probleme de pub indesirable Résolu/Fermé

Question

Bonjour, 
je suis envahi de pub du site c.ads-1-host.com.
j ai suivi les conseils present sur le forum, j'ai réussi à identifier et supprimer "Installpedia" avec malwarebytes mais rien à faire ce matin le probleme persiste ?
Voici l analyse ZHPdiag.
merci de votre aide

http://www.cijoint.fr/cjlink.php?file=cj201101/cijHlAXFr0.txt
 
Et le rapport Malwares

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5471

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

06/01/2011 17:43:31
mbam-log-2011-01-06 (17-43-20).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 175968
Temps écoulé: 15 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> 444 -> No action taken.
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> 2880 -> No action taken.

Module(s) mémoire infecté(s):
c:\Users\franck\AppData\Local\assembly\dl3\0X1EB36W.1QM\H4329O3L.MPV\f171b384\003b0f99_fb53cb01\Utils.DLL (Adware.InstallPedia) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\I.P services (Adware.InstallPedia) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3AA42713-5C1E-48E2-B432-D8BF420DD31D} (Rogue.AntiVirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IP Network (Adware.InstallPedia) -> Value: IP Network -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\Users\franck\AppData\Roaming\antivirus (Rogue.AntiVirus2008) -> No action taken.
c:\program files\installpedia (Adware.InstallPedia) -> No action taken.

Fichier(s) infecté(s):
c:\program files\installpedia\lnetworker.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\AppData\Local\assembly\dl3\0X1EB36W.1QM\H4329O3L.MPV\f171b384\003b0f99_fb53cb01\Utils.DLL (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\service.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\AppData\Local\Temp\ptuc9d4_tmp.exe (PUP.Casino) -> No action taken.
c:\Users\franck\AppData\Local\Temp\gol8593.tmp (PUP.Casino.Gen) -> No action taken.
c:\Users\franck\AppData\Local\Temp
sd830E.tmp\NSISdl.dll (Trojan.Banker) -> No action taken.
c:\program files\installpedia
etworker.exe (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\pref_updater.exe (Adware.InstallPedia) -> No action taken.
c:\Users\franck\local settings\application data\cmgag_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\mwwus_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\ybryudd_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\yeacii_nav.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\cmgag_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\mwwus_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\ybryudd_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\local settings\application data\yeacii_navps.dat (Adware.NaviPromo) -> No action taken.
c:\Users\franck\AppData\Roaming\antivirus\antvrs.exe (Rogue.AntiVirus2008) -> No action taken.
c:\program files\installpedia\ionic.zip.reduced.dll (Adware.InstallPedia) -> No action taken.
c:\program files\installpedia\Utils.dll (Adware.InstallPedia) -> No action taken.
C
Cec
Configuration: Windows Vista / Internet Explorer 8.0

Malekal_morte- · Answer

Salut,

Faut faire attention à ce que tu installes et où tu les prends....
T'as InstallPedia...

Supprime ce qui est détecté par Malwarebyte (bouton supprimer selection) et reposte un rapport Malwarebyte.

dirlo88 · Answer

voici le rapport, à signaler que cette operation a été faite hier, Installpedia ayant été supprimer ainsi que tout les risques détecter.Ce matin il n'y avait donc que les 2 risques "pupcasino". merci pour la rapidité
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5475

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

07/01/2011 10:17:09
mbam-log-2011-01-07 (10-17-09).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 176731
Temps écoulé: 19 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\franck\AppData\Local\Temp\ptuc9d4_tmp.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\Users\franck\AppData\Local\Temp\gol8593.tmp (PUP.Casino.Gen) -> Quarantined and deleted successfully.

dirlo88 · Answer

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5475

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

07/01/2011 10:17:09
mbam-log-2011-01-07 (10-17-09).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 176731
Temps écoulé: 19 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\franck\AppData\Local\Temp\ptuc9d4_tmp.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\Users\franck\AppData\Local\Temp\gol8593.tmp (PUP.Casino.Gen) -> Quarantined and deleted successfully.


merci de ton aide

Malekal_morte- · Answer

yep.
Ca doit aller mieux niveau pub.

Eventuellement :


* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :    
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE\%Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32drivers\*.sys /lockedfiles 
%systemroot%\System32config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT    
* Clique sur le bouton Quick Scan.    
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

dirlo88 · Answer

voici pour extra:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijQ1VTjes.txt 

et pour OTL:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijINPm6sO.txt

merci pour la suite

Malekal_morte- · Answer

Envoie ces deux fichiers sur http://upload.malekal.com :
C:\Program Files\Installer\lnetworker.exe
C:\Windows\BackupIP\service.exe

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
PRC - [2010/12/20 07:18:34 | 000,007,168 | ---- | M] () -- C:\Program Files\Installer\lnetworker.exe
PRC - [2010/12/16 17:03:08 | 000,008,192 | ---- | M] () -- C:\Windows\BackupIP\service.exe
SRV - [2010/12/16 17:03:08 | 000,008,192 | ---- | M] () [Auto | Running] -- C:\Windows\BackupIP\service.exe -- (sdmBackupIP)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [installer] C:\Program Files\Installer\lnetworker.exe ()
O4 - HKCU..\Run: [mwwus] c:\users\franck\appdata\local\mwwus.exe File not found
O4 - HKCU..\Run: [POEngine5]  File not found
:files
C:\Program Files\Installer\
C:\Windows\BackupIP

* redemarre le pc sous windows et poste le rapport ici 

Remember when you were young, you shone like the sun.  
Shine on you crazy diamond.  
Now there's a look in your eyes, like black holes in the sky.  
Shine on you crazy diamond.

dirlo88 · Answer

========== OTL ==========
Process lnetworker.exe killed successfully!
Process service.exe killed successfully!
Service sdmBackupIP stopped successfully!
Service sdmBackupIP deleted successfully!
C:\Windows\BackupIP\service.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Program Files\Installer\lnetworker.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mwwus deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\POEngine5 deleted successfully.
========== FILES ==========
C:\Program Files\Installer folder moved successfully.
C:\Windows\BackupIP folder moved successfully.
 
OTL by OldTimer - Version 3.2.20.1 log created on 01072011_194422

voila ce que tu as demandé, j ai bien reçu ton message.
J'ai déjà appris beaucoup de chose en 2 jours mais je vais continuer à me documenter en faisant plus attention.

Malekal_morte- · Answer

heuuu quand tu démarres ton PC...
ça démarre normalement, tous tes programmes se lancent et tu as tes icones comme d'habitude en bas à droite à côté de l'horloge ?

Sinon regarde au niveau des pubs ce que ça donne...

dirlo88 · Answer

Visiblement oui les icones sont bien present, il y a simplement une notification à l'arret de du pc "ce programme n'a pas réussi à s'installer correctement: schatk.exe" ou un truc comme ça l'inscription à l'ecran est rapide.
pour les pub ça à l'air d'aller, à confirmer pour la journée.
merci encore

Malekal_morte- · Answer

ok refais un rapport OTL comme la première fois en copiant/collant les commades.
Juste pour voir si y a des traces de ce schatk.exe (assure toi que c'est bien le bon nom).

dirlo88 · Answer

Voici le dernier rapport OTL pour ce qui est du "schatk.exe" rien vu à l'arrêt du pc.
A noter que j'avais déja vu cette inscription avant d'avoir toutes ces pub mais qu'il  peut être été supprimer à la 2eme correction de malwarebyte.
si jamais je revois cette inscription je la note correctement et reposte sur le forum.
Aucune pub de la journée ça fait du bien.  TY
========== OTL ==========
No active process named lnetworker.exe was found!
No active process named service.exe was found!
Error: No service named sdmBackupIP was found to stop!
Service\Driver key sdmBackupIP not found.
File C:\Windows\BackupIP\service.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
File C:\Program Files\Installer\lnetworker.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mwwus not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\POEngine5 not found.
========== FILES ==========
Folder C:\Program Files\Installer not found.
File\Folder C:\Windows\BackupIP not found.
 
OTL by OldTimer - Version 3.2.20.1 log created on 01082011_182810

Malekal_morte- · Answer

arf j'ai pas été clair, je voulais dire un scan comme là : https://forums.commentcamarche.net/forum/affich-20438646-probleme-de-pub-indesirable#5

Fais une recherche de fichiers sur schatk.exe

dirlo88 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijnBPgaEh.txt
voila pour le rapport.
Par contre j'ai recherché tous les dossier *.exe aucun ne ressemble à celui apperçu avant, mais je ne pense pas l'avoir revu depuis que le probleme des pages pub a été resolue.
Je t'ai peut être induit en erreur

Probleme de pub indesirable

13 réponses

Discussions similaires