[Résolu] Aide pour suppression BrowserProtect.exe

[kazgaroth]

Bonjour à tous et merci à l'équipe sécurité pour votre boulot!

 

Voici mon souci : ça fait 1 semaine que mon PC rame (ça colle avec une install de paint.net et potentiellement une barre de navigateur incluse lors de l'install)...

Et en fouillant un peu, j'ai vu un process BrowserProtect.exe impossible à tuer.

En fouillant un peu sur le Net, j'ai vu que ce process était souvent lié à une barre de navigateur nommée Babylon.

J'ai bien trouvé un répertoire sur le PC avec ce nom, et des logs disant que je l'aurais installé le 12/01.

Donc ça collerait pas mal.

 

J'ai vu aussi en cherchant une solution sur le forum (et d'autres) qu'un rapport ZHPDiag était souvent demandé.

 

 

Voici le 1er rapport ZHPDiag ZHPDiag.txt

 

Si l'un(e) d'entre vous souhaite me venir en aide, j'en serais très heureux

Vu que je n'ai pas les compétences, je préfère demander de l'aide plutôt que faire n'importe quoi...

 

Merci d'avance pour votre aide !

Kaz

Modifié le 20 janvier 2013 par kazgaroth

[Apollo]

Bonjour,

 

Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

+++

[kazgaroth]

Merci Apollo!

 

Voici le rapport de adwCleaner (après redémarrage demandé par adwCleaner) :

 

 

# AdwCleaner v2.106 - Rapport créé le 19/01/2013 à 17:28:33

# Mis à jour le 17/01/2013 par Xplode

# Système d'exploitation : Windows Vista Home Basic Service Pack 2 (32 bits)

# Nom d'utilisateur : PATRICK - PC-DE-PATRICK

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\PATRICK\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\ProgramData\Ask

Dossier Supprimé : C:\ProgramData\Babylon

Dossier Supprimé : C:\Users\PATRICK\AppData\Roaming\Babylon

Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\5d6dbd9e13be812

Clé Supprimée : HKCU\Software\APN PIP

Clé Supprimée : HKCU\Software\DataMngr

Clé Supprimée : HKCU\Software\DataMngr_Toolbar

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D

 

-49DD-99D7-DC866BE87DBC}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CB65201-89C4-

 

402C-BA80-02D8C59F9B1D}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063DB1-4EC0-

 

403E-8DD8-394C54984B2C}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063DB9-4EC0-

 

403E-8DD8-394C54984B2C}

Clé Supprimée : HKCU\Software\PIP

Clé Supprimée : HKLM\SOFTWARE\14919ea49a8f3b4aa3cf1058d9a64cec

Clé Supprimée : HKLM\SOFTWARE\5d6dbd9e13be812

Clé Supprimée : HKLM\Software\Babylon

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}

Clé Supprimée : HKLM\SOFTWARE\Classes\IMsiDe1egate.Application.1

Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap

Clé Supprimée : HKLM\SOFTWARE\Classes\S

Clé Supprimée : HKLM\Software\DataMngr

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18

 

\Components\0FF2AEFF45EEA0A48A4B33C1973B6094

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18

 

\Components\305B09CE8C53A214DB58887F62F25536

Clé Supprimée : HKLM\Software\PIP

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v7.0.6002.18005

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v18.0 (fr)

 

Fichier :

 

C:\Users\PATRICK\AppData\Roaming\Mozilla\Firefox\Profiles\y6sqvzb0.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v24.0.1312.52

 

Fichier : C:\Users\PATRICK\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Opera v11.10.2092.0

 

Fichier : C:\Users\PATRICK\AppData\Roaming\Opera\Opera\operaprefs.ini

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [2835 octets] - [19/01/2013 17:28:33]

 

########## EOF - C:\AdwCleaner[s1].txt - [2895 octets] ##########

 

 

 

 

 

 

 

Qu'en conclus-tu?

 

PS : merci pour les liens. Sur ce coup là, je me demande ce que j'ai fait en fait... Car d'habitude, je décoche systématiquement les softs "bonus" quand j'installe quelque chose... Et d'habitude je me débrouille pour tomber sur le site qui va bien (donc qui propose de télécharger sans package bizarre)...

Comme quoi, faut toujours rester vigilant

[Apollo]

Re,

 

Parfois, il n'est pas suffisant de décocher les cases proposant des toolbars et autres moteurs de recherche, etc.

 

Par exemple, j'ai remarqué que lors d'une installation de Format Factory, même si je décoche ces cases, il y a quand-même un exécutable d'Ask Toolbar ou Ask.com qui va se flanquer dans les temp. D'où nécessité de passer quand-même AdwCleaner.

 

La suite:

 

1) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU!

 

Lien de Pierre13: http://www.archive-host.com/link/949757cd6cfc60d9254f507c4d922f643029d9db.exe

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

• Double clique (xp) sur SFT.exe.
  Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
  Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
   
  
   
  Un rapport va s'ouvrir à la fin.
   
  Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

--------------------------

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[kazgaroth]

Bonjour Apollo!

 

Voici les rapports d'hier soir :

 

Lien vers SFT.txt

 

 

 

 

 

copie du rapport de malwarebytes :

 

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org

 

Version de la base de données: v2013.01.19.09

 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 7.0.6002.18005

PATRICK :: PC-DE-PATRICK [limité]

 

19/01/2013 19:56:15

mbam-log-2013-01-19 (19-56-15).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 380045

Temps écoulé: 1 heure(s), 39 minute(s), 14 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 5

C:\Users\PATRICK\Desktop\vista_crracks\vista_crracks\Extra Activation Programs\Windows Loader 1.9.5 (Reccomended)\Windows Loader 1.9.5 (Reccomended).exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

C:\Users\PATRICK\Desktop\vista_crracks\vista_crracks\Extra Unique Programs\Remove Windows Genuine Advantage Notifications.exe (PUP.RemoveWGA) -> Mis en quarantaine et supprimé avec succès.

C:\Users\PATRICK\Desktop\vista_crracksaaa\Extra Activation Programs\Windows Loader 1.9.5 (Reccomended)\Windows Loader 1.9.5 (Reccomended).exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

C:\Users\PATRICK\Desktop\soft-install\VLCSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.

C:\Users\PATRICK\Desktop\soft-install\Direct_MIDI_to_MP3_Converter_v1.2\Keygen\keygen.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

 

D'après ces rapports, ça a l'air ok.

Vois-tu autre chose à faire?

 

Merci pour ton aide.

@+

Kaz

Modifié le 20 janvier 2013 par kazgaroth

[Apollo]

Bonjour,

 

Info: Secuser.com - Vulnérabilité critique non corrigée dans Java

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

----------------

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Tu peux ensuite relancer DelFix et appuyer sur [Désinstaller] afin de supprimer toute trace de son utilisation.

 

@++

[kazgaroth]

Re Apollo!

 

J'ai désactivé Java comme tu le proposais suite à la faille 0 day.

J'ai aussi utilisé PSI, mais il me reste des maj à faire (ce qui sera fait d'ici peu).

Et je ferai un check toutes les semaines pour être à jour

 

J'ai utilisé Delfix. Il a bien supprimé les outils de désinfection.

Par contre il s'est auto supprimé par la même occasion.

Et je n'ai pas de rapport comme tu l'avais écrit.

Peut-être est-ce une version suipérieure à la dernière que tu as utilisée.

 

Je pense que toutes les étapes ont été passées avec succès.

 

 

Encore merci pour ton aide!

 

@+

Kaz

[Dylav]

Bonjour kazgaroth,

 

Si tu considères que la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

 

[1] En bas du premier message de ton sujet, clique sur [Modifier],

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet],

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet,

[4] Clique sur le bouton [Enregistrer le message modifié] pour valider.