Infection suite à installation Super Résolu/Fermé

Question

Bonjour, 

Suite à une installation de Super j'ai récolté Babylon et peut être d'autres saletés.

J'ai réussi de me débarrasser de Babylon dans Firefox bien qu'il reste quelques lignes de about:config que je ne peux pas modifier, mais il n'apparait plus lors de l'utilisation de Frefox.

Par contre je n'arrive pas à m'en débarrasser dans IE9

Merci d'avance de m'aider à éradiquer complètement Babylon et à vérifier qu'il n'y a pas d'autres infections.

Configuration: Windows 7 / Firefox 15.0

Utilisateur anonyme · Answer

bonjour,

 ?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 

clique sur rechercher et poste son rapport.

jacarchi94 · Answer

Bonjour Electricien 69, j'ai posté le rapport en cliquant sur "ajouter un commentaire" sous ton message, je ne sais pas si c'est la bonne manip

Utilisateur anonyme · Answer

relance ADWC, clique sur Supprimer,

ton pc va redémarrer, poste son rapport après le redémarrage du pc  :D

jacarchi94 · Answer

Electricien 69,

voici le rapport de suppression:

# AdwCleaner v2.000 - Rapport créé le 07/09/2012 à 17:04:26
# Mis à jour le 30/08/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Jacques - JACPERREUX-NOIR
# Mode de démarrage : Normal
# Exécuté depuis : D:\Users\Jac\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Browser Manager

***** [Fichiers / Dossiers] *****

Dossier Supprimé : D:\Users\Jac\AppData\Roaming\pdfforge
Dossier Supprimé : D:\Users\Jac\AppData\Roaming\splashtop
Fichier Supprimé : D:\Users\Public\Desktop\Get The Best Facebook Chat Messenger.lnk
Supprimé au redémarrage : C:\ProgramData\Browser Manager

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé Supprimée : HKU\S-1-5-21-2675472427-1658359822-879191831-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\22630~1.40\{16cdf~1\browse~1.dll 
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{b64982b1-d112-42b5-b1e4-d3867c4533f8}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Restauré : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - BrowserMngr Start Page] = hxxp://search.babylon.com/?affID=110184&tt=3612_7&babsrc=HP_ss&mntrId=f432a596000000000000002522f6027a --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?affID=110184&tt=3612_7&babsrc=NT_ss&mntrId=f432a596000000000000002522f6027a --> hxxp://www.google.com

-\ Mozilla Firefox v15.0 (fr)

Nom du profil : default 
Fichier : D:\Users\Jac\AppData\Roaming\Mozilla\Firefox\Profiles\1h8154yj.default\prefs.js

D:\Users\Jac\AppData\Roaming\Mozilla\Firefox\Profiles\1h8154yj.default\user.js ... Supprimé !

Supprimée : user_pref("avg.install.userHPSettings", "hxxp://search.babylon.com/?affID=110184&tt=3612_7&babsrc=HP[...]
Supprimée : user_pref("avg.install.userSPSettings", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Supprimée : user_pref("extensions.BabylonToolbar.autoRvrt", "false");
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.excTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar.id", "f432a596000000000000002522f6027a");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15589");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.6.9.12");
Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.6.9.12");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110184&tt=3612_7");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", false);
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.6.9.1222:43:36");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "Search the web (Babylon)");
Supprimée : user_pref("sweetim.toolbar.urls.homepage", "hxxp://search.babylon.com/?affID=110184&tt=3612_7&babsrc[...]

Nom du profil : default 
Fichier : D:\Users\Jac\AppData\Roaming\Mozilla\Firefox\Profiles\1h8154yj.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [7441 octets] - [07/09/2012 16:58:13]
AdwCleaner[S1].txt - [6130 octets] - [07/09/2012 17:04:26]

########## EOF - D:\AdwCleaner[S1].txt - [6190 octets] ##########

Utilisateur anonyme · Answer

relance ADWC,

clique sur Désinstaller,


* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : 

1/ Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

2/ Dans l'interface de Zhpdiag, clique sur l'Uac, il faut le réactiver à la fin du nettoyage.

(Note : si l'UAC est désactivé, tu ne verras pas le bouton, donc passe à la suite)

* Clique sur le tourne vis, selectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
<gras>* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

jacarchi94 · Answer

Electricien 69,

Apparemment la désactivation de l'UAC par Zhpdiag ne marchait pas (bouton toujours présent). Je l'ai donc désactivé via le panneau de configuration comme indiqué ici:

https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/

J'ai eu un message pendant l'exécution que je n'ai malheureusement pas noté qui me demandait OK

Le rapport est ici:
https://www.cjoint.com/?3IhsLzg4zcw

Merci d'avance

Utilisateur anonyme · Answer

*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O44 - LFC:[MD5.11D19415B1C134F8A3D358DF523F4351] - 06/09/2012 - 21:43:47 ---A- . (...) -- C:\user.js   [304]
O2 - BHO: (no name) [64Bits] - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [{A77DB6D7-1947-4EA9-B793-E109EC23C96B}] (...) -- K:\Welcome.exe (.not file.)    
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]    
Emptytemp
EmptyCLSID

---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html
 


Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

jacarchi94 · Answer

Electricien 69,

Rapport de ZHPFix:

Rapport de ZHPFix 1.2.09 par Nicolas Coolman, Update du 01/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-07-09-2012-18-59-58.txt
Run by Jacques at 07/09/2012 18:59:49
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/


========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {7DB2D5A0-7241-4E79-B68D-6309F01C5231}
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}

========== Dossier(s) ==========

========== Fichier(s) ==========
SUPPRIME File: c:\user.js
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {A77DB6D7-1947-4EA9-B793-E109EC23C96B}


========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Fichier(s)
1 : Tache planifiée


End of clean in 00mn 14s

Rapport de Mbam dans le prochain message. Une analyse complète va prendre du temps: j'ai beaucoup de disques et de fichiers

Utilisateur anonyme · Answer

ok pour MBAM, on verra ça quand je verrais le rapport  :D

jacarchi94 · Answer

Bonsoir Electricien 69,

MBAM a bien avancé et rien détecté mais il n'a pas encore terminé. Résultat demain.

Merci pour ton aide

jacarchi94 · Answer

Bonsoir Electricien 69, 

Finalement Mbam a terminé ce soir. A la fin de l'analyse il a affiché le rapport. Il ne me propose pas 'Afficher les résultats' probablement parce que rien n'a été détecté

Voici le rapport

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.09.07.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Jacques :: JACPERREUX-NOIR [administrateur]

07/09/2012 19:11:13
mbam-log-2012-09-07 (19-11-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 734996
Temps écoulé: 3 heure(s), 26 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Utilisateur anonyme · Answer

bonjour,

est ce que le pc fonctionne correctement avant de finaliser ?

jacarchi94 · Answer

Bonjour Electricien 69,

Tout semble OK. 

IE a eu du mal a démarrer, la première fois il semblait bloqué, après un redémarrage du PC il a démarré correctement.

Firefox et toujours OK et il n'y a plus d'entrée dans about:config contenant le mot Babylon.

Il me reste maintenant à trouver si et comment il est possible d'installer Super sans se faire infecter ou à trouver des softs de conversion vidéo aussi complets et ne véhiculant pas d'infection. Je me demande comment faire cela sans devoir avoir recours de nouveau à tes services ou à ceux des autres experts en sécurité. Un point de restauration avant install serait-il suffisant?

Merci pour ton aide.

Utilisateur anonyme · Answer

tu as téléchargé le logiciel depuis quel site ?

jacarchi94 · Answer

Electricien 69,

J'ai téléchargé Super depuis le site du concepteur:

https://www.erightsoft.com/SUPER.html 

qui envoie sur http://www.erightsoft.com/Superdc.html 

puis sur https://www.erightsoft.com/S6Kg1.html où j'ai utilisé le lien "Download SUPER © setup file  from our 4th dedicated server" qui pointe sur "https://www.erightsoft.com/hawel.php" 

J'ai fait attention car ces pages sont bourrées de pubs avec des liens de téléchargement autres.

Utilisateur anonyme · Answer

je viens de le télécharger depuis le lien de CCM :

https://www.commentcamarche.net/telecharger/tv-video/21275-super/

on te propose d'accèpter l'installation de Babylon, puis Tunup !

j'ai décoché les cases pour Bablyon, puis j'ai refusé l'accèptation d'installer Tunup,

le logiciel s'est installé sans encombre  :D

jacarchi94 · Answer

Merci Electricien 69,

OK je l'ai téléchargé depuis CCM et en faisant très attention j'ai vu l'origine de mon problème.

Sur mon PC les fenêtres qui proposent l'installation des logiciels tiers ne s'affichent pas correctement, le texte est en partie masqué et la case à cocher invisible. J'ai tout annulé en attendant de comprendre ce problème d'affichage.

Je n'ai pas de carte graphique dédiée (je ne suis pas joueur et je cherche un PC ultra silencieux), j'utilise celle intégrée au processeur Intel Core I7 2600K et son chipset Z68 sur ma CM Asrock Z68 Extreme4 Gen3. Soit l'install Super n'est pas compatible graphiquement soit j'ai un problème de paramétrage ...

jacarchi94 · Answer

L'affichage des options d'installation de Super est meilleur si je règle la taille des caractères Windows à petite au lieu de moyenne. Apparemment les fenêtres d'einstall ne supportent que cette taille.

Je vois maintenant les cases  à cocher pour Babylon. Pas de case pour Tuneup, juste le bouton refuser sous les CG.

Je vais retenter l'install de Super!

Utilisateur anonyme · Answer

regarde voir la résolution de ta carte graphique, normalement, tu devrais tout voir !

pour babylon, il y a 3 cases à décocher,

pour tunup, il suffit de réfuser la CGU  :D


on finalise la désinfection quand tu es prêt  :D

jacarchi94 · Answer

Electricien 69,

J'ai réinstallé Super comme indiqué après avoir configuré la taille des caractères pour voir la cas à cocher.

Super semble OK et Babylon ne se manifeste pas ni dans IE ni dans Firefox.

Ceci étant si je cherche Babylon dans Regedit je trouve encore 8 clefs qui contiennent Babylon, elles sont ici:
https://www.cjoint.com/?3IirztWQY36 

Si je le recherche dans les disques je trouve 2 entrées dans le disque D: qui contient entre autres le répertoire users de Windows que je n'arrive pas à localiser. Copie d'écran du résultat de la recherche ici: https://www.cjoint.com/?3IirjtLzOja
Je suppose que l'on peut supprimer.

Merci d'avance de tes lumières.


NB
Le problème d'affichage incorrect de l'install de Super me semble lié à une mauvaise programmation qui ne supporte pas les valeurs élevées en DPI cf:
https://docs.microsoft.com/en-us/previous-versions//dd464660(v=vs.85)?redirectedfrom=MSDN#clipped_ui_elements_or_text qui décrit le problème que je rencontre.
Je l'ai résolu en choisissant la taille standard des caractères Windows qui donne la valeur standard plus faible de DPI mais des textes difficiles à lire sur mon CRT 21" en 1600x1200 résolution recommandée par Windows pour cet écran.

Utilisateur anonyme · Answer

ok,

je prefère qu'on nettoie ces entrées de registe avec Ccleaner ou manuellement, comme tu le sents  :D


on términe :


/!\ Attention : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 



	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 


Pour Windows 7 :
 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

jacarchi94 · Answer

Bonsoir Electricien 69,

Je connais bien la tendance vicieuse des install à ajouter des toolbars et autres logiciels plus ou moins utiles et invasifs, même Java le fait! Mais avec Super je m'étais fait feinter car suite au problème d'affichage signalé, je ne voyais pas l'avertissement d'installation et le choix de ne pas installer.

J'ai fait les manips suggérées avec Ccleaner. J'ai supprimé les anciens points de restauration sur tous les disques.

Les entrées trouvées dans D: ont bien disparues mais les clés de registre trouvées en cherchant Babylon dans Regedit sont toujours là. Quant à nettoyer directement avec Regedit je n'y tiens pas si on peut faire autrement. Je ne suis pas certain de l'impact des manips que je peux faire sous Regedit :-) Quand tu dis nettoyer, tu veux dire supprimer ou modifier?

L'analyse complète avec l'anti-virus tourne.

Je te tiens au courant.

Utilisateur anonyme · Answer

bonjour,

les entrées de registre pour Babylon, tu peux les supprimer !

si tu vois qu'après un redémarrage, ton pc se comprte comme il le faut, tu peux supprimer la sauvegarde du registre que Ccleaner crée avant le nettoyage  :D

que dit ton antivirus ?

jacarchi94 · Answer

Bonjour Electricien 69,

Le scan de McAfee s'est terminé dans la nuit ou ce matin, le message affiché déclarait que rien n'avait été détecté.
Je suis allé néanmoins dans les logs et j'ai vu ceci :

Mettre à jour
Dernière mise à jour : 08/09/2012 22:56
Prochaine mise à jour : 09/09/2012 11:24
Rapport d'analyse
Dernière analyse : 09/09/2012 10:28
Type : Analyse complète
Eléments analysés : 555103
Prochaine analyse planifiée : 11/09/2012 04:00
Activité d'analyse
Rapide : 0
Complet : 1
Personnalisé : 0
Planifié : 13
Clic droit : 5
Redémarrer : 0
Eléments détectés
Virus : 0
Chevaux de Troie : 1
Rootkits : 0
Cookies de suivi : 0
Attaques par Buffer Overflow : 0
Programmes potentiellement indésirables : 0

J'ai recherché ce quétait ce cheval de troie et j'ai trouvé ceci :
https://www.cjoint.com/?3IjlMjwwn6v 

Apparemment un cheval de troie a été détecté il y a 2 jours en temps réel, je ne comprends pas si c'est dans Malwarebytes ou dans le fichier de musique mentionné. A moins que cela résulte de l'analyse de ce fichier par mbam analyse que j'avais faite avant d'appeler au secours ici.

J'ai fait quelques recherches pour les clés contenant Babylon.

D'après ceci :
http://www.explosiveknowledge.net/main/2012/08/19/browsemngr/

Il faudrait supprimer les clefs parentes de certaines des clefs que j'avais détectées et leur sous clefs dont celles détectées, mais d'après les commentaires la manip qui semble orientée XP ne marche pas pour tout le monde. Par ailleurs cela fait appel à des outils que je n'ai pas installés.

Un des composants de Babylon semble donc être Browser Manager qui a aussi laissé des traces sur mon PC

J'ai les répertoires suivants
C:\ProgramData\Browser Manager\
D:\Users\Jac\start menu\programs\Browser Manager\

Et les fichiers suivants:
D:\Users\Jac\AppData\Roaming\Mozilla\Firefox\Profiles\1h8154yj.default\browsermngr_prefs.js
D:\Users\Jac\AppData\Roaming\Mozilla\Firefox\Profiles\1h8154yj.default\BrowserMngr_extensions.sqlite

Browser Manager ou browsermngr  est également présent dans un certain nombre de clefs, quelquefois dans la même clef ou le même groupe de clefs que Babylon, quelquefois indépendamment..

Que faire ?

Merci d'avance de tes conseils.

Utilisateur anonyme · Answer

pour Browser Manager, ça touche un peu à tout, aussi bien le navigateur qu'Adobe !

 



*	Rends-toi sur cette page :
https://www.virustotal.com/gui/
*	Clique sur "Choose File"
*	Vas sur ton disque chercher ce fichier à cet emplacement :

E:\ma musique\mariage Sylvain musique\out_xf.exe


un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.
 


pour le processuse, c'est un faux positif, c'est le processus de MBAM !

jacarchi94 · Answer

Bonjour Electricien 69,

Donc ne pas toucher à Browser manager en l'état ?

Je n'ai pas encore touché les clefs contenant encore une référence à Babylon car les supprimer impacte apparemment ce qui concerne Browser manager dans certains cas

En ce qui concerne E:\ma musique\mariage Sylvain musique\out_xf.exe, il n'est plus accessible à cet emplacement, il a été mis en quarantaine par McAfee, faut-il le rechercher dans la quarantaine et le scanner avec virustotal avant de le supprimer (je n'en ai pas besoin).

virustotal n'a rien détecté sur out_sqrv15b.exe dans le même répertoire qui semble être l'appli liée au fichier suspect et que je pense également supprimer.

Par contre virustotal a bien détecté quelque chose dans mbam.exe:

VirusTotal
SHA256: 	f24885b8fa4a29f06332ad38e93a431ad0231551140991a1af64a7334f00cb3b
SHA1: 	51040964d7d97fbe0906881ed3fae887bb1a0f61
MD5: 	89c8ee7324463c2c155ded8f8da9afda
File size: 	950.7 KB ( 973488 bytes )
File name: 	mbam.exe
File type: 	Win32 EXE
Tags: 	peexe signed mz
Detection ratio: 	1 / 41
Analysis date: 	2012-09-09 09:57:29 UTC ( 22 heures, 48 minutes ago )
8
0
More details
Antivirus 	Result 	Update
AhnLab-V3 	- 	20120908
AntiVir 	- 	20120908
Antiy-AVL 	- 	20120908
Avast 	- 	20120909
AVG 	- 	20120909
BitDefender 	- 	20120909
ByteHero 	- 	20120817
CAT-QuickHeal 	- 	20120908
ClamAV 	- 	20120909
Commtouch 	- 	20120908
Comodo 	- 	20120909
DrWeb 	- 	20120909
Emsisoft 	- 	20120909
eSafe 	- 	20120907
ESET-NOD32 	- 	20120908
F-Prot 	- 	20120907
Fortinet 	- 	20120830
GData 	- 	20120909
Ikarus 	- 	20120909
Jiangmin 	Trojan/Agent.gzjh 	20120909
K7AntiVirus 	- 	20120907
Kaspersky 	- 	20120909
McAfee 	- 	20120909
McAfee-GW-Edition 	- 	20120908
Microsoft 	- 	20120909
Norman 	- 	20120908
nProtect 	- 	20120908
Panda 	- 	20120909
PCTools 	- 	20120909
Rising 	- 	20120907
Sophos 	- 	20120909
SUPERAntiSpyware 	- 	20120908
Symantec 	- 	20120909
TheHacker 	- 	20120908
TotalDefense 	- 	20120907
TrendMicro 	- 	20120909
TrendMicro-HouseCall 	- 	20120909
VBA32 	- 	20120908
VIPRE 	- 	20120909
ViRobot 	- 	20120908
VirusBuster 	- 	20120908

Utilisateur anonyme · Answer

bonjour,

essaie de supprimer toutes traces de Babylon, mais sauverage d'abord le registre au cas ou  :D


pour le fichier nomé E:\ma musique\mariage Sylvain musique\out_xf.exe, il n'est pas au bon endroit, donc je supçonne une infection !


laisse le dans la quarantaine de Macafric  :P

as tu rencontré d'autres soucis ?

jacarchi94 · Answer

J'ai supprimé par Regedit les clés ou les valeurs relatives à Babylon dans le registre. Suivi d'un petit coup de Ccleaner qui a trouvé une seule clef inutilisée que j'ai supprimée.

Je n'ai quasiment plus de trace de Browser Manager.

Win7, IE, et FF semblent marcher correctement pour le moment.

Je crois que nous sommes arrivés au bout de l'exercice.

Autre chose à faire avant de désinstaller les outils de diagnostic et de désinfection?

Merci beaucoup de ton aide.

jacarchi94 · Answer

Reste le soucis du trojan détecté dans malwarebytes

Utilisateur anonyme · Answer

pour moi, le fichier de MBAM, détecté par ton antivirus n'est qu'un faux positif !

jacarchi94 · Answer

Bonsoir Electricien 69,

J'avais bien noté ton opinion de faux positif pour la mise en cause de mbam par McAfee qui n'a d'ailleurs pas mis le fichier en quarantaine, mais, comme indiqué dans un de mes derniers messages récents, VirusTotal y trouve aussi quelque chose:

Jiangmin Trojan/Agent.gzjh 20120909 

VirusTotal fait aussi des faux positifs?

Utilisateur anonyme · Answer

virus total se base sur la détection des antivirus sur le fichier  :D

je parie que la détection conserne déjà Macafric !

jacarchi94 · Answer

Bonsoir Electricien 69,

Si tu le dis ...

De toute façon mbam va être désinstallé par le processus que tu as suggéré (Delfix) si j'ai bien compris, et donc le fichier suspect viré. Je viderais la corbeille après à tout hasard :-)

OK pour conclure cette opération?

Merci pour tout

Utilisateur anonyme · Answer

Delfix ne désinstalle pas MBAM, ni Ccleaner ! il y a des utilisateurs qui ont acheté une vérsion payante et plus complète, donc Delfix ne les vire pas :D mais si tu as une vérsion payante de MBAM avec la clé de produit pour l'activer, désinstalle le, puis réinstalle le pour voir, mais le faux positif de Macafric sera toujours d'actualité ! si tu n'as pas d'autres soucis, il suffit de créer un nouveau point de restauration système, ça peut servire :D sur ce, bon surf ;-) O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø

jacarchi94 · Answer

Bonjour Electricien 69,

J'ai donc la clôture des opérations, voici le rapport de Delfix comme demandé dans un de tes messages:

# DelFix v8.9 - Rapport créé le 11/09/2012 à 08:48:35
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Jacques - JACPERREUX-NOIR (Administrateur)
# Exécuté depuis : D:\Users\Jac\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : D:\AdwCleaner[R1].txt
Supprimé : D:\AdwCleaner[S1].txt
Supprimé : D:\Users\Jac\Desktop\ZHPDiag.txt
Supprimé : D:\Users\Jac\Desktop\ZHPDiag2.exe
Supprimé : D:\Users\Jac\Desktop\ZHPFixReport.txt
Supprimé : D:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : D:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : D:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1116 octets] - [11/09/2012 08:47:39]
DelFix[S1].txt - [1083 octets] - [11/09/2012 08:48:35]

########## EOF - D:\DelFix[S1].txt - [1207 octets] ##########

Merci pour tout :-)

NB sur la page
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

Le lien de téléchargement de Delfix est erroné, il envoie sur le chargement de AdwCleaner

Utilisateur anonyme · Answer

correction faite, merci  :D


désinstalel delfix,

crée un nouveau point de restauration système  :D

jacarchi94 · Answer

Electricien 69,

C'est fait j'ai même vidé la corbeille et passé un petit coup de Ccleaner, il a trouvé quelques traces des outils après le travail de Delfix.

Qui passe ce fil en résolu et comment? A moins que ce soit déjà fait ...

Merci encore

Utilisateur anonyme · Answer

je m'en occupe  :D

Infection suite à installation Super

38 réponses

Discussions similaires