Problème fenêtre sous IE intempestiveFermé

Question

Bonjour, 

Salut à tous,

J'ai un réel problème lié à des ouvertures intempestives de fenêtre sous Internet Explorer (pub ou même des ouverture ne menant à rien).

Etant novice en connaissance informatique, j'ai parcouru divers forum sur le même sujet pour pouvoir me dépêtrer  de ce problème mais en vain...

J'aurais besoin d'une lumière en ce sujet pour pouvoir solutionner ce problème

Merci de vous pencher sur mon problème et d'avance merci

Configuration: Windows Vista / Firefox 3.0.19

H3RV3 · Answer

Salut,

On va analyser ton PC :

&#9679; Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

&#9679; Double clique sur ZHPDiag_silent.exe

&#9679; Patiente pendant le scan. Un rapport s'ouvrira à la fin.

&#9679; Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

clemdu24 · Answer

Merci de ta réponse rapide H3RV3,

seulement petit problème avec ZHPDiag qui fais bug mon PC

H3RV3 · Answer

C'est à dire, que rencontres-tu comme problème ?

clemdu24 · Answer

Le lancement et l'analyse s'effectue correctement mais avant la fin complète :
1ère fois écran bleu + message d'erreur
2ème fois freez total du PC, même ctrl+alt+sup inefficace

H3RV3 · Answer

Peux-tu essayer de faire le rapport en mode sans échec.

clemdu24 · Answer

En mode sans échec ça a fonctionné, voilà le lien du rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijG3hUGNz.txt

clemdu24 · Answer

dsl du double post

Juste pour t'avertir que je file allé bosser cet aprem
Je me reconnecte fin d'après midi en espérant que tu puisse continuer à m'aider...
A+

H3RV3 · Answer

Bien, je te donne déjà la suite :

&#9679; Sous XP : Double clique sur ZHPFix présent sur ton bureau
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





C:\windows\System32\rpcnetp.exe
C:\windows\System32\rpcnetp.dll




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin

&#9658;Aide en images


Tu as des restes de Toolbars infectieuses :

Note : les Toolbars sont généralement proposées en accompagnement d'autres logiciels à leur installation.
Quand tu installes un logiciel, prends le temps de lire les options d'installation et décoche les programmes additionnels inutiles (ne clique pas bêtement sur "suivant").

&#9679; Télécharge et enregistre le fichier sur ton bureau Ad-Remover

&#9679; Double clique sur AD-R.exe

&#9679; Au menu principal choisis l'option "Nettoyer"

&#9679; Patiente pendant que l'outil fait son travail

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\Ad-report.log

Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.

clemdu24 · Answer

H3RV3, merci de ne pas m'avoir oublié...

Suite à ton post voici les 2 rapports : 

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre : 
Run by client at 27/09/2010 17:39:23
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\windows\System32pcnetp.exe  => Supprimé et mis en quarantaine

========== Module(s) mémoire ==========
C:\windows\System32pcnetp.dll  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
1 : Module(s) mémoire


End of the scan



et le deuxième...


======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:40:53 le 27/09/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 1 (X86) 
client@PC-DE-CLIENT (Hewlett-Packard HP Compaq 6730s) 
 
============== ACTION(S) ==============


3,Fichier supprimé: C:\Users\client\AppData\Local\aubviui.bat
0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\client\AppData\Roaming\Mozilla\FireFox\Profiles\io70mhph.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask"); 
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
Ligne supprimée: user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&g... 
Ligne supprimée: user_pref("keyword.URL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q="); 
-- Fichier Fermé --
 

3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\aubviui
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.19 (fr)] **

-- C:\Users\client\AppData\Roaming\Mozilla\FireFox\Profiles\io70mhph.default\Prefs.js --
browser.download.dir, C:\Users\client\Downloads
browser.download.lastDir, C:\Users\client\Desktop\Downloads
browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.0.19

========================================

** Internet Explorer Version [7.0.6001.18000] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/09/2010 (3157 Octet(s)) 

Fin à: 17:45:25, 27/09/2010 
 
============== E.O.F ==============

H3RV3 · Answer

Bien, peux-tu maintenant refaire un rapport ZHPDiag de cette manière :

&#9679; Double clique sur ZHPDiag présent sur ton bureau

&#9679; Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

&#9679; Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

&#9679; Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

clemdu24 · Answer

Les soucis continus :(

En effet le scan ne dépasse pas les 80%, j'ai l'impression que c'est ces satanés pub intempestive qui font bugger le PC...

4 tentative soldées par un blocage a 80%, freeze du PC, et 3sec sur power pour éteindre....

clemdu24 · Answer

J'ai pris les devant, peut être ai-je fais une erreur, enfin tu me diras bien...
Suite aux différentes tentatives qui n'ont pas aboutis, j'ai fais la même manip en mode sans échec et ça me donne ceci :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijnHDvHO0.txt

En espérant que ça puisse te servir...

A très bientôt

H3RV3 · Answer

Oui, tu as bien fait.
La suite, on va analyser un fichier :

&#9679; Va sur le site VirusTotal

&#9679; Clique sur le bouton "parcourir"

&#9679; Recherche le fichier présent ici ==>  C:\Users\client\AppData\Roaming\Catalyst\CatalystHelper.dll

&#9679; Clique sur le bouton "Send file"

&#9679; Patiente pendant le transfert du fichier

&#9679; Si un message apparaît, clique sur Reanalyse

&#9679; Copie/colle l'adresse présente dans la barre d'adresse dans ta réponse

&#9658; Aide en images


Puis, fais un clic droit sur ZHPFix et choisis exécuter en tant qu'administrateur.
Clique sur le bouton ProxyFix situé à droite et répond non à la question.
Copie/colle le rapport qui s'affiche.

clemdu24 · Answer

Je ne retrouve pas ce fichier C:\Users\client\AppData\Roaming\Catalyst\CatalystHelper.dll 

Je fais "parcourir", puis grâce au moteur de recherche je trouve Appdata/Roaming, par contre après j'ai "MICROS~1/Windows/Cookies/client@fr.seafight.bigpoint[1] et d'autre fichier de ce genre...

H3RV3 · Answer

Essaie en affichant les fichiers cachés :

&#9679; Va dans le menu démarrer
&#9679; Clique sur Poste de travail (ou Ordinateur si tu es sous Vista)
&#9679; Clique l'onglet Affichage
&#9679; Clique sur le menu "Outils "
&#9679; Clique sur "Options des dossiers... "
&#9679; Puis clique sur l'onglet "Affichage"
&#9679; Coche la case "Afficher les fichiers et dossiers cachés"
&#9679; Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
&#9679; Clique sur Oui au message d'alerte
&#9679; Clique sur le bouton "OK"

clemdu24 · Answer

Je suis sous vista effectivement....

? Va dans le menu démarrer... ça OK
? Clique sur Poste de travail (ou Ordinateur si tu es sous Vista)...ça OK

? Clique l'onglet Affichage...ça OK mais c juste une option d'affichage (liste, détails, etc...)

? Clique sur le menu "Outils " ....à partir de là je n'ai plus les mêmes option

DSL d'être aussi novice, j'ai presque honte...

H3RV3 · Answer

OK, je vois, une fois que tu as Cliquer sur Ordinateur, appuie sur la touche F10 du clavier, ce qui va faire apparaître un menu en haut de la fenêtre Ordinateur.
Clique, dans ce menu, sur Outils, et continue la suite de la manip.

clemdu24 · Answer

J'ai effectué la manip entière...

Cependant, sur le fichier que je devais chercher au départ "C:\Users\client\AppData\Roaming\Catalyst\CatalystHelper.dll ", je m'arrête toujours à Appdata/Roaming, et je n'ai uniquement que le fichier "MICROS~1" après...

De plus, en effectuant une recherche pour le fichier "Catalyst", le moteur de recherche ne m'indique aucune réponse...

H3RV3 · Answer

Pas grave, fais la suite de la procédure avec ZHPFix.

clemdu24 · Answer

voilà le rapport :


Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre : 
Run by client at 27/09/2010 21:27:42
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
ProxyFix : Aucun proxy de configuré


========== Récapitulatif ==========
1 : Valeur(s) du Registre


End of the scan

H3RV3 · Answer

OK, la suite :

&#9679; Télécharge Malwarebytes' Anti-Malware (MBAM)

&#9679; Double clique sur mbam-setup.exe pour lancer l'installation

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance MBAM et laisse les Mises à jour se télécharger

&#9679; Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

&#9679; A la fin du scan, clique sur Afficher les résultats

&#9679; Coche tous les éléments détectés puis clique sur Supprimer la sélection

&#9679; S'il t'est demandé de redémarrer, clique sur Yes

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM

clemdu24 · Answer

Cette manip je l'ai effectué hier soir (1H20 de souffrance^^)

Je te met le rapport : 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4700

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

27/09/2010 01:23:28
mbam-log-2010-09-27 (01-23-28).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 358770
Temps écoulé: 1 heure(s), 23 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sxdinzgd (Trojan.Agent.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\ProgramData\rojibaf\rojibaf.dll (Trojan.Piker) -> Quarantined and deleted successfully.
C:\Users\client\AppData\Local\Temp\err.log (Extension.Mismatch) -> Quarantined and deleted successfully.
C:\Users\client\Local Settings\Application Data\sxdinzgd_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\Users\client\Local Settings\Application Data\sxdinzgd_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.


Dis moi si c'est bien ce que tu recherche...

H3RV3 · Answer

Oui, c'est bien çà.
Au sujet des fenêtres qui s'ouvrent, c'est quoi comme genre ?

clemdu24 · Answer

Au moment ou je te parle j'ai 9 onglets d'ouvert sur IE, et 3 types de fenêtre:

La 1ère c'est "Untitled page" avec comme message à l'intérieur "http://89.149.223.219/cap.aspx 
1012 
Label

La 2ème c'est "  Internet Explorer ne peut pas afficher cette page Web "

et la dernière c'est une pub antiradars, quelque chose du genre, s'appelant WEBSITE.WS - Your Internet Address For Life -  (site d'ailleurs que je n'avais jamais vu avant hier, début de cette infection)

H3RV3 · Answer

On va faire une autre analyse :

&#9679; Télécharge gmer sur ton bureau
Note : le fichier téléchargé aura un nom aléatoire, c'est normal, garde ce nom

&#9679; Lance gmer à partir du fichier au nom aléatoire

&#9679; Un scan va se lancer dès le lancement, laisse le faire.

&#9679; Si il détecte tout de suite le rootkit, il va te proposer de scanner le PC en entier, accepte.
&#9679; Sinon, coche sur la droite les cases "Services", "Registry" et "Files" et clique sur le bouton scan

&#9679; Laisse travailler l'outil

&#9679; A la fin du scan, clique sur le bouton Save... et enregistre le rapport sur ton bureau

&#9679; Copie/colle le contenu du rapport dans ta réponse

clemdu24 · Answer

Salut H3RV3,

J'ai lancé le scan après avoir coché les 3 cases "Services", "Registry" et "Files".

Le problème est qu'a la fin du scan un message apparait comme ceci : "GMER hasn't found any system modification". De plus aucun rapport n'est disponible après la fin du scan

H3RV3 · Answer

Tu as cliqué cliqué sur Save à la fin du scan ?

clemdu24 · Answer

Oui mais ça me sort une page blanche

H3RV3 · Answer

C'est étrange, essaie de faire ceci :

&#9679; Sous XP : Double clique sur ZHPFix présent sur ton bureau
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





O4 - HKCU\..\Run: [MTUchk] . (.Catalyst Technologies - Catalyst Configuration DLL.) -- C:\Users\client\AppData\Roaming\Catalyst\CatalystHelper.dll
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local
O43 - CFD:Common File Directory ----D- C:\ProgramData\rojibaf
O44 - LFC:[MD5.08C7AC97BA116559EBD67002FBA4835B] - 27/09/2010 - 18:02:04 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\windows\System32\rpcnetp.exe   [17408]
O44 - LFC:[MD5.09781F9CA8277F1C99EA6C7C1E7F30EE] - 27/09/2010 - 16:46:57 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\windows\System32\rpcnetp.dll   [17408]




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin

&#9658;Aide en images

clemdu24 · Answer

Voilà le rapport : 

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-28-09-2010-10-53-01.txt
Run by client at 28/09/2010 10:53:01
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [MTUchk] . (.Catalyst Technologies - Catalyst Configuration DLL.) -- C:\Users\client\AppData\Roaming\Catalyst\CatalystHelper.dll  => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\rojibaf  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\client\appdata\roaming\catalyst\catalysthelper.dll  => Supprimé et mis en quarantaine
c:\windows\system32\rpcnetp.exe  => Supprimé et mis en quarantaine
c:\windows\system32\rpcnetp.dll  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
3 : Fichier(s)


End of the scan

H3RV3 · Answer

Y a t-il du mieux avec ton PC ?

clemdu24 · Answer

Non toujours les mêmes pub qui commencent doucement à m'agacer...
J'ai une ouverture toutes les minutes a peu près (voir moins)

H3RV3 · Answer

Bon, fais ceci :

&#9679; Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

&#9679; Choisis "enregistrer la cible sous ... " et  dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

&#9650; Ferme tous tes logiciels de protection et les programmes en cours

&#9650; ComboFix peut être amené à accéder à internet, il faut dans ce cas l'autoriser

&#9679; Sous XP : Double clique sur CBFix.exe
&#9679; Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur le bouton Oui dans la fenêtre d'avertissement

&#9679; Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

&#9679; Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

&#9679; Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
&#9650; Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix

clemdu24 · Answer

Alors...

J'ai effectué toutes les étapes que tu m'as recommandé mais l'analyse n'a pas pu aboutir jusqu'à la fin.

Ce message d'erreur est apparut "The file or directory C:\Windows\System32\drivers\fr-FR is corrupt and unreadable. Please run the Chkdsk utility", avec pour seule option le bouton de validation "OK".

Je click sur OK et le même message apparaît, je reclick sur "OK", et ainsi dessuite jusqu'à se que je me résigne à éteindre le PC sauvagement.

Voilà pour la 1ère partie, la suite maintenant....

Je rallume le PC, je réouvre ce poste, je patiente un peu......et depuis 15 min aucune fenêtre IE intempestive. Je ne comprend plus rien, j'espère seulement que ça ne couve rien de plus alarmant.

H3RV3 · Answer

Regarde si tu as un fichier C:\ComboFix.txt, si c'est le cas, copie/colle son contenu.

Problème fenêtre sous IE intempestive

35 réponses

Discussions similaires

Newsletters