Pop-ups intempestifs à navigateur fermé

Popov -  
Xplode Messages postés 9212 Statut Contributeur sécurité -
Bonjour,

Je rencontre un problème déjà présenté ailleurs dans le forum : des fenêtres de publicités de genre différents s'ouvrent sans que je ne fasse rien pour que cela arrive.

Ces pages internet s'ouvrent aussi bien lorsque mon navigateur (IE) est ouvert ou non, lorsque d'autres applications tournent en parallèle ou non..

Je ne pense pas avoir cliqué sur une pub par inadvertance, je supprime directement tous les mails que j'identifie comme des spams et mon antivirus (BitDefender Internet Security 2011) ne détecte rien de suspect lors de l'analyse complète du système.

J'ai donc téléchargé et exécuté OTL comme indiqué en réponse dans l'autre sujet que j'ai consulté sur ce forum. Je poste les fichiers résultats de l'analyse :

http://www.cijoint.fr/cjlink.php?file=cj201101/cij0xYapSb.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijkrcm9ge.txt

Pouvez-vous m'aider à les interpréter ? Que dois-je faire !

Merci beaucoup !

7 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Hello,

    Ton PC est infecté par l'adware InstallPedia. Suis ces instructions :

    -+-+-+-+-> AD-Remover <-+-+-+-+-

    [x] Télécharge AD-Remover ( de C_XX ).

    [x] Lance AD-Remover puis choisis l'option " Nettoyer ".

    Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

    [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

    [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
    1
  2. Popov
     
    Merci pour ta réponse !
    J'ai lancé le nettoyage. Voici le fichier résultat :
    Quelles autres actions dois-je faire ?
    Encore merci !

    Popov

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 03/01/11 à 14:20
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:06:56 le 08/01/2011, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    Marie@MARIE-PC (Hewlett-Packard HP Pavilion dm4 Notebook PC)

    ============== ACTION(S) ==============

    Service: "sdmBackupIP" Stoppé et supprimé

    Dossier supprimé: C:\Program Files (x86)\Installer
    Dossier supprimé: C:\Windows\BackupIP
    Dossier supprimé: C:\Users\Marie\AppData\Local\networker

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Install Pedia Limited

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|installer

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Users\Marie\AppData\Roaming\Mozilla\FireFox\Profiles\qlmi9rq4.default\Prefs.js --
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage_override.mstone, rv:1.9.2.13
    browser.startup.homepage, www.easysear.ch/

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 6 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 08/01/2011 (2453 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 03/01/2011 (1985 Octet(s))

    Fin à: 17:08:46, 08/01/2011

    ============== E.O.F ==============
    0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    Refais un scan OTL et poste moi lien cjoint du rapport hébergé ( il me faut uniquement OTL.txt , pas extras.txt )

    @+
    0
  4. Popov
     
    Bonjour Xplode,

    Désolé pour le retard, en fait il s'agit de l'ordinateur de mon amie qui bosse dessus donc je n'y ai pas accès tout le temps.

    Les fenêtres pop-ups semblent avoir disparu depuis le nettoyage AD-remover. Voici le résultat du scan ODT:
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijGtX4Wj9.txt

    Encore merci !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour Popov,

    Pas de problèmes pour le retard ! ;-)
    En effet, le rapport est ( presque ) clean maintenant.

    Suis ces instructions afin de supprimer les résidus ( ou plutôt, le résidu ) d'infection :

    Relance OTL, copie/colle le texte suivant dans la partie "Personnalisation" :

    :OTL
    SRV:[b]64bit:[/b] - (ezSharedSvc) -- C:\Windows\SysNative\ezSharedSvcHost.exe File not found
    O4 - HKLM..\Run: []  File not found
    O33 - MountPoints2\{1006d352-c40a-11df-8a23-806e6f6e6963}\Shell - "" = AutoRun      
    O33 - MountPoints2\{1006d352-c40a-11df-8a23-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Setup.exe -- File not found  
    
    :Files
    C:\found.000
    C:\Windows\SysWow64\Utils.dll  
    
    :Commands
    
    [Emptytemp]
    [EmptyFlash]


    Clique sur [Correction] et poste moi le rapport qui s'ouvrira à l'écran.

    En complément, fais ceci :

    -+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-

    [x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

    [x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

    [x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

    [x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

    [x] Sélectionne tout tes disques locaux et amovibles.

    [x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

    [x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

    [x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

    [x] Tu peux ensuite vider la quarantaine de MBAM.

    [x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

    [x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
    0
  7. Popov
     
    J'ai exécuté OTL à nouveau. Voici le compte-rendu d'analyse :
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijUk60a4z.txt

    Puis l'exécution de Malwarebytes' Anti-Malware donne le rapport suivant :
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijVPZdqmM.txt

    Le scan est négatif. Merci beaucoup Xplode ! Ce truc nous pourrissait vraiment la vie.
    0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    La base de donnée de malwarebytes n'était pas à jour :

    Version de la base de données: 5449

    Relance le en mettant à jour la base de donnée ;-)
    0