Windows infecté, "Coolrom Search Engine" sur Mozilla Firefox

[myki]

Bonjour,

J'ai fait une bêtise et me voila maintenant infecté par "Coolrom Search Engine". J'ai beau le supprimer manuellement dans Firefox (l'extension + le moteur de recherche) il réapparait au redémarrage. Ensuite, coïncidence ou pas, depuis cette infection je ne parviens plus à écrire sur mon disque C ! Avast! est sensé m'avoir nettoyé Coolrom, mais il n'en est rien. Je vous serais très reconnaissant si vous pouviez me guider dans la désinfection de ma machine, svp...

Un gros merci par avance...

Mykael

[Malekal_morte]

Salut,

Windows a été infecté par des adwares et programmes parasites. Ces indésirables sont connus pour provoquer des affichages de publicités et occasionner de sérieux ralentissements sur tes navigateurs WEB.

Voici les étapes de la procédure à suivre :

1°) AdwCleaner
Suis le tutoriel AdwCleaner d'Xplode

* Télécharge le sur ton Bureau ou dans ton dossier des téléchargements,
* Lance "AdwCleaner" et clique sur [Scanner],
* L'analyse va durer plusieurs minutes, patiente,
* Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer],
* Une fois le nettoyage terminé, un rapport va s'ouvrir,
* Copie/colle le contenu du rapport dans ta prochaine réponse.

Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

2°)
Réinitialise manuellement tes navigateurs :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer

[myki]

Merci pour ton aide !

AdwCleaner m'a fait des misères : j'ai une erreur "SQLite3.dll ne peut être chargée". J'ai donc pris l'initiative de télécharger le fichier en question, mais quand j'ai voulu la copier dans system32, j'ai un "accès refusé". Pour résoudre mon problème d'accès au disque C, j'ai lancé l'outil de réparation Windows 8.1 et ça a fonctionné.

J'ai pu ensuite supprimer manuellement "Coolrom Search Engine" sans problème. Je vais tout de même poursuivre le tutoriel et confier le rapport aux faisceaux lasers de ta vision experte, en espérant trouver ce qui a pu provoquer ce problème d'accès au disque C. Mes soupçons portent sur Acronis True Image, .. si tu as des infos sur le sujet je suis preneur ;)

Code : Tout sélectionner

# AdwCleaner v5.201 - Rapport créé le 10/07/2016 à 18:28:39
# Mis à jour le 30/06/2016 par ToolsLib
# Base de données : 2016-07-10.1 [Serveur]
# Système d'exploitation : Windows 8.1  (X64)
# Nom d'utilisateur : Utilisateur - PC
# Exécuté depuis : D:\Download\OUTILS DESINFECTION\adwcleaner_5.201.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum

***** [ Services ] *****


***** [ Dossiers ] *****

[-] Dossier supprimé : C:\Users\Utilisateur\AppData\Roaming\cacaoweb
[-] Dossier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\cikkigamncoobkmpenfdeniclmehdidh
[-] Dossier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\milgdagkgnjgifepimndleebjabnnadl
[-] Dossier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\baohinapilmkigilbbbcccncoljkdpnd
[-] Dossier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\chphlpgkkbolifaimnlloiipkdnihall

***** [ Fichiers ] *****

[-] Fichier supprimé : C:\Users\Utilisateur\Desktop\cacaoweb.exe
[#] Fichier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\cikkigamncoobkmpenfdeniclmehdidh
[-] Fichier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_baohinapilmkigilbbbcccncoljkdpnd_0.localstorage
[-] Fichier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_baohinapilmkigilbbbcccncoljkdpnd_0.localstorage-journal
[-] Fichier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_chphlpgkkbolifaimnlloiipkdnihall_0.localstorage
[-] Fichier supprimé : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_chphlpgkkbolifaimnlloiipkdnihall_0.localstorage-journal

***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Raccourcis ] *****


***** [ Tâches planifiées ] *****


***** [ Registre ] *****

[-] Clé supprimée : HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\26D9E607FFF0C58C7844B47FF8B6E079E5A2220E
[-] Clé supprimée : HKLM\SOFTWARE\Classes\AniGif.Document
[-] Clé supprimée : HKLM\SOFTWARE\Classes\Baidu.BaiduMusic.9
[-] Clé supprimée : HKLM\SOFTWARE\Classes\baidumusic
[-] Clé supprimée : HKLM\SOFTWARE\Classes\protector_dll.Protector
[-] Clé supprimée : HKLM\SOFTWARE\Classes\protector_dll.Protector.1
[-] Clé supprimée : HKLM\SOFTWARE\Classes\protector_dll.ProtectorLib
[-] Clé supprimée : HKLM\SOFTWARE\Classes\protector_dll.ProtectorLib.1
[-] Clé supprimée : HKLM\SOFTWARE\Classes\setup.DynamicNS
[-] Clé supprimée : HKCU\Software\Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}
[-] Clé supprimée : HKLM\SOFTWARE\Classes\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
[-] Clé supprimée : HKLM\SOFTWARE\Classes\CLSID\{5C3B5DAA-0AFF-4808-90FB-0F2F2D760E36}
[-] Clé supprimée : HKCU\Software\Classes\TypeLib\{157B1AA6-3E5C-404A-9118-C1D91F537040}
[-] Clé supprimée : HKCU\Software\IM
[-] Clé supprimée : HKCU\Software\WEBAPP
[-] Valeur supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [{E75487A2-8101-4880-81EF-0014A3354996}]
[-] Valeur supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [{A4C07A95-BFA7-4DC9-9B61-578232D62A37}]
[-] Valeur supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [TCP Query User{07EE62DA-C66B-4387-8B9A-2DF4A6D8BC7F}C:\users\utilisateur\appdata\roaming\cacaoweb\cacaoweb.exe]
[-] Valeur supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [UDP Query User{1090D3DB-4E25-41FE-B6F5-DB3EDAF1D20A}C:\users\utilisateur\appdata\roaming\cacaoweb\cacaoweb.exe]
[-] Valeur supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [{B3AB43D8-7594-4679-A844-288302E80A4D}]
[-] Valeur supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [{0E7B49A2-5F16-4285-8F68-0AB4E2E6FA52}]
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\bestpriceninja.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\eshopcomp.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\pstatic.bestpriceninja.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\pstatic.eshopcomp.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\utop.it
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\bestpriceninja.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\eshopcomp.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\pstatic.bestpriceninja.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\pstatic.eshopcomp.com
[-] Clé supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\utop.it
[-] Valeur supprimée : HKU\S-1-5-21-1602918907-1078409515-2300631515-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [SpeedUpMyComputer]

***** [ Navigateurs ] *****

[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] supprimé : isearch.avg.com
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] supprimé : aimp.softonic.fr
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] supprimé : orbit.innoshock.com
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] supprimé : websearch
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] supprimé : search here
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] supprimé : baohinapilmkigilbbbcccncoljkdpnd
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] supprimé : chphlpgkkbolifaimnlloiipkdnihall
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] supprimé : cikkigamncoobkmpenfdeniclmehdidh
[-] [C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] supprimé : milgdagkgnjgifepimndleebjabnnadl

*************************

:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

*************************

D:\Download\OUTILS DESINFECTION\AdwCleaner\AdwCleaner[C1].txt - [6916 octets] - [10/07/2016 18:28:39]
D:\Download\OUTILS DESINFECTION\AdwCleaner\AdwCleaner[S6].txt - [6879 octets] - [10/07/2016 18:25:55]

########## EOF - D:\Download\OUTILS DESINFECTION\AdwCleaner\AdwCleaner[C1].txt - [7122 octets] ##########

[Malekal_morte]

Tu entends quoi par "problème d'accès au disque C" ?

[myki]

Effectivement je suis loin d'être clair, désolé.
En fait je voulais dire mes problèmes d'accès en écriture sur le disque C, et cela sur la totalité du disque.

Même si mon problème est résolu, il serait intéressant pour moi que je découvre ce qui a pu le provoquer.
Mes soupçons se portent sur "Acronis True Image 2016".

[Malekal_morte]

Mais ça se manifeste comment ?
Tu as quel message ?
Sur quel dossier ?

[myki]

Ca se manifestait quand j'avais besoin d'écrire dans un dossier, que ce soit dans System32, dans "mes documents" ou ailleurs... Quand par exemple j'avais besoin de supprimer le moteur du recherche du navigateur (mon problème initial) mes modifications n'étaient pas conservé. Ou encore je ne pouvais pas modifier mes propres fichiers Word...
Mais heureusement l'outil de réparation intégré à Windows a résolu mon problème, maintenant tout est rentré dans l'ordre
Ce qu'il me reste à faire c'est à essayer de comprendre ce qu'il s'est passé, pour ne plus que cela se reproduise

[Malekal_morte]

ok

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[myki]

C'est un document fantastique et toujours d'actualité ! Quel travail ! Merci beaucoup de l'avoir porté à ma connaissance. Pour les encore plus imprudents que moi je me permettrais de leur donner le lien vers ton document, afin qu'ils se rendent compte que les pièges sont partout, et pas seulement dans une pièce jointe. Qu'ils se rendent compte également qu'il vaut mieux craindre ses propres gestes plutôt qu'un éventuel pirate ou hacker, qui pourtant a d'autres choses à faire que de s'occuper de l'ordinateur d'un particulier

Merci encore pour ta gentillesse, même après toutes ces années

[Malekal_morte]

de rien