Fenetres de pub qui arrivent

zeaina Messages postés 11 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

J'ai lu pas mal de post a se sujet sur le forum et j'ai quand même besoin d'aide pour comprendre ou est le dossier (ou les dossiers) infecté.
Je m'explique depuis le début :
-Quelques pop up arrivent depuis 1 semaines (je dirai moins de 10 par jours) (je tourne sous mozilla)
-J'ai fait un scan complet avec Bullguard et rien n'est apparu.
-J'ai DL Malwarebytes'anti-malware (il m'a trouvé 8 fichiers infectés (trojan en priorité) que j'ai supprimé via ce logiciel.

Depuis hier j'ai moins de 5 pop up par jour.

-Du coup se matin j'ai DL Random's System Information Tool (RSIT). J'ai un résultat http://www.cijoint.fr/cjlink.php?file=cj201107/cijKWI2RiY.txt

Si quelqu'un peu me dire ou se trouve mon probleme ca serai sympa.

Merci beaucoup pour vos réponses et votre aide.

<config>Windows 7 / Firefox 5.0

35 réponses

  • 1
  • 2
Résumé de la discussion

Des pop-ups persistants et l'inquiétude d'une infection sur Windows 7 avec Firefox 5 amènent à identifier le ou les dossiers infectés, BullGuard n'ayant détecté de menace lors du scan complet. Malwarebytes a détecté huit fichiers infectés, surtout des trojans, et les a supprimés, ce qui a réduit les pop-ups à moins de cinq par jour. Plusieurs réponses suggèrent d'analyser les fichiers suspects avec OTL, d'extraire les rapports RSIT et d'envoyer ensuite les liens VirusTotal pour vérification, afin d'appuyer les conclusions sans poster tout le contenu. D'autres conseils recommandent d'évaluer la provenance d'outils tiers et de privilégier des solutions réputées afin d'obtenir des rapports téléversables et vérifiables, tout en évitant les utilitaires douteux.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut tu peux poster le dernier rapport de malwarebytes aussi ?

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
  2. g3n-h@ckm@n
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    1
  3. g3n-h@ckm@n
     
    jette RSIT à la corbeille

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    1
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    tu as bien fait

    je peux avoir l'extra aussi ?
    1
  6. g3n-h@ckm@n
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Program Files\KYE\LuxeMate525\Luxemate525.exe


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
    1
  7. g3n-h@ckm@n
     
    je sais pas ce que c'est ce logiciel mais il m'inspire pas confiance
    1
  8. zeaina Messages postés 11 Statut Membre
     
    Salut, je te remercie pour ton aide.

    Voici le résultat de malwarebytes :

    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7272

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 9.0.8112.16421

    25/07/2011 14:55:53
    mbam-log-2011-07-25 (14-55-53).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 288131
    Temps écoulé: 1 heure(s), 1 minute(s), 9 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA} (Trojan.Eorezo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} (Trojan.Eorezo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO.1 (Trojan.Eorezo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO (Trojan.Eorezo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\agence-exclusive\pctutobho.dll (Trojan.Eorezo) -> Quarantined and deleted successfully.
    c:\Users\andre\AppData\Roaming\agence-exclusive\agence-exclusive\updatepctuto.exe (PUP.Tuto4PC) -> Quarantined and deleted successfully.

    je fais ce que tu m'a dis haut dessus le temps que tu lises le scan que je vien de poster.
    0
  9. zeaina Messages postés 11 Statut Membre
     
    Et voila pour le rapport Ad-remover :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:16:51 le 26/07/2011, Mode normal

    Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X86)
    andre@PC-SALON (MEDIONPC MS-7616)

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Users\andre\AppData\Roaming\Agence-Exclusive
    Dossier supprimé: C:\Users\andre\AppData\Local\Agence-Exclusive
    Dossier supprimé: C:\Program Files\Agence-Exclusive

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [5.0 (fr)] ****

    HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
    HKLM_MozillaPlugins\Adobe Reader (x)
    HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)
    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)
    Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )
    HKLM_Extensions|antiphishing@bullguard - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\FF\antiphishing@bullguard\

    -- C:\Users\andre\AppData\Roaming\Mozilla\FireFox\Profiles\7z9zcb26.default --
    Extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E} (Garmin Communicator)
    Prefs.js - browser.download.lastDir, C:\\Users\\andre\\Pictures
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
    Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

    -- C:\Users\Gwladys\AppData\Roaming\Mozilla\FireFox\Profiles\zikdsok2.default --
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
    Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

    ========================================

    **** Internet Explorer Version [9.0.8112.16421] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{a00068b1-1e4e-41c7-afa9-baeb9697e2b9} - C:\Program Files\Common Files\Research In Motion\AppLoader\Loader.exe (Research In Motion Limited)
    HKCU_Extensions\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - "eBay.fr" (C:\Program Files\Internet Explorer\Custom\eBay.ico)
    HKLM_Extensions\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - "eBay.fr" (C:\Program Files\Internet Explorer\Custom\eBay.ico)
    HKLM_Extensions\{27FD17FB-CF63-486b-B2BE-8D8781CBEA01} - "BullGuard" (C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIE.dll,201)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
    BHO\{FC872B94-35E3-4B94-B028-184A2A1C7CCE} - "BGAntiphishingBHO Class" (C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 11 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 26/07/2011 14:21:13 (4181 Octet(s))

    Fin à: 14:21:53, 26/07/2011

    ============== E.O.F ==============

    J'espere que ca pourra d'aider a m'aider.

    Encore merci.
    0
  10. zeaina Messages postés 11 Statut Membre
     
    Voila, j'ai fais exactement ce que tu m'as dis.

    Le lien : https://www.cjoint.com/?AGApGr6ELqk (ci joint.com car .fr ne marche pas (erreur500))

    durant le test tous c'est bien passé. Par contre depuis la fin du test j'ai "panneau de config" et "reseau" sur mon bureau et AD-R a changé de place (est ce important ? )

    Merci
    0
    1. g3n-h@ckm@n
       
      non tu peux les supprimer les deux raccourcis s'ils ne te servent pas

      je regarde ton log
      0
  11. g3n-h@ckm@n
     
    desinstalle adobe reader on mettra le dernier

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nwiz"=-
    "Adobe Reader Speed Launcher"=-
    "QuickTime Task"=-
    [-HKEY_CURRENT_USER\Software\Agence-Exclusive]
    [-HKEY_CURRENT_USER\Software\KKB525]
    [-HKEY_CURRENT_USER\Software\YRT]
    [-HKEY_LOCAL_MACHINE\Software\KYE]

    file::
    C:\ProgramData\SPL66DC.tmp
    C:\ProgramData\SPL83EE.tmp
    C:\ProgramData\SPL9645.tmp
    C:\ProgramData\SPL995.tmp
    C:\Program Files\setup.exe

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  12. zeaina Messages postés 11 Statut Membre
     
    voila le resultat du scan pre-script :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.55 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Mise à jour : 25/07/2011 | 17.30 Par g3n-h@ckm@n
    Utilisateur : andre (Administrateurs)
    Ordinateur : PC-SALON
    Système d'exploitation : Windows 7 Home Premium (32 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox : 5.0 (fr)

    Switchs possibles :

    processes:: | file:: | folder:: | Registry::
    Driver:: | replace:: | DNS:: | Command::
    attrib:: | txt:: | Host:: | NsLook::
    list:: | IP::

    Script : 16:11:55

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuéé

    ¤

    Supprimé : C:\ProgramData\SPL66DC.tmp
    Supprimé : C:\ProgramData\SPL83EE.tmp
    Supprimé : C:\ProgramData\SPL9645.tmp
    Supprimé : C:\ProgramData\SPL995.tmp
    Supprimé : C:\Program Files\setup.exe

    ¤

    Disques externes : 2 Objets réattribués
    Disque Local : 11 Objets réattribués
    Utilisateurs : 1 Objets réattribués
    ProgramFiles : 19 Objets réattribués
    Music : 398 Objets réattribués
    Pictures : 9 Objets réattribués
    Videos : 0 Objets réattribués
    Downloads : 0 Objets réattribués
    Desktop : 0 Objets réattribués
    Links : 0 Objets réattribués
    Searches : 3 Objets réattribués
    Contacts : 0 Objets réattribués
    Saved Games : 0 Objets réattribués
    Favorites : 0 Objets réattribués
    Documents : 10 Objets réattribués
    Windows : 122 Objets réattribués
    StartMenu : 2 Objets réattribués
    Librairies : 0 Objets réattribués
    Quick Launch : 2 Objets réattribués
    %AppData% : 15 Objets réattribués

    ¤

    explorer.exe -> Processus redémarré

    Fin : 16:14:06

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  13. zeaina Messages postés 11 Statut Membre
     
    Je viens de faire ce que tu me dis voila le resultat :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijkSVyLxg.txt

    J'avais oublié de virer Adobe reader avant de faire prescript. je viens juste de le faire, et en lisant ma liste de programme je viens de trouver un truc "Pando media booster" mais je ne télécharge rien (je crois que ça sert a ça) Dû coup je viens de le virer .
    0
  14. zeaina Messages postés 11 Statut Membre
     
    voila le lien de la page

    https://www.virustotal.com/file-scan/reanalysis.html?id=951c5c88996085219dc0a63ce00643c6880c29e826ccfc6ae6ce6e380d3fe0d2-1311699855
    0
  15. zeaina Messages postés 11 Statut Membre
     
    voila la bonne

    http://www.virustotal.com/file-scan/report.html?id=951c5c88996085219dc0a63ce00643c6880c29e826ccfc6ae6ce6e380d3fe0d2-1311699855

    comment t'explique qu'il y a des programmes qui apparaissent alors que je ne les ai jamais DL....
    0
    1. zeaina Messages postés 11 Statut Membre
       
      oublies ma question je suis ridicule je viens juste de lire ...
      0
  16. zeaina Messages postés 11 Statut Membre
     
    tu penses que je peux le virer ( se PC me sert a jouer, on va sur le net (mais pas de site "trop risqués"), FaceBook dont les jeux (pour les petits), et je suis le seul a "regarder a l'interieur" . si tu penses que ca craint pas pour mon pc je le degage. (j'ai pas de dossier qui risque sur ce PC, juste des photos.)
    0
  17. zereaina Messages postés 10 Statut Membre
     
    Salut, (j'ai dû changé de pseudo et refaire mon inscription ca fais 30h que j'arrive pas a me log sur CCM)

    Pour mon souci, j'ai plus de pub qui arrivent. (quelques reglage carte son a faire et tout ira très bien.

    g3n-h@ckm@n je te dis un GRAND MERCI pour le temps et l'aide que tu m'as donné. Bonne route a toi
    0
    1. zereaina Messages postés 10 Statut Membre
       
      PS : je peu supprimer tous les truc que tu m'a fais DL ou bien tu me conseille de faire quoi (les lancer temps en temps ou je ne sais quoi ...)
      0
  • 1
  • 2