Pub intempestives avec iexplorer

Elo -  
 Elo -
Bonjour,

Depuis quelques temps j'ai des fenetres iexplorer qui s'ouvrent avec toutes sortes de publicités meme lorsque je ne surfe pas sur internet. J'ai lancé Avira puis Malwarebytes anti-malware (en mode sans echec) et enfin adwcleaner mais ces pubs sont toujours là!

Voici mon rapport hijackthis si cela peut aider!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:19, on 03/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Glary Utilities\initialize.exe
C:\Program Files\IObit\Advanced SystemCare 4\ASCService.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\Trusteer\Rapport\bin\RapportService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\PROGRA~1\BLUETO~1\BTTray.exe
C:\DOCUME~1\Biquette\APPLIC~1\Dropbox\bin\Dropbox.exe
C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Biquette\Bureau\HiJackThis.exe

O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Program Files\IObit\Advanced SystemCare 4\ASCService.exe
O23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Rapport Management Service (RapportMgmtService) - Trusteer Ltd. - C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe

--
End of file - 2627 bytes

Merci d'avance.

Elodie

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Le rapport HijackThis est semble-t-il incomplet.

    C:\Program Files\IObit\Advanced SystemCare 4\ASCService.exe

    Ca sert à rien, désinstalle le.

    ~~

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    et :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0
  2. Elo
     
    Bonjour,

    Alors voici le rapport adwcleaner fait hier matin:

    # AdwCleaner v1.316 - Rapport créé le 03/11/2011 à 12:40:51
    # Mis à jour le 31/10/11 à 22h par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Biquette - ORDILOULOUTTE (Droits Limités)
    # Exécuté depuis : C:\Documents and Settings\Biquette\Bureau\adwcleaner0.exe
    # Option [Suppression]

    ***** [KillNav] *****

    # firefox.exe [PID:3896] -> Tué
    # firefox.exe [PID:3896] -> Tué
    # iexplore.exe [PID:1216] -> Tué

    ***** [Processus] *****

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\~0
    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Viewpoint
    Dossier Supprimé : C:\Documents and Settings\Biquette\Application Data\facemoods.com
    Dossier Supprimé : C:\Documents and Settings\Biquette\Local Settings\Application Data\OpenCandy
    Dossier Supprimé : C:\Program Files\Viewpoint
    Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml

    ***** [Registre] *****

    Clé Supprimée : HKLM\SOFTWARE\MetaStream
    Clé Supprimée : HKLM\SOFTWARE\Viewpoint
    Clé Supprimée : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
    Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4d71-8CE1-09DEBB8CFB78}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v7.0.1 (fr)

    Profil : b5wlyb6c.Blank
    Fichier : C:\Documents and Settings\Biquette\Application Data\Mozilla\Firefox\Profiles\b5wlyb6c.Blank\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Profil : bjk28d9i.default
    Fichier : C:\Documents and Settings\Biquette\Application Data\Mozilla\Firefox\Profiles\bjk28d9i.default\prefs.js

    C:\Documents and Settings\Biquette\Application Data\Mozilla\Firefox\Profiles\bjk28d9i.default\user.js ... Supprimé !

    Supprimée : user_pref("browser.search.defaultenginename", "Facemoods Search");
    Supprimée : user_pref("extensions.facemoods.aflt", "_#ddrnw");
    Supprimée : user_pref("extensions.facemoods.firstRun", false);
    Supprimée : user_pref("extensions.facemoods.lastActv", "30");

    Supprimée : user_pref("extensions.veohsearchrecs.VeohVersion", "1.4.4");
    Supprimée : user_pref("extensions.veohsearchrecs.id", "98cd10743-417b-95b6-ec26-7785becbe53");
    Supprimée : user_pref("extensions.veohsearchrecs.lastsitedate", "10");

    Profil : sssxae4v.Dev
    Fichier : C:\Documents and Settings\Biquette\Application Data\Mozilla\Firefox\Profiles\sssxae4v.Dev\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Profil : tc4jlrdf.Biket
    Fichier : C:\Documents and Settings\Biquette\Application Data\Mozilla\Firefox\Profiles\tc4jlrdf.Biket\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [5304 octets] - [03/11/2011 12:40:51]

    *************************

    Dossier Temporaire : 15 dossier(s)et 33 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [5525 octets] ##########

    Et les liens pour les rapports OTL.Txt et Extras.Txt:

    http://pjjoint.malekal.com/files.php?id=b1415y11x15f12f9w6o7t9w11b12t12y14o5q13f12m14o12f12i15

    http://pjjoint.malekal.com/files.php?id=h9y14s7t1114c11u15q5h9r13t12o9p13g8e14n8d15g12h10i9

    Merci pour ton aide.
    0
    1. Elo
       
      Dans le rapport Adwcleaner j'ai du retirer une ligne car sans ca je ne pouvais pas poster ma réponse (j'obtenais le message d'erreur Titre non renseigné).
      Voici la ligne en question: (les ... sont à remplacer par @

      Supprimée : user_pref("extensions.searchrecs.... veoh.com.install-event-fired", true);
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oki, par contre, le rapport OTL semble endommagé.
    Tu peux le renvoyer stp pour voir.
    0
  4. Elo
     
    http://pjjoint.malekal.com/files.php?id=k9y6f11h8m6h14r8q14u9j8r7p8u15b10n5f8l11i612b10
    0
    1. Elo
       
      En effet je viens de tester le lien ca a pas l'air tres lisible....ca a l'air d'etre mieux en passant par l'autre option de transfert de fichier (copier-coller) et qui me donne ce lien:
      http://pjjoint.malekal.com/files.php?id=OTL_h12t8t14b9x5j13z8z13e14e14d6k6v10q7o14z10r7k15h7w9
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca semble correct, ça donne quoi au niveau des pubs ?
    0
  7. Elo
     
    Hier soir j'en avais encore, ce matin ca à l'air mieux ca fait 1 heure que j'ai rien eu!!!
    Par contre maintenant c'est firefox qui plante, je ne peux plus l'ouvrir....
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Supprime les extensions sur Firefox et réinstalle les au fur et à mesure.
    0
  9. Elo
     
    Tu vas penser que je suis une quiche en info (ce qui est le cas, j'avoue...) mais je fais comment pour supprimer les extensions si je peux pas ouvrir Firefox?

    (j'utilise Firefox en multi sessions et c'est ma session qui plante, l'autre session marche normal)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      C'est dans le menu outils et modules.
      ga c'est une session qui plante...
      C'est peut-etre le fait d'avoir touché le user.js

      Tu peux supprimer : C:\Documents and Settings\Biquette\Application Data\Mozilla\Firefox\Profiles\bjk28d9i.default\user.js


      Dis, tes popups, c'est pas sur un site en particulier que tu les as ?
      0
  10. Elo
     
    "menu outils et modules": je ne peux pas l'atteindre vu que la fenetre Firefox ne s'ouvre pas

    "Tu peux supprimer : C:\Documents and Settings\Biquette\Application Data\Mozilla\Firefox\Profiles\bjk28d9i.default\user.js": je n'ai pas ce fichier.

    Quant aux pops up, non ils ne viennent pas d'un site en particulier.
    0