ChatLand Messenger (malware)

maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour,

J'ai un malware installé dans ma machine que je n'arrive pas à supprimer qui se nomme chatland messenger.

J'ai déjà fait un rapport zhpdiag pour vous aider :) => https://www.cjoint.com/?BEks2qUuaRJ

Merci de votre aide !



--
~ Il est bon d'avoir à soi quelque chose pour le donner ~
~ Ils ont des yeux mais ne voient pas ~

28 réponses

  • 1
  • 2
Résumé de la discussion

Un malware baptisé Chatland Messenger pose des difficultés de suppression sur Windows 7 et Firefox 12, persistantes malgré des tentatives de nettoyage. Les interventions incluent l’analyse ZHPDiag, puis ZHPFix en administrateur, le recours à AdwCleaner et l’inspection d’éléments suspects tels que BabylonToolbar et des préférences du navigateur. Des symptômes persistants signalent un redémarrage avec mise à jour, des pop-ups de connexion et une infection limitée à une session utilisateur, malgré des rapports et scripts recommandés. En cas de persistance, une vérification ciblée des processus au démarrage et un nouveau rapport ZHPDiag peuvent aider à clarifier l’origine et les composants restants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
    https://toolslib.net
    0
  2. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
     
    Je fais ça de suite :)
    0
    1. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
       
      ChatLand est toujours présent pour le moment :/
      0
    2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      A quel endroit ?
      0
    3. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
       
      Il se lance au démarrage avec une sorte de pop-up et est présent dans la barre des taches..
      0
    4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      Ok, j'attends le nouveau rapport.

      As-tu essayé ceci ?

      Menu Démarrer > Panneau de configuration > Désinstaller un programme et tu désinstalles MessengerChatLand.
      0
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Relance AdwCleaner et choisis "Désinstallation".

    --> Poste un nouveau rapport ZHPDiag.
    0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

    SysRestore
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
    M3 - MFPP: Plugins - [David] -- C:\Users\David.Hugues-PC\AppData\Roaming\Mozilla\Firefox\Profiles\k8xzvpok.default\searchplugins\MyStart Search.xml
    [MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1949163855-2630746819-3695655456-1005Core] (...) -- C:\Users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1949163855-2630746819-3695655456-1005UA] (...) -- C:\Users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{233A8CB0-FFA0-4AF1-ADD6-0A88D8D4DE9D}] (...) -- C:\Users\David\Documents\PRO_ASS_V1.01 C_S\Assassins.Creed.Revelations.v1.01.Update-SKIDROW\ac_revelations_1.01_eu.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{283E6FDA-B432-4951-8435-C01E1DF42065}] (...) -- C:\Users\David\Downloads\slg.acrlt1.01.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{2B32DF19-B621-4852-8A48-5C6C67C0F63D}] (...) -- C:\Users\David\Downloads\vga_driver_nvidia_(win7)vista64_266.44.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{51957A33-14A2-4672-803B-166AEE99254A}] (...) -- C:\Users\David\chat-land\UChatLand.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{72CF60D3-336B-420F-B35C-6694C241FE73}] (...) -- C:\Program Files\AVAST Software\Avast\aswRundll.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{776E0214-5B12-4F7C-B82F-454EEE600555}] (...) -- C:\Users\David\Downloads\Programs\vcredist_x86.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{87A03F51-2F16-442A-833F-AC99031EE7C5}] (...) -- E:\SETUP.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{DA0D8DE6-7DB3-4CD3-A837-4739298EEC3B}] (...) -- C:\Users\David\Downloads\Programs\HTTPTunnelInstallerv444000.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{E429D24C-00F2-4005-9F8D-A0BE8B0DF7F8}] (...) -- K:\install.exe (.not file.)
    O42 - Logiciel: MessengerChatLand - (.MessengerChatland.) [HKLM] -- MessengerChatland
    [HKLM\Software\Babylon]
    [HKLM\Software\DataMngr]
    [HKLM\Software\Incredibar.com]
    [HKLM\Software\TENCENT]
    O43 - CFD: 7/01/2012 - 16:07:48 - [0,005] ----D C:\Users\David.Hugues-PC\AppData\Roaming\Babylon
    O43 - CFD: 7/01/2012 - 16:07:48 - [3,744] ----D C:\Users\David.Hugues-PC\AppData\Local\Babylon
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.admin", false);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.aflt", "babsst");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.babExt", "somoto");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.babTrack", "affID=100789");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.bbDpng", 7);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.dfltSrch", false);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.hmpg", false);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.id", "609401f600000000000050e549c17b14");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.instlDay", "15346");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.instlRef", "sst");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.lastDP", 7);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1715:07:54");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "9.0");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.newTab", true);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.newTabUrl", "http://search.babylon.com/?babsrc=NT_bb");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.propectorlck", 64505303);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.ptch_0717", true);
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.smplGrp", "none");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.srcExt", "ss");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.tlbrId", "tb5");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1715:07:54");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babExt", "somoto");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.hardId", "609401f600000000000050e549c17b14");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.id", "609401f600000000000050e549c17b14");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15346");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:07:54");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application
    [HKLM\Software\WOW6432Node\Classes\CLSID\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{F9639E4A-801B-4843-AEE3-03D9DA199E77}]
    [HKLM\Software\WOW6432Node\Incredibar.com]
    [HKLM\Software\WOW6432Node\Tencent]
    C:\Users\David.Hugues-PC\AppData\Roaming\Babylon
    C:\Users\David.Hugues-PC\AppData\Local\Babylon
    C:\Users\David.Hugues-PC\AppData\LocalLow\BabylonToolbar
    C:\Users\David.Hugues-PC\AppData\Roaming\Mozilla\Firefox\Profiles\k8xzvpok.default\SearchPlugins\MyStart Search.xml
    EmptyFlash
    EmptyTemp


    --> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
    (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

    --> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).

    --> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    --> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

    --> Une fois terminé, copie-colle le rapport dans ton prochain message.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    C'est mieux ?
    0
    1. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
       
      Non ChatLand est toujours présent .. ^^'
      0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    As-tu fait un scan avec Malwarebytes Anti-Malware récemment ?
    0
  8. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
     
    Oui il me détecte des menaces je les supprime mais ce foutu programme est toujours présent..

    Une petite question qu'est-ce que ce programme peut provoquer ?
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu peux me poster le rapport ?
    0
  10. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
     
    Je relance un scan complet ;)
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ok, poste un nouveau rapport ZHPDiag.
    0
  12. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
     
    Je le posterais demain apres-midi ;) Bonne soiree.
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Hotspot Shield"

    --> Tu te sers de ce logiciel ?

    "C:\Program Files (x86)\cracksteam"

    --> Il y a quoi dans ce dossier ?
    0
  14. maxence2015
     
    Oui HotSpot me permet de temps en temps de conserver mon anonymat sur internet ;)
    Pour le dossier steam je ne men sers plus.
    0
  15. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Je ne sais pas pourquoi tu vois encore Chatland.

    Réutilise ZHPFix (tu le lances en tant qu'administrateur) mais avec ce script :

    SysRestore
    O42 - Logiciel: MessengerChatLand - (.MessengerChatland.) [HKLM] -- MessengerChatland
    [HKLM\Software\Babylon]
    [HKLM\Software\DataMngr]
    O43 - CFD: 17/02/2012 - 18:21:53 - [1591,473] ----D C:\Program Files (x86)\cracksteam
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babExt", "somoto");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.hardId", "609401f600000000000050e549c17b14");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.id", "609401f600000000000050e549c17b14");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15346");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:07:54");
    O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
    EmptyFlash
    EmptyTemp
    0
  16. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
     
    Ok je ferais ca demain, et oui ChatLand a l faire coriace ..
    0
  17. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
     
    J'ai exécuté ces lignes avec zhpfix mais le problème persiste toujours ..
    Ps : j'ai lancé un scan avec mon antivirus et il m'a supprimé 2 menaces.
    0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Je ne sais pas où il se cache.

    Donc tu le vois à côté de l'horloge en bas à droite ?
    0
  19. maxence2015 Messages postés 335 Date d'inscription   Statut Membre Dernière intervention   104
     
    Oui et un pop up se lance à chaque démarrage.
    Je précise qu'il n'y a que ce problème sur ma session (david)
    0
  • 1
  • 2