Pub intempstive

Résolu
Anikiki -  
 Anikiki -
Bonjour,
Voila je crois avoir chopé un virus en voulant installer un logiciel gratuit et depuis j'ai des pub qui se lance toute seul sur internet explorer alors que je navigue avec firefox et parfois sur firefox lorsque jouvre un onglet sa ouvre une pub.
J'ai avg anti virus qui est entrain de faire une analyse mais je pense pas que sa va resoudre mon probleme.
Que dois-je faire? merci d'avance!

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des symptômes d'infection par adware apparaissent après l'installation d'un logiciel gratuit, avec des publicités qui s'ouvrent automatiquement dans Internet Explorer et occasionnellement dans Firefox sur Windows Vista.
Plusieurs réponses recommandent des mesures de désinfection guidées par des rapports d’outils comme Navilog1 et ZHPDiag, afin d'identifier les éléments malveillants et orienter leur suppression.
D'autres suggèrent des nettoyages complémentaires comme ComboFix et la vérification des éléments de démarrage et des clés de registre pour limiter les risques de réinfection.
En cas de doute, limiter l'usage des supports amovibles et relancer un scan après chaque étape peut prévenir la propagation et aider à confirmer l'efficacité des actions entreprises.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Valuu Messages postés 2258 Statut Contributeur 201
     
    Bonjour bonjour !

    On va voir ce qu'il y a ;)

    Utilise ce logiciel de diagnostic :

    * Télécharge ZHPDiag (de Nicolas Coolman)
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
    0
  2. Anikiki
     
    Merci beaucoup
    voila le lien http://www.cijoint.fr/cjlink.php?file=cj201101/cijFDl2RKK.txt
    0
  3. Valuu Messages postés 2258 Statut Contributeur 201
     
    Hello,
    Une infection Navipromo :

    /!\ utilisateur de vista et seven, [https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac désactive l'UAC./!\

    * Télécharge sur le bureau Navilog1
    * Si ton antivirus s'affole , le désactiver
    * Sous Vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"
    * Sous XP : double-clic dessus pour le lancer
    * Taper 1 pour Français
    * Appuyer sur une touche jusqu'à' arriver aux options
    * Choisir Recherche/Désinfection automatique ( = taper 1 )
    * Poste le rapport obtenu dans ta prochaine réponse (C:\fixnavi.txt)
    0
  4. Anikiki
     
    merci encore voila le rapport
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijacNJCaq.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Valuu Messages postés 2258 Statut Contributeur 201
     
    Re,

    Oups autant pour moi je me suis précipité, le logiciel n'a rien donné, normal.

    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    * Clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"
    0
  7. Anikiki
     
    J'utilise aucune source de données externe je le fait quand mm?
    0
  8. Valuu Messages postés 2258 Statut Contributeur 201
     
    Oui si tu n'a aucune clé USB, MP3, disque dur, tu fais sans ;) ça t'évitera de propager l'infection si tu emprunte un support amovible à quelqu'un.

    Extrait de la fiche pratique de ccm :
    De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !

    Ce sont donc des infections qui se propagent par supports amovibles : clé USB (cas le plus fréquent), disque dur externe, carte flash, ipod, lecteur MP3, appareil photo, etc...
    Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles.
    Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clé usb / disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ...
    0
  9. Anikiki
     
    Voila merci beaucoup de ton aide

    ########################### | UsbFix 7.036 | [Recherche]

    Utilisateur: Hakim (Administrateur) # PC-DE-HAKIM [Dell Inc. Studio 1735]
    Mis à jour le 20/12/10 par El Desaparecido / C_XX
    Lancé à 23:03:35 | 02/01/2011
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000

    Pare-feu Windows: Activé
    Antivirus: AVG Anti-Virus 8.0 [(!) Disabled | Updated]
    RAM -> 3069 Mo
    C:\ (%systemdrive%) -> Disque fixe # 288 Go (25 Go libre(s) - 9%) [OS] # NTFS
    D:\ -> Disque fixe # 10 Go (5 Go libre(s) - 50%) [RECOVERY] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM

    ################## | Éléments infectieux |

    Présent! C:\Users\Hakim\jpopt3.exe
    Présent! C:\Users\Hakim\ZHPDiag2.exe
    Présent! C:\Windows\system32\secushr.dat
    Présent! C:\Windows\system32\sshnas21.dll
    Présent! C:\Users\Hakim\AppData\Local\Temp\Ogj.exe
    Présent! C:\Users\Hakim\AppData\Local\Temp\Ogk.exe
    Présent! C:\Users\Hakim\AppData\Local\Temp\Ogl.exe
    Présent! C:\Users\Hakim\AppData\Local\Temp\Ogm.exe
    Présent! C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    Présent! C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
    Présent! C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

    ################## | Registre |

    Présent! HKCU\Software\JP595IR86O
    Présent! HKCU\Software\Microsoft\Handle
    Présent! HKCU\Software\NtWqIVLZEWZU
    Présent! HKCU\Software\XML
    Présent! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{22116563-108C-42c0-A7CE-60161B75E508}
    Présent! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}
    Présent! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|JP595IR86O
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Metropolis

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{3060d67f-ff93-11df-8193-0021708befec}
    Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycled\ctfmon.exe
    Shell\Open(0)\Command = G:\Recycled\ctfmon.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{47bd676e-e7d3-11de-9183-0021708befec}
    Shell\AutoRun\Command = RavMon.exe
    Shell\explore\Command = RavMon.exe -e
    Shell\open\Command = RavMon.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{661d1d3f-405f-11de-8722-0021708befec}
    Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL strongkey-rc1.3-build-208.exe
    Shell\default\Command = strongkey-rc1.3-build-208.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72ee2149-b97a-11dd-98ed-0021708befec}
    Shell\AutoRun\Command = F:\install.EXE /AUTORUN
    Shell\configure\Command = F:\install.EXE
    Shell\install\Command = F:\install.EXE

    HKCU\.\.\.\.\Explorer\MountPoints2\{d52edf3e-d67f-11dd-9360-0021708befec}
    Shell\AutoRun\Command = RavMon.exe
    Shell\explore\Command = RavMon.exe -e
    Shell\open\Command = RavMon.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{e7a6adb1-d6b8-11de-a7e3-0021708befec}
    Shell\AutoRun\Command = RavMon.exe
    Shell\explore\Command = RavMon.exe -e
    Shell\open\Command = RavMon.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{e7a6adb9-d6b8-11de-a7e3-0021708befec}
    Shell\AutoRun\Command = RavMon.exe
    Shell\explore\Command = RavMon.exe -e
    Shell\open\Command = RavMon.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!
    0
  10. Valuu Messages postés 2258 Statut Contributeur 201
     
    Hello, repasse le en mode Suppression.
    Puis refais un scan ZHPDiag, pour voir tout ce qui aura sauté.
    0
  11. Anikiki
     
    Voila http://www.cijoint.fr/cjlink.php?file=cj201101/cijhlzbJA0.txt
    0
  12. Anikiki
     
    Toujours le meme probleme et mon virus a installer flashget sur mon pc :s
    0
  13. Valuu Messages postés 2258 Statut Contributeur 201
     
    Hello, tu peux me joindre le rapport de suppression de USBFix (ou le repasser et me le joindre si tu l'as supprimé) ?

    Puis fais ceci :
    * Télécharge AD-Remover(de C_XX) sur ton Bureau.
    Déconnecte toi et ferme toutes les applications en cours
    * Double-clique sur l'icône AD-Remover
    * Au menu principal, clique sur Nettoyer
    * Confirme le lancement de l'analyse et laisse l'outil travailler
    * Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    * Télécharge sur le bureau RogueKiller (par Tigzy)
    * Lance le.
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse.

    * Télécharge Malwarebytes' Anti-Malware
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
    0
  14. Anikiki
     
    Usbfix : http://www.cijoint.fr/cjlink.php?file=cj201101/cijPW5CbxZ.txt
    Ad-report-CLEAN : http://www.cijoint.fr/cjlink.php?file=cj201101/cijf8qNPft.txt
    RogueKiller : http://www.cijoint.fr/cjlink.php?file=cj201101/cijPamSuPS.txt

    Malwarebytes

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5449

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    03/01/2011 22:22:53
    mbam-log-2011-01-03 (22-22-53).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 311681
    Temps écoulé: 2 heure(s), 31 minute(s), 28 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 12

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\WHMDNR9LKK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system defender (Rogue.SystemDefender) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://search-gala.com/?&uid=249&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\Users\Hakim\AppData\Roaming\System Defender (Rogue.SystemDefender) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogj.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogk.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogl.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogm.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\C\Windows\system32\sshnas21.dll.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
    C:\Users\Hakim\Professionnal\Activateur\Activateur.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
    C:\Users\Hakim\Documents\Professionnal\Activateur\Activateur.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
    C:\Users\Hakim\AppData\Roaming\System Defender\cookies.sqlite (Rogue.SystemDefender) -> Quarantined and deleted successfully.
    C:\Users\Hakim\AppData\Roaming\System Defender\Instructions.ini (Rogue.SystemDefender) -> Quarantined and deleted successfully.
    C:\Users\Hakim\AppData\Roaming\Microsoft\Windows\Start Menu\System Defender.lnk (Rogue.SystemDefender) -> Quarantined and deleted successfully.
    C:\Windows\System32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  15. Valuu Messages postés 2258 Statut Contributeur 201
     
    Re, bon ça doit aller beaucoup mieux là non ?
    Refait moi un dernier rapport ZHPDiag, et on finalise si tout va bien de ton côté.
    0
  16. Anikiki
     
    Ouai faut que je vois dans le temps mais je pense que sa va sa rame deja moins!

    http://www.cijoint.fr/cjlink.php?file=cj201101/cijmLsE7lD.txt
    MERCI ENCORE!
    0
  17. Valuu Messages postés 2258 Statut Contributeur 201
     
    Fausse alerte il en reste un bout encore ^^

    C:\Windows\System32\secustat.dat

    * Rends-toi sur Virus Total
    * Clique sur parcourir et sélectionnes les fichiers en gras ci-dessus.
    * Clique sur Send file
    * Si il te le demande, clique sur Reanalyse
    * Une fois l'analyse, copie l'adresse de l'analyse, et colle la dans ta prochaine réponse

    Puis utilise le logiciel suivant :
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

    ▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    ▶ /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\

    ▶ Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    ▶ ▶ SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ▶ Mets-le en langue française F

    ▶ Tape sur la touche 1 (Yes) pour démarrer le scan.

    ▶ Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    ▶En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    ▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    ▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    ▶ Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
    1. gen-hackman
       
      salut attention la version de mbam n'est pas bonne

      Malwarebytes' Anti-Malware 1.46
      0
    2. Valuu Messages postés 2258 Statut Contributeur 201
       
      Oups oui j'avais pas fait gaffe !
      Merci ;)
      0
  18. Anikiki
     
    http://www.virustotal.com/file-scan/report.html?id=289827883a5affeff3a6ce89013dd932af2b40d2fb30e5674ec81945c60bf1b4-1294157462

    Je peux pas lancer combofix il me demande de desinstaller totalement avg , meme en le desactivant sa marche pas :s
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello

    pour avancer Valuu:

    En effet combofix ne fonctionnera pas avec AVG. Ils risquent d'endommager la machine.
    Il faut absolument désinstaller AVG avec cet utilitaire: https://www.avg.com/fr-fr/avg-remover

    @+
    0
  20. Anikiki
     
    Voici le compte rendu de combofix : http://www.cijoint.fr/cjlink.php?file=cj201101/cijFCYNqkV.txt
    0
  21. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ok, vu

    toujours en attendant Valuu ;)

    ▶ Rentre dans ton panneau de configuration....
    ▶ Apparence et personnalisation...
    ▶ Option des dossiers...(double cliquer dessus)
    ▶ Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option
    ▶ Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.

    ▶ ▶ ensuite rends toi sur ce lien:
    https://www.virustotal.com/gui/

    ▶ Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"
    recherche les entrées suivante dans ton disque :

    c:\windows\system32\MpSigStub.exe
        
    


    ▶ Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant

    ▶ Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée

    @+
    0
    1. Valuu Messages postés 2258 Statut Contributeur 201
       
      Hello,
      Merci d'avoir suivi ;p
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Salut Valuu,
      Regarde la suite ;)
      J'te laisse faire maintenant :)

      Bonne suite @+
      0
  • 1
  • 2
  • 3