ADWARE dans firefox

tom -  
truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour j'ai 1 adware dans firefox
souvent j'ai un bandeau publicitaire qui défile du haut de la page
comment lenlever ?
on me conseille de passer a d'autres navigateurs comme IE ou Vinageer

25 réponses

  • 1
  • 2
  1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Commence par poster ce rapport :

    * Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
    * Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
    * Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
    * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
    * Poste le contenu de log.txt ainsi que info.txt
    ( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
    "si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)
    0
  2. tom
     
    voici les fichiers :http://rapid*share.com/files/368064021/log.rar.html
    et merci de la réponse
    0
  3. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Poste moi directement les liens du site cijoint pas besoin de passer par rapidshare
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. tom
     
    bonjour.

    Voici log.txt : http://www.cijoint.fr/cj201003/cijgT0FHjl.txt
    et info.txt : http://www.cijoint.fr/cj201003/cijzOxtcu5.txt
    0
    1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
       
      Je vais devoir m'absenter un moment donc après l'analyse de MBAM je regarderais cela plus en détails
      0
  6. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Alors je voudrais savoir la modification du fichier host est voulu ?

    213.203.216.114 www.marketsamurai.com
    213.203.216.114 marketsamurai.com
    127.0.0.1 www.micronichefinder.com

    On va faire une analyse généraliste :

    *Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

    *Double clique sur le fichier téléchargé
    *Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
    *Quand la mise à jour est terminé va dans l'onglet scanner
    *Tu sélectionne "Exécuter un examen complet"
    *Puis tu clique sur"Rechercher"

    L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    *L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
    *Maintenant tu clique sur "Ok" pour poursuivre.
    *Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
    *Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
    *Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
    *Le Bloc-notes va s'ouvrir avec le rapport d'analyse
    *Fais un copier coller de ce rapport etposte-le dans ton prochain message.
    0
  7. tom
     
    heu... tout s'est plus ou moins passé comme ça, mais bloc-notes ne s'est pas ouvert !
    j'ai même refait un scan.

    et visiblement, il n'a pas fait de fichier de log.
    0
  8. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonsoir ,

    Lance malware bytes , va dans l'onglet rapports / logs , tu trouvera le rapport du scan
    0
  9. tom
     
    Ah, effectivement.
    J'ai refait un scan et j'ai :
    Malwarebytes' Anti-Malware 1.44
    Database version: 3921
    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18882

    28/03/2010 18:58:17
    mbam-log-2010-03-28 (18-58-17).txt

    Scan type: Full Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
    Objects scanned: 407351
    Time elapsed: 1 hour(s), 39 minute(s), 26 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)

    Par contre les adwares sont toujours là.
    0
  10. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Tu as Everest Poker on va le supprimer :

    Désactiver l'uac sous Vista

    Désactive l'UAC (User Account Control) le temps de la désinfection.
    Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur.
    (Manipulation inverse pour le remettre en fin de désinfection).
    (Cela va permettre aux outils de désinfection de travailler correctement).

    *Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau.

    /!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

    *Double-clique sur le fichier téléchargé AD-R.exe
    (Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
    *Au menu principal, choisis l'option Scanner.
    *Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    0
  11. tom
     
    .
    ======= LOGFILE OF AD-REMOVER 2.0.0.0,B | ONLY XP/VISTA/7 =======
    .
    Updated by C_XX on 28/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Started: 13:54:12 le 29/03/2010 | Normal boot | Option: SCAN
    Executed from: C:\Ad-Remover\ADR.exe
    OS: Microsoft® Windows Vista(TM) Ultimate Service Pack 2 - X86
    Computer name: PRINCE-PC | Current user: prince (Administrator)
    .
    ============== FOUND ELEMENTS ==============
    .
    .
    C:\Program Files\Everest Poker
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Everest Poker
    .
    HKCU\Software\Grand Virtual
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
    .
    .
    ============== ADDITIONNAL SCAN ==============
    .
    * Mozilla FireFox Version 3.5.8 (fr) *
    .
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - browser.download.dir: C:\\Users\\prince\\Desktop
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - browser.download.lastDir: C:\\Users\\prince\\Desktop
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - browser.search.defaultenginename: Search
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - browser.search.defaulturl: hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - browser.search.selectedEngine: Search
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.8
    C:\Users\prince\..\5ce5yvxs.default\prefs.js - keyword.URL: hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
    .
    FOUND: C:\Users\prince\..\5ce5yvxs.default\prefs.js - user_pref("extensions.seoquake.baidu-mode", 0);
    .
    * Internet Explorer Version 8.0.6001.18882 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: hxxp://www.google.fr/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Users\prince\AppData\Local\Temp\hello.rar
    .
    ========================================
    .
    C:\Users\prince\AppData\Local\Temp: 342 Files, 190 Folders
    C:\Windows\temp: 29 Files, 10 Folders
    C:\Users\prince\AppData\Roaming\Microsoft\Windows\Cookies: 20 Files, 2 Folders
    Temporary Internet Files: 635 Files, 38 Folders
    .
    C:\Ad-Remover\Quarantine: 0 Files
    C:\Ad-Remover\Backup: 1 Files
    .
    C:\Ad-Report-SCAN[1].txt - 5575 Byte(s)
    .
    End at: 13:57:56, 29/03/2010
    .
    ============== E.O.F - SCAN[1] ==============
    0
  12. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Relance AD-R.exe
    (Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
    *Au menu principal, choisis l'option Nettoyer.
    *Poste le nouveau rapport
    0
  13. tom
     
    Bonjour.
    Alors en fait j'ai une erreur d'exécution à chaque fois !
    merci.
    0
    1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
       
      L'uac est toujours désactivé ?
      0
    2. tom
       
      Oui.
      0
  14. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    On va faire autrement .

    *Va dans démarrer -> panneau de configuration
    *ajout / suppression de programmes
    *Trouve Everest Poker
    *Lance la désinstallation

    Ensuite :

    *Téléchargez ATF-Cleaner depuis http://www.atribune.org/ccount/click.php?id=1
    *Double clique sur ce programme pour en lancer l'exécution.
    *Sélectionnez la boîte appelée "Select All" et cliquez sur le bouton "Empty Selected"
    *Une fois terminé, fermez le programme.

    Et enfin réalise un nouveau scan avec RSIT et poste moi le rapport pour que je puisse vérifier la suppression .
    0
  15. tom
     
    Bonjour, j'ai fait comme demandé et :

    www.cijoint.fr/cj201004/cijY5KwrTU.txt

    merci beaucoup.
    0
  16. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Une dernière étape :

    *Télécharger OTMOVEIT http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    *Enregistrer ce fichier sur le Bureau.
    *Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
    *Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

    
    :processes
    
    explorer.exe
    
    :files
    c:\program files\microsoft visual studio 10.0\common7\ide\privateassemblies\microsoft.visualstudio.qualitytools.recorderbarbho100.dll
    
    
    :reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDA57003-0068-4ed2-9D32-4D1EC707D94D}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DDA57003-0068-4ed2-9D32-4D1EC707D94D}]
    
    
    :commands
    
    [emptytemp]
    
    [start explorer]
    
    [reboot]
    


    *Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
    *Cliquer sur le bouton rouge Moveit!.
    *Fermer OTMoveIt3
    *Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
    Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
    0
  17. tom
     
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    c:\program files\microsoft visual studio 10.0\common7\ide\privateassemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll moved successfully.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDA57003-0068-4ed2-9D32-4D1EC707D94D}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDA57003-0068-4ed2-9D32-4D1EC707D94D}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DDA57003-0068-4ed2-9D32-4D1EC707D94D}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDA57003-0068-4ed2-9D32-4D1EC707D94D}\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41620 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: prince
    ->Temp folder emptied: 26373346 bytes
    ->Temporary Internet Files folder emptied: 25663335 bytes
    ->Java cache emptied: 45943742 bytes
    ->FireFox cache emptied: 39393096 bytes
    ->Google Chrome cache emptied: 6582779 bytes
    ->Apple Safari cache emptied: 405778579 bytes
    ->Flash cache emptied: 160539 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 12336 bytes
    %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
    %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 743 bytes
    RecycleBin emptied: 861343305 bytes

    Total Files Cleaned = 1 346,00 mb

    OTM by OldTimer - Version 3.1.10.1 log created on 04102010_002849

    Files moved on Reboot...
    File C:\Windows\temp\_avast5_\Webshlock.txt not found!

    Registry entries deleted on Reboot...
    0
  18. tom
     
    et aussi, voici le code de l'adware :
    <html><script type="text/javascript"> if (typeof(abanMain) == 'undefined') { abanMain = {}; abanMain.url = 'http://adserver.adtechus.com/adiframe/3.0/5206/1257066/0/225/ADTECH;target=_blank'; abanMain.useKeyword = false; abanMain.keyword = ''; abanMain.cc = 'FR'; abanMain.width = '743px'; //'728px'; abanMain.height = 100;//90; abanMain.refreshNum = 0; abanMain.refreshTimeout = 0; // seconds abanMain.refreshTimeoutCc = Array( {cc: 'US,CA,GB,DE', refreshTimeout: 90}, {cc: 'DK,FR,GR,IT,NL,NO,CH,NZ,BR', refreshTimeout: 300} ); abanMain.hideTimeout = 0; // seconds abanMain.frameId = 'abanMainFrm'; abanMain.parseIntPx = function(s) { var val = s; var pos = val.lastIndexOf('px'); if (pos >= 0) val = val.substring(0, pos); return parseInt(val); } abanMain.refresh = function() { return; var frm = document.getElementById(abanMain.frameId); frm.src = frm.src; abanMain.refreshNum--; if (abanMain.refreshNum > 0) setTimeout('abanMain.refresh()', abanMain.refreshTimeout * 1000); } abanMain.loaded = false; abanMain.shiftDown = function() { if (abanMain.loaded) return; var frm = document.getElementById(abanMain.frameId); var h = abanMain.parseIntPx(frm.height); if (h < abanMain.height) { frm.height = h + 10 + "px"; setTimeout('abanMain.shiftDown()', 20); return; } abanMain.loaded = true; if (abanMain.hideTimeout) setTimeout('abanMain.shiftUp()', abanMain.hideTimeout * 1000); if (abanMain.refreshTimeout && abanMain.refreshNum > 0) setTimeout('abanMain.refresh()', abanMain.refreshTimeout * 1000); } abanMain.shiftUp = function() { var frm = document.getElementById(abanMain.frameId); var h = abanMain.parseIntPx(frm.height); if (h > 1) { frm.height = h - 10 + "px"; setTimeout('abanMain.shiftUp()', 20); } else { frm.parentNode.removeChild(frm); } } abanMain.checkKeyword = function(kw) { if (!abanMain.useKeyword) return true; if (!kw) return false; var words = kw.split('+'); if (words.length > 4) return false; words = kw.split('%20'); if (words.length > 4) return false; return true; } abanMain.init = function() { for (var i = 0; i < abanMain.refreshTimeoutCc.length; ++i) { var entry = abanMain.refreshTimeoutCc[i]; if (entry.cc.indexOf(abanMain.cc) >= 0) { abanMain.refreshTimeout = entry.refreshTimeout; break; } } } abanMain.show = function() { if (document.getElementById(abanMain.frameId) != null) return false; if (!abanMain.checkKeyword(abanMain.keyword)) return false; abanMain.init(); var adDiv = document.createElement("div"); adDiv.style.display = 'block'; adDiv.style.position = "relative"; adDiv.style.padding = "0"; adDiv.style.margin = "0"; adDiv.style.top = "0"; adDiv.style.left = "0"; adDiv.style.width = "100%"; adDiv.style.zIndex = "99999"; adDiv.style.background = "transparent"; adDiv.style.textAlign = "center"; var url = abanMain.url; if (this.useKeyword) url += abanMain.keyword; adDiv.innerHTML = '<iframe id="' + abanMain.frameId + '" height="0" width="' + abanMain.width + '" padding="0" margin="0" frameborder="0" scrolling="no" allowtransparency="true" style="border:none;overflow:hidden;margin:0;padding:0;" src="' + url + '" onload="abanMain.shiftDown();"></iframe>'; var el = document.body; var child = el.firstChild; el.insertBefore(adDiv, child); } abanMain.show(); } </script>
    0
  19. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonsoir ,

    Lance un nouveau scan avec RSIT pour une vérification et poste le rapport
    0
  • 1
  • 2