Adware, même après un formatage ...

Fermé
Bakaaaaa - 13 juin 2011 à 19:46
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 17 juin 2011 à 13:58
Bonjour à tous,
je vous expose mon problème : depuis quelques temps j'avais un problème de redirection de mes pages web, vers gomeo. J'ai donc téléchargé une multitude de logiciels (Ad-Aware, malwarebytes, ccleaner, etc.) qui ont tous scannés mon ordinateur, m'enlevant quelques cookies, mais rien de plus, alors que le problème persistait !
En ayant assez, j'ai réinstallé Windows 7 (64 bits) avec les DVD de restauration d'Acer, sur ma partition C, en choisissant d'écraser toutes les données.
En réinstallant mes logiciels, je me suis rendu compte que le problème est toujours là, j'ai donc pensé que c'était mes installateurs qui étaient infectés, je les ai donc supprimés, et j'ai reformaté une nouvelle fois.
Seulement une fois reformaté, alors que je n'avais encore rien installé de plus que els logiciels d'usine d'Acer (même pas encore de mises à jour), et que j'ai lancé Internet Explorer pour télécharger Firefox, gomeo était déjà de retour ...

Je me demande alors quoi faire ... dois je formater aussi ma deuxième partition ? Tous mes fichiers sont ils infectés par ce adware, est ce possible que mes fichiers images, textes, php, mp3, etc. soient infectés et qu'ils causent une détournement de mon navigateur comme cela ?
Si tel est le cas, je suppose que les déplacer vers un disque dur externe est inutile, non ?
Est ce qu'il est possible que mon CD d'installation n'ai pas formaté complètement ma partition, ce qui aurait causé la résistance de l'adware ?

Enfin voilà, je ne sais plus quoi faire ... je n'ai pas envie de perdre mes documents, car la plupart sont importants pour moi, mais en même temps je n'ai pas envie de voir mes pages redirigées ... surtout que c'en était arrivé à un point où d'autres problèmes surgissaient avec le temps ... comme Aero de windows 7 qui cessait de fonctionner ...

Merci d'avance pour vos conseils !

PS : pour la petite histoire, avant le premier formatage à cause de ce problème, j'avais bloqué les mises à jour par Windows update, car une mise à jour faisait planter le démarrage de mon ordinateur, je ne pense pas que cela ait un lien, mais sait on jamais ...
A voir également:

23 réponses

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
13 juin 2011 à 20:22
bonjour


1/
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message





puis

2/
ouvrir ZHPDIAG, puis de cliquer sur les jumelles ( = Zhpsearch)
Ensuite
1) Sélectionnez "Trojan.Batimal" dans la liste déroulante située en bas à droite
2) Cliquez sur le bouton "Loupe" pour lancer la recherche
3) En fin de recherche, cliquez sur le bouton "Afficher le rapport"
4) Postez le rapport



a plus
0
Bonsoir,
voici le premier fichier : http://www.cijoint.fr/cjlink.php?file=cj201106/cijAG9U6ZW.txt

Et voici le deuxième rapport comme demandé :

C:\Windows\explorer.exe
C:\Windows\Prefetch\EXPLORER.EXE-D5E97654.pf
C:\Windows\SoftwareDistribution\Download\00236e2e422dab929dcda56260d05350\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_adff19b5932d79ae\explorer.exe
C:\Windows\SoftwareDistribution\Download\00236e2e422dab929dcda56260d05350\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_ae84b558ac4eb41c\explorer.exe
C:\Windows\SoftwareDistribution\Download\00236e2e422dab929dcda56260d05350\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_b853c407c78e3ba9\explorer.exe
C:\Windows\SoftwareDistribution\Download\00236e2e422dab929dcda56260d05350\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_b8d95faae0af7617\explorer.exe
C:\Windows\SoftwareDistribution\Download\0cfc8dbf763c806fb82e646c7352a6fc\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_adc508f19359a007\explorer.exe
C:\Windows\SoftwareDistribution\Download\0cfc8dbf763c806fb82e646c7352a6fc\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_ae46d6aeac7ca7c7\explorer.exe
C:\Windows\SoftwareDistribution\Download\0cfc8dbf763c806fb82e646c7352a6fc\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_b819b343c7ba6202\explorer.exe
C:\Windows\SoftwareDistribution\Download\0cfc8dbf763c806fb82e646c7352a6fc\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_b89b8100e0dd69c2\explorer.exe
C:\Windows\System32\explorer.exe
C:\Windows\SysWOW64\explorer.exe
C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe
C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_b7fe430bc7ce3761\explorer.exe
C:\Windows\SoftwareDistribution\Download\0cfc8dbf763c806fb82e646c7352a6fc\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe
C:\Windows\SoftwareDistribution\Download\0cfc8dbf763c806fb82e646c7352a6fc\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe
C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe
C:\Windows\winsxs\Backup\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c_winlogon.exe_ac37d0c5
C:\Windows\System32\wininit.exe
C:\Windows\SysWOW64\wininit.exe
C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49\wininit.exe
C:\Windows\winsxs\Backup\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49_wininit.exe_7a527f28
C:\Windows\winsxs\Backup\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13_wininit.exe_7a527f28
C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
C:\Windows\System32\ws2_32.dll
C:\Windows\System32\ws2help.dll
C:\Windows\System32\fms.dll
C:\Windows\System32\mscms.dll

Merci
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
13 juin 2011 à 22:45
le rapport zhpdiag svp


Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
0
Bonsoir,
en effet, je me suis trompé de fichier, mais le service n'a pas l'air de fonctionner pour ce fichier ... je le mets donc en zip ..
http://www.cijoint.fr/cjlink.php?file=cj201106/cijW91nFod.zip
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
13 juin 2011 à 23:04
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------

[HKLM\Software\Classes\kt_bho.kettlebho]
[HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho]
[HKLM\Software\Classes\kt_bho.kettlebho.1]
[HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]


----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse



puis

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Bonjour,
j'ai fait ce matin ce que vous aviez demandé :

Rapport ZHPfix : http://www.cijoint.fr/cjlink.php?file=cj201106/cijXDrVVud.txt
Rapport combofix : http://www.cijoint.fr/cjlink.php?file=cj201106/cijsPFSxOT.txt

Merci
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 14/06/2011 à 12:12
branche tes supports externes (clé usb , disque dur ...) et colle un rapport de nettoyage avec le logiciel usbfix http://www.teamxscript.org/usbfixTelechargement.html
0
Bonjour,
j'ai branché mon disque dur externe et ma clé USB :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijAShYFXQ.txt
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 juin 2011 à 14:56
ok colle un rapport de nettoyage/suppression avec le logiciel usbfix

puis dis nous si tes problèmes persistent


a plus
0
Bonjour
voici le rapport : Service gratuit de dépôt de fichiers
http://www.cijoint.fr/cjlink.php?file=cj201106/cijpTY5IlH.zip

Pour le moment, pas de nouvelles de pubs intempestives, je vous le dis si c'est le cas !

De plus, est ce normal que le dossier C:/UsbFix fasse 57Go, puis je le supprimer ?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 juin 2011 à 17:27
57 giga? tu es sûr ???


-------
pour supprimer ce qui a été utilisé

Pour Xp : Double-cliquez sur l'icône ZHPFix.exe sur votre Bureau.
Pour Vista : Cliquez-droit sur l'icône ZHPFix.exe sur votre Bureau, puis sélectionnez 'Exécuter en tant qu'administrateur'.
Cliquez sur le A rouge (Nettoyeur de Tools).
Cliquez sur Nettoyer.
Faîtes redémarrer l'ordinateur pour terminer le nettoyage.



-------
tu peux pour tout contrôler passer un antivirus en ligne <-- ici
et nous coller le rapport si besoin

--------
si rien n'est trouvé c'est bon pour toi


voilà
0
J'ai toujours le même problème ... rien n'y fait ... j'ai peu d'espoirs avec les antivirus, avast et mcafee ne détectent rien ...
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 juin 2011 à 21:05
remets un rapport zhpdiag .

et

colle un rapport de recherche avec le logiciel ad remover


sinon tu as fais quoi avant d'avoir ce problème? tu es allé sur un site particulier? tu as installé un logiciel? branché un disque ? ...
0
J'ai déjà utilisé ad-remover ...

je n'avais rien fait de spécial, au tout début les problèmes sont survenus lorsque je regardais une vidéo, et que mon ordinateur s'est éteint d'un seul coup. Par la suite, à chaque fois il y avait des restauration de système au démarrage.
J'ai réinstallé windows 7 plusieurs fois depuis, mais toujours le même problème de démarrage lorsque j'installais les mises à jour, plus ce problème de redirection et d'autres problèmes annexes (par exemple là impossible de lancer Opera ou le lecteur windows media ...)

J'en ai marre, je pense que je vais formater avec gparted mes deux partitions, pour ensuite réinstaller windows 7, au moins les bases seront saines, et je verrai alors à ce moment, en redéplaçant un à un mes fichiers s'ils étaient la cause du problème, ce que je n'espere pas !
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 15/06/2011 à 14:31
vérifie tes sauvegardes , c'est probablement un fichier infecté dedans

et

C:\Windows\explorer.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\wininit.exe


Analysez les 3 fichiers cités précédemment sur le site VirusTotal. http://www.virustotal.com/index.html
et donnez nous les rapports









sinon le plus simple dans ce cas est de tout formater puis analyse avec un antivirus tes données car l'infection doit venir de tes sauvegardes
0
Mes sauvegardes comprennent :
- Mes musiques (mp3)
- Des photos
- Les fichiers mails de thunderbird
- Archives de conversation MSN
- Mes sites webs (donc différents formats : php, css, js, png, etc.)
- Des documents divers (doc, psd, pdf)

Pourtant je n'avais utilisé aucun de ces fichiers lorsque gomeo est apparu pour la première fois lors de la dernière installation ...

Je vais donc opter pour la deuxième solution, en espérant que ce truc dégage (je viens d'avoir un bluescreen ...)
0
Bonsoir,
bon alors là, je ne sais plus quoi faire ... je viens de formater mes deux partitions avec gparted, j'ai réinstallé windows 7 avec mon CD d'installation Acer, j'ai téléchargé Firefox 4, je lance un lien pour télécharger 7zip ... et ma page est redirigée ... alors que je n'ai branché aucun périphérique externe (donc disque dur vierge !)

Expliquez moi ce qu'il se passe là ... parce que je n'y comprends plus rien ... est ce possible que ce soit quelqu'un qui se connecte sur mon réseau et prenne le contrôle de mon PC ?
Ou alors le virus s'est coincé dans une partition système ou je ne sais quoi d'autre ?

Enfin ... je ne sais vraiment plus quoi faire ... c'est quand même pas possible qu'un simple adware soit aussi coriace non ?

Si vous avez encore des idées, je suis preneur ...
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 16/06/2011 à 09:43
bizarre

tu as des exemples tu tape quoi et tu arrive où?

colle un rapport avec zhpdiag
0
En fait c'est un peu aléatoire, soit un onglet s'ouvre tout seul, soit lorsque je clique sur un lien (comme sur google), je tombe vers une page de publicité.

En fait maintenant la dernière version d'avast me dit qu'elle détecte un problème sur le mbr, mais je n'arrive pas à utiliser les logiciels que je trouve.
Certains me proposent d'utiliser le CD d'installation de windows 7, seulement j'installe Seven à partir de ma sauvegarde d'Acer, et donc il n'y a pas les bons fichiers à l'intérieur (bootsec.exe) lorsque je regarde avec la console.
Savez vous comment faire ?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juin 2011 à 17:03
slt tu as ceci:

https://www.commentcamarche.net/faq/25171-infection-sinowal-mebroot-rootkit-mbr-bootkit#q=sinowal&cur=1&url=%2F
0
Merci, mais dans windows j'arrivais pas à faire fonctionner ces différents logiciels.

Cependant j'ai trouvé qu'on pouvait créer un CD de réparation (panneau de configuration > Sauvegarder et restaurer > Créer un disque de réparation système)

Donc si ça intéresse des gens dans le futur, qui n'ont pas de CD d'installation windows 7 :

Une fois gravé, j'ai booté sur le DVD, et fais :
diskpart
list volume
select disk 0 (=> pour sélectionner le lecteur DVD)
exit
g: (=> mon lecteur DVD)
dir
bootfix.exe /nt60 c: /mbr

Toutes les actions ne sont pas indispensables, mais je me promenais ^^

Ca a fonctionné, ça fait trois heures, et toujours aucune nouvelle du virus, mes données n'étaient pas infectées, je suis donc content !

Même si finalement on n'était pas sur la bonne voie, merci de m'avoir aidé !
0