[résolu]GlassBottle

Bonsoir!

Ca fait quelques jours que mon ordinateur est infecté par GlassBottle, et là ça devient vraiment gênant. Seul google chrome est touché, tout va bien sur firefox ou opéra. Ca modifie mes resultats de recherche pour mettres des liens louches et ajoute des pubs envahissantes. J'ai du l'attraper quand j'ai installé un logiciel et que j'ai cliqué trop vite sur "suivant" sans avoir le temps de lire ce qui était marqué.

https://i.servimg.com/u/f18/17/80/47/54/fuk_u11.png
https://i.servimg.com/u/f18/17/80/47/54/glassb11.png

Résultat MalwareBytes: http://www.cjoint.com/c/EFms240AQf4
Résultat AdwCleaner: http://www.cjoint.com/c/EFmthYHLZC4

Du coup après l'analyse malwayrebytes, j'ai supprimé les menaces trouvées et ça n'a rien changé, avec AdwCleaner non plus.

Merci d'avance pour votre aide!

Bonsoir,

Désactive la synchronisation google si c'est activé : https://support.google.com/drive/answer/2922789?hl=fr

Ensuite ne relance pas ce navigateur avant la fin de la désinfection, si des raccourcis sont infectés, tu va aussitôt réinfecter le navigateur et le nettoyage sera inutile.

Dans l'ordre, passe ZHPCleaner puis zhpdiag :
zhpcleaner : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14659
zhpdiag : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14662

J'ai désactivé la synchronisation google

voici les rapports:

http://www.cjoint.com/c/EFmuoozxjr4
http://www.cjoint.com/c/EFmuuUz6Qm4

Merci

mmm... pour vérifier un truc, passe roguekiller comme expliqué ici : https://morbak-home.forumgratuit.org/t998p20-programmes-de-desinfection-les-modes-d-emplois#14675

est-ce que pireref et madewithmischief te disent quelque chose?

http://www.cjoint.com/data/EFmveUOber4_RKreport-SCN-06122015-230313.log

oui, j'utilise ces logiciels pour le dessin

tu peux fermer roguekiller si il est toujours ouvert.

copie les lignes de ce script : http://www.cjoint.com/data/EFmuPmCY4vx1_script.txt
puis passe zhpfix comme indiqué là : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14664

ne réactive pas la synchronisation de google pour l'instant, dis moi si après zhpfix ca va mieux.

http://www.cjoint.com/c/EFnm12twgPS4

Ca n'a pas marché

réinitialise les paramètres de chrome : https://support.google.com/chrome/answer/3296214?hl=fr

Ca ne marche pas non plus :/

bon refais un scan zhpdiag comme expliqué ici (suis bien la procédure pour avoir le rapport complet) : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14662

regarde dans les extensions de chrome si tu vois une extensions que tu n'as pas installé toi même.
si tu en vois une desactive la si possible (ne la supprime pas).

ensuite passe voir zhpcleaner : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14659
on l'a deja passé hier mais c'est pour voir s'il retrouve une saleté

grrr
tu as regardé dans les extensions de chrome?
tu peux me faire une capture que je vois précisément comment c'est? (même si je m'en doute)

Ensuite on va utiliser un autre logiciel de diagnostique (dans ton cas, coche toutes les cases) : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14660

Oui j'ai regardé et y avait rien que je n'avais pas installé

les extensions : https://i.servimg.com/u/f18/17/80/47/54/extens11.png
les rapports:  http://www.cjoint.com/c/EFnoSuCqXb4
                   http://www.cjoint.com/c/EFnoUekly74
                   http://www.cjoint.com/c/EFnoUWFvIr4

fais analyser ce fichier sur virustotal : C:\Users\Doriane\Desktop\fbakfjez.sai (si tu sais ce que c'est, dit le moi)

Ensuite fais ca :
Créer un nouveau document texte sur le bureau
Coller les lignes de ce script dans le document : http://www.cjoint.com/data/EFnpkaKLwa1_fixlist.txt
Enregistrer le document sous le nom fixlist.txt dans le même dossier que l’exécutable de FRST
Exécuter FRST puis cliquer sur Fix
Laisser le programme travailler jusqu'à l'apparition du rapport
Le rapport est automatiquement créé dans le même dossier que l’exécutable (donc sur le bureau) ou dans le dossier c:\FRST
Héberger le rapport fixlog.txt et  poster le lien sur le forum

Note : Un redémarrage peut être demandé/obligatoire. Penser à quitter les programmes importants avant de faire la réparation

N'oublie pas aussi de faire un tour dans le panneau de configuration pour vérifier la liste des programmes installés.

ah, ce fichier est juste un dessin. J'ai eu la flemme de le nommer correctement. Désolée !

http://www.cjoint.com/c/EFnpF3lOz04

Le pc a redémarré?
Tu as encore glass bottle? Si oui c'est en page de démarrage? nouvel onglet? pub dans une nouvelle fenêtre?

Oui le pc a redémarré, et j'ai encore glass bottle


En fait rien ne s'affiche si je vais sur par exemple tumblr, facebook ou gmail mais dés que je fais une recherche glassbottle ajoute des résultats et sur certains sites des pubs s'affichent
J'ai aussi une alerte de malwarebytes et d'Avast à chaque fois que j'ouvre une nouvelle fenêtre

https://i.servimg.com/u/f18/17/80/47/54/glassb12.png
https://i.servimg.com/u/f18/17/80/47/54/glassb13.png
https://i.servimg.com/u/f18/17/80/47/54/captur10.png

Tu as malwarebytes payant ou c'est la version d'essai?

C est la version d'essai

L'adresse ip qu'il indique dans ces alertes c'est toujours la même?

A mon avis il va falloir essayer de réinstaller chrome. Avant ca :
Télécharger Seaf puis le lancer. (liens de téléchargement dans le tuto plus bas)
Dans les options, régler "Calculer le checksum" sur "MD5" puis cocher "Informations supplémentaires" ainsi que "Chercher également dans le Registre".
Taper glassbottle;glass bottle;5.153.38.134 dans le champs de recherche, cliquer sur [Lancer la recherche] puis patienter .
Enregistrer le rapport et poster le lien
Tuto avec images : https://morbak-home.forumgratuit.org/t641-seaf-pour-trouver-une-fichier-dossier-cle-de-registre

Oui c est toujours la même.

http://www.cjoint.com/c/EFnrBBbnKF4

fait une sauvegarde du registre comme expliqué ici : https://morbak-home.forumgratuit.org/t367-conseils-pour-un-pc-en-forme

puis, copie ce script : http://www.cjoint.com/doc/15_06/EFnr0QdRCK1_otm.txt
Télécharger OTM sur ton bureau :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
ou : http://telechargement.zebulon.fr/telecharger-otmoveit.html
Double-cliquer sur OTM.exe pour le lancer.
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Ouvrir le lien donné et coller tout son contenu dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
Cliquer sur "MoveIt!".


Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel demandera de redémarrer l'ordinateur.
Si c'est le cas, accepter en cliquant sur "YES"
Le rapport est situé dans C:\_OTM\MovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log).
Héberger le rapport et poster le lien.