Comment se debarassser d'une pub invisible ? Résolu/Fermé

Question

Bonjour a tous,

Je me permet de vous déranger pendant quelques instant car depuis hier je rencontre un problème très ennuyeux sur mon ordinateur, je m'explique :

Hier alors que je naviguais sur internet j'ai eu la surprise d'entendre une pub me briser les tympans seul probleme c'est que je ne sais pas d'où ce bruit provient (enfin si elle proviennent d'IE que je n'utilise jamais mais que je trouve toujours ouvert lorsque je fais Ctrl+Alt+Supr sans que je puisse le fermer car il se relance automatiquement), autre problème c'est que le son "wave" se baisse a 0 sans raison aucune !!

Je me suis donc renseigné j'ai fais tourner SpyBot hier qui m'a trouvé plein de problèmes et que j'ai supprimé mais a chaque fois c'est la même chose lorsque je me connecte a internet j'ai le droit a toujours la même pub contre laquelle rien ne semble fonctionner, alors que j'ai Avast mis au niveau le plus important (élevée) mais cela ni change rien.

Donc si quelqu'un a déjà eu affaire a ce type de problème et surtout a réussi en s'en débarrasser je lui en serait très reconnaissant de faire partager son expérience car c'est un véritable calvaire de regarder un film ou écouter de la musique avec ce problème.

En vous remerciant d'avance pour votre temps et aide


Configuration: Windows XP / Firefox 3.6.7

Xplode · Answer

Bonjour,

[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

galdeano32 · Answer

Je te remercie pour la rapidité et le sérieux de ta réponse Xplode, j'ai donc suivi tes instructions et voila le resultat :

http://cjoint.com/data/hlqEX8el51.htm

Xplode · Answer

Re-bonjour, Tu es en effet infecté, on va supprimer toutes ces bestioles : -+-+-+-+-> AD-Remover <-+-+-+-+- [x] Télécharge AD-Remover ( de C_XX ). [x] Lance AD-Remover puis choisis l'option " Nettoyer ". Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur " [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt -+-+-+-+-> USBFix <-+-+-+-+- Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici. [x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau. [x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément. [x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir. [x] Exécute USBfix sur ton bureau puis clique sur " Suppression ". [x] Patiente pendant le scan. Un rapport s'ouvrira, copie/colle son contenu dans ton prohain message. Notes : Le rapport est également sauvegardé à la racine du disque dur ( généralement C:\ ) Un tutoriel en images est disponible ici.

galdeano32 · Answer

Merci encore pour la rapidité des réponses,  voici le premier rapport :

http://cjoint.com/data/hlrfbru0UG.htm

Et voici le second :

############################## | UsbFix 7.016 | [Deletion]

User: Owner (Administrator) # TOSHIBA-USER [ ]
Updated 05/07/10 by El Desaparecido / C_XX
Started at 17:18:10 | 11/07/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Celeron(R) M CPU 420 @ 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Windows Firewall: Enabled
Antivirus: avast! antivirus 4.8.1368 [VPS 100711-0] 4.8.1368 [(!) Disabled | Updated]
RAM -> 894 Mb 
C:\ (%systemdrive%) -> Fixed drive # 74 Gb (4 Mb free - 5%) [SQ004209P01] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Removable drive # 2 Gb (366 Mb free - 19%) [] # FAT

################## | Files # Infected Folders |


################## | Registry |


################## | Mountpoints2 |

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{4bc82bb0-899b-11df-bbb2-00a0d15886fe}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{5fb08e1f-61b3-11dc-bade-00a0d15886fe}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{bd20a28c-ae45-11dc-baf9-00a0d15886fe}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{db5412de-b21c-11dd-bb48-00a0d15886fe}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{e749e6a4-3313-11de-bb62-00a0d15886fe}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{edeb2973-8c0a-11dd-bb3e-00a0d15886fe}

################## | Listing |

[29/10/2009 - 19:28:30 | D ] 	C:\01ee805db87fa2e66776
[11/07/2010 - 17:01:49 | A | 5271] 	C:\Ad-Report-CLEAN[1].txt
[05/07/2008 - 23:45:08 | A | 0] 	C:\AILog.txt
[17/07/2006 - 20:54:36 | A | 0] 	C:\AUTOEXEC.BAT
[27/12/2006 - 23:17:08 | RASH | 211] 	C:\boot.ini
[10/07/2010 - 18:19:13 | SHD ] 	C:\Config.Msi
[17/07/2006 - 20:54:36 | A | 0] 	C:\CONFIG.SYS
[19/07/2007 - 16:38:48 | A | 578] 	C:\crashAddress.txt
[15/10/2007 - 21:16:06 | A | 494] 	C:\debugInstaller.txt
[05/07/2007 - 22:36:19 | D ] 	C:\DOCS
[02/09/2009 - 19:20:23 | D ] 	C:\Documents and Settings
[26/04/2006 - 00:05:04 | A | 219780] 	C:\EULA.pdf
[04/04/2010 - 19:29:01 | D ] 	C:\Games
[19/12/2007 - 20:10:15 | A | 23377] 	C:\GF_Excpt.txt
[11/07/2010 - 17:13:48 | ASH | 937533440] 	C:\hiberfil.sys
[17/07/2006 - 20:54:36 | RASH | 0] 	C:\IO.SYS
[15/02/2008 - 15:19:15 | AH | 2882] 	C:\IPH.PH
[24/12/2007 - 13:40:26 | A | 3408] 	C:\LGSInst.Log
[18/06/2007 - 00:07:54 | A | 183] 	C:\LogiSetup.log
[17/07/2006 - 20:54:36 | RASH | 0] 	C:\MSDOS.SYS
[17/07/2006 - 20:58:27 | RHD ] 	C:\MSOCache
[04/08/2004 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[19/08/2008 - 07:26:40 | RASH | 250048] 	C:
tldr
[03/01/2007 - 17:10:04 | D ] 	C:\p
[11/07/2010 - 17:13:46 | ASH | 704643072] 	C:\pagefile.sys
[11/07/2010 - 17:14:35 | D ] 	C:\Program Files
[17/07/2007 - 10:02:51 | D ] 	C:\ProgramData
[11/07/2010 - 17:23:25 | SHD ] 	C:\RECYCLER
[15/05/2009 - 10:20:42 | D ] 	C:\Scenario
[21/07/2007 - 18:39:49 | A | 5694] 	C:\Sdicon32.ico
[29/12/2006 - 01:59:57 | AH | 268] 	C:\sqmdata00.sqm
[16/01/2007 - 06:55:20 | AH | 268] 	C:\sqmdata01.sqm
[10/05/2007 - 22:14:03 | AH | 232] 	C:\sqmdata02.sqm
[11/05/2007 - 00:11:46 | AH | 268] 	C:\sqmdata03.sqm
[09/06/2007 - 23:53:14 | AH | 232] 	C:\sqmdata04.sqm
[11/06/2007 - 00:58:14 | AH | 232] 	C:\sqmdata05.sqm
[11/06/2007 - 22:57:18 | AH | 268] 	C:\sqmdata06.sqm
[17/08/2007 - 12:06:30 | AH | 268] 	C:\sqmdata07.sqm
[20/08/2007 - 21:04:28 | AH | 268] 	C:\sqmdata08.sqm
[24/08/2007 - 19:42:50 | AH | 268] 	C:\sqmdata09.sqm
[23/09/2007 - 10:47:07 | AH | 268] 	C:\sqmdata10.sqm
[08/10/2007 - 21:20:45 | AH | 268] 	C:\sqmdata11.sqm
[29/12/2006 - 01:59:57 | AH | 244] 	C:\sqmnoopt00.sqm
[16/01/2007 - 06:55:20 | AH | 244] 	C:\sqmnoopt01.sqm
[10/05/2007 - 22:14:02 | AH | 244] 	C:\sqmnoopt02.sqm
[11/05/2007 - 00:11:46 | AH | 244] 	C:\sqmnoopt03.sqm
[09/06/2007 - 23:53:14 | AH | 244] 	C:\sqmnoopt04.sqm
[11/06/2007 - 00:58:14 | AH | 244] 	C:\sqmnoopt05.sqm
[11/06/2007 - 22:57:18 | AH | 244] 	C:\sqmnoopt06.sqm
[17/08/2007 - 12:06:29 | AH | 244] 	C:\sqmnoopt07.sqm
[20/08/2007 - 21:04:27 | AH | 244] 	C:\sqmnoopt08.sqm
[24/08/2007 - 19:42:49 | AH | 244] 	C:\sqmnoopt09.sqm
[23/09/2007 - 10:47:07 | AH | 244] 	C:\sqmnoopt10.sqm
[08/10/2007 - 21:20:44 | AH | 244] 	C:\sqmnoopt11.sqm
[31/10/2005 - 17:56:00 | A | 700416] 	C:\StubInstaller.exe
[27/12/2006 - 23:18:09 | SHD ] 	C:\System Volume Information
[03/10/2007 - 22:19:59 | D ] 	C:\TEMP
[17/07/2006 - 23:46:50 | D ] 	C:\TOSHIBA
[11/07/2010 - 17:23:25 | D ] 	C:\UsbFix
[11/07/2010 - 17:23:31 | A | 871] 	C:\UsbFix.txt
[11/07/2010 - 17:16:39 | D ] 	C:\WINDOWS
[07/02/2007 - 02:00:23 | D ] 	C:\WORKSSETUP
[24/05/2010 - 17:02:08 | D ] 	F:\BASE DE DATOS EUROPEA
[24/05/2010 - 19:58:14 | H | 3940864] 	F:\~WRL0003.tmp
[25/05/2010 - 10:51:34 | A | 4223488] 	F:\BASE DE DATOS ESCUELAS EUROPEAS.doc
[25/06/2010 - 09:35:06 | A | 66048] 	F:\certificat de stage en anglais.doc
[29/06/2010 - 09:25:28 | A | 47548] 	F:\Leonardo-Grundtvig-Comenius-Partners Partners research.htm
[29/06/2010 - 09:26:10 | D ] 	F:\Leonardo-Grundtvig-Comenius-Partners Partners research_archivos
[16/06/2010 - 13:23:04 | D ] 	F:\Travail
[11/07/2010 - 09:09:54 | D ] 	F:\Images
[11/07/2010 - 09:26:12 | D ] 	F:\Lists

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

Xplode · Answer

Bien :)

Relance Ad-Remover et choisis l'option " Désinstaller "
De même pour USBFix.

Puis fais ceci :

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

galdeano32 · Answer

Cela a pris du temps mais voila le résultat :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4302

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

7/11/2010 11:52:15 PM
mbam-log-2010-07-11 (23-52-15).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 242050
Temps écoulé: 2 heure(s), 18 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\QuickWatch (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuickWatch (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\QuickWatch (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Documents and Settings\Owner\Start Menu\Programs\QuickWatch (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\QuickWatch\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Documents and Settings\Owner\Start Menu\Programs\QuickWatch\Uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.

galdeano32 · Answer

Cependant j'ai toujours IE qui est "ouvert" et a chaque fois que je démarre ou redémarre mon ordi la partie "wave" du son est toujours a 0 !!

Xplode · Answer

Bonjour,

Refais un rapport ZHPDiag stp.

galdeano32 · Answer

Bonjour,

Voici ce que ca donne :

http://cjoint.com/data/hml5YKnKIa.htm

Par contre il se diversifie maintenant j'ai le droit a des pop-up aussi, il est coriace la bête !!

Xplode · Answer

Re, -+-+-+-+-> ZHPFix <-+-+-+-+- /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ [x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ". [x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok] O47 - AAKE:Key Export SP - "C:\WINDOWS\system32 undll32.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32 undll32.exe:*:Enabled:Run a DLL as an App O47 - AAKE:Key Export SP - "C:\Documents and Settings\Owner\Local Settings\Application Data\F4\ClientUpdater\ClientUpdater.exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- C:\Documents and Settings\Owner\Local Settings\Application Data\F4\Client O47 - AAKE:Key Export SP - "C:\Documents and Settings\Owner\My Documents\Azureus Downloads\Rise Of Nations [PC][www.zonatorrent.com]\RISE.EXE" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- C:\Documents and Settings\Owner\My Documents\Azureus Downl R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Vuze_Remote bVuz1.dll [HKCU\Software\Boonty] [HKLM\Software\Boonty] O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\BOONTY Shared O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe" [Enabled] .(.Logicool - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe O43 - CFD:Common File Directory ----D- C:\Program Files\Norton Security Scan [x] Clique maintenant sur [Tous] , puis sur [Nettoyer] [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message. [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt -+-+-+-+-> GMER <-+-+-+-+- [x] Rends toi sur cette page puis clique sur " Download EXE " pour télécharger GMER ( renommé ). [x] Lance le, GMER va scanner ton PC automatiquement. [x] Laisse GMER travailler. [x] A la fin du scan, si des lignes rouges sont trouvées, fais clic droit dessus puis : - Delete service - Delete files - Kill process [x] Clique ensuite sur "save" , sauvegarde le rapport puis copie/colle son contenu dans ton prochain message.

galdeano32 · Answer

Voici le premier rapport :

http://cjoint.com/data/hmmDzGnA7X.htm

Et le deuxième pour lequel je n'ai rien eu en rouge :

http://cjoint.com/data/hmmEfkVj6I.htm

Par contre ca fais deux fois que mon ordi se redémarre sans raison aucune et ca me fais un peu peur comme le fait que "Script Blocker" apparaisse sans raison et ne fasse rien !!

Xplode · Answer

Hm.. bizarre ça.

-+-+-+-+-> ComboFix <-+-+-+- 


[x] Télécharge ComboFix ( de sUBs ) à cette adresse. 

/!\ Ferme toutes les fenêtres de programme ouvertes /!\ 

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

[x] Double clique sur " Combofix.exe " 

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier ) 

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

galdeano32 · Answer

Voici le résultat de l'analyse de Combofix :

http://cjoint.com/data/hmnx7Ga4aX.htm

Seul différence j'ai un logo de IE sur mon bureau comme s'il avait été réinstallé mais les pubs et le problème du son sont toujours la.

Xplode · Answer

Re,

Tu as un proxy sur firefox?

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour galdeano32 /!\

[x] Copie le texte en gras ci dessous :



Killall::

File::

c:\docume~1\Owner\LOCALS~1\Temp\IadHide4.dll 

Driver::

mchInjDrv
SVRPEDRV



[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.

galdeano32 · Answer

Oui j'avais UltraSurf dont je ne me servais jamais, je l'ai donc viré. 

Voici le rapport :

http://cjoint.com/data/hmpKR3ZoU1.htm

Alors a chaque fois ca redémarre l'ordinateur et une fois qu'il se rallume deux choses se passent :

-SpyBot me demande d' "Allow" ou "Deny" un changement que je ne connais pas

-IE me demande si je souhaite le mettre comme "Default Browser"

Xplode · Answer

Quel est le message de spybot? un nom de fichier? une clé de registre ?

Refais moi un rapport ZHPDiag stp.

galdeano32 · Answer

Merci beaucoup pour le temps que tu m'accorde en tout cas, j'apprécie vraiment.

Spybot me dit un nom de fichier, mais un diffèrent sur les deux fois que c'est venu !!

Et voici le rapport :

http://cjoint.com/data/hmpKR3ZoU1.htm

galdeano32 · Answer

Autant pour moi voila le bon :

http://cjoint.com/data/hmqidnuVW8.htm

Et je ne les ai plus, ne sachant pas quoi répondre je ne répond pas et ca disparait tout seul !!

Xplode · Answer

-+-+-+-+-> MBR <-+-+-+-+-

[x] Télécharge MBR sur ton bureau ( important ).

[x] Clique sur le menu démarrer, puis sur [exécuter] ( Appuie simultanément sur la touche windows et la touche R si [exécuter] n'apparaît pas dans le menu démarrer ).

[x] Dans l'encadré qui s'ouvre tape ceci ( recopier seulement la partie en gras ) :

 Pour XP : "%userprofile%\Bureau\mbr" -f
 Pour Vista/Seven : "%userprofile%\Desktop\mbr" -f

[x] Un rapport s'ouvrira, poste son contenu dans ta prochaine réponse.

galdeano32 · Answer

Voila ce que ca me donne:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR 
kernel: MBR read successfully


Par contre j'ai du prendre la deuxième phrase car mon ordinateur est américain donc "Bureau" il ne connait pas.

Xplode · Answer

Ok, on va faire le point.

Énumère moi tout les problèmes qu'il te reste.

galdeano32 · Answer

Alors c'est parti :

-Lorsque je fais Ctrl+Alt+Del et que je vais dans "Processes" je vois deux iexplore.exe alors que rien n'est ouvert a part Firefox.

-Des pop-ups avec des pubs (si cela a une importance toutes les pubs sont en espagnol car je suis actuellement en Espagne)

-Le son qui comme par magie se descend a 0 et ce seulement pour la partie "Wave" pas pour le reste

Et je crois que c'est tout !!

Xplode · Answer

Hum.. on va faire une vérification :

-+-+-+-+-> Load_TDSSKiller <-+-+-+-+-


[x] Télécharge Load_TDSSKiller ( de Loup Blanc ) sur ton bureau.

[x] Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

[x] L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

[x] Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

[x] Copie/Colle son contenu dans ta prochaine réponse.

[x] Note : Le rapport se trouve également sous C:	dsskiller.txt.

galdeano32 · Answer

Voici voila le fameux rapport :

http://cjoint.com/data/hmqJi6IQy6.htm

Xplode · Answer

Ok... rien de ce côté là.. c'est bizarre quand même..

-+-+-+-+-> Bootkit Remover <-+-+-+-+-


[x] Télécharge Bootkit Remover et décompresse le sur ton bureau.

[x] Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.

Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe

[x] Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]

[x] Suis les instructions et copie/colle le rapport dans ta prochaine réponse.

galdeano32 · Answer

Oui j'avoue c'est un défi celui la je comprend toujours pas comment j'ai pu choper une saleté pareil alors que j'ai un antivirus qui tiens un minimum le choc (enfin je le croyais), enfin voila le rapport : Faite un clic-droit dans cette fen^tre et choisissez "coller" pour faire apparaOEtre le rapport scanxp.txt Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab www.esagelab.com \.\C: -> \.\PhysicalDrive0 MD5: b19ee33a0168d5f0bb9afbe12e2bc035 Size Device Name MBR Status -------------------------------------------- 74 GB \.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump [output_file] To disinfect the master boot sector, use the following command: remover.exe fix Press any key to quit...

Xplode · Answer

Tu as eu des alertes avec ce nom : " Tr.Clicker , Vilsel " ou des trucs du genre ? 

Les symptômes que tu m'indiques correspondent à la nouvelle variante de cette infection. 

On va passer le fix avec bootkit remover : 

-+-+-+-+-> Bootkit Remover <-+-+-+-+- 


[x] Relance BTKR_Runbox mais sélectionne cette fois ci l'option n°3 puis [Entrée] 

[x] Confirme en appuyant sur " 1 " puis [Entrée] 

[x] Ton PC redémarrera. Au redémarrage, relance BTKR_Runbox avec l'option n°1 et copie/colle le rapport. 
Xplode - Contributeur sécurité.

galdeano32 · Answer

Alors concercant SpyBot voici ce qu'il me demande :

Category : System Startup user Entry
Change : Value Deleted
Entry : FSM

ALLOW OR DENY

Et le rapport :

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\.\C: -> \.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

     Size  Device Name          MBR Status
 --------------------------------------------
    74 GB  \.\PhysicalDrive0   OK (DOS/Win32 Boot code found)

Xplode · Answer

Ok, toujours ces problèmes?

galdeano32 · Answer

Non je voulais attendre un peu pour voir si c'était pas un "rêve" mais la c'est tout bon :)

Tu crois que peux virer Spybot et  TeaTimer sans risque ?

En tout cas merci pour tout Xplode c'est vraiment super gentil de ta part.

Xplode · Answer

J'aurais du deviner de suite que c'était cette infection :) En tout cas content que ca aie fonctionné. Tu peux supprimer spybot sans soucis. Puis fais ceci : -+-+-+-+-> Vacciner les supports amovibles <-+-+-+-+- [x] Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent. [x] Télécharge USBfix puis lance le. [x] Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif ) [x] Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner]. [x] Appuie sur [Ok] au message de confirmation. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. /!\ Utilisateurs de vista/seven , faites un clic droit sur l'icône de toolscleaner puis " Exécuter en tant qu'administrateur " /!\ [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> UAC ( Uniquement pour Vista/Seven ) <-+-+-+-+- [x] Si tu as désactivé l'UAC, il est important de la réactiver. -> Pourquoi garder l'UAC activée? -+-+-+-+-> Liens utiles <-+-+-+-+- - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

galdeano32 · Answer

Merci pour tout encore une fois parce que sans ton aide j'aurais été incapable de trouver  la source du problème.

Je suis entrain de suivre tes conseils et de défragmenter mon disque donc ca risque de prendre un petit peu de temps.

Encore une fois merci et je te joins le text de ToolsCleaner:

http://cjoint.com/data/hmsqfTQ0k5.htm

Xplode · Answer

C'est bon, tu peux supprimer toolscleaner.

Je met ton sujet en "résolu" , bonne journée, @+

Comment se debarassser d'une pub invisible ?

33 réponses

Discussions similaires