Probleme de pub indesirable
Résolu
dirlo88
-
dirlo88 -
dirlo88 -
Bonjour,
je suis envahi de pub du site c.ads-1-host.com.
j ai suivi les conseils present sur le forum, j'ai réussi à identifier et supprimer "Installpedia" avec malwarebytes mais rien à faire ce matin le probleme persiste ?
Voici l analyse ZHPdiag.
merci de votre aide
http://www.cijoint.fr/cjlink.php?file=cj201101/cijHlAXFr0.txt
Et le rapport Malwares
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5471
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999
06/01/2011 17:43:31
mbam-log-2011-01-06 (17-43-20).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 175968
Temps écoulé: 15 minute(s), 36 seconde(s)
Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 19
Processus mémoire infecté(s):
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> 444 -> No action taken.
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> 2880 -> No action taken.
Module(s) mémoire infecté(s):
c:\Users\franck\AppData\Local\assembly\dl3\0X1EB36W.1QM\H4329O3L.MPV\f171b384\003b0f99_fb53cb01\Utils.DLL (Adware.InstallPedia) -> No action taken.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\I.P services (Adware.InstallPedia) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3AA42713-5C1E-48E2-B432-D8BF420DD31D} (Rogue.AntiVirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IP Network (Adware.InstallPedia) -> Value: IP Network -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\Users\franck\AppData\Roaming\antivirus (Rogue.AntiVirus2008) -> No action taken.
c:\program files\installpedia (Adware.InstallPedia) -> No action taken.
Fichier(s) infecté(s):
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\AppData\Local\assembly\dl3\0X1EB36W.1QM\H4329O3L.MPV\f171b384\003b0f99_fb53cb01\Utils.DLL (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\service.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\AppData\Local\Temp\ptuc9d4_tmp.exe (PUP.Casino) -> No action taken.
c:\Users\franck\AppData\Local\Temp\gol8593.tmp (PUP.Casino.Gen) -> No action taken.
c:\Users\franck\AppData\Local\Temp\nsd830E.tmp\NSISdl.dll (Trojan.Banker) -> No action taken.
c:\program files\installpedia\networker.exe (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\pref_updater.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\local settings\application data\cmgag_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\mwwus_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\ybryudd_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\yeacii_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\cmgag_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\mwwus_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\ybryudd_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\yeacii_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\AppData\Roaming\antivirus\antvrs.exe (Rogue.AntiVirus2008) -> No action taken.
c:\program files\installpedia\ionic.zip.reduced.dll (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\Utils.dll (Adware.InstallPedia) -> No action taken.
C
Cec
je suis envahi de pub du site c.ads-1-host.com.
j ai suivi les conseils present sur le forum, j'ai réussi à identifier et supprimer "Installpedia" avec malwarebytes mais rien à faire ce matin le probleme persiste ?
Voici l analyse ZHPdiag.
merci de votre aide
http://www.cijoint.fr/cjlink.php?file=cj201101/cijHlAXFr0.txt
Et le rapport Malwares
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5471
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999
06/01/2011 17:43:31
mbam-log-2011-01-06 (17-43-20).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 175968
Temps écoulé: 15 minute(s), 36 seconde(s)
Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 19
Processus mémoire infecté(s):
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> 444 -> No action taken.
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> 2880 -> No action taken.
Module(s) mémoire infecté(s):
c:\Users\franck\AppData\Local\assembly\dl3\0X1EB36W.1QM\H4329O3L.MPV\f171b384\003b0f99_fb53cb01\Utils.DLL (Adware.InstallPedia) -> No action taken.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\I.P services (Adware.InstallPedia) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3AA42713-5C1E-48E2-B432-D8BF420DD31D} (Rogue.AntiVirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IP Network (Adware.InstallPedia) -> Value: IP Network -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\Users\franck\AppData\Roaming\antivirus (Rogue.AntiVirus2008) -> No action taken.
c:\program files\installpedia (Adware.InstallPedia) -> No action taken.
Fichier(s) infecté(s):
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\AppData\Local\assembly\dl3\0X1EB36W.1QM\H4329O3L.MPV\f171b384\003b0f99_fb53cb01\Utils.DLL (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\service.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\AppData\Local\Temp\ptuc9d4_tmp.exe (PUP.Casino) -> No action taken.
c:\Users\franck\AppData\Local\Temp\gol8593.tmp (PUP.Casino.Gen) -> No action taken.
c:\Users\franck\AppData\Local\Temp\nsd830E.tmp\NSISdl.dll (Trojan.Banker) -> No action taken.
c:\program files\installpedia\networker.exe (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\pref_updater.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\local settings\application data\cmgag_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\mwwus_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\ybryudd_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\yeacii_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\cmgag_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\mwwus_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\ybryudd_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\yeacii_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\AppData\Roaming\antivirus\antvrs.exe (Rogue.AntiVirus2008) -> No action taken.
c:\program files\installpedia\ionic.zip.reduced.dll (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\Utils.dll (Adware.InstallPedia) -> No action taken.
C
Cec
13 réponses
-
Salut,
Faut faire attention à ce que tu installes et où tu les prends....
T'as InstallPedia...
Supprime ce qui est détecté par Malwarebyte (bouton supprimer selection) et reposte un rapport Malwarebyte.
-
voici le rapport, à signaler que cette operation a été faite hier, Installpedia ayant été supprimer ainsi que tout les risques détecter.Ce matin il n'y avait donc que les 2 risques "pupcasino". merci pour la rapidité
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5475
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999
07/01/2011 10:17:09
mbam-log-2011-01-07 (10-17-09).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 176731
Temps écoulé: 19 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\franck\AppData\Local\Temp\ptuc9d4_tmp.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\Users\franck\AppData\Local\Temp\gol8593.tmp (PUP.Casino.Gen) -> Quarantined and deleted successfully. -
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5475
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999
07/01/2011 10:17:09
mbam-log-2011-01-07 (10-17-09).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 176731
Temps écoulé: 19 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\franck\AppData\Local\Temp\ptuc9d4_tmp.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\Users\franck\AppData\Local\Temp\gol8593.tmp (PUP.Casino.Gen) -> Quarantined and deleted successfully.
merci de ton aide -
yep.
Ca doit aller mieux niveau pub.
Eventuellement :
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
voici pour extra:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijQ1VTjes.txt
et pour OTL:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijINPm6sO.txt
merci pour la suite -
Envoie ces deux fichiers sur http://upload.malekal.com :
C:\Program Files\Installer\lnetworker.exe
C:\Windows\BackupIP\service.exe
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
PRC - [2010/12/20 07:18:34 | 000,007,168 | ---- | M] () -- C:\Program Files\Installer\lnetworker.exe
PRC - [2010/12/16 17:03:08 | 000,008,192 | ---- | M] () -- C:\Windows\BackupIP\service.exe
SRV - [2010/12/16 17:03:08 | 000,008,192 | ---- | M] () [Auto | Running] -- C:\Windows\BackupIP\service.exe -- (sdmBackupIP)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [installer] C:\Program Files\Installer\lnetworker.exe ()
O4 - HKCU..\Run: [mwwus] c:\users\franck\appdata\local\mwwus.exe File not found
O4 - HKCU..\Run: [POEngine5] File not found
:files
C:\Program Files\Installer\
C:\Windows\BackupIP
* redemarre le pc sous windows et poste le rapport ici
Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond. -
========== OTL ==========
Process lnetworker.exe killed successfully!
Process service.exe killed successfully!
Service sdmBackupIP stopped successfully!
Service sdmBackupIP deleted successfully!
C:\Windows\BackupIP\service.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Program Files\Installer\lnetworker.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mwwus deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\POEngine5 deleted successfully.
========== FILES ==========
C:\Program Files\Installer folder moved successfully.
C:\Windows\BackupIP folder moved successfully.
OTL by OldTimer - Version 3.2.20.1 log created on 01072011_194422
voila ce que tu as demandé, j ai bien reçu ton message.
J'ai déjà appris beaucoup de chose en 2 jours mais je vais continuer à me documenter en faisant plus attention. -
heuuu quand tu démarres ton PC...
ça démarre normalement, tous tes programmes se lancent et tu as tes icones comme d'habitude en bas à droite à côté de l'horloge ?
Sinon regarde au niveau des pubs ce que ça donne...
-
Visiblement oui les icones sont bien present, il y a simplement une notification à l'arret de du pc "ce programme n'a pas réussi à s'installer correctement: schatk.exe" ou un truc comme ça l'inscription à l'ecran est rapide.
pour les pub ça à l'air d'aller, à confirmer pour la journée.
merci encore -
ok refais un rapport OTL comme la première fois en copiant/collant les commades.
Juste pour voir si y a des traces de ce schatk.exe (assure toi que c'est bien le bon nom).
-
Voici le dernier rapport OTL pour ce qui est du "schatk.exe" rien vu à l'arrêt du pc.
A noter que j'avais déja vu cette inscription avant d'avoir toutes ces pub mais qu'il peut être été supprimer à la 2eme correction de malwarebyte.
si jamais je revois cette inscription je la note correctement et reposte sur le forum.
Aucune pub de la journée ça fait du bien. TY
========== OTL ==========
No active process named lnetworker.exe was found!
No active process named service.exe was found!
Error: No service named sdmBackupIP was found to stop!
Service\Driver key sdmBackupIP not found.
File C:\Windows\BackupIP\service.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
File C:\Program Files\Installer\lnetworker.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mwwus not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\POEngine5 not found.
========== FILES ==========
Folder C:\Program Files\Installer not found.
File\Folder C:\Windows\BackupIP not found.
OTL by OldTimer - Version 3.2.20.1 log created on 01082011_182810 -
arf j'ai pas été clair, je voulais dire un scan comme là : https://forums.commentcamarche.net/forum/affich-20438646-probleme-de-pub-indesirable#5
Fais une recherche de fichiers sur schatk.exe
-
http://www.cijoint.fr/cjlink.php?file=cj201101/cijnBPgaEh.txt
voila pour le rapport.
Par contre j'ai recherché tous les dossier *.exe aucun ne ressemble à celui apperçu avant, mais je ne pense pas l'avoir revu depuis que le probleme des pages pub a été resolue.
Je t'ai peut être induit en erreur