search.babylon.com/?affID=112555&tt=3112_3&babsrc=NT_ss&mntrId=06048d21[...]
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.29.116:47:24");
SUPPRIME Mozilla Pref: user_pref("keyword.URL", "http://search.babylon.com/?affID=112555&tt=3112_3&babsrc=KW_ss&mntrId=06048d21000000000000c44619498ed3&q[...]

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File: c:\users\sylvain\appdata\roaming\mozilla\firefox\profiles\w8t9zo1x.default\searchplugins\daemon-search.xml
SUPPRIME File*: c:\users\sylvain\appdata\local\temp\toolbar29141969.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
1 : Processus mémoire
2 : Valeur(s) du Registre
2 : Dossier(s)
4 : Fichier(s)
25 : Préférences navigateur


End of clean in 00mn 08s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/12/2011 16:31:31 [52966]
C:\ZHP\ZHPFix[R2].txt - 31/07/2012 17:13:38 [3712]


J'ai déjà AdBlock et WOT, d'ailleurs j'ai mal noté le site où j'ai chopé ça et il avait déjà pas mal de mauvais commentaires pour les même raisons mais c'est bizarre il était vert quand même quand j'étais dessus, c'est pour que j'ai pas vraiment fait gaffe ...

Je fais la suite.
0

Discussions similaires

petit colis
tina -
Utilisateur anonyme -

6 réponses
comment écrire des petits chiffres ?
Elisa-x3 -
Luka_65 -

9 réponses
Dimensions L x l x H : comment lire ces infos ?
Miss-Curieuse -
valou -

8 réponses
"Votre colis est arrivé sur son site de distribution", cad ?
Mir -
lolol -

13 réponses
adware.pokki
SuperFun -
SuperFun -

9 réponses