Virus Malware : Pubs intempestives

Résolu
Flouks -  
Valuu Messages postés 2258 Statut Contributeur -
Bonjour,

cela fait quelque jours j'ai des pages internet intempestives qui s'ouvrent qui sont en générales des pubs : assurance,sonnerie.
Je pense que c'est un malware mais je n'ai pas reussi a le supprimer, j'aimerais bien avoir la demarche à suivre pour enlever le virus svp

15 réponses

  1. Valuu Messages postés 2258 Statut Contributeur 201
     
    Mis à jour par C_XX le 19/05/10 à 19:20 


    Tu trouves pas que ça fait vieux ?
    Retélécharge le pour avoir la dernière version.
    2
  2. Flouks
     
    voici le rapport UsbFix avec ma cle usb branche :

    ############################## | UsbFix 7.037 | [Recherche]

    Utilisateur: erdem (Administrateur) # ERDEM-PC [ASUSTeK Computer Inc. K52JK]
    Mis à jour le 03/01/2011 par El Desaparecido / C_XX
    Lancé à 23:24:40 | 08/01/2011
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM) i5 CPU M 430 @ 2.27GHz
    CPU 2: Intel(R) Core(TM) i5 CPU M 430 @ 2.27GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 3949 Mo
    C:\ (%systemdrive%) -> Disque fixe # 116 Go (54 Go libre(s) - 46%) [OS] # NTFS
    D:\ -> Disque fixe # 333 Go (303 Go libre(s) - 91%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    G:\ -> Disque amovible # 4 Go (2 Go libre(s) - 50%) [LOLLIPOP] # FAT32

    ################## | Éléments infectieux |

    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Adobe Reader Speed Launcher

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{33ac4f26-10de-11e0-8f5f-08002700547d}
    Shell\AutoRun\Command = F:\autorun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{9e440a1f-f57e-11df-9acc-485b393f5fbf}
    Shell\AutoRun\Command = F:\autorun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{d4c07811-731f-11df-acc1-485b393f5fbf}
    Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    1
  3. Valuu Messages postés 2258 Statut Contributeur 201
     
    Bonjour bonjour ;)
    Oui il y a de très fortes chances pour que tu sois infecté.
    On va regarder ça et régler le problème.

    Utilise ce logiciel de diagnostic :

    * Télécharge ZHPDiag (de Nicolas Coolman)
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
    0
  4. Flouks
     
    Voila , j'ai fait comme vous me l'avez dit , voici le lien http://www.cijoint.fr/cjlink.php?file=cj201101/cijS1dWkBu.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Valuu Messages postés 2258 Statut Contributeur 201
     
    Hello,
    Je vois que t'as déjà passer Ad-Remover ?
    Tu avais bien la dernière version ? sinon :
    * Télécharge AD-Remover(de C_XX) sur ton Bureau.
    Déconnecte toi et ferme toutes les applications en cours
    * Double-clique sur l'icône AD-Remover
    * Au menu principal, clique sur Nettoyer
    * Confirme le lancement de l'analyse et laisse l'outil travailler
    * Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    Et même si c'est oui, tu suis cette procédure, et tu postes le rapport ;)
    0
  7. Flouks
     
    voici le rapport :

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 19/05/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 22:54:04 le 08/01/2011 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft Windows 7 Édition Familiale Premium ( - X64)
    Nom du PC: ERDEM-PC (ASUSTeK Computer Inc. K52JK)
    Utilisateur actuel: erdem
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .

    (!) -- Fichiers temporaires supprimés.
    .
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.13 (fr) *
    .
    C:\Users\erdem\..\eg9qsy1a.default\prefs.js - browser.search.selectedEngine: Wikipédia fr
    C:\Users\erdem\..\eg9qsy1a.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.13
    .
    .
    * Internet Explorer Version 8.0.7600.16385 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 2317 Octet(s)
    C:\Ad-Report-CLEAN[2].txt - 2120 Octet(s)
    C:\Ad-Report-SCAN[1].txt - 2028 Octet(s)
    C:\Ad-Report-SCAN[2].txt - 2239 Octet(s)
    C:\Ad-Report-SCAN[3].txt - 2281 Octet(s)
    .
    Fin à: 22:56:34, 08/01/2011
    .
    ============== E.O.F - CLEAN[2] ==============
    0
  8. Flouks
     
    desole , voila celui avec la derniere version

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 03/01/11 à 14:20
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [3]) -> Lancé à 23:05:07 le 08/01/2011, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    erdem@ERDEM-PC (ASUSTeK Computer Inc. K52JK)

    ============== ACTION(S) ==============

    Service: "sdmBackupIP" Stoppé et supprimé

    Dossier supprimé: C:\Program Files (x86)\Installer
    Dossier supprimé: C:\Windows\BackupIP
    Dossier supprimé: C:\Users\erdem\AppData\Local\networker

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Install Pedia Limited

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|installer

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Users\erdem\AppData\Roaming\Mozilla\FireFox\Profiles\eg9qsy1a.default\Prefs.js --
    browser.search.selectedEngine, Wikipédia (fr)
    browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 12 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 21 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 08/01/2011 (2317 Octet(s))
    C:\Ad-Report-CLEAN[2].txt - 08/01/2011 (2372 Octet(s))
    C:\Ad-Report-CLEAN[3].txt - 08/01/2011 (2511 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 08/01/2011 (2028 Octet(s))
    C:\Ad-Report-SCAN[2].txt - 08/01/2011 (2239 Octet(s))
    C:\Ad-Report-SCAN[3].txt - 08/01/2011 (2281 Octet(s))

    Fin à: 23:06:16, 08/01/2011

    ============== E.O.F ==============
    0
  9. Valuu Messages postés 2258 Statut Contributeur 201
     
    Hello, normalement côté pub ça doit être arrangé ?
    Une autre petite infection (mais pas sur, juste une vérification) :
    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    * Clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"
    0
  10. Valuu Messages postés 2258 Statut Contributeur 201
     
    Hello,

    Rien d'infectieux.

    Mais
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau
    * Clique sur "Vacciner"
    * Le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
    0
  11. Flouks
     
    j'ai effectuer la commande Vacciner qui a bien été effectué , mais je n'ai pas trouvé les rapports. Donc je ne sais pas comment faire , j'ai meme essayer une deuxieme fois , mais rien ne change sauf encore le message vaccin effectuer ( quelque chose dans le genre ).
    Que doit je faire d'autre ?
    0
  12. Valuu Messages postés 2258 Statut Contributeur 201
     
    Re,
    Si ça te dit que ça a été vacciné c'est bon ;)
    Refais un scan avec ZHPDiag pour revérifier tout ça.

    Encore des problèmes ? Si tu as des questions n'hésites pas.
    0
  13. Flouks
     
    voici le lien du nouveau rapport ZHPDiag :
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijkLbjgxo.txt

    sinon depuis le debut des manip je n'ai pas eu de pages ouverte , donc il semblerait que mon problème soit réglé, mais je vous renverrez une reponse demain confirmant cela.

    Donc si le nouveau rapport ne montre rien de particulier , qui me demanderai d'effectuer d'autre manip , je vous remercie de votre aide et de votre rapidité d'action . Merci encore
    0
  14. Valuu Messages postés 2258 Statut Contributeur 201
     
    Okay, on verra demain.

    En attendant pour terminer :
    * Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
    * Copie les lignes suivantes :

    ---------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
    O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)
    O4 - HKCU\..\Run: [ISUSPM] C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe (.not file.)
    OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
    O4 - HKUS\S-1-5-21-695528928-2331720402-3762991522-1000\..\Run: [ISUSPM] C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe (.not file.)
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (.not file.)
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (.not file.)
    O4 - Global Startup: C:\Users\erdem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk - Clé orpheline
    O4 - Global Startup: C:\Users\erdem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk - Clé orpheline
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
    O23 - Service: (AFBAgent) - Clé orpheline
    O23 - Service: C:\Windows\system32\drivers\afd.sys (AMD External Events Utility) - Clé orpheline
    O43 - CFD: 26/12/2010 - 11:54:14 ----D- C:\Program Files\Installer
    O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 08/01/2011 - 23:39:23 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix.txt [0]
    O44 - LFC:[MD5.6CD107755D8B2FA00EEEAE62922EA08C] - 08/01/2011 - 23:06:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[3].txt [2809]
    O44 - LFC:[MD5.C1E9A550A176917A23DA0A7C85398E7B] - 08/01/2011 - 22:56:34 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[2].txt [2372]
    O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 08/01/2011 - 20:45:51 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\setuperr.log [0]
    O44 - LFC:[MD5.E68E1DD1DCFD45D5C989CA681F7B3BD4] - 08/01/2011 - 19:16:48 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-SCAN[3].txt [2281]
    O44 - LFC:[MD5.80878DDEDF82EB75052EAA53840E31A5] - 08/01/2011 - 18:14:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-SCAN[2].txt [2239]
    O44 - LFC:[MD5.957A70674536D7B82A15F8E64061C3E6] - 08/01/2011 - 18:05:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [2317]
    O44 - LFC:[MD5.AB395ADF23AC9FF655B715F905656A80] - 08/01/2011 - 17:57:52 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-SCAN[1].txt [2028]
    O51 - MPSK:{33ac4f26-10de-11e0-8f5f-08002700547d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\autorun.exe (.not file.)
    O51 - MPSK:{9e440a1f-f57e-11df-9acc-485b393f5fbf}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\autorun.exe (.not file.)
    O51 - MPSK:{d4c07811-731f-11df-acc1-485b393f5fbf}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\WD SmartWare.exe (.not file.)

    ---------------------------------------------------

    * Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix.
    * Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
    * Colle le contenu du rapport dans ta prochaine réponse.

    Puis désinstalle tous les logiciels utilisés avec DelFix :
    * Télécharge DelFix sur ton bureau
    * Lance le et appuie sur le bouton Suppression
    * Copie/colle le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

    Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

    * Tu peux ensuite relancer DelFix et appuyer sur Désinstaller afin de supprimer toute trace de son utilisation.

    En complémentaire voici quelques petits tuyaux, à toi de voir si ça t'intéresse ou pas.

    - Utilise Mozilla Firefox pour une navigation plus rapide, plus sécurisée, et pour un environnement personnalisable grâce aux modules complémentaires.
    Pour télécharger Mozilla : c'est ici
    voici quelques modules sympathiques : Personas, pour avoir des thèmes à la pelle, et qui changent tout seul, WOT, qui t'indique si le site est de confiance ou non, Adblock, qui bloque tout seul les publicités des sites, et j'en passe !
    Tous les modules ici : https://addons.mozilla.org/fr/firefox/

    - Utilise MBAM régulièrement (1 fois par mois par exemple en scan rapide) en le mettant à jour avant.
    * Télécharge Malwarebytes' Anti-Malware si on ne l'a pas déjà fait ensemble.
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen rapide"
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    - Utilises CCleaner régulièrement (1 fois par semaine) afin de supprimer les fichiers inutiles de ton ordinateur. Tu peux sélectionner les options à contrôler.

    * Télécharge CCleaner slim.
    * Installe le puis lance le.
    * Clique sur Nettoyeur ? Analyse ? Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
    * Enfin, clique sur Registre ? corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.
    0
  15. Quelqu'un
     
    J'ai la même chose que toi avec des pubs de Q aussi ^^
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Bonjour,

      Merci de créer votre propre message sur le forum afin d'obtenir une aide personnalisée :

      http://sd-1.archive-host.com/...

      Crapoulou, Modérateur CCM.
      0
  16. Flouks
     
    Depuis hier soir , plus de pubs , donc problème résolus.
    Merci
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Flouks, je te conseille très fortement de finir proprement la désinfection ;-).
      0