couponcompanionRésolu/Fermé

Question

Bonjour à tous,

Lorsque je fais une recherche sur le net, quelques secondes après que la page des résultats s'est affichée, j'ai un bandeau :
"VISUAL SEARCH RESULT powered by couponcompanion"
qui s'intercale entre les 2 premiers résultats.
Celui-ci affiche des résultats vers des sites d'achats.

Je suppose qu'il s'agit d'un spyware mais je n'en trouve aucune trace dans "desinstaller un programme" du panneau de configuration ni dans les modules complémentaires du navigateur (firefox).

Cela se passe aussi bien avec google qu'avec bing.

J'ai effectuer un nettoyage avec CCleaner et une recherche avec Malwarebytes mais ça n'a rien donné. Donc si quelqu'un a une idée, je prends...

Merci d'avance.

Homerlulu · Answer

B'jour,

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

Tiyo959 · Answer

Merci de ton aide Homerlulu,

j'ai suivi ce que tu m'as dit, malheureusement couponcompanion est toujours présent dans le résultats de mes recherches.

Voici le rapport ADWCleaner :

# AdwCleaner v2.115 - Rapport créé le 30/03/2013 à 17:06:00
# Mis à jour le 17/03/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (32 bits)
# Nom d'utilisateur : Jackie - JACKIE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Jackie\Téléchargement\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\file scout
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\Jackie\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Jackie\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Jackie\AppData\LocalLow\Delta
Dossier Supprimé : C:\Users\Jackie\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Jackie\AppData\Roaming\file scout
Dossier Supprimé : C:\Users\Jackie\AppData\Roaming\Mozilla\Firefox\Profiles\19e39sq4.default\ConduitCommon
Dossier Supprimé : C:\Users\Jackie\AppData\Roaming\PerformerSoft
Dossier Supprimé : C:\Users\Jackie\AppData\Roaming\SpecialSavings
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\avg-secure-search.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\Jackie\AppData\Roaming\Mozilla\Firefox\Profiles\19e39sq4.default\searchplugins\delta.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\Ask&Record
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\delta LTD
Clé Supprimée : HKCU\Software\IGearSettings
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\AVG Secure Search
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT1060933
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\aidbbndgjnlaclnmhkdimcdjiebjpdel
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Updater Service
Clé Supprimée : HKLM\Software\Tarma Installer
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [specialsavings@vshsolutions.com]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16447

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&tt=030213_de&babsrc=HP_ss&mntrId=c8ed479700000000000000219158755a --> hxxp://www.google.com

-\ Mozilla Firefox v19.0.2 (fr)

Fichier : C:\Users\Jackie\AppData\Roaming\Mozilla\Firefox\Profiles\19e39sq4.default\prefs.js

C:\Users\Jackie\AppData\Roaming\Mozilla\Firefox\Profiles\19e39sq4.default\user.js ... Supprimé !

Supprimée : user_pref("CT1060933.autoDisableScopes", -1);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://www.delta-search.com/?affID=119370&tt=030[...]
Supprimée : user_pref("extensions.delta.admin", false);
Supprimée : user_pref("extensions.delta.aflt", "babsst");
Supprimée : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Supprimée : user_pref("extensions.delta.autoRvrt", "false");
Supprimée : user_pref("extensions.delta.dfltLng", "en");
Supprimée : user_pref("extensions.delta.excTlbr", false);
Supprimée : user_pref("extensions.delta.id", "c8ed479700000000000000219158755a");
Supprimée : user_pref("extensions.delta.instlDay", "15740");
Supprimée : user_pref("extensions.delta.instlRef", "sst");
Supprimée : user_pref("extensions.delta.newTab", false);
Supprimée : user_pref("extensions.delta.prdct", "delta");
Supprimée : user_pref("extensions.delta.prtnrId", "delta");
Supprimée : user_pref("extensions.delta.rvrt", "false");
Supprimée : user_pref("extensions.delta.smplGrp", "none");
Supprimée : user_pref("extensions.delta.tlbrId", "base");
Supprimée : user_pref("extensions.delta.tlbrSrchUrl", "");
Supprimée : user_pref("extensions.delta.vrsn", "1.8.10.0");
Supprimée : user_pref("extensions.delta.vrsnTs", "1.8.10.013:48:00");
Supprimée : user_pref("extensions.delta.vrsni", "1.8.10.0");
Supprimée : user_pref("extensions.special_savings_fx.dataBase", "{\"cc_dbfetch\":\"720\",\"cc_dburl\":\"hxxp:\/[...]

*************************

AdwCleaner[S1].txt - [7073 octets] - [30/03/2013 17:06:00]

########## EOF - C:\AdwCleaner[S1].txt - [7133 octets] ##########

Homerlulu · Answer

Re,

des problèmes persistent ? 

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

Tiyo959 · Answer

Effectivement c'est un peu plus long.

Aucune menace de détectée.

Aurais-tu une autre piste ?


Voici le rapport de MBAM :

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.29.10

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Jackie :: JACKIE-PC [administrateur]

30/03/2013 17:21:08
MBAM-log-2013-03-30 (17-49-48).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 310585
Temps écoulé: 28 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Homerlulu · Answer

Re,

des problèmes persistent ?

si oui on approfondi.

Tiyo959 · Answer

oui les problèmes persistent.

Une désinstallation/réinstallation de firefox resoudrait-elle le problème ?

Homerlulu · Answer

Re,

non fais ceci : https://www.commentcamarche.net/faq/9525-reinitialiser-firefox-reset

Tiyo959 · Answer

réinitilisation de firefox suivant la manip, redémarrage du navigateur et....

couponcompanion DISPARU .

YES !!!

Un grand MERCI Homerlulu pour ton aide.

Bonne soirée.

Homerlulu · Answer

re,

ce n'est pas fini. :)

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox

&#9654 Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

Tiyo959 · Answer

Bonjour Homerlulu,
désolé je n'ai pas eu le temps de poster les liens avant, mais les voici si jamais tu as le temps de jeter un coup d'oeil :

OTL.text : https://forums-fec.be/upload/www/?a=d&i=9594448588

extras.txt : https://forums-fec.be/upload/www/?a=d&i=1482684211

Merci d'avance.

juju666 · Answer

Salut pour avancer mon ptit blond (^^)

 tu peux désinstaller la toolbar bing 
Et dans firefox virer l'extension Special Savings/vshsolutions.com     

 Faudra penser à faire un chkdsk :  

Error - 08/11/2012 06:20:46 | Computer Name = Jackie-PC | Source = Disk | ID = 262151 
Description = Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.

Tu as encore des soucis avec mozilla thunderbird ? 

bon dimanche 
  
 .::. Contributeur Sécurité .::.

Tiyo959 · Answer

Merci,

Non plus de soucis avec Thunderbird.

J'ai désinstallé Toolbar Bing et l'extension Savings...

Maintenant on va faire le chkdsk.

Bon dimanche aussi.

juju666 · Answer

Attention le chkdsk dure plusieurs heures  ... et se fait au boot du pc !

Couponcompanion

13 réponses

Newsletters