PC infecté par Omniboxes

Protm · par **Protm** » 16 mars 2015 19:53

Bonjour,

J'ai depuis hier un vilain Spyware installé sur mon PC, je n'arrive pas à m'en défaire!
J'ai essayé ADW cleaner, CCleaner, Malwarebytes, et ça donne pas grand chose.

J'arrive à le supprimer, mais ça revient à chaque redémarrage du PC.

Je met le log Malwarebyte même si je suis pas sûr que ça aide.

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Scan Date: 16/03/2015
Scan Time: 19:16:00
Logfile: log.txt
Administrator: Yes

Version: 2.00.4.1028
Malware Database: v2015.03.16.03
Rootkit Database: v2015.02.25.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 8.1
CPU: x64
File System: NTFS
User: Jason

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 423685
Time Elapsed: 16 min, 31 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 3
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, Quarantined, [3df658ee96f416203b8b839ac342ac54],
PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, Quarantined, [e152b3932763989e0bbb130aab5a5fa1],
PUP.Optional.Qone8, HKU\S-1-5-21-1707546359-3401410445-2329135843-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, Quarantined, [56dd1f27e4a685b1d0f539e4a65f2ed2],

Registry Values: 0
(No malicious items detected)

Registry Data: 16
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\CLIENTS\STARTMENUINTERNET\FIREFOX.EXE\SHELL\OPEN\COMMAND, "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394, Good: (firefox.exe), Bad: ("C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394),Replaced,[12218fb7d1b9f73f8876439ab154619f]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\CLIENTS\STARTMENUINTERNET\GOOGLE CHROME\SHELL\OPEN\COMMAND, "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394, Good: (Chrome.exe), Bad: ("C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394),Replaced,[231001451e6cba7c43be449a24e109f7]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\CLIENTS\STARTMENUINTERNET\IEXPLORE.EXE\SHELL\OPEN\COMMAND, C:\Program Files\Internet Explorer\iexplore.exe http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394, Good: (iexplore.exe), Bad: (C:\Program Files\Internet Explorer\iexplore.exe http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394),Replaced,[70c3f94d8ffbca6c758a02db62a3bb45]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, http://www.omniboxes.com/web/?type=ds&t ... earchTerms}, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/web/?type=ds&t ... earchTerms}),Replaced,[bb78b88e860462d4275729c360a544bc]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394),Replaced,[65ce80c69ceec0763c425a924abbeb15]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://www.omniboxes.com/web/?type=ds&t ... earchTerms}, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/web/?type=ds&t ... earchTerms}),Replaced,[b18269dd6f1b5cda1668da12887d0000]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394),Replaced,[171c0a3ce5a5b185502e985436cf7f81]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\WOW6432NODE\CLIENTS\STARTMENUINTERNET\FIREFOX.EXE\SHELL\OPEN\COMMAND, "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394, Good: (firefox.exe), Bad: ("C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394),Replaced,[45eea79ffc8e1e183fbfa6376a9b2ed2]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\WOW6432NODE\CLIENTS\STARTMENUINTERNET\GOOGLE CHROME\SHELL\OPEN\COMMAND, "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394, Good: (Chrome.exe), Bad: ("C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394),Replaced,[2310f551741665d1fa076a74976e2ad6]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\WOW6432NODE\CLIENTS\STARTMENUINTERNET\IEXPLORE.EXE\SHELL\OPEN\COMMAND, C:\Program Files\Internet Explorer\iexplore.exe http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394, Good: (iexplore.exe), Bad: (C:\Program Files\Internet Explorer\iexplore.exe http://www.omniboxes.com/?type=sc&ts=14 ... 0394B30394),Replaced,[9d96440289012d0997683da0887df010]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, http://www.omniboxes.com/web/?type=ds&t ... earchTerms}, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/web/?type=ds&t ... earchTerms}),Replaced,[41f261e5f199e056a9d52dbfc144c040]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394),Replaced,[81b289bd6e1c49ed7ffff9f3d1349b65]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394),Replaced,[2b0858ee93f768ce1c62e50702039a66]
PUP.Optional.Omniboxes.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://www.omniboxes.com/web/?type=ds&t ... earchTerms}, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/web/?type=ds&t ... earchTerms}),Replaced,[68cbed59751539fd146a43a953b226da]
PUP.Optional.Omniboxes.A, HKU\S-1-5-21-1707546359-3401410445-2329135843-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394),Replaced,[f63d1d29bcce69cd0d72c52756afa858]
PUP.Optional.Omniboxes.A, HKU\S-1-5-21-1707546359-3401410445-2329135843-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394, Good: (http://www.google.com), Bad: (http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394),Replaced,[1b187accb0dae5511b6422ca24e129d7]

Folders: 0
(No malicious items detected)

Files: 5
PUP.Optional.OpenCandy, C:\Users\Jason\Downloads\daemon-tools-lite_4-49-1_fr_10729.exe, Quarantined, [40f3ba8ca5e54cea8a7f25ecc640ea16],
PUP.Optional.OutBrowse, C:\Users\Jason\Downloads\KMSPico 10.0.2 Final.exe, Quarantined, [90a3c97d41490135b6ab2ab76899926e],
PUP.Optional.Amonetize, C:\Users\Jason\Downloads\KMSPico 9.2.4__7628_il320.exe, Quarantined, [71c2e66098f2cd695e8d23e321e125db],
PUP.Optional.InstallCore, C:\Users\Jason\Downloads\SkypeSetupFull.exe, Quarantined, [6fc4a89efa9091a51060ad043dc8837d],
PUP.Optional.Omniboxes.A, C:\Users\Jason\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences, Good: (), Bad: ( "homepage": "http://www.omniboxes.com/?type=hp&ts=14 ... 0394B30394",), Replaced,[fd368eb81f6b053145a9bd673dc90ff1]

Physical Sectors: 0
(No malicious items detected)

(end)

Si vous pouviez me donner quelques conseils? Je penses que je suis pas loin de m'en défaire mais j'ai raté une étape...

par **Malekal_morte** » 16 mars 2015 20:23

Salut,

Tu as installé [https://www.malekal.com/adwares-pup-protection/ des adwares et programmes parasites] sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner ( d'Xplode )
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/

puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Protm · par **Protm** » 16 mars 2015 20:53

Le problème c'est que ADW cleaner ne détecte rien d'anormal... J'ai réinitialisé les navigateurs plusieurs fois déjà.

Je relance un scan ADW pour voir.

par **Malekal_morte** » 16 mars 2015 21:50

Tu as regardé dans les propriétés des icônes de lancement du navigateur WEB, dans le champs cible ?
Tu peux faire le scan FRST.
C'est sur Google Chrome ?

Protm · par **Protm** » 18 mars 2015 16:55

Salut,

Voici les 3 rapports:
Addition:
http://pjjoint.malekal.com/files.php?id ... 11q6c13n12

FRST:
http://pjjoint.malekal.com/files.php?id ... 9d12h911d5

Shortcut:
http://pjjoint.malekal.com/files.php?id ... 12n5r13d11

Merci pour l'aide!

par **Malekal_morte** » 19 mars 2015 16:05

ce sont bien les icônes qui sont touchées et tu n'as pas supprimé omniboxes en page de démarrage de tes navigateurs WEB :

Code : Tout sélectionner

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1426493912&from=obw&uid=ST1000LM024XHN-M101MBB_S2WZJA0CB30394B30394
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1426493912&from=obw&uid=ST1000LM024XHN-M101MBB_S2WZJA0CB30394B30394
ShortcutWithArgument: C:\Users\Jason\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1426493912&from=obw&uid=ST1000LM024XHN-M101MBB_S2WZJA0CB30394B30394
ShortcutWithArgument: C:\Users\Jason\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1426493912&from=obw&uid=ST1000LM024XHN-M101MBB_S2WZJA0CB30394B30394
ShortcutWithArgument: C:\Users\Jason\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1426493912&from=obw&uid=ST1000LM024XHN-M101MBB_S2WZJA0CB30394B30394
ShortcutWithArgument: C:\Users\Jason\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1426493912&from=obw&uid=ST1000LM024XHN-M101MBB_S2WZJA0CB30394B30394

Corrige les.

ZHPCleaner doit le faire automatiquement : http://forum.malekal.com/viewtopic.php?f=36&t=48954

Protm · par **Protm** » 19 mars 2015 21:00

J'avais suivi un tuto mais apparemment ça n'avait pas fonctionné.

Je viens d'effectuer un nettoyage par ZHPCleaner qui semble avoir fonctionné, j'ai plus de Omniboxes sur Firefox, ni sur Chrome.

Sur IE j'ai pas essayé, de toute façon ne navigateur me sert juste à télécharger les autres.

Merci pour ton aide! au top sur ce forum!

par **Malekal_morte** » 19 mars 2015 23:39

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

Malekal.com forum

PC infecté par Omniboxes

PC infecté par Omniboxes

Re: PC infecté par Omniboxes

Re: PC infecté par Omniboxes

Re: PC infecté par Omniboxes

Re: PC infecté par Omniboxes

Re: PC infecté par Omniboxes

Re: PC infecté par Omniboxes

Re: PC infecté par Omniboxes