generic malware, babylon toolbar qui persisteRésolu/Fermé

Question

Bonjour, 

Mon Panda antivirus m'a mis en garde contre un generic malware qu'il aurait trouvé dans un dossier C://.... En reanalysant il trouve 6 dossiers infectés et 6 problemes resolus. Puis juste apres il ne trouve plus rien.
J'ai reussi à avoir ma page d'accueil de google au lieu de babylon, mais lorsque je clique sur le + pour ouvrir une nouvel onglet, c'est de nouveau une page de babylon qui s'ouvre. 
Je ne sais pas quoi faire pour eliminer ce babylon et je ne sais pas si je suis encore infecté.
Quelqu'un peut m'aider?
Merci.

Configuration: Windows XP / Firefox 9.0.1

kalimusic · Answer

Bonjour,

Tu n'es pas forcement infectée, tu as installé un ou plusieurs programmes indésirables. On va regarder cela ensemble : 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Recherche  
&#x25CF; Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin. 
&#x25CF; Clique sur Quitter 

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt 

Poste le rapport, A +

makz · Answer

wow, la reponse est mega rapide.
Voilà le rapport que j'ai copié collé: 
# AdwCleaner v1.409 - Rapport créé le 15/02/2012 à 17:55:40
# Mis à jour le 12/02/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : user - USER-UU3BGSXS16 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\user\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Présent : C:\Documents and Settings\user\Application Data\Babylon
Dossier Présent : C:\Documents and Settings\user\Local Settings\Application Data\Babylon
Dossier Présent : C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\sr74c0l2.default\extensions\ffxtlbr@babylon.com

***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Babylon
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}
Clé Présente : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?AF=109130&tt=090212_ctrl&babsrc=NT_ss&mntrId=84569ce000000000000000042359d0ca

-\ Mozilla Firefox v9.0.1 (fr)

Profil : sr74c0l2.default
Fichier : C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\sr74c0l2.default\prefs.js

Présente : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Présente : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Présente : user_pref("browser.search.order.1", "Search the web (Babylon)");
Présente : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Présente : user_pref("extensions.BabylonToolbar.admin", false);
Présente : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Présente : user_pref("extensions.BabylonToolbar.babExt", "");
Présente : user_pref("extensions.BabylonToolbar.babTrack", "tt=090212_ctrl");
Présente : user_pref("extensions.BabylonToolbar.bbDpng", 15);
Présente : user_pref("extensions.BabylonToolbar.dfltLng", "fr");
Présente : user_pref("extensions.BabylonToolbar.dfltSrch", false);
Présente : user_pref("extensions.BabylonToolbar.hmpg", false);
Présente : user_pref("extensions.BabylonToolbar.id", "84569ce000000000000000042359d0ca");
Présente : user_pref("extensions.BabylonToolbar.instlDay", "15385");
Présente : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Présente : user_pref("extensions.BabylonToolbar.lastDP", 15);
Présente : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1715:52:22");
Présente : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "9.0");
Présente : user_pref("extensions.BabylonToolbar.newTab", true);
Présente : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Présente : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Présente : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Présente : user_pref("extensions.BabylonToolbar.propectorlck", 67883931);
Présente : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Présente : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Présente : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Présente : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Présente : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Présente : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Présente : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Présente : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Présente : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1715:52:22");
Présente : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Présente : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Présente : user_pref("extensions.BabylonToolbar_i.babExt", "");
Présente : user_pref("extensions.BabylonToolbar_i.babTrack", "tt=090212_ctrl");
Présente : user_pref("extensions.BabylonToolbar_i.hardId", "84569ce000000000000000042359d0ca");
Présente : user_pref("extensions.BabylonToolbar_i.id", "84569ce000000000000000042359d0ca");
Présente : user_pref("extensions.BabylonToolbar_i.instlDay", "15385");
Présente : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Présente : user_pref("extensions.BabylonToolbar_i.newTab", true);
Présente : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?AF=109130&tt=090212_c[...]
Présente : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Présente : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Présente : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Présente : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Présente : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Présente : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Présente : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:52:22");
Présente : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Présente : user_pref("extensions.enabledAddons", "en-GB@dictionaries.addons.mozilla.org:1.19.1,fa@dictionaries.[...]
Présente : user_pref("keyword.URL", "hxxp://search.babylon.com/?AF=109130&tt=090212_ctrl&babsrc=adbartrp&mntrId[...]

-\ Google Chrome v16.0.912.77

Fichier : C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Présente :    "homepage": "hxxp://search.babylon.com/?AF=109130&tt=090212_ctrl&babsrc=HP_ss&mntrId=84569ce00000[...]

*************************

AdwCleaner[R1].txt - [6185 octets] - [15/02/2012 17:55:40]

########## EOF - C:\AdwCleaner[R1].txt - [6313 octets] ##########

A tt,

kalimusic · Answer

Je passais dans le coin :)

Il faut être vigilant quand on installe un programme, jamais via des liens publicitaires. Éviter les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. C'est toi qui a installé ces programmes en ne lisant pas les conditions d'utilisation : https://forum.malekal.com/viewtopic.php?t=33776&start= 

1. Désinstalle si toujours présents dans Ajout/Suppr de Prog. Babylon Toolbar

2. Relance AdwCleaner 

- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.
&#x25CF; Clique sur Quitter 

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

Poste le rapport, A +

makz · Answer

Oui, je l'ai remarqué mais trop tard. Je cherchais un programme (AVS video convertor, Express file) pour pouvoir telecharger des videos de dailymotion. Je n'ai reussi qu' m'infecter. Je vais les effacer.
Voici le nouveau rapport (il est beaucoup plus court): 
# AdwCleaner v1.409 - Rapport créé le 15/02/2012 à 18:13:54
# Mis à jour le 12/02/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : user - USER-UU3BGSXS16 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\user\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\user\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\user\Local Settings\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\sr74c0l2.default\extensions\ffxtlbr@babylon.com

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?AF=109130&tt=090212_ctrl&babsrc=NT_ss&mntrId=84569ce000000000000000042359d0ca --> hxxp://www.google.fr

-\ Mozilla Firefox v9.0.1 (fr)

Profil : sr74c0l2.default


J'ai un autre probleme beaucoup moins grave: je n'ai plus la fleche qui me permet de retrouver ma page precedente sur internet. 
PS: je repondrais dans à peu pres 2h, car je dois sortir. 
Merci pour cette reponse eclair.

kalimusic · Answer

re,

Merci de m'indiquer sur quel navigateur.

A +

makz · Answer

Re bonjour, je suis de retour. 
j'utilise mozilla. 
à bientot.

kalimusic · Answer

re,

c:\RECYCLER\1-5-21-2052111302-746137067-1957994488-1004\DC1.EXE[ssp.exe]hum, ça c'est vraiment infectieux...regardons :

Télécharge UsbFix   (par  C_XX & El Desaparecido) sur le Bureau.
   
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!   

&#x25CF; lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton  "Recherche"   
&#x25CF; Patiente le temps du balayage qui peut durer plusieurs minutes   
&#x25CF; Le rapport doit s'ouvrir spontanément à la fin du scan   
&#x25CF; Copie/colle le rapport dans le prochain message   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus 

A +

makz · Answer

juste une petite question: que veux tu dire par sans les ouvrir? par exemple, je ne dois pas allumer le disque dur? ou je dois l'allumer et le brancher à la prise, sans ouvrir de dossier dans le disque dur?

kalimusic · Answer

Tu insères, tu mets sous tension si besoin mais tu n'ouvres rien.

A +

makz · Answer

voici le rapport (j'ai desactivé l'antivirus pendant le travail de Usbfix): 
############################## | UsbFix V 7.081 | [Recherche]

Utilisateur: user (Administrateur) # USER-UU3BGSXS16
Mis à jour le 05/02/2012 par El Desaparecido
Lancé à 21:46:20 | 15/02/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Hewlett-Packard  (Compaq Presario X1000 DL681A#ABF) (X86-based PC) # Notebook
CPU:         Intel(R) Pentium(R) M processor 1300MHz (1295)
RAM -> [ Total : 767 | Free : 433 ]
BIOS: EPP runtime BIOS - Version 1.1 
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 25 Go (3 Go libre(s) - 13%) [] # NTFS
D:\ -> Disque fixe # 124 Go (65 Go libre(s) - 53%) [work] # NTFS
E:\ -> CD-ROM
G:\ -> Disque fixe # 932 Go (281 Go libre(s) - 30%) [LaCie] # NTFS

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (636)
C:\WINDOWS\system32\winlogon.exe (724)
C:\WINDOWS\system32\services.exe (768)
C:\WINDOWS\system32\lsass.exe (780)
C:\WINDOWS\system32\svchost.exe (932)
C:\WINDOWS\system32\svchost.exe (1100)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\TPSrv.exe (1124)
C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2011\WebProxy.exe (1376)
C:\WINDOWS\system32\spoolsv.exe (1824)
C:\WINDOWS\System32\Ati2evxx.exe (1260)
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe (1400)
C:\Program Files\Java\jre6\bin\jqs.exe (1640)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\PsCtrls.exe (1968)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\PavFnSvr.exe (360)
C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe (1580)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\PsImSvc.exe (2012)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\PskSvc.exe (620)
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (1708)
C:\WINDOWS\System32\svchost.exe (428)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\pavsrvx86.exe (1412)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\AVENGINE.EXE (892)
C:\WINDOWS\Explorer.EXE (476)
C:\Program Files\ExpressFiles\EFupdater.exe (2400)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\ApVxdWin.exe (2440)
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe (832)
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe (4008)
C:\WINDOWS\AGRSMMSG.exe (4032)
C:\WINDOWS\system32\LVCOMSX.EXE (2456)
C:\WINDOWS\System32\wbem\wmiapsrv.exe (2540)
C:\Program Files\Logitech\Video\LogiTray.exe (2596)
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe (2712)
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (180)
C:\Program Files\ExpressFiles\ExpressFiles.exe (2128)
C:\WINDOWS\system32\ctfmon.exe (2856)
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe (3592)
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe (3908)
C:\Program Files\VoipGain.com\VoipGain\VoipGain.exe (2996)
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe (2356)
C:\Program Files\EasyVoip.com\EasyVoip\EasyVoip.exe (3804)
C:\Program Files\Messenger\msmsgs.exe (3516)
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe (3128)
C:\Program Files\Logitech\Video\FxSvr2.exe (2076)
C:\WINDOWS\system32\wuauclt.exe (652)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\Iface.exe (2772)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\PAVJOBS.EXE (1912)
C:\UsbFix\Go.exe (1148)
C:\Program Files\Panda Security\Panda Antivirus Pro 2011\avciman.exe (1436)
C:\WINDOWS\system32\wscntfy.exe (4412)

################## | Éléments infectieux |

Présent! C:\user.js

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{3d39c5e0-42e8-11e1-900e-00042359d0ca}
Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true



################## | Vaccin |

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |

J'ai reactivé l'antivirus our pouvoir me connecter à internet. Dois je le desactiver pendant quelques jours?

kalimusic · Answer

Réactive l'antivirus, c'était juste pendant le scan de UsbFix.
Aucune infection visible, tu avais déjà utilisé cet outil avant ?

D'autres soucis ?

A +

makz · Answer

Non, pas que je sache. Peut etre il y'a quelques années sur les conseils de ce meme site, mais je ne m'en souviens pas.

Je n'ai pas d'autre soucis, mais si tu connais un programme pour enregistrer des videos de dailymotion c'est le bienvenue. 

Un tres grand merci pour tout.

kalimusic · Answer

makz,

Désolé, je ne connais pas de programme de ce type, ouvre un autre sujet dans le forum logiciels ou internet.

1. Relance UsbFix > Clique sur Vacciner

2. Relance UsbFix > Clique sur Désinstaller

3. Relance AdwCleaner > Clique sur Désinstallation

4. Vérifie que tes logiciels sont à jour

== == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation

makz · Answer

C'est fait. Encore un tres grand merci pour tout!

kalimusic · Answer

Pas de soucis, bonne soirée.

makz · Answer

oh... je suis desolé mais le panda vient juste de terminer son analyse et me trouve un fichier suspect: celui de usbfix qui se trouve dans c:\documents and settings\user\mes documents	elechargement\usbfix.exe
Suis vraiment desolé. Je vais aller l'effacer et relancer le panda.

kalimusic · Answer

C'est normal, relire ce que j'ai écrit plus haut à propos de UsbFix , les antivirus n'aiment pas un de ses composants : 

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus. 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

makz · Answer

Ah merci, je n'avais pas compris.  Toutes mes excuses encore. 
Cette fois j'ai tout effacé. 
Je vais essayer de marquer ce topic comme resolu.
Tres bonne nuit.

Generic malware, babylon toolbar qui persiste

18 réponses

Discussions similaires

Newsletters