ChatLand Messenger (malware)

Question

Bonjour, 

J'ai un malware installé dans ma machine que je n'arrive pas à supprimer qui se nomme chatland messenger.

J'ai déjà fait un rapport zhpdiag pour vous aider :) => https://www.cjoint.com/?BEks2qUuaRJ

Merci de votre aide !

Configuration: Windows 7 / Firefox 12.0

Destrio5 · Answer

Bonjour,

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
https://toolslib.net

maxence2015 · Answer

Je fais ça de suite :)

Destrio5 · Answer

--> Relance AdwCleaner et choisis "Désinstallation".

--> Poste un nouveau rapport ZHPDiag.

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified   
M3 - MFPP: Plugins - [David] -- C:\Users\David.Hugues-PC\AppData\Roaming\Mozilla\Firefox\Profiles\k8xzvpok.default\searchplugins\MyStart Search.xml 
[MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1949163855-2630746819-3695655456-1005Core] (...) -- C:\Users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1949163855-2630746819-3695655456-1005UA] (...) -- C:\Users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{233A8CB0-FFA0-4AF1-ADD6-0A88D8D4DE9D}] (...) -- C:\Users\David\Documents\PRO_ASS_V1.01   C_S\Assassins.Creed.Revelations.v1.01.Update-SKIDROW\ac_revelations_1.01_eu.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{283E6FDA-B432-4951-8435-C01E1DF42065}] (...) -- C:\Users\David\Downloads\slg.acrlt1.01.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{2B32DF19-B621-4852-8A48-5C6C67C0F63D}] (...) -- C:\Users\David\Downloads\vga_driver_nvidia_(win7)vista64_266.44.exe (.not file.)   
[MD5.00000000000000000000000000000000] [APT] [{51957A33-14A2-4672-803B-166AEE99254A}] (...) -- C:\Users\David\chat-land\UChatLand.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{72CF60D3-336B-420F-B35C-6694C241FE73}] (...) -- C:\Program Files\AVAST Software\Avast\aswRundll.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{776E0214-5B12-4F7C-B82F-454EEE600555}] (...) -- C:\Users\David\Downloads\Programs\vcredist_x86.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{87A03F51-2F16-442A-833F-AC99031EE7C5}] (...) -- E:\SETUP.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{DA0D8DE6-7DB3-4CD3-A837-4739298EEC3B}] (...) -- C:\Users\David\Downloads\Programs\HTTPTunnelInstallerv444000.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{E429D24C-00F2-4005-9F8D-A0BE8B0DF7F8}] (...) -- K:\install.exe (.not file.)  
O42 - Logiciel: MessengerChatLand - (.MessengerChatland.) [HKLM] -- MessengerChatland      
[HKLM\Software\Babylon]  
[HKLM\Software\DataMngr]   
[HKLM\Software\Incredibar.com] 
[HKLM\Software\TENCENT]  
O43 - CFD: 7/01/2012 - 16:07:48 - [0,005] ----D C:\Users\David.Hugues-PC\AppData\Roaming\Babylon   
O43 - CFD: 7/01/2012 - 16:07:48 - [3,744] ----D C:\Users\David.Hugues-PC\AppData\Local\Babylon  
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.admin", false); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.aflt", "babsst"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.babExt", "somoto"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.babTrack", "affID=100789"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.bbDpng", 7); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.dfltSrch", false); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.hmpg", false); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.id", "609401f600000000000050e549c17b14"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.instlDay", "15346"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.instlRef", "sst"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.lastDP", 7); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1715:07:54"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "9.0"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.newTab", true); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.newTabUrl", "http://search.babylon.com/?babsrc=NT_bb"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.noFFXTlbr", false); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.propectorlck", 64505303); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.prtnrId", "babylon"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.ptch_0717", true); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.smplGrp", "none"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.srcExt", "ss"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.tlbrId", "tb5"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1715:07:54"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babExt", "somoto"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.hardId", "609401f600000000000050e549c17b14"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.id", "609401f600000000000050e549c17b14"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15346"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:07:54"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17"); 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application 
[HKLM\Software\WOW6432Node\Classes\CLSID\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}]  
[HKLM\Software\WOW6432Node\Classes\CLSID\{F9639E4A-801B-4843-AEE3-03D9DA199E77}]   
[HKLM\Software\WOW6432Node\Incredibar.com] 
[HKLM\Software\WOW6432Node\Tencent]
C:\Users\David.Hugues-PC\AppData\Roaming\Babylon     
C:\Users\David.Hugues-PC\AppData\Local\Babylon     
C:\Users\David.Hugues-PC\AppData\LocalLow\BabylonToolbar     
C:\Users\David.Hugues-PC\AppData\Roaming\Mozilla\Firefox\Profiles\k8xzvpok.default\SearchPlugins\MyStart Search.xml     
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

Destrio5 · Answer

C'est mieux ?

Destrio5 · Answer

As-tu fait un scan avec Malwarebytes Anti-Malware récemment ?

maxence2015 · Answer

Oui il me détecte des menaces je les supprime mais ce foutu programme est toujours présent..

Une petite question qu'est-ce que ce programme peut provoquer ?

Destrio5 · Answer

Tu peux me poster le rapport ?

maxence2015 · Answer

Je relance un scan complet ;)

maxence2015 · Answer

Voilà il n'ya aucune menace => https://www50.zippyshare.com/v/92056414/file.html

Destrio5 · Answer

Ok, poste un nouveau rapport ZHPDiag.

maxence2015 · Answer

Je le posterais demain apres-midi ;) Bonne soiree.

maxence2015 · Answer

https://www4.zippyshare.com/v/72701475/file.html

Destrio5 · Answer

"Hotspot Shield"

--> Tu te sers de ce logiciel ?

"C:\Program Files (x86)\cracksteam"

--> Il y a quoi dans ce dossier ?

maxence2015 · Answer

Oui HotSpot me permet de temps en temps de conserver mon anonymat sur internet ;)
Pour le dossier steam je ne men sers plus.

Destrio5 · Answer

Je ne sais pas pourquoi tu vois encore Chatland.

Réutilise ZHPFix (tu le lances en tant qu'administrateur) mais avec ce script :

SysRestore
O42 - Logiciel: MessengerChatLand - (.MessengerChatland.) [HKLM] -- MessengerChatland      
[HKLM\Software\Babylon]   
[HKLM\Software\DataMngr]   
O43 - CFD: 17/02/2012 - 18:21:53 - [1591,473] ----D C:\Program Files (x86)\cracksteam   
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babExt", "somoto"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.hardId", "609401f600000000000050e549c17b14"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.id", "609401f600000000000050e549c17b14"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15346"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:07:54"); 
O69 - SBI: prefs.js [David - k8xzvpok.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17"); 
EmptyFlash
EmptyTemp

maxence2015 · Answer

Ok je ferais ca demain, et oui ChatLand a l faire coriace ..

maxence2015 · Answer

J'ai exécuté ces lignes avec zhpfix mais le problème persiste toujours ..
Ps : j'ai lancé un scan avec mon antivirus et il m'a supprimé 2 menaces.

Destrio5 · Answer

Je ne sais pas où il se cache.

Donc tu le vois à côté de l'horloge en bas à droite ?

maxence2015 · Answer

Oui et un pop up se lance à chaque démarrage.
Je précise qu'il n'y a que ce problème sur ma session (david)

H4ckGen465 · Answer

Désolé pour l'incruste mais si il n'y a le probleme que sur ta session c'est que le virus est dans documents and settings [si XP] ou Dans les dossiers de ta session perso donc le virus doit etre par exemple sous XP dans les dossiers style appdata et la compagnie ou meme temp ;)

maxence2015 · Answer

Alors tout d'abord bonjour ! :)
Un simple bouton citer aurait suffit et dans mon premier message il est marque ma configuration :D (windows 7)

Destrio5 · Answer

Je laisse les autres répondre.

maxence2015 · Answer

ok merci quand même de votre aide

Petit bilan après quelques jours 

- Chatland fais des mises à jours au démarrage
- Mon antivirus est toujours désactivé (je ne sais plus le réactivé sauf en lançant un scan mais si il se désactive après)
- toujours le pop-up au démarrage (connexion)
- chatland n'est que sur ma session

Voilà j'ai tout cité à peu près :)

Destrio5 · Answer

As-tu réinstallé ton antivirus ?

https://support.microsoft.com/en-us/windows/what-is-microsoft-security-essentials-c25ad47a-7d15-8072-1438-b07dffcbbb20

maxence2015 · Answer

Non pas encore mais ça ne changera rien je crois ;)

Destrio5 · Answer

Teste la nouvelle version d'AdwCleaner.

g3n-h@ckm@n · Answer

salut

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

ChatLand Messenger (malware)

28 réponses

Votre réponse

Discussions similaires

Newsletters