Urgent besoin d'aide, adware introuvable

brafor -  
 gen-hackman -
Bonjour,
dès que je démarre mon ordi, la même fenêtre de pub s'ouvre plusieurs fois puis chacune de ces fenêtres ouvre IE sur l'adresse ezmovies.net.
J'ai testé spybot, malwarebytes'anti-malware, ad-remover, the cleaner2011 et mon antivirus "McAfee antivirus plus" mais rien n'y fait.

Voici le rapport ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201012/cijPnQplJv.txt

Voici le rapport HijackThis: http://www.cijoint.fr/cjlink.php?file=cj201012/cijUGlwnNs.txt

Merci d'avance pour le coup de main.

22 réponses

  • 1
  • 2
  1. gen-hackman
     
    salut

    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    1
  2. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    1
  3. gen-hackman
     
    ben faut desinstaller les outils quand on a fini de les utiliser :)

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    1
  4. brafor
     
    Voilà

    ############################## | UsbFix 7.035 | [Suppression]

    Utilisateur: Benoit (Administrateur) # BUREAU [System manufacturer System Product Name]
    Mis à jour le 05/12/10 par El Desaparecido / C_XX
    Lancé à 10:09:02 | 11/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 CPU 6700 @ 2.66GHz
    CPU 2: Intel(R) Core(TM)2 CPU 6700 @ 2.66GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 9.0.7930.16406

    Pare-feu Windows: Activé
    RAM -> 4095 Mo
    C:\ (%systemdrive%) -> Disque fixe # 69 Go (5 Go libre(s) - 7%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 466 Go (23 Go libre(s) - 5%) [] # NTFS
    F:\ -> Disque fixe # 466 Go (185 Go libre(s) - 40%) [] # NTFS

    ################## | Éléments infectieux |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. brafor
     
    Non non, le rapport d' USBFix s'arrête là.
    0
  7. brafor
     
    Voici le log de Combofix http://www.cijoint.fr/cjlink.php?file=cj201012/cijErWgl3p.txt

    Pour info, les pages de pub sont revenues tout de suite après.
    0
  8. gen-hackman
     
    tu as commencé une desinfection ailleurs ?
    0
  9. brafor
     
    non
    0
    1. gen-hackman
       
      c:\program files (x86)\Ad-Remover
      0
  10. brafor
     
    Oui j'ai dit dans le premier message que j'avais essayé (même plusieurs fois) Ad-remover mais que apparemment ça n'a pas marché, puisque les pubs sont toujours là.
    0
  11. brafor
     
    Voici OTL.txt http://www.cijoint.fr/cjlink.php?file=cj201012/cijHjZPusS.txt
    Voici l'Extra.txt http://www.cijoint.fr/cjlink.php?file=cj201012/cijCSgHPJf.txt

    Merci beaucoup pour ton aide
    0
  12. gen-hackman
     
    desinstalle spybot et poste le dernier rapport de malwarebytes
    0
  13. gen-hackman
     
    je n'ai pas demadé des faire un scan avec malwarebytes mais de lire le dernier rapport de scan deja effectué
    0
  14. brafor
     
    Désolé

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUsr (Adware.Gibmedia) -> Value: WinUsr -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Public\mds.sys (Malware.Trace) -> Quarantined and deleted successfully.
    c:\Users\Public\mdt.sys (Malware.Trace) -> Quarantined and deleted successfully.
    c:\Users\Public\winbrd.jpg (Malware.Trace) -> Quarantined and deleted successfully.
    0
  15. brafor
     
    Voilà c'est fait.
    Pour l'instant, tout va bien.
    0
  16. brafor
     
    Voici le rapport ( je confirme , il est entier)

    Mis à jour le 05/12/10 par El Desaparecido / C_XX
    Lancé à 15:46:44 | 11/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 CPU 6700 @ 2.66GHz
    CPU 2: Intel(R) Core(TM)2 CPU 6700 @ 2.66GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 9.0.7930.16406

    Pare-feu Windows: Activé
    RAM -> 4095 Mo
    C:\ (%systemdrive%) -> Disque fixe # 69 Go (7 Go libre(s) - 10%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 466 Go (22 Go libre(s) - 5%) [] # NTFS
    F:\ -> Disque fixe # 466 Go (185 Go libre(s) - 40%) [] # NTFS

    ################## | Éléments infectieux |
    0
  17. gen-hackman
     
    essaie en mode sans echec voir si on peut l'obtenir en entier...
    0
  • 1
  • 2