Se connecter / S'enregistrer
Votre question

Babylon and co

Tags :
  • Tutoriel
  • Désinstaller
  • Logiciels
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Avril 2012 09:47:47

Bonjour :) 

Je m'informais sur un tutoriel qui semblait correct :
http://www.hdfever.fr/2009/06/24/tutoriel-modifier-les-...
Et malheureusement en téléchargeant les logiciels demandés je me suis retrouvé avec Babylon d'installer sur mon pc, un soft insupportable qui s'incruste partout et qui est impossible à désinstaller. Et comme si ça ne suffisait pas, je remarque que d'autres programmes se sont installés : "2YourFace1.0" (provenant de
Spoiler
2yourface.com
) et "PenWes [6594]". Dans le doute de faire une bêtise j'attend d'avoir l'avis de quelqu'un qui s'y connait avec ce genre de malware.

Je ne sais pas comment m'en débarrasser et surtout comment réparer les dommages qu'ils auraient pu causer (comme par ex ma page d'acceuil de mes navigateurs internet ...)

Bref ... A l'aide ? ^^

Merci :) 

Autres pages sur : babylon and

a b 8 Sécurité
18 Avril 2012 11:08:48

Bonjour,

On appelle ça des PUP. Certains éditeurs voire des distributeurs (comme 01Net) foute dans les installateurs ces adwares en profitant de la non vigilance des internautes :
http://forum.malekal.com/pup-logiciels-potentiellement-...

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse
    19 Avril 2012 11:35:05

    Bonjour,

    Merci pour votre aide. Aucune infection à première vue, voici le rapport :


    RogueKiller V7.3.2 [20/03/2012] by Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Feedback: http://www.geekstogo.com/forum/files/file/413-roguekill...
    Blog: http://tigzyrk.blogspot.com

    Operating System: Windows 7 (6.1.7600 ) 64 bits version
    Started in : Normal mode
    User: EMW [Admin rights]
    Mode: Scan -- Date: 19/04/2012 11:28:42

    ¤¤¤ Bad processes: 0 ¤¤¤

    ¤¤¤ Registry Entries: 7 ¤¤¤
    [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{EEDDD709-8FFC-4902-AB93-E6BC573E9F09} : NameServer (8.8.4.4,208.76.222.222) -> FOUND
    [DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{EEDDD709-8FFC-4902-AB93-E6BC573E9F09} : NameServer (8.8.4.4,208.76.222.222) -> FOUND
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
    [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Particular Files / Folders: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ HOSTS File: ¤¤¤
    127.0.0.1 localhost


    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: ST9500325AS ATA Device +++++
    --- User ---
    [MBR] f3cf8e8b952add7f6208d2ab06fed35e
    [BSP] 03c6f2b6a59ed1d3a258c31046732852 : Linux MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 115900 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 237570048 | Size: 110000 Mo
    3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 462864780 | Size: 250929 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Finished : << RKreport[1].txt >>
    RKreport[1].txt

    Contenus similaires
    a b 8 Sécurité
    19 Avril 2012 11:45:47

    Je me suis trompé de logiciel au temps pour moi. Mais quelques fichiers ont été trouvés, tu peux lancer la suppression.

    • Sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
      Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner[S1].txt
    19 Avril 2012 14:24:54

    Effectivement,

    Il semblerait que mes navigateurs internet et les DNS par défaut soient néttoyés.
    Cela dit, il y a toujours PenWes qui persiste et me lance un message d'erreur toute les 15s lorsque les DNS par défaut ne sont plus en paramètres ... Je kill le processus penwes avec controleur de taches pour ne plus être importuné.

    Sinon voici le rapport :



    # AdwCleaner v1.601 - Logfile created 04/19/2012 at 14:15:22
    # Updated 17/04/2012 by Xplode
    # Operating system : Windows 7 Professional (64 bits)
    # User : EMW - EMW-PC
    # Running from : C:\Users\EMW\Desktop\adwcleaner.exe
    # Option [Delete]


    ***** [Services] *****


    ***** [Files / Folders] *****

    Folder Deleted : C:\Users\EMW\AppData\Local\Babylon
    Folder Deleted : C:\Users\EMW\AppData\Local\Temp\BabylonToolbar
    Folder Deleted : C:\Users\EMW\AppData\Roaming\Babylon
    Folder Deleted : C:\Users\EMW\Desktop\Save
    Folder Deleted : C:\ProgramData\Babylon
    Folder Deleted : C:\Program Files (x86)\BabylonToolbar
    File Deleted : C:\Users\EMW\AppData\Local\Temp\Uninstall.exe
    File Deleted : C:\Users\Public\Desktop\Babylon.lnk
    File Deleted : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml

    ***** [H. Navipromo] *****


    ***** [Registry] *****

    Key Deleted : HKLM\SOFTWARE\Babylon
    Key Deleted : HKLM\SOFTWARE\Description
    Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL

    ***** [Registre - GUID] *****

    Key Deleted : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Key Deleted : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
    Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
    Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
    [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}

    ***** [Internet Browsers] *****

    -\\ Internet Explorer v8.0.7600.16385

    Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?AF=110021&babsrc=HP_ss&mntrId=f20d16e100000000000090e6baa14f9f --> hxxp://www.google.fr
    Replaced : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?AF=110021&babsrc=NT_ss&mntrId=f20d16e100000000000090e6baa14f9f --> hxxp://www.google.fr

    -\\ Mozilla Firefox v11.0 (fr)

    ## File : C:\Users\EMW\AppData\Roaming\Mozilla\Firefox\Profiles\qpy3lkpi.default\prefs.js

    Deleted : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
    Deleted : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
    Deleted : user_pref("browser.search.order.1", "Search the web (Babylon)");
    Deleted : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
    Deleted : user_pref("browser.startup.homepage", "hxxp://search.babylon.com/?AF=110021&babsrc=HP_ss&mntrId=f20d[...]
    Deleted : user_pref("extensions.BabylonToolbar_i.newTab", true);
    Deleted : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?AF=110021&babsrc=NT_s[...]
    Deleted : user_pref("keyword.URL", "hxxp://search.babylon.com/?AF=110021&babsrc=adbartrp&mntrId=f20d16e1000000[...]

    -\\ Google Chrome v18.0.1025.162

    ## File : C:\Users\EMW\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Deleted : "homepage": "hxxp://search.babylon.com/?AF=110021&babsrc=HP_ss&mntrId=f20d16e100000000000090e6baa[...]

    *************************

    AdwCleaner[S1].txt - [4394 octets] - [19/04/2012 14:15:22]

    ########## EOF - C:\AdwCleaner[S1].txt - [4522 octets] ##########
    a b 8 Sécurité
    19 Avril 2012 15:05:25

    Tu n'arrives pas à désinstaller penwes ? tu as fait la suppression avec RogueKiller ?


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a b 8 Sécurité
    20 Avril 2012 11:35:41

    Oui c'est ce que j'ai dit, j'aimerais avoir le rapport RogueKiller.
    Tu peux faire la suite.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS