Un de plus! Babylon infecte mon PC

eti44 -  
 Utilisateur anonyme -
Bonjour,

Ci-dessous ma configuration:



Comme beaucoup babylon infecte mon PC, quelques heures de lecture sur le net, des essais de suppression, en vain.

Ci-dessous 2 rapports adwcleaner, le 1er avant le redémarrage, le 2ème après suppression et redémarrage :

1er rapport:

# AdwCleaner v2.100 - Rapport créé le 16/12/2012 à 19:58:15
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : sofemat - SOFEMAT-MSI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\sofemat\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Présent : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_extensions.sqlite
Fichier Présent : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_prefs.js

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\prefs.js

Présente : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");

*************************


2ème rapport après suppression et redémarrage:

# AdwCleaner v2.100 - Rapport créé le 16/12/2012 à 19:59:20
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : sofemat - SOFEMAT-MSI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\sofemat\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_extensions.sqlite
Fichier Supprimé : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\bprotector_prefs.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\prefs.js

Supprimée : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");

*************************


En ce moment babylon est toujours présent!

Merci d'avance à ceux qui m'apporteront leur aide!
A voir également:

35 réponses

  • 1
  • 2
Réponse 1 / 35
Utilisateur anonyme
 
salut

▶ Télécharge ici : Ad-remover sur ton bureau :

▶ ferme toutes fenetres !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ sur "Ad-R.exe" pour l'installer et ne touche pas aux parametres

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport C:\Ad-report.log qui apparait à la fin , sur le forum ...



0
Réponse 2 / 35
eti44
 
Merci pour ton aide!

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:45:33 le 16/12/2012, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X86)
sofemat@SOFEMAT-MSI (Micro-Star International MSI NOTEBOOK CR610)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [17.0.1 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\sofemat\AppData\Roaming\Mozilla\FireFox\Profiles\imtqy53s.default --
Extensions\jid0-YxzrUsJ0WOiOaU89TngAzLcIs18@jetpack (TimeLineRemove.Com)
Searchplugins\babylon1.xml (hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=1ab9b4f20000000000004061863e0845&tlver=1.8.4....)
Prefs.js - browser.search.selectedEngine, Search the web (Babylon)
Prefs.js - browser.startup.homepage_override.buildID, 20121128204232
Prefs.js - browser.startup.homepage_override.mstone, 17.0.1

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - "?" (?)
HKLM_Toolbar|{9421DD08-935F-4701-A9CA-22DF90AC4EA6} (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
HKLM_ElevationPolicy\{08FF730A-494F-4cba-AA0B-E4F1D44715F9} - C:\Program Files\Norton AntiVirus\Engine\17.8.0.5\symerr.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{E5A16ED5-1288-4bc3-8F60-48E32854CEF6} - C:\Program Files\Common Files\Research In Motion\USB Drivers\BbDevMgr.exe (Research In Motion Limited)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
BHO\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - "Easy Photo Print" (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/12/2012 20:45:58 (3343 Octet(s))

Fin à: 20:48:06, 16/12/2012

============== E.O.F ==============
0
Réponse 3 / 35
Utilisateur anonyme
 
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log
0
Réponse 4 / 35
eti44
 
Voici le lien du rapport :

http://cjoint.com/?0Lqwb1bUPnV
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
Utilisateur anonyme
 
relance l'outil , clique sur Diag , puis heberge le rapport pre_diag et donne le lien
0
Réponse 6 / 35
eti44
 
Et voici !

http://cjoint.com/?0LqwLLWG6qE
0
Réponse 7 / 35
Utilisateur anonyme
 
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\windows\system32\msi1366.scr

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

===========================

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BLqw5JTvMS0

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Réponse 8 / 35
eti44
 
Voici le lien du rapport VIRUSTOTAL :

https://www.virustotal.com/file/c260892960326a2f0525e583dd084d928ab0889db8ed3ed6d8e1e604cb173fe6/analysis/1355729070/
0
Réponse 9 / 35
eti44
 
Et enfin le rapport Pre_Script.txt :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1213 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

sofemat : Windows 7 Home Premium (32 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

New restorepoint created

Script : 08:29:43

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(784) -- atiesrxx.exe
(1216) -- atieclxx.exe
(1424) -- explorer.exe
(1608) -- spoolsv.exe
(1620) -- taskeng.exe
(1736) -- taskhost.exe
(1836) -- RtHDVCpl.exe
(1848) -- MOM.exe
(1864) -- MGSysCtrl.exe
(1904) -- ACDaemon.exe
(1928) -- ipoint.exe
(1936) -- ACService.exe
(1976) -- ArcCon.ac
(1984) -- armsvc.exe
(2024) -- BrowserProtect.exe
(1232) -- E_S50ST7.EXE
(1480) -- BrowserProtect.exe
(1572) -- E_S50RP7.EXE
(2132) -- MSIService.exe
(2436) -- WLIDSVC.EXE
(2624) -- WLIDSVCM.EXE
(3160) -- SearchIndexer.exe
(3912) -- CCC.exe
(3268) -- firefox.exe
(3292) -- wmpnetwk.exe
(3640) -- plugin-container.exe
(1828) -- FlashPlayerPlugin_11_5_502_135.exe
(1704) -- FlashPlayerPlugin_11_5_502_135.exe
(2720) -- wuauclt.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Key Deleted : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-3917194940-3403752543-42704723-1000\Software\5a578cd0e638ba43
Key Deleted : HKLM\Software\5a578cd0e638ba43
Key Deleted : HKLM\Software\BrowserChoice

¤

Folder Moved to quarantine successfully : |D| - C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\extensions\jid0-YxzrUsJ0WOiOaU89TngAzLcIs18@jetpack
File Moved to quarantine successfully : |A| - C:\Users\sofemat\AppData\Roaming\Mozilla\Firefox\Profiles\imtqy53s.default\searchplugins\babylon1.xml
File Moved to quarantine successfully : |A| - C:\windows\Tó~
File Moved to quarantine successfully : |A| - C:\windows\System32\Tasks\CreateChoiceProcessTask

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: MSI
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Micro-Star International
System Product Name: MSI NOTEBOOK CR610
Logical Drives Mask: 0x0040001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


End : 08:29:51

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Réponse 10 / 35
Utilisateur anonyme
 
bien

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


0
Réponse 11 / 35
eti44
 
Voilà le rapport MALWARE :

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.17.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
sofemat :: SOFEMAT-MSI [administrateur]

Protection: Activé

17/12/2012 08:46:43
mbam-log-2012-12-17 (08-46-43).txt

Type d'examen: Examen complet (C:\|D:\|W:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 303458
Temps écoulé: 1 heure(s), 20 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Pre_Scan\Quarantine\C'_Users_sofemat_Downloads_nero 7 premium reloaded setup.exe.P_S (PUP.AdBundle) -> Mis en quarantaine et supprimé avec succès.
C:\Users\sofemat\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 12 / 35
Alf bzh Messages postés 39 Statut Membre 5
 
Salut,

Dans: https://support.mozilla.org/fr/kb/comment-supprimer-babylon
0
Réponse 13 / 35
eti44
 
g3n-h@ckm@n , Babylon est toujours présent. Suite au manip que tu m'as dit de faire, y a-t-il quelque chose à faire en complément ?

encore merci pour l'aide que tu m'apporte sur ce soucis !
0
Réponse 14 / 35
Utilisateur anonyme
 
re

sur quel navigateur ?
0
Réponse 15 / 35
eti44
 
J'utilise toujours FIREFOX
0
Réponse 16 / 35
Utilisateur anonyme
 
reinitialise-le
0
Réponse 17 / 35
eti44
 
Je le supprime et je le ré-installe ?
0
Réponse 18 / 35
Utilisateur anonyme
 
non

https://support.mozilla.org/fr/kb/reparer-firefox-reinitialiser-modules-parametres?redirectlocale=fr&redirectslug=reinitialiser-firefox-corriger-facilement-problemes
0
Réponse 19 / 35
eti44
 
Manip effectuée, je viens de redémarrer le PC, mais ma page d'accueil web est toujours la suivante:

http://search.babylon.com/?affID=113357&tt=5012_1&babsrc=HP_ss&mntrId=1ab9b4f20000000000004061863e0845
0
Réponse 20 / 35
Utilisateur anonyme
 
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
0