Retour au bureau et pop up IE...

Résolu
Nebob Messages postés 19 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai depuis quelques jours j'ai un problème plutôt embarrassant, en effet lorsque je joue en plein écran, je reviens régulièrement au bureau et j'ai même parfois une pop up IE avec de la publicité ou une page blanche.
De plus, Avast détecte régulièrement des menaces de type "URL mal". Cela ressemble à un virus mais je ne parviens pas à m'en débarrasser. Mes recherches m'ont permis de voir qu'il fallait effectuer des scans et qu'avec l'aide de rapports on pouvait retrouver et éliminer ce virus.
J'aimerai de l'aide pour cela ou sait on jamais, une solution plus simple.

Merci

P.S.: Je suis sous Vista et je navigue avec Firefox 3.6

18 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    C'est quoi le titre de tes popups de pubs ?

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT

    * Clique sur le bouton Quick Scan.
    * Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

    Burn, burn, yes ya gonna burn
    Burn, burn, yes ya gonna burn
    Burn, burn, yes ya gonna burn
    Burn, burn, yes ya gonna burn

    It goes a-1, 2, 3
    0
  3. Nebob Messages postés 19 Statut Membre
     
    Merci,
    Le scan est en cours mais je n'ai pas encore les rapports.
    les popups sont souvent une erreur 404 car il ne trouve pas une page qui ressemble à ad.yield.manager et c'est arrivé seulement deux fois des pages Ouest-France Auto.
    Je te transmets les rapports le plus vite possible, encore merci.
    0
  4. Nebob Messages postés 19 Statut Membre
     
    Euh si tu pouvais simplement m'indiqué ou se trouve se rapport une fois l'analyse terminé... Je ne parviens pas à le trouver désolé.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    les rapports sont dans le répertoire où OTL a été lancé, donc le bureau.
    0
  7. Nebob Messages postés 19 Statut Membre
     
    Effectivement, désolé.
    Les voici:
    http://www.cijoint.fr/cjlink.php?file=cj201010/cijzVGwkMk.txt
    http://www.cijoint.fr/cjlink.php?file=cj201010/cijLoLJ5ot.txt
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Peronnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

    :OTL
    PRC - [2010/10/21 11:30:20 | 000,233,472 | ---- | M] (Trend Micro Inc.) -- C:\Users\Ben\AppData\Local\Temp\Imy.exe
    PRC - [2010/10/21 11:30:16 | 000,237,568 | ---- | M] (Trend Micro Inc.) -- C:\Users\Ben\AppData\Local\Temp\Imx.exe
    PRC - [2010/10/21 11:30:13 | 000,229,376 | ---- | M] (Trend Micro Inc.) -- C:\Users\Ben\AppData\Local\Temp\Imw.exe
    O4 - HKCU..\Run: [KOO9RV9K4Z] C:\Users\Ben\AppData\Local\Temp\Imx.exe (Trend Micro Inc.)
    [2010/10/21 14:45:28 | 000,935,328 | ---- | C] (Microsoft Corporation) -- C:\Users\Ben\setupstb.exe
    [2010/10/21 14:45:28 | 000,710,048 | ---- | C] (Microsoft Corporation) -- C:\Users\Ben\setup.exe


    * redemarre le pc sous windows et poste le rapport ici

    0
  9. Nebob Messages postés 19 Statut Membre
     
    Quelle forme prend le rapport? Il ne me l'a pas affiché quand j'ai cliqué sur OK. Dois je le relancé ? (redésolé)
    Je précise au cas ou que C:\Users\Ben\AppData\Local\Temp\Im(w).exe correspond bien au alertes Avast.
    0
    1. Nebob Messages postés 19 Statut Membre
       
      C'est bon.
      0
  10. Nebob Messages postés 19 Statut Membre
     
    Voici le rapport:

    ========== OTL ==========
    Process Imy.exe killed successfully!
    Process Imx.exe killed successfully!
    Process Imw.exe killed successfully!
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\KOO9RV9K4Z deleted successfully.
    C:\Users\Ben\AppData\Local\Temp\Imx.exe moved successfully.
    C:\Users\Ben\setupstb.exe moved successfully.
    C:\Users\Ben\setup.exe moved successfully.

    OTL by OldTimer - Version 3.2.16.0 log created on 10222010_110722
    0
  11. Nebob Messages postés 19 Statut Membre
     
    La démarche est-elle finie?
    Si oui merci encore sinon j'attendrai ton message :)
    0
  12. Nebob Messages postés 19 Statut Membre
     
    Au moment ou j'écrivais mon message pour te remercier une page de pub s'est rouverte =/
    J'ai donc lancé un scan avec Malwarebyte et il m'a trouvé un cheval de troie, il l'a supprimé avec succès et il semble être en rapport avec IE donc mon problème semble régler. Voici son rapport au cas ou:

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    22/10/2010 12:03:13
    mbam-log-2010-10-22 (12-03-13).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 108185
    Temps écoulé: 6 minute(s), 32 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    En espérant que se soit terminé, je mettrai résolu si je n'ai pas d'autres problèmes ;)
    Merci beaucoup encore une fois. :)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      l'est pas à jour Malwarebyte.
      0
    2. Nebob Messages postés 19 Statut Membre
       
      Effectivement, je l'ai remis à jour et relancer un scan
      0
  13. Nebob Messages postés 19 Statut Membre
     
    La note a été un peu plus salée, 12 éléments infectés: suppression puis redémarrage de l'ordinateur en espérant que sa soit terminé.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      et le rapport ?
      0
  14. Nebob Messages postés 19 Statut Membre
     
    Le voila:

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4910

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    22/10/2010 12:18:51
    mbam-log-2010-10-22 (12-18-51).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 133293
    Temps écoulé: 5 minute(s), 26 seconde(s)

    Processus mémoire infecté(s): 2
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    C:\Users\Ben\AppData\Local\Temp\Imw.exe (Rootkit.TDSS) -> Unloaded process successfully.
    C:\Users\Ben\AppData\Local\Temp\Imy.exe (Rootkit.TDSS) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\X3EKEPXJP2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\Ben\AppData\Local\Temp\Imw.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
    C:\Users\Ben\AppData\Local\Temp\Imy.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
    C:\Users\Ben\AppData\Local\Temp\Imv.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Users\Public\winbrd.jpg (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Et encore merci.
    0
  15. Nebob Messages postés 19 Statut Membre
     
    D'accord (site/forum très complet même si un peu compliqué pour moi)
    Merci beaucoup
    0
  16. Nebob Messages postés 19 Statut Membre
     
    Merci encore pour cette aide complète et rapide, j'ai fait les mises à jour et sécuriser un peu l'ordinateur. Plus de souci, problème résolu.
    0
  17. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    :)
    0