Infection par Yontoo et BabylonRésolu/Fermé

Question

Bonjour, 



Configuration: Windows 7 / Firefox 19.0

Bonsoir, J'ai été infecté par Yontoo que ces s.. chez Kaspersky avaient en site de confiance dans mon antivirus! UN COMBLE!

Je viens de faire tourner AdwCleaner dont voici le rapport; il a visiblement aussi et à juste titre supprimé Babylon. Voyez vous d'autres manips à Faire; d'avance merci. Claude.



Rapport AdwCleaner

# AdwCleaner v2.200 - Rapport créé le 07/04/2013 à 21:03:40
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : claude rozsa - BUREAU
# Mode de démarrage : Normal
# Exécuté depuis : K:\FSX\Tampon\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Red Sky
Dossier Supprimé : C:\ProgramData\InstallMate
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\claude rozsa\AppData\Local\DownTango
Dossier Supprimé : C:\Users\claude rozsa\AppData\Local\TempDir
Dossier Supprimé : C:\Users\claude rozsa\AppData\LocalLow\simplytech
Dossier Supprimé : C:\Users\CLAUDE~1\AppData\Local\Temp\boost_interprocess
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\user.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\1ClickDownload
Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Headlight
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\Software\Classes\Installer\Features\95FA1DD41215F1249BD2EEFBF30243A5
Clé Supprimée : HKLM\Software\Classes\Installer\Products\95FA1DD41215F1249BD2EEFBF30243A5
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
Clé Supprimée : HKLM\Software\PIP
Clé Supprimée : HKLM\Software\VDownloader\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1B97A696-5576-43AC-A73B-E1D2C78F21E8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{75BF416E-4326-45B5-8A2D-AE32D05B930B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16521

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=3231 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=3231 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=3231 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=3231 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=3231 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=3231&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=3231&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=3231 --> hxxp://www.google.com

-\ Mozilla Firefox v19.0.2 (fr)

Fichier : C:\Users\claude rozsa\AppData\Roaming\Mozilla\Firefox\Profiles\dyy0b0qf.default\prefs.js

C:\Users\claude rozsa\AppData\Roaming\Mozilla\Firefox\Profiles\dyy0b0qf.default\user.js ... Supprimé !

Supprimée : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
Supprimée : user_pref("browser.search.order.1", "Web Search");
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110819");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "bcfc6ca5000000000000bcaec518dd3c");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "bcfc6ca5000000000000bcaec518dd3c");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15452");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1722:14:01");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("keyword.URL", "hxxp://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=");

*************************

AdwCleaner[S1].txt - [8825 octets] - [07/04/2013 21:03:40]

########## EOF - C:\AdwCleaner[S1].txt - [8885 octets] ##########

billmaxime · Answer

salut

exécute encore 1 fois adwcleaner en mode recherche et poste le rapport

@+

claude101141 · Answer

ok

claude101141 · Answer

Résultat quasi instantané:

# AdwCleaner v2.200 - Rapport créé le 07/04/2013 à 21:27:46
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : claude rozsa - BUREAU
# Mode de démarrage : Normal
# Exécuté depuis : K:\FSX\Tampon\AdwCleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16521

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v19.0.2 (fr)

Fichier : C:\Users\claude rozsa\AppData\Roaming\Mozilla\Firefox\Profiles\dyy0b0qf.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [774 octets] - [07/04/2013 21:27:46]
AdwCleaner[S1].txt - [8910 octets] - [07/04/2013 21:03:40]

########## EOF - C:\AdwCleaner[R1].txt - [893 octets] ##########

billmaxime · Answer

re

ok, lance adwcleaner et choisis "désinstaller"

firefox n'est pas a jour Mozilla Firefox v19.0.2 (fr) 

mettre firefox a jour

ensuite fais ceci

télécharge MBAM sur ton bureau 

le lien https://www.malwarebytes.com/ (prend le free) 

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/ 

exécute le en tant qu'administrateur (clic droit) 

met le a jour  (3ème bouton)

fais 1 scan complet (tous les disques) 


le scan peut durer +-2H (laisse le bosser) 

si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

poste le rapport via 1 copier/coller 

le rapport s'affichera sur ton bureau et dans rapport/log de MBAM 

@+

claude101141 · Answer

La mise à jour vient de se faire; je suppose que c'est cette cochonnerie qui l'empêchait; par ailleurs, j'ai fait un scan complet (6h de durée de tous les disques) avec Kaspersky ce matin. Est-ce vraiment utile de recommencer avec un logiciel free dont la fiabilité est sans doute moindre.

Par ailleurs en tant que site style yontoo ou ask, vois-tu d'autres que tu connais dont je pourrai interdire l'accès via Kaspersky; je viens de mettre les deux sites en interdiction absolue dans ma config ainsi que Babylon.

merci d'avance

billmaxime · Answer

re

Est-ce vraiment utile de recommencer avec un logiciel free dont la fiabilité est sans doute moindre

MBAM même s'il existe en version gratuite, est 1 logiciel plus que correct

il existe aussi la version payante avec protection résidentielle


j'ai fait un scan complet (6h de durée de tous les disques) avec Kaspersky ce matin


et lui, il t'a trouvé quoi?

Par ailleurs en tant que site style yontoo ou ask, vois-tu d'autres que tu connais dont je pourrai interdire l'accès via Kaspersky

se sont des adwares et des publiciels, qui te sont ajoutés quand tu télécharges sur

01net, softonic (par exemple)

tu ne peux pas bloquer ses adwares et publiciels, mais tu dois bloquer les sites

afin de ne plus rien télécharger sur ses sites, et ainsi éviter ces infections

ps:MBAM est 1 logiciel que tu peux conserver sur ton pc

par contre avant de faire 1 analyse, pense a le mettre a jour (3ème bouton)

@+

claude101141 · Answer

C'est évidemment les sites dont je parlais, Karspecky et SuperAntispyware que j'ai fait tourner depuis ce matin ont détecté en tout 8 troyens dont 4 légers et qui ont été éliminés. Ils étaient sur un addon payant ancien de FSX.

Je fais les mises à jour de façon automatique en fin de soirée au moment où je vais fermer mon pc, je les ai programmé avec fermeture auto du pc après les maj. Sinon elles se font le matin en lançant la bécane.

Une source éventuelle de virus vient maintenant du compte Updatususer de NVIDIA qui est invisible dans le panneau de config de WIN 7 et que tu ne peux pas contrôler. C'est une véritable atteinte à la vie privée. Je me suis engueulé avec eux et ce n'est qu'en passant à la version pro de Win que j'ai pu avec l'aide de Microsoft (2h au téléphone), me débarrasser de cette cochonnerie. Il y a des posts sur le forum de MS à ce sujet.

Merci pour ton aide et tes conseils
Bonne soirée
Claude

sas75 · Answer

bill maxime est ce que tu peux m'aider ? j'ai posté toute à l'heure je voulais savoir la marche à suivre ensuite sur le poste PC infecté? merci bcp et désolé de t'importuner 
SASH

billmaxime · Answer

salut sas75

donne moi le lien de ton topic

@+

sas75 · Answer

salut billmaxime 

voici le lien

https://forums.commentcamarche.net/forum/affich-27541723-pc-infecte
merci

Infection par Yontoo et Babylon

10 réponses

Discussions similaires

Newsletters