Un de plus! Babylon infecte mon PC

eti44 -  
 g3n-h@ckm@n -
Bonjour,

Ci-dessous ma configuration:



Comme beaucoup babylon infecte mon PC, quelques heures de lecture sur le net, des essais de suppression, en vain.

Ci-dessous 2 rapports adwcleaner, le 1er avant le redémarrage, le 2ème après suppression et redémarrage :

1er rapport:

# AdwCleaner v2.100 - Rapport créé le 16/12/2012 à 19:58:15
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : sofemat - SOFEMAT-MSI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\sofemat\Desktop\adwcleaner.exe
# Option [Recherche]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Fichier Présent : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_extensions.sqlite
Fichier Présent : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_prefs.js

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\prefs.js

Présente : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");

*************************

2ème rapport après suppression et redémarrage:

# AdwCleaner v2.100 - Rapport créé le 16/12/2012 à 19:59:20
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : sofemat - SOFEMAT-MSI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\sofemat\Desktop\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_extensions.sqlite
Fichier Supprimé : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_prefs.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\prefs.js

Supprimée : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");

*************************

En ce moment babylon est toujours présent!

Merci d'avance à ceux qui m'apporteront leur aide!

35 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ ferme toutes fenetres !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour l'installer et ne touche pas aux parametres

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport C:\Ad-report.log qui apparait à la fin , sur le forum ...

    0
  2. eti44
     
    Merci pour ton aide!

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:45:33 le 16/12/2012, Mode normal

    Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X86)
    sofemat@SOFEMAT-MSI (Micro-Star International MSI NOTEBOOK CR610)

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [17.0.1 (fr)] ****

    HKLM_MozillaPlugins\Adobe Reader (x)
    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)

    -- C:\Users\sofemat\AppData\Roaming\Mozilla\FireFox\Profiles\imtqy53s.default --
    Extensions\jid0-YxzrUsJ0WOiOaU89TngAzLcIs18@jetpack (TimeLineRemove.Com)
    Searchplugins\babylon1.xml (hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=1ab9b4f20000000000004061863e0845&tlver=1.8.4....)
    Prefs.js - browser.search.selectedEngine, Search the web (Babylon)
    Prefs.js - browser.startup.homepage_override.buildID, 20121128204232
    Prefs.js - browser.startup.homepage_override.mstone, 17.0.1

    ========================================

    **** Internet Explorer Version [9.0.8112.16421] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - "?" (?)
    HKLM_Toolbar|{9421DD08-935F-4701-A9CA-22DF90AC4EA6} (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)
    HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
    HKLM_ElevationPolicy\{08FF730A-494F-4cba-AA0B-E4F1D44715F9} - C:\Program Files\Norton AntiVirus\Engine\17.8.0.5\symerr.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{E5A16ED5-1288-4bc3-8F60-48E32854CEF6} - C:\Program Files\Common Files\Research In Motion\USB Drivers\BbDevMgr.exe (Research In Motion Limited)
    BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
    BHO\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - "Easy Photo Print" (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 16/12/2012 20:45:58 (3343 Octet(s))

    Fin à: 20:48:06, 16/12/2012

    ============== E.O.F ==============
    0
  3. g3n-h@ckm@n
     
    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

    C:\Pre_Scan\Process\Close.log
    0
  4. eti44
     
    Voici le lien du rapport :

    http://cjoint.com/?0Lqwb1bUPnV
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    relance l'outil , clique sur Diag , puis heberge le rapport pre_diag et donne le lien
    0
  7. eti44
     
    Et voici !

    http://cjoint.com/?0LqwLLWG6qE
    0
  8. g3n-h@ckm@n
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\windows\system32\msi1366.scr

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    ===========================

    Attention !!! pense à re-désactiver tes protections

    Clique sur ce lien : https://www.cjoint.com/?BLqw5JTvMS0

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  9. eti44
     
    Voici le lien du rapport VIRUSTOTAL :

    https://www.virustotal.com/file/c260892960326a2f0525e583dd084d928ab0889db8ed3ed6d8e1e604cb173fe6/analysis/1355729070/
    0
  10. eti44
     
    Et enfin le rapport Pre_Script.txt :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1213 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    sofemat : Windows 7 Home Premium (32 bits)

    Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

    New restorepoint created

    Script : 08:29:43

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

    (784) -- atiesrxx.exe
    (1216) -- atieclxx.exe
    (1424) -- explorer.exe
    (1608) -- spoolsv.exe
    (1620) -- taskeng.exe
    (1736) -- taskhost.exe
    (1836) -- RtHDVCpl.exe
    (1848) -- MOM.exe
    (1864) -- MGSysCtrl.exe
    (1904) -- ACDaemon.exe
    (1928) -- ipoint.exe
    (1936) -- ACService.exe
    (1976) -- ArcCon.ac
    (1984) -- armsvc.exe
    (2024) -- BrowserProtect.exe
    (1232) -- E_S50ST7.EXE
    (1480) -- BrowserProtect.exe
    (1572) -- E_S50RP7.EXE
    (2132) -- MSIService.exe
    (2436) -- WLIDSVC.EXE
    (2624) -- WLIDSVCM.EXE
    (3160) -- SearchIndexer.exe
    (3912) -- CCC.exe
    (3268) -- firefox.exe
    (3292) -- wmpnetwk.exe
    (3640) -- plugin-container.exe
    (1828) -- FlashPlayerPlugin_11_5_502_135.exe
    (1704) -- FlashPlayerPlugin_11_5_502_135.exe
    (2720) -- wuauclt.exe

    ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

    Key Deleted : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
    Key Deleted : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\5a578cd0e638ba43
    Key Deleted : HKLM\Software\5a578cd0e638ba43
    Key Deleted : HKLM\Software\BrowserChoice

    ¤

    Folder Moved to quarantine successfully : |D| - C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\extensions\jid0-YxzrUsJ0WOiOaU89TngAzLcIs18@jetpack
    File Moved to quarantine successfully : |A| - C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\searchplugins\babylon1.xml
    File Moved to quarantine successfully : |A| - C:\windows\Tó~
    File Moved to quarantine successfully : |A| - C:\windows\System32\Tasks\CreateChoiceProcessTask

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 32-bit
    Base Board Manufacturer: MSI
    BIOS Manufacturer: American Megatrends Inc.
    System Manufacturer: Micro-Star International
    System Product Name: MSI NOTEBOOK CR610
    Logical Drives Mask: 0x0040001c

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows 7 MBR code detected

    ¤

    End : 08:29:51

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  11. g3n-h@ckm@n
     
    bien

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  12. eti44
     
    Voilà le rapport MALWARE :

    Malwarebytes Anti-Malware (Essai) 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.12.17.03

    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 9.0.8112.16421
    sofemat :: SOFEMAT-MSI [administrateur]

    Protection: Activé

    17/12/2012 08:46:43
    mbam-log-2012-12-17 (08-46-43).txt

    Type d'examen: Examen complet (C:\|D:\|W:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 303458
    Temps écoulé: 1 heure(s), 20 minute(s), 40 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Pre_Scan\Quarantine\C'_Users_sofemat_Downloads_nero 7 premium reloaded setup.exe.P_S (PUP.AdBundle) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\sofemat\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  13. eti44
     
    g3n-h@ckm@n , Babylon est toujours présent. Suite au manip que tu m'as dit de faire, y a-t-il quelque chose à faire en complément ?

    encore merci pour l'aide que tu m'apporte sur ce soucis !
    0
  14. eti44
     
    Manip effectuée, je viens de redémarrer le PC, mais ma page d'accueil web est toujours la suivante:

    http://search.babylon.com/?affID=113357&tt=5012_1&babsrc=HP_ss&mntrId=1ab9b4f20000000000004061863e0845
    0
  15. g3n-h@ckm@n
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
    0
  • 1
  • 2