Affichage automatique de pub (virus ?)

mimydestroy -  
 mimydestroy -
Bonjour,
Ce matin j'ai telechargé un logiciel d'essai sur un site étrange, et en lançant l'application que j'avais quand meme analysée au cas ou, le fichier à juste disparu...
quelques minutes suivantes, le PC rame, puis des fenetres de pub automatiques commencent à apparaitre sur mon bureau... malgré une épuration du PC avec CCleaner, une analyse avec hijack et des tests d'anti spyware, je n'arrive pas à stopper le probleme des fenetres...
Si donc quelqu'un pouvait m'aider, je lui en serai reconnaissant !

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    j'avais quand meme analysée au cas ou, le fichier à juste disparu...

    C'est mal, ça sent le dropper qui se supprime :)

    C'est quoi l'adresse du fichier que tu as téléchargé ?

    Sinon CCleaner ça sert à rien en cas d'infection.... c'est pas la vocation de ce programme de désinection, déjà que les antispywares (style Spybot, Ad-Aware, Spyware Doctor) sont en général d'aucun secours.

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

    Proverbe Grolandais : "Neige en Jouin, oh poutain!"
    0
  2. mimydestroy
     
    je n'ai malheureusement plus l'adresse du lien, car j'ai cherché le logiciel sur beaucoup d'autre site quand celui-ci n'a pas marché... pour me rendre compte qu'il n'était plus distribué : 3Dsmax 7 version "entrainement", c'était une version gratuite pour les particulier...

    enfin bref, je vais faire les démarches que tu m'as indiquées et je reposte.
    Entre temps, spybot m'a détecté un trojan que je n'arrive pas à supprimer... surement lié !
    bon je fais les tests.
    0
  3. mimydestroy
     
    voila le 1er : http://www.cijoint.fr/cjlink.php?file=cj201011/cijcUDqYNg.txt

    et le second : http://www.cijoint.fr/cjlink.php?file=cj201011/cij7gKfhAC.txt
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    mouaip t'as télécharge une m*rde.....

    Relance OTL.
    o sous Peronnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

    :OTL
    PRC - [2010/11/09 15:35:55 | 000,204,800 | ---- | M] (Opera Software) -- C:\Users\mimy\AppData\Local\Temp\Vbs.exe
    PRC - [2010/11/09 15:35:49 | 000,212,992 | ---- | M] (Opera Software) -- C:\Users\mimy\AppData\Local\Temp\Vbr.exe
    PRC - [2010/11/09 15:35:41 | 000,208,896 | ---- | M] (Opera Software) -- C:\Windows\Vdilea.exe
    O4 - HKCU..\Run: [U36VRSFLG6] C:\Users\mimy\AppData\Local\Temp\Vbr.exe (Opera Software)
    [2010/11/09 15:35:44 | 000,208,896 | ---- | C] (Opera Software) -- C:\Windows\Vdilea.exe
    [2010/10/30 17:21:29 | 000,000,000 | ---D | C] -- C:\ProgramData\jgy50JtoEAFke73spIp
    [2010/11/09 15:35:56 | 000,000,282 | -H-- | C] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
    [2010/11/09 15:35:50 | 000,000,282 | -H-- | C] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    [2010/11/09 15:35:42 | 000,000,244 | -H-- | C] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job


    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour.
    Fais un complet, mets en quarantaine ce qu'il détecte.
    Poste le rapport de scan ici.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mimydestroy
     
    j'ai pas correction, mais "Run Fix" ou "CleanUp"
    j'utilise lequel ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Run Fix
      0
  7. mimydestroy
     
    voila le rapport OTL :

    ========== OTL ==========
    Process Vbs.exe killed successfully!
    Process Vbr.exe killed successfully!
    Process Vdilea.exe killed successfully!
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\U36VRSFLG6 deleted successfully.
    C:\Users\mimy\AppData\Local\Temp\Vbr.exe moved successfully.
    C:\Windows\Vdilea.exe moved successfully.
    C:\ProgramData\jgy50JtoEAFke73spIp folder moved successfully.
    C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully.
    C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully.
    C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job moved successfully.

    OTL by OldTimer - Version 3.2.17.3 log created on 11092010_224546

    Je lance le malware
    0
  8. mimydestroy
     
    désolé pour le retard, ça prend beaucoup de temps.. et il est pas prêt de finir je pense !
    comme je suis au japon, il est déjà 23h30 et je vais me coucher.
    Je posterai le rapport de l'antimalware demain matin !
    Merci pour tout !
    0
  9. mimydestroy
     
    voila, l'analyse est terminée.
    comment je met en quarantaine ? je fais supprimer ?
    0
  10. mimydestroy
     
    voila, j'ai fais supprimé et c'est allé dans la quarantaine.
    j'envoie le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201011/cij87kDYxl.txt

    Pour en supprimer un, il m'a demandé de redemarrer.

    Mon PC travaille toujours autant au démarrage... bizarre, comme apres avoir eu le virus... je sens qu'il reste des traces... par contre plus de pub automatiques pour le moment !
    j'attends ta réponse pour continuer la désinfection de mon PC !
    0