ChatLand Messenger (malware)
g3n-h@ckm@n -
J'ai un malware installé dans ma machine que je n'arrive pas à supprimer qui se nomme chatland messenger.
J'ai déjà fait un rapport zhpdiag pour vous aider :) => https://www.cjoint.com/?BEks2qUuaRJ
Merci de votre aide !
--
~ Il est bon d'avoir à soi quelque chose pour le donner ~
~ Ils ont des yeux mais ne voient pas ~
28 réponses
- 1
- 2
Un malware baptisé Chatland Messenger pose des difficultés de suppression sur Windows 7 et Firefox 12, persistantes malgré des tentatives de nettoyage. Les interventions incluent l’analyse ZHPDiag, puis ZHPFix en administrateur, le recours à AdwCleaner et l’inspection d’éléments suspects tels que BabylonToolbar et des préférences du navigateur. Des symptômes persistants signalent un redémarrage avec mise à jour, des pop-ups de connexion et une infection limitée à une session utilisateur, malgré des rapports et scripts recommandés. En cas de persistance, une vérification ciblée des processus au démarrage et un nouveau rapport ZHPDiag peuvent aider à clarifier l’origine et les composants restants.
-
Bonjour,
--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
https://toolslib.net -
Je fais ça de suite :)
-
--> Relance AdwCleaner et choisis "Désinstallation".
--> Poste un nouveau rapport ZHPDiag. -
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
SysRestore
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
M3 - MFPP: Plugins - [David] -- C:\Users\David.Hugues-PC\AppData\Roaming\Mozilla\Firefox\Profiles\k8xzvpok.default\searchplugins\MyStart Search.xml
[MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1949163855-2630746819-3695655456-1005Core] (...) -- C:\Users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1949163855-2630746819-3695655456-1005UA] (...) -- C:\Users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{233A8CB0-FFA0-4AF1-ADD6-0A88D8D4DE9D}] (...) -- C:\Users\David\Documents\PRO_ASS_V1.01 C_S\Assassins.Creed.Revelations.v1.01.Update-SKIDROW\ac_revelations_1.01_eu.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{283E6FDA-B432-4951-8435-C01E1DF42065}] (...) -- C:\Users\David\Downloads\slg.acrlt1.01.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{2B32DF19-B621-4852-8A48-5C6C67C0F63D}] (...) -- C:\Users\David\Downloads\vga_driver_nvidia_(win7)vista64_266.44.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{51957A33-14A2-4672-803B-166AEE99254A}] (...) -- C:\Users\David\chat-land\UChatLand.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{72CF60D3-336B-420F-B35C-6694C241FE73}] (...) -- C:\Program Files\AVAST Software\Avast\aswRundll.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{776E0214-5B12-4F7C-B82F-454EEE600555}] (...) -- C:\Users\David\Downloads\Programs\vcredist_x86.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{87A03F51-2F16-442A-833F-AC99031EE7C5}] (...) -- E:\SETUP.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{DA0D8DE6-7DB3-4CD3-A837-4739298EEC3B}] (...) -- C:\Users\David\Downloads\Programs\HTTPTunnelInstallerv444000.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E429D24C-00F2-4005-9F8D-A0BE8B0DF7F8}] (...) -- K:\install.exe (.not file.)
O42 - Logiciel: MessengerChatLand - (.MessengerChatland.) [HKLM] -- MessengerChatland
[HKLM\Software\Babylon]
[HKLM\Software\DataMngr]
[HKLM\Software\Incredibar.com]
[HKLM\Software\TENCENT]
O43 - CFD: 7/01/2012 - 16:07:48 - [0,005] ----D C:\Users\David.Hugues-PC\AppData\Roaming\Babylon
O43 - CFD: 7/01/2012 - 16:07:48 - [3,744] ----D C:\Users\David.Hugues-PC\AppData\Local\Babylon
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.admin", false);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.aflt", "babsst");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.babExt", "somoto");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.babTrack", "affID=100789");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.bbDpng", 7);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.dfltSrch", false);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.hmpg", false);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.id", "609401f600000000000050e549c17b14");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.instlDay", "15346");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.instlRef", "sst");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.lastDP", 7);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1715:07:54");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "9.0");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.newTab", true);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.newTabUrl", "http://search.babylon.com/?babsrc=NT_bb");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.propectorlck", 64505303);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.ptch_0717", true);
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.smplGrp", "none");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.srcExt", "ss");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.tlbrId", "tb5");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1715:07:54");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babExt", "somoto");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.hardId", "609401f600000000000050e549c17b14");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.id", "609401f600000000000050e549c17b14");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15346");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:07:54");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application
[HKLM\Software\WOW6432Node\Classes\CLSID\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{F9639E4A-801B-4843-AEE3-03D9DA199E77}]
[HKLM\Software\WOW6432Node\Incredibar.com]
[HKLM\Software\WOW6432Node\Tencent]
C:\Users\David.Hugues-PC\AppData\Roaming\Babylon
C:\Users\David.Hugues-PC\AppData\Local\Babylon
C:\Users\David.Hugues-PC\AppData\LocalLow\BabylonToolbar
C:\Users\David.Hugues-PC\AppData\Roaming\Mozilla\Firefox\Profiles\k8xzvpok.default\SearchPlugins\MyStart Search.xml
EmptyFlash
EmptyTemp
--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).
--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
--> Une fois terminé, copie-colle le rapport dans ton prochain message. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
C'est mieux ?
-
As-tu fait un scan avec Malwarebytes Anti-Malware récemment ?
-
Oui il me détecte des menaces je les supprime mais ce foutu programme est toujours présent..
Une petite question qu'est-ce que ce programme peut provoquer ? -
Tu peux me poster le rapport ?
-
Je relance un scan complet ;)
-
Voilà il n'ya aucune menace => https://www50.zippyshare.com/v/92056414/file.html
-
Ok, poste un nouveau rapport ZHPDiag.
-
Je le posterais demain apres-midi ;) Bonne soiree.
-
-
"Hotspot Shield"
--> Tu te sers de ce logiciel ?
"C:\Program Files (x86)\cracksteam"
--> Il y a quoi dans ce dossier ? -
Oui HotSpot me permet de temps en temps de conserver mon anonymat sur internet ;)
Pour le dossier steam je ne men sers plus. -
Je ne sais pas pourquoi tu vois encore Chatland.
Réutilise ZHPFix (tu le lances en tant qu'administrateur) mais avec ce script :
SysRestore
O42 - Logiciel: MessengerChatLand - (.MessengerChatland.) [HKLM] -- MessengerChatland
[HKLM\Software\Babylon]
[HKLM\Software\DataMngr]
O43 - CFD: 17/02/2012 - 18:21:53 - [1591,473] ----D C:\Program Files (x86)\cracksteam
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babExt", "somoto");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.hardId", "609401f600000000000050e549c17b14");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.id", "609401f600000000000050e549c17b14");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15346");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:07:54");
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
EmptyFlash
EmptyTemp -
Ok je ferais ca demain, et oui ChatLand a l faire coriace ..
-
J'ai exécuté ces lignes avec zhpfix mais le problème persiste toujours ..
Ps : j'ai lancé un scan avec mon antivirus et il m'a supprimé 2 menaces. -
Je ne sais pas où il se cache.
Donc tu le vois à côté de l'horloge en bas à droite ? -
Oui et un pop up se lance à chaque démarrage.
Je précise qu'il n'y a que ce problème sur ma session (david)
- 1
- 2