[Résolu] Désinstaller Crossbrowse

[Mastoukikou]

Bonjour à tous,

Le Malware "Crossbrowse" s'est malencontreusement installé sur mon PC. J'ai déjà lu un sujet sur ce forum, concernant la désinstallation de Crossbrowse. J'ai donc téléchargé le logiciel AdwCleaner et lancé un scan. Je mets donc le rapport de ce scan en fichier joint.
Si quelqu'un peut me guider pour la suite des opérations, ce serait super !
Merci d'avance.

[HexCrunch]

Salut,

Ton pc a bien plus de PUPs que crossbrowse.

Fais ceci:

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
  
• Installe le logiciel.
  
• Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  
• Clic sur Complet
  
  Note : Ne pas fermer le programme meme si il est indiqué qu'il ne répond plus.
  
  
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt a  été créé.
  
• Héberge le rapport ZHPDiag.txt dans ta prochaine réponse sur le forum

++

[Mastoukikou]

Salut,

Merci pour ta réponse rapide.
Pour ZHPDiag c'est fait. Je joins le rapport.


Antoine

[HexCrunch]

Salut

Une raison pour laquelle ce PC marche encore sous Windows XP ?
Windows XP n'est plus supporté, une cible de choix pour les exploits et les cyber criminels. Songe à passer a 7/8.

Ton PC est infesté de malwares installés avec ton consentement. On y fera le point à la fin de la désinfection.
_________________________

• Copie les lignes ci dessous :
  
  

  Code: Tout sélectionner

  Script ZHPFix
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
O61 - LFC: 05/06/2015 - 17:23:01 ---A- . (...) -- C:\Documents and Settings\Antoine\Local Settings\Temp\2321.exe   [1918040]
O61 - LFC: 05/06/2015 - 17:23:01 ---A- . (.OperaChecker.) -- C:\Documents and Settings\Antoine\Local Settings\Temp\81433492653\TE5FLEpSTA==10700.exe   [50225]
O61 - LFC: 05/06/2015 - 17:23:02 ----- . (...) -- C:\Documents and Settings\Antoine\Local Settings\Temp\beddeieajb.exe   [779808]
O61 - LFC: 05/06/2015 - 17:23:02 ---A- . (...) -- C:\Documents and Settings\Antoine\Local Settings\Temp\hellow.exe   [91136]
O61 - LFC: 31/05/2015 - 17:23:04 ---A- . (...) -- C:\Documents and Settings\Antoine\Local Settings\Temp\Quarantine.exe   [610816]
O4 - HKLM\..\Run: [mbot_fr_643] Clé orpheline  =>PUP.CrossRider
O4 - HKLM\..\Run: [upmbot_fr_643.exe] C:\Documents and Settings\Antoine\Local Settings\Application Data\mbot_fr_643\upmbot_fr_643.exe (.not file.)   =>PUP.CrossRider
O4 - HKCU\..\Run: [GoogleChromeAutoLaunch_926B38DC1AEAB8BBD98F3383274BA60C] C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (.not file.)   =>PUP.CrossBrowser
O4 - HKUS\S-1-5-21-220523388-602162358-682003330-1003\..\Run: [GoogleChromeAutoLaunch_926B38DC1AEAB8BBD98F3383274BA60C] C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (.not file.)   =>PUP.CrossBrowser
O42 - Logiciel: Jewel Quest version Series - (.iWin.) [HKLM] -- {CB90C742-1CE8-4E32-914F-17E575963A5C}_is1
O42 - Logiciel: inminet - (.esties.) [HKLM] -- {e20d6e44-c692-4329-d495-57e2996fc3ed}  =>PUP.inminet
[HKCU\Software\Smartbar]  =>Hijacker.SmartBar
[HKCU\Software\esties]
[HKCU\Software\iWinArcade]  =>Adware.iWinArcade
[HKLM\Software\14919ea49a8f3b4aa3cf1058d9a64cec]  =>PUP.CrossRider
[HKLM\Software\iWin.com Games]
[HKLM\Software\iWinArcade]  =>Adware.iWinArcade
[HKLM\Software\iWin]
C:\Documents and Settings\Antoine\Application Data\inminet  =>PUP.inminet
O47 - AAKE:Key Export SP - "C:\Program Files\iMesh Applications\iMesh\iMesh.exe" [Enabled] .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)  =>PUP.iMesh
O47 - AAKE:Key Export SP - "C:\Program Files\iMesh Applications\MediaBar\Datamngr\ToolBar\dtUser.exe" [Enabled] .(...) -- C:\Program Files\iMesh Applications\MediaBar\Datamngr\ToolBar\dtUser.exe (.not file.)  =>PUP.iMesh
O47 - AAKE:Key Export SP - "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" [Enabled] .(...) -- C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (.not file.)  =>PUP.CrossBrowser
O47 - AAKE:Key Export DP - "C:\Program Files\iMesh Applications\iMesh\iMesh.exe" [Enabled] .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)  =>PUP.iMesh
O61 - LFC: 05/06/2015 - 17:23:01 ---A- . (.Crossbrowse.) -- C:\Documents and Settings\Antoine\Local Settings\Temp\6013\setup.exe   [913408]  =>PUP.CrossBrowser
[MD5.CAD42AB223DB8161A90D5647413EE751] [WIS][05/06/2015] (.esties - inminet.) -- C:\Windows\Installer\63f5bd.msi   [264192]  =>PUP.inminet
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{e20d6e44-c692-4329-d495-57e2996fc3ed}]   =>PUP.inminet^
[HKLM\Software\iwin]   =>Adware.iWinArcade
[HKLM\Software\iWin.com Games]   =>Adware.iWinArcade
[HKCU\Software\iWinArcade]   =>Adware.iWinArcade
[HKLM\Software\iWinArcade]   =>Adware.iWinArcade
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:mbot_fr_643   =>PUP.CrossRider^
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:GoogleChromeAutoLaunch_926B38DC1AEAB8BBD98F3383274BA60C   =>PUP.CrossBrowser^
C:\Documents and Settings\Antoine\Application Data\inminet   =>PUP.inminet^
[HKCU\Software\Smartbar]   =>Hijacker.SmartBar^
[HKLM\Software\14919ea49a8f3b4aa3cf1058d9a64cec]   =>PUP.CrossRider^
C:\Windows\Installer\63f5bd.msi   =>PUP.inminet^
[HKCU\Software\ƒAƒvƒŠƒP[ƒVƒ‡ƒ“ ƒEƒBƒU[ƒh‚Ő¶¬‚³‚ꂽƒ[ƒJƒ‹ ƒAƒvƒŠƒP[ƒVƒ‡ƒ“]

  
  
• Lances ZHPFix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  
  1. Clique sur Importer
  2. Puis Clic sur "GO"
  
  
  
  
  
  
• Confirmes les nettoyages des données en cliquant sur "Oui"
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
• Héberge le rapport ZHPFixReport dans ta prochaine réponse.

_______________________________

Ensuite:

• Désactive ton antivirus le temps du téléchargement et de l'utilisation.
• Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau.
• Ferme ton navigateur
• Fais un double clique sur l'icône pour le lancer
  Note: Clique droit sur l'icône puis Exécuter en tant qu'administrateur sous Windows Vista, Seven et Windows 8
• Accepte "les conditions d'utilisation"
• Clique sur Scanner

Note: Durant le scan, si l'outil te demande "Avez-vous installé ce proxy ?" et que tu n'en as pas installé, clique sur "Non" ou "Voulez-vous remplacer la page d'accueil ?, clique sur "Non"

• Héberge le rapport ZHPCleaner.txt présent sur ton bureau dans ta prochaine réponse.

______________________

• Télécharge MalwareBytes sur ton bureau.
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
  
• Sur la fenêtre principal de malwarebytes, dans la partie "Database Version"
• Clique sur Update Now (la mise à jour ce fait)
  
• Clique sur Setting
• Choisis la langue "Français"
• Dans le menu à gauche, clique sur "Détection et Protection"
• Dans la partie "options de détection" coche la case "Recherche de Rootkits"
• Clique sur Examen (en haut)
• Sélectionne Examen "Personnalisé"
• Clique sur "Examiner maintenant"

• Dans la partie "Option d'examen personnalisé"
• Coche la case "Recherche de Rootkits"
• Veille à ce que les actions sur les PUM/PUP soit régler sur "Traiter les détections comme des malveillants"
• Sélectionne les supports que tu souhaites analyser
• Clique sur "Lancer l'examen"

• Dans l'onglet Examen, clique sur Exporter le journal => Fichier texte (txt). Sinon, va dans l'onglet Historique puis Journaux de l'application => coche la case a côté de "Journal d'examen" => "Afficher" => en bas de la fenêtre clique sur "Exporter" et choisis le format Texte (.txt).
  
• Héberge le rapport sur dans ta prochaine réponse.

__________________


Sont attendus 3 rapports:

• ZHPFix
• ZHPCleaner
• MBAM

A+

[Mastoukikou]

Bonjour,

J'ai laissé tourner le dernier scan, avec MBAM, car à minuit hier soir ce n'était toujours pas terminé...
Voilà les trois rapports en pièces jointes.
Pour MBAM, sous la sélection de PUPs il me propose de "supprimer la sélection". Dois-je le faire maintenant ?

Pour info, ton lien vers ZHPCleaner ne fonctionnait pas ; je te mets ici celui que j'ai utilisé :
http://www.nicolascoolman.fr/download/zhpcleaner-2/

A +

Antoine

[HexCrunch]

Salut,

Je m'excuse pour le lien de ZHPCleaner .

Les outils ont fait du bon boulot.
Relance ZHPCleaner et clic sur l'option nettoyer. Fais moi ensuite un nouveau contrôle ZHPDiag.
Oui, supprime la sélection de Malwarebytes.


Y a t'il un progrès par rapport au symptômes initiaux ?

A+

[Mastoukikou]

Salut,

J'ai refais ZHP Cleaner. Je crois qu'une mise à jour de ce logiciel s'est faite à cette occasion ; du coup il me demandait de relancer un scan avant de nettoyer. C'est ce que j'ai fait. Au cas où, je te remets ci-joint le rapport de ce nouveau scan.
Puis j'ai lancé le nettoyage.

En pièce jointe tu as aussi le nouveau diag ZHP.

Mon navigateur Mozilla Firefox qui avait été automatiquement supprimé hier s'est réinstallé tout seul... Très bien !
J'ai navigué un peu : aucun souci. Tout à l'air de tourner rond

Pour mon "vieux" Windows XP... ben ouais, je suis toujours dessus ; ça tourne bien. Mais je prends note de ta remarque pour peut-être songer à passer sur W 7.

A +

Antoine

[HexCrunch]

Coucou,

Tu sais moi aussi j'étais l'un des "die-hard" de Windows XP avant la migration. Surtout avec l'apparaition de Vista à l'époque qui ne m'a pas encouragé a tester les nouveaux produits Microsoft. Je me suis ensuite rendu compte que 7/8 sont visiblement meilleurs. Du moins, on n'a pas ces toiles sur nos bureaux:



Bon, Windows 10 sortirait, gratuit pour les adeptes de Windows 7/8. Cela te permetterait de faire des économies. Je te conseille de faire la mise à jour le plus proche possible.

___________________________

DelFix :

• Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

_________________________

Pour mieux comprendre comment tu as infecté ton système avec des adwares que tu as toi-même validés et pour éviter ce type de piège lors de l'installation d'une application gratuite, fais un test avec cet utilitaire qui va simuler une installation "pourrie" :

• Télécharge Adware Prevention de guigui0001 sur ton bureau.
  Attention : en raison de la jeunesse du logiciel, ton navigateur ou ton antivirus peuvent le détecter à tort comme une menace ; ignore ces avertissements.
• Lance-le en double-cliquant dessus (sous Windows 8, à l'activation de la protection SmartScreen, il faut cliquer sur Informations Complémentaires > Exécuter quand même)
• Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
• A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
• Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !

Tutoriel en images

________________________

Pour le bien de votre PC:

• Penser à effectuer la Mise à jours de Windows Update:
• Démarrer => Tous les programmes => Windows Update

• Télécharge SX Check&Update (de Igor51 ) sur ton bureau.
  
• Lance SXCU.exe en double-cliquant dessus.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
• Si une des lignes marque "OUT", clique sur Update correspondant à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
  
• Ferme le programme via "Quit"
• Tu peux supprimer SXCU.exe.

• Mettre à jours son navigateur intenet:
• Mozilla Firefox
• Internet explorer
  
  
• Effectuer un Scan complet de votre pc avec votre Antivirus(Tous les 15J~)
• Effectuer un Scan complet ou rapide avec Malwarebytes' Antimalware
  utilisé lors de la désinfection en prenant soin de le mettre à jours avant chaque utilisations.
  
  
• Ne cliquer pas sur des liens qu'on vous envoie bêtement.
• Faite attention à vos téléchargement & à votre navigation sur internet:
  (Site douteux: Pubs , porno , Emoticône... )
• Fait attention aux Toolbars que vous installé => http://forum.malekal.com/les-toolbars-e ... t6173.html

Bonne continuation sur PC-I !

[Mastoukikou]

Bonsoir,

Merci encore pour tous tes conseils. Je ferais le test avec Adware Prevention ; c'est une bonne idée, très pédagogique !

En pièce jointe, le rapport DelFix.
Question de curiosité : pourquoi fallait-il maintenant supprimer les outils de désinfection ? Ce ne sont pas des outils que l'on peut garder sur son bureau ?

Merci !
A +

Antoine

[HexCrunch]

Salut,

Les questions sont les bienvenues

Les outils de désinfection sont souvent supprimés à la fin de la procédure pour plusieurs raisons.
Primo, il requièrent une expertise pour les utiliser. Par exemple une fausse utilisation de ZHPFix pourrait faire des dégâts au système.
Secundo, ces outils sont souvent mis à jour, il est déconseillé de garder les versions obsolètes.
Tertio, pas tous les outils sont supprimés, seulement les "spécifiques" qu'on utilise pour le traitement d'infections précises. Les outils "génériques" ou disons "pour utilisation quotidienne" peuvent être gardés, MBAM par exemple.

Grosso-modo, on peut les considérer comme les médicaments, certains ne sont pris que par prescription, d'autres sans. Métaphore bizarre mais ça illustre quasi-exactement la situation.

N'hésite pas à demander plus de clarifications.

++

[Mastoukikou]

Coucou,

Ben c'est super intéressant comme explications. Merci !

Bravo pour ton expertise et toute l'aide que tu as pu m'apporter ; j'y suis vraiment très sensible.
Et un merci général à ce site qui est excellent. Je le conseillerai vivement.

Très bon dimanche à toi !

Antoine
Non-expert mais en devenir...