Security-X
Forum Security-X => Désinfections => Discussion démarrée par: jeanchou le août 21, 2012, 21:35:03
-
Bonjour à tous,
depuis quelques jours Babylon Search a pris la place de google.
J'ai desinstaller le logiciel babylon mais il revient encore quand j'utilise internet.
J'ai lu sur des forums qu'il fallait telecharger adwcleaner.
Quelqu'un sait comment on fait pour se débarrasser de ce parasite?
Merci d'avance de votre aide
-
Bonsoir,
Il faudra être plus vigilant lorsque vous installez des programmes, à lire :
http://forum.security-x.fr/securite-generale/stop-la-pub/
Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Recherche.
- A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
-
Bonsoir Merci de ta réponse.
Oui j'avais voulu telecharger un programme et il semble que je n'ai pas bien lui les conditions et que j'ai installé ce parasite en meme temps
voilà le script :
# AdwCleaner v1.801 - Rapport créé le 22/08/2012 à 19:14:49
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : jeanchou16 - DALLET-NORWAY
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\jeanchou16\Desktop\adwcleaner.exe
# Option [Recherche]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Présent : C:\Users\jeanchou16\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Dossier Présent : C:\ProgramData\Browser Manager
***** [Registre] *****
Clé Présente : HKCU\Software\DataMngr_Toolbar
[x64] Clé Présente : HKCU\Software\DataMngr_Toolbar
***** [Registre - GUID] *****
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Présente : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]
[x64] Clé Présente : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v14.0.1 (fr)
Nom du profil : default
Fichier : C:\Users\jeanchou16\AppData\Roaming\Mozilla\Firefox\Profiles\98ybrh84.default\prefs.js
Présente : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Présente : user_pref("browser.search.order.1", "Search the web (Babylon)");
Présente : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Présente : user_pref("browser.startup.homepage", "hxxp://search.babylon.com/?affID=112543&tt=120812_bandext_331[...]
-\\ Google Chrome v21.0.1180.83
Fichier : C:\Users\jeanchou16\AppData\Local\Google\Chrome\User Data\Default\Preferences
Présente : "homepage" : "hxxp://search.babylon.com/?affID=112543&tt=120812_bandext_3312_6&babsrc=HP_ss&mn[...]
Présente : "hxxp://search.babylon.com/?affID=112543&tt=120812_bandext_3312_6&babsrc=HP_ss&mntrId=36[...]
*************************
AdwCleaner[R1].txt - [30380 octets] - [21/08/2012 21:05:35]
AdwCleaner[S1].txt - [23665 octets] - [21/08/2012 21:10:12]
AdwCleaner[R2].txt - [3128 octets] - [21/08/2012 21:24:17]
AdwCleaner[R3].txt - [3369 octets] - [22/08/2012 19:13:59]
AdwCleaner[R4].txt - [3308 octets] - [22/08/2012 19:14:49]
########## EOF - C:\AdwCleaner[R4].txt - [3436 octets] ##########
-
Re,
Tu avais déjà effectué un passage d'adwcleaner hier soir avant que je le demande ?
Et là il a encore des choses à supprimer ?
Tu as réinstallé des programmes et leurs sponsors entre-temps ?
-
Oui,
j'avais déjà fait une recherche avec adwcleaner.
Je n'ai réinstallé aucun programme entre temps
j'avais fait une recherche adwcleaner, puis j'avais cliqué sur "suppresion" toujours dans adwcleaner.
Que dois je faire ensuite?
Merci
-
Re,
ce qui m'embête c'est qu'il en a retrouver à supprimer entre hier soir et ce soir, sans qu'il ai été mis à jour, alors je me pose des questions ...
On va regarder un peu plus loin :
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
msconfig
activex
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)[/i]
Note : Les rapports sont aussi enregistrés sur le bureau
-
http://pjjoint.malekal.com/files.php?id=20120822_u15n13w14v5j8 : lien extra
http://pjjoint.malekal.com/files.php?id=20120822_s6v14f11q11l10 : lien OTL
Voici les deux fichiers extra et OTL.
Qu'en est il docteur? :)
-
Re,
Quelques restes qu'on va supprimer, une extension qui empêche les outils de travailler et supprimer babylon, ou le remet ensuite.
Une raison pour que le service pack 1 ne soit pas installé sur ce Windows 7 ?
1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :
- McAfee Security Scan Plus (inutile avec AVG)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
MOD - [2012/08/13 21:28:11 | 002,049,056 | ---- | M] () -- c:\ProgramData\Browser Manager\2.2.565.25\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll
IE - HKU\S-1-5-21-3959668407-3125487748-3677422725-1001\..\SearchScopes,BrowserMngrDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-3959668407-3125487748-3677422725-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-3959668407-3125487748-3677422725-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112543&tt=120812_bandext_3312_6&babsrc=SP_ss&mntrId=3660cfa0000000000000002682ab3c2e
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112543&tt=120812_bandext_3312_6&babsrc=HP_ss&mntrId=3660cfa0000000000000002682ab3c2e"
FF - prefs.js..extensions.enabledItems: ShopperReports@ShopperReports.com:3.0.517.0
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.2.565.25\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
CHR - homepage: http://search.babylon.com/?affID=112543&tt=120812_bandext_3312_6&babsrc=HP_ss&mntrId=3660cfa0000000000000002682ab3c2e
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O20 - AppInit_DLLs: (c:\progra~3\browse~1\22565~1.25\{16cdf~1\browse~1.dll) - c:\ProgramData\Browser Manager\2.2.565.25\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll ()
[2012/08/13 21:28:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Browser Manager
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-
Il semble que ca ait marché \o/
merci beaucoup, je suis enfin débarrassé de babylon search
un grand merci
bonne soirée :)
-
Re,
Nous n'avons pas terminé, ton pc est vulnérable car non à jour !
1) Désinstalle AdwCleaner :
- Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
- Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.
2) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
3) Mise à jour du système et des logiciels :
Met à jour ton système vers le service pack 1 et fais l'ensemble des mises à jours proposées :
Démarrer -> Tous les programmes -> Windows Update
Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Vérifie que les anciennes versions sont supprimées, sinon fais-le manuellement dans ta liste des programmes : Java(TM) 6 Update 17 (64-bit) / Java(TM) 6 Update 17
- Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
Vérifie que les anciennes versions sont supprimées, sinon fais-le manuellement dans ta liste des programmes : Adobe Reader 9.5.0 MUI
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
ah, je pensais que c'etait fini, heuresement que j'ai fait un saut sur le forum.
mon OTL est en anglais
"purge d'outil" c'est bien "cleanup"?
-
C'est bon j'ai fait tout ca :)
encore un grand merci.
-
Re,
C'est parce que ton pc est configuré en anglais :
Locale: 00000809 | Country: Royaume-Uni | Language: ENG | Date Format: dd/MM/yyyy
Y'a une raison à ça ?