Ouverture Onglet Pub intempestif Résolu/Fermé

Question

Bonjour, 
depuis quelques j'ai des pubs qui s'ouvrent dans un nouvel onglet de façon, apparemment, régulière.

J'ai fait plusieurs scans avec antivir, malwarebytes, spybot, ... mais rien n'y fait...

Voici le rapport Hijackthis : 

http://www.cijoint.fr/cjlink.php?file=cj201007/cijNegQWlf.txt

merci pour votre aide

Configuration: Windows 7 / Firefox 3.6.8

fred08700 · Answer

salut

fais plutôt ceci , 

&#9679 Télécharges ZHPDiag ( de Nicolas coolman ).

	&#9679 Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

	&#9679 Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

	&#9679 Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

	&#9679 Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

	&#9679 Rends toi sur http://www.cijoint.fr/

	&#9679 Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

	&#9679 Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

	&#9679 Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

cedtai · Answer

Salut et merci pour ton aide

j'ai suivi les instructions et voici le rapport => http://www.cijoint.fr/cjlink.php?file=cj201007/cij2tAlIbz.txt

merci

fred08700 · Answer

re

Ton rapport ne montre rien d'infectieux , à première vue . Quels genres de pub reçois-tu ?

cedtai · Answer

re

ce sont des pubs de toute sorte : Viagra, casino, antivirus, site de rencontre, etc...
pas de thèmes précis...

ca revient, j'ai l'impression,  à intervalle régulier, comme-ci c'était un script qui s'exécutait régulièrement mais que si j'ai Firefox d'ouvert...

voilà merci

fred08700 · Answer

installes ces deux extensions dans firefox

wot permet de naviguer et d'acheter sur Internet en toute sécurité. 
adblocks qui est un bloqueur de pubs 

J'analyse plus profondément ton rapport

cedtai · Answer

ok c'est fait

Merci de ton aide,en espérant que tu trouves quelque chose 
a+

cedtai · Answer

Si d'autres sur ce forum ont d'autres solutions au sinon...
car ca devient tres enervant !
merci

fred08700 · Answer

Bonjour et désolé pour le retard

Tu as utilisé Ad-remover a quel occasion ?
peux-tu ne poster ce rapport :  C:\Ad-Report-CLEAN[1].txt   

comme tu fais du P2P, on va vérifié une ou deux choses
&#9679  télécharger  FindyKill (créé par Chiquitine29)    

Désactives l'uac : http://nostools.pagesperso-orange.fr/uac_win7.html  

     &#9679 Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.     

     &#9679  tutoriel recherche     

     &#9679 /!\ Ne fais pas le nettoyage tout de suite /!\     

     &#9679 Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement     (sous vista/seven==> clique droit en tant qu'administrateur)

    &#9679 Au menu principal,choisi l option 1 <gras>(Recherche)/gras>     

     * Postes le rapport FindyKill.txt      

 * Note : le rapport FindyKill.txt est sauvegardé à la racine du disque

cedtai · Answer

Salut, et encore merci pour ton aide

J'ai utilisé Ad-Remover car sur un autre forum, c'est une manip que l'on m'a fait faire...
Je n'avais plus ce rapport alors j'en ai refait un => http://www.cijoint.fr/cjlink.php?file=cj201007/cijOu2aeJk.txt même si je sais pas si c'est tres utile..

Voici le rapport FindyKill => http://www.cijoint.fr/cjlink.php?file=cj201007/cijdlK7ZIj.txt

Et à titre d'infos, j'ai utilisé TdssKiller et il y a un truc qui est ressorti, je te poste le rapport => http://www.cijoint.fr/cjlink.php?file=cj201007/cij3e9ljt5.txt

Voilà et encore une fois merci pour ton aide !

fred08700 · Answer

On reprends tout

supprimes ce qui a servi à la désinfection antérieure

* Relances ZHPfix
* clique sur le A rouge
* vérifie que tout soit cochés
* nettoyer 

----------------------------------------

ensuite

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

* Télécharge List_Kill'em : http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

*Executer Shortcut
* Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

* laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

* Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

***  NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

cedtai · Answer

Voilà, 
j'ai suivi tes instructions et voilà le rapport => http://www.cijoint.fr/cjlink.php?file=cj201007/cijvNiC85H.txt

Merci

fred08700 · Answer

* Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

* choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

* colle le contenu dans ta reponse

cedtai · Answer

Voilà c'est fait

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.2.0 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Cedric (Administrateurs) 
Update on 23/07/2010 by g3n-h@ckm@n ::::: 23.30
Start at: 19:32:16 | 25/07/2010

Intel(R) Core(TM) i3 CPU       M 350  @ 2.27GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 116,44 Go (59,76 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 334,67 Go (280,55 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe ----3988 Ko
C:\Program Files\ATKGFNEX\GFNEXSrv.exe ----3232 Ko
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe ----7924 Ko
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe ----69456 Ko
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe ----4636 Ko
C:\Program Files (x86)\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe ----43712 Ko
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe ----7360 Ko
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Network Name Service\wnns.exe ----6020 Ko
C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe ----4828 Ko
C:\Program Files (x86)\ASUS\ASUS Live Update\ALU.exe ----4720 Ko
C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe ----5888 Ko
C:\Program Files (x86)\ASUS\ATK Hotkey\HControl.exe ----7476 Ko
C:\Program Files (x86)\ASUS\ControlDeck\ControlDeckStartUp.exe ----3976 Ko
C:\Windows\SysWOW64unonce.exe ----6980 Ko
C:\Windows\SysWOW64\cmd.exe ----3876 Ko
C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe ----4184 Ko
C:\Program Files (x86)\ASUS\ATK Hotkey\ATKOSD.exe ----5696 Ko
C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe ----4364 Ko
C:\Program Files (x86)\ASUS\ATK Hotkey\WDC.exe ----5196 Ko
C:\Windows\AsScrPro.exe ----5064 Ko
C:\Program Files (x86)\List_Kill'em\ERUNT.EXE ----6112 Ko
C:\Program Files (x86)\List_Kill'em\pv.exe ----5568 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\Windows\System32\404Fix.exe 
Quarantined & Deleted !! : C:\Windows\System32\dumphive.exe 
Quarantined & Deleted !! : C:\Windows\System32\IEDFix.exe 
Quarantined & Deleted !! : C:\Windows\System32\log.txt 
Quarantined & Deleted !! : C:\Windows\System32\Process.exe 
Quarantined & Deleted !! : C:\Windows\System32\SrchSTS.exe 
Quarantined & Deleted !! : C:\Windows\System32	mp.reg 
Quarantined & Deleted !! : C:\Windows\System32\VACFix.exe 
Quarantined & Deleted !! : C:\Windows\System32\VCCLSID.exe 
Quarantined & Deleted !! : C:\Windows\System32\WS2Fix.exe 
Quarantined & Deleted !! : C:\Windows\Syswow64\log.txt 
Quarantined & Deleted !! : C:\Users\Cedric\AppData\Local\GDIPFONTCACHEV1.DAT 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================ 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 
Merci

fred08700 · Answer

ok

maintenant

  &#9679 Télécharges Malwarebytes			

   &#9679 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.			

    &#9679 Fais la mise à jour du logiciel (elle se fait normalement à l'installation)			

    &#9679 Lance une analyse complète en cliquant sur "Exécuter un examen complet"			

    &#9679 Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"			

    &#9679 L'analyse peut durer un bon moment.....			

    &#9679 Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"		

    &#9679 Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"		

    &#9679 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum		

&#9679 Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée		


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.		
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.		

------------------------------------------------

après malwarebytes , refais un scan ZHPdiag

cedtai · Answer

Voici pour MalwareByte

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4346

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25/07/2010 21:25:24
mbam-log-2010-07-25 (21-25-24).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 276089
Temps écoulé: 52 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
 
Il n'y a pas d'infections trouvé...

ZHPdiag est en cours

cedtai · Answer

http://www.cijoint.fr/cjlink.php?file=cj201007/cijrHS4vxD.txt

fred08700 · Answer

Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes 

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified   
O44 - LFC:[MD5.46312BD03FC3F990AD4B4408B0D83981] - 24/07/2010 - 11:40:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\SysNative\ServiceFilter.ini   [1262]
----------------------------------------------------------

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent 
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

**************************

Télécharge CCleaner version slim. 
* Installe le puis lance le. 
* va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures" 
* Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche. 
* Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs. 

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois). 

**************************

Comment va le pc ?

cedtai · Answer

Rapport de ZHPFix v1.12.3126 par Nicolas Coolman, Update du 23/07/2010
Fichier d'export Registre : 
Run by Cedric at 25/07/2010 22:13:52
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\windows\sysnative\servicefilter.ini  => Fichier supprimé au reboot


========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre
1 : Fichier(s)


End of the scan

J'avais déjà CCleaner et avait effectué déjà plusieurs nettoyage...

Pour l'instant, je ne peux pas dire si cela a bien marché...
Tu penses que c'est suffisant ou est-ce qu'il y a d'autres choses a faire ?
Je posterais si jamais ca devait se reproduire...

En tout cas, merci pour ton aide ! Vraiment très sympa de ta part !

cedtai · Answer

Bon ben mauvaise nouvelle j'ai toujours l'ouverture d'onglet de pubs...

fred08700 · Answer

re

Les pubs n'apparaissent que sous Firefox ?

A l'installation de adblocks , t'es-tu abonné à easy list + list FR ?

cedtai · Answer

je ne sais pas si les pubs apparaissent sur IE ou autre je n'utilise que Firefox...
Il faudra que j'essaie...

Oui, je me suis abonné à plusieurs listes mais ce matin j'ai fait une désinstallation et réinstallation de Firefox donc là, je n'ai plus AdBlocks...

A vrai dire, je préférais me débarrasser complètement de ce spyware plutôt que d'utiliser AdBlocks...
Je sais je suis embètant mais je préfère avoir mon pc saint au maximum...
Et si possible sans passer par un formatage...

Peut-être qu'il s'est copié dans un autre fichier...
A noter depuis tout à l'heure, il n'y a eu deux onglets qui se sont ouvert et pour la même pub, une pub me proposant de télécharger la sonnerie vuvuzela en donnant mon Tel portable mais je ne me rapelle plus le nom si c'est la même qui s'ouvre la prochaine fois je noterais le nom, l'adresse, etc... on ne sait jamais si ça peut t'aider...

voilà voilà, si t'as d'autres idées...
Ou si d'autres passant par là ont des idées...
merci

fred08700 · Answer

le hic , c'est que ton pc est sain , rien dans le rapport.

garde adblocks , il est très utile , meme sur un pc sain.

Je vois ton problème avec un Contributeur sécurité

cedtai · Answer

Alors après vérification, les pubs n'apparaissent pas sur IE, uniquement Firefox.

et c'était une pub différente de la sonnerie vuvuzella

voilà

fred08700 · Answer

Bonjour

j'ai eu confirmation que ton pc ne présente plus d'infections. On me conseille de te faire réinitialiser Firefox

https://www.commentcamarche.net/faq/9525-reinitialiser-firefox-reset

Merci à Anthony5151

cedtai · Answer

Eh bien un grand merci à toi et à Anthony5151, il semble bien que je n'ai plus d'ouverture d'onglet après réinitialisation de Firefox !

Merci pour ta patience et ta disponibilité !

A+

fred08700 · Answer

Salut

Tu as réinitialisé Firefox comme le proposait le lien ?

cedtai · Answer

oui avec Executer firefox.exe -safe-mode

Puis au lieu de cocher qu'une seule ligne j'ai tout coché sauf pour les favoris...
Histoire d'être tranquille...

Merci de ton aide en tout cas !

fred08700 · Answer

bien

Supprimes les outils qui ont servi à la désinfection

gardes malwarebytes et ccleaner

Crée un point de restauration propre : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

Voila , et bon surf -)

cedtai · Answer

Re Ben fausse joie...
En fait maintenant l'onglet s'ouvre toutes les 2 h pour toutes les 1h auparavant...

Désolé mais j'ai encore besoin d'aide...
merci d'avance

fred08700 · Answer

re

dans firefox

clique sur outils ===> options ===> contenu

et coches " bloquer les fenêtres popup "

cedtai · Answer

c'est déjà coché...
Ca ne fonctionne pas car il ne s'agit pas de popup mais bien d'onglet...

cedtai · Answer

re lol j'espere que tu as encore des idées...

ou d'autres en ont...

j'espere ne pas avoir à formater...

fred08700 · Answer

salut

Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes 

----------------------------------------------------------
O23 - Service: Windows Network Name Service (Windows Network Name Service) . (.Pas de propriétaire - Pas de description.) - C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Network Name Service\wnns.exe 
----------------------------------------------------------

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)==> sinon télécharges-le ici
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent 
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

Tiens au courant

cedtai · Answer

merci de ta disponibilité
voici le rapport

Rapport de ZHPFix v1.12.3128 par Nicolas Coolman, Update du 26/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-27-07-2010-15-11-08.txt
Run by Cedric at 27/07/2010 15:11:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé du Registre ==========
O23 - Service: Windows Network Name Service (Windows Network Name Service) . (.Pas de propriétaire - Pas de description.) - C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Network Name Service\wnns.exe  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\windows\syswow64\config\systemprofile\appdata\local\windows network name service\wnns.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Clé du Registre
1 : Fichier(s)


End of the scan

fred08700 · Answer

bien

a voir si les onglets apparaissent toujours .

cedtai · Answer

ok je te tiens au courant...
merci

cedtai · Answer

Eh ben Nickel pas une seule pub depuis hier !

Merci et bonne journée !

fred08700 · Answer

ok

et merci encore à Anthony5151 pour ces deux "coup de pouce"

Bon surf

Ouverture Onglet Pub intempestif

38 réponses

Discussions similaires