Virus lollipopRésolu/Fermé

Question

Bonsoir à tous,

Tout d'abord, bonne année et meilleurs voeux !! :)

J'ai un soucis sur mon pc portable, le virus lolipop.exe a été detecté se fait bien sentir !
Google chrome se ferme tout seul, donc navigation internet difficile ou impossible, menu des fichiers qui défilent tout seul .... 
J'ai eu du mal mais j'ai pu faire la mise à jour de malwarebyte et un scan est en cours.
Je voulais savoir si pouviez m'aidez avec d'autres logiciels, d'autres scan à vous transmettre éventuellement ...

Merci beaucoup pour votre attention et vos réponses



Configuration: Windows XP / Chrome 23.0.1271.97

g3n-h@ckm@n · Answer

salut

 
Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

bobosawyer · Answer

Merci pour ta réponse ! 
Je fais ca et je poste le rapport

g3n-h@ckm@n · Answer

à te lire :)

bobosawyer · Answer

Voici le rapport  :)



# AdwCleaner v2.105 - Rapport créé le 11/01/2013 à 18:45:48
# Mis à jour le 08/01/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Paola - BOBO
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Paola\Mes documents\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\DOCUME~1\Paola\LOCALS~1\Temp\BabylonToolbar
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\boost_interprocess
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\InstallMate
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Premium
Dossier Supprimé : C:\Documents and Settings\LocalService\Application Data\BabylonToolbar
Dossier Supprimé : C:\Documents and Settings\Paola\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\Paola\Application Data\BabylonToolbar
Dossier Supprimé : C:\Documents and Settings\Paola\Application Data\OfferBox
Dossier Supprimé : C:\Documents and Settings\Paola\Local Settings\Application Data\lollipop
Dossier Supprimé : C:\Program Files\BabylonToolbar
Dossier Supprimé : C:\Program Files\DAEMON Tools Toolbar
Dossier Supprimé : C:\Program Files\SweetIM
Fichier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Offerbox.lnk
Fichier Supprimé : C:\user.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Microsoft\Babylon
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\SweetIM
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{291BCCC1-6890-484A-89D3-318C928DAC1B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}
Clé Supprimée : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj
Clé Supprimée : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj.1
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Clé Supprimée : HKLM\Software\Classes\Installer\Features\3192AA38321C641458DBDAF83979D193
Clé Supprimée : HKLM\Software\Classes\Installer\Products\3192AA38321C641458DBDAF83979D193
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5B58EF61-85F2-4977-97A5-84C19F926579}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{83AA2913-C123-4146-85BD-AD8F93971D39}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3192AA38321C641458DBDAF83979D193
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{83AA2913-C123-4146-85BD-AD8F93971D39}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar
Clé Supprimée : HKLM\Software\Offerbox
Clé Supprimée : HKLM\Software\SweetIM
Clé Supprimée : HKLM\Software\TENCENT
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]

***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.5512

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=111804&babsrc=HP_ss&mntrId=fc2f511f00000000000000a0d5ffff97 --> hxxp://www.google.com

-\ Google Chrome v23.0.1271.97

Fichier : C:\Documents and Settings\Paola\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Supprimée [l.20] : urls_to_restore_on_startup = [ "hxxp://www.google.fr/", "hxxp://search.babylon.com/?affID=[...]
Supprimée [l.3139] : urls_to_restore_on_startup = [ "hxxp://www.google.fr/", "hxxp://search.babylon.com/?affID=111[...]

*************************

AdwCleaner[S1].txt - [8558 octets] - [11/01/2013 18:45:48]

########## EOF - C:\AdwCleaner[S1].txt - [8618 octets] ##########

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

bobosawyer · Answer

J'avais malwarebyte installé déjà, j'ai fait les mises à jours et j'ai lancé l'examen complet...
Le soucis c'est que le scan se termine en ne trouvant aucuns éléments infectés, et je ne vois pas l'option "résultat" pour pouvoir faire une eventuelle suppression...
Je n'ai pas pu te poster le rapport pour l'instant car la navigation internet est impossible par moments (je te parle d'un autre pc), la fenêtre chrome se ferme toute seule...
De plus le démarrage est compliqué, quelque fois il ne veut pas démarré du tout, d'autres fois il faut insister.
Je fais donc au mieux et au plus vite pour te poster le dernier rapport de malwayrebye mais qui est a priori sain...

Bonne soirée et merci

g3n-h@ckm@n · Answer

salut s'il y a zéro partout c'est inutile de le poster ( si toutefois MBAM a bien été mis à jour avant le scan :) )

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

bobosawyer · Answer

Bonjour, merci pour ta réponse ;)
J'ai refait une recherche de maj sur malware, il a trouvé de nouveaux fichiers (peu mais quand meme) alors qu'hier il me disait etre à jour.
Je relance donc un scan,  on sait jamais, si le scan a trouvé un élément, je te poste le rapport.
Sinon je fais ce que tu as demandé

A plus tard

g3n-h@ckm@n · Answer

fais ce que j'ai demandé sinon inutile de demander de l'aide !
on ne prend pas d'initiative en desinfection !

bobosawyer · Answer

Non je voulais aller dans ton sens et que tu sois sur du rapport, vu que tu m'as dit faut être sur que malware soit à jour .... :)

g3n-h@ckm@n · Answer

je pense pas qu'il retrouve quelque chose mais comme tu m'as dit que ca mer$ait toujours , c'est pour ca que je fouille plus profond

bobosawyer · Answer

Oui j'en doute pas et je te fais confiance ;) c'était pour toi, si je ne fais pas les bonnes mises à jour ca aurait pu te faire perdre du temps par la suite....
Effectivement rien de trouvé par malware
J'ai lancé Pre_scan  je te poste le lien du rapport dès que c'est fait

g3n-h@ckm@n · Answer

ok heberge-le hein...

bobosawyer · Answer

Oui je ne vais pas le copier ici ;)
Lors du scan, il a détecté un lecteur virtuel, il a utilisé un programme pour le fermé et ca m'a demandé de le redémarré, au redémarrage le scan de Pre_scan n'a pas repris.
Je le relance?

g3n-h@ckm@n · Answer

oui

bobosawyer · Answer

Voila le scan est fini, je ne sais pas si c'est normal mais il n'a pas demandé de redémarrage 
Voici le lien du rapport 
http://cjoint.com/data3/3AmnQoSvBWs.htm

g3n-h@ckm@n · Answer

ok 

relance l'outil , clique sur diag , heberge le rapport pre_diag et donne le lien

bobosawyer · Answer

Voila le lien du rapport diag 
https://www.cjoint.com/?3AmoKhYyEQS

Petite question, pour la première utilisation Pre_scan ne m'a pas demandé ce que je voulais exécuter (comme la par exemple j'ai pu choisir pour diag) et je n'ai donc pas pu choisir Scan/kill , il a quand même fait le bon scan?

g3n-h@ckm@n · Answer

desinstalle DAEMON Tools Toolbar 

==========

selectionne ce texte :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Alcmtr]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]|[C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe]

File|Fold::
C:\Documents and Settings\Paola\restore 

Clean::

MBR::

Reboot::   

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

bobosawyer · Answer

Voila le rapport de Pre_Script


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0110 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Paola : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 15:01:47

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(124) -- sched.exe
(236) -- explorer.exe
(680) -- hkcmd.exe
(748) -- avgnt.exe
(972) -- FacebookUpdate.exe
(2112) -- avguard.exe
(3308) -- avshadow.exe
(2528) -- wuauclt.exe
(2100) -- spoolsv.exe
(1488) -- GoogleCrashHandler.exe
(1704) -- chrome.exe
(3324) -- chrome.exe
(3464) -- chrome.exe
(2536) -- chrome.exe
(1100) -- chrome.exe
(204) -- chrome.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Alcmtr 
Value Deleted : [HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]:C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe 

¤

Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\Paola\restore 

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000000c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk cleaned

¤


End : 15:02:08

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

tu peux faire le menage

 https://gen-hackman.kanak.fr/

bobosawyer · Answer

J'ai commencé à faire le ménage, je suis les étapes une à une.
Je n'ai pas eu de rapport delfix mais le nettoyage a bien marché.

Voici le lien du rapport Slowin_Killer
https://www.cjoint.com/?3Amq1pucBXp

g3n-h@ckm@n · Answer

tu ne coches que le parefeu à l'install mais bon....si tu n'es pas sûr de savoir gerer convenablement un parefeu je te conseille pas d'en installer un..

bobosawyer · Answer

Non ca devait aller ;) je ne savais pas qu'on pouvait juste choisir le firewall, je voulais être sur avant d'installer et ne pas créer d'interférences entre les deux antivirus 
Je continue le nettoyage :)

g3n-h@ckm@n · Answer

:)

bobosawyer · Answer

Tout est nettoyé ! Je te remercie pour ton temps et ta réaction.
Tes conseils ont été payants , je passe en résolu ;)

Sans vouloir abuser de tes conseils, si tu maîtrises bien daemon tool lite, j'aurais une petite question que je pourrai te poser en priver peut etre...

g3n-h@ckm@n · Answer

je ne connais absolument pas ce logiciel je ne sais meme pas à quoi il sert :)  

regarde tes messages prives
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Virus lollipop

27 réponses

Newsletters