Page de pub internet ! plus d'avira, mbam bugRésolu/Fermé

Question

Bonjour,  

Depuis quelques jours, des pages internet s'ouvrent toute seule vers des sites de pubs divers... 

Ca a commencé lorsque j'ai effectué une mise a jour d'Avira. Depuis, MBAM et Avira m'ont trouvé une dizaine de virus dont certains reviennent plusieurs fois même après suppression. 

Aujourd'hui Avira ne s'ouve plus, impossible de mettre a jour, j'ai tenté une analyse MBAM mais après 3 infections trouvées et 10 mn de scan, l'ordi a redémarré tout seul... 


Je joins le dernier rapport Avira : 
http://cjoint.com/?BBAtYsv8xBy 

Et USbfix qui a échoué : 
http://cjoint.com/?BBAtZl9KR4r 

Merci d'avance...! 

Jo 




Configuration: Windows XP SP3 / Firefox 10.0.2

Utilisateur anonyme · Answer

Bonsoir

Inscris toi avant tout  

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

jonjonjon · Answer

Merci de ta rapidité voila le rapport :

https://www.cjoint.com/?BBAujcAffAn

Utilisateur anonyme · Answer

Re

1)[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

jonjonjon · Answer

L'ordi ne se connecte plus car la carte reste sur "lecture de la carte réseau", je fais donc les manips a partir d'un autre ordi mais je ne peux pas avoir les maj des programmes avant l'analyse... et mes réponses sont plus longues! RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: BATTANDIER [Droits d'admin] Mode: Recherche -- Date: 26/02/2012 20:28:50 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] 4l3yaggec6.exe -- C:\Documents and Settings\BATTANDIER\4l3yaggec6.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 3 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : 4l3yaggec6 (C:\Documents and Settings\BATTANDIER\4l3yaggec6.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-1229272821-220523388-682003330-1004[...]\Run : 4l3yaggec6 (C:\Documents and Settings\BATTANDIER\4l3yaggec6.exe) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HDT725025VLA380 +++++ --- User --- [MBR] f76524381abc56c834d4f87152c66096 [BSP] 6dc9663f5a4fe1a38d3bfdc6cc01fc97 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 148985 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 305122545 | Size: 89487 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST31000528AS +++++ --- User --- [MBR] 3f98ce3c81857a33d204b3a5766f10cb [BSP] c59baa8479606f2834844347ac114355 : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive2: USB DISK 2.0 USB Device +++++ --- User --- [MBR] f75ab3059620ccf2f39c1dc8d0d47d92 [BSP] ef3177ea6997481f5647d45aa222b26f : MBR Code unknown Partition table: 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 14640 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt

Utilisateur anonyme · Answer

Re

1)Relance Roguekiller option suppression

Poste moi ce rapport



2) Télécharge TDSSKiller 

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
    
Poste moi son rapport à l'issue; merci


@+

jonjonjon · Answer

TDSS me dit "error, can't load driver" au démarrage, je ne peux que lancer le scan ensuite, et je n'ai aucun fichier détecté ni rapport...

Voila le rapport RogueKiller :

https://www.cjoint.com/?BBAuR1F8ZGT

Merci

Utilisateur anonyme · Answer

Re

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

jonjonjon · Answer

Alors,

J'ai dû redémarrer car présence de rootkit, et je n'ai pas pu créer de point de restauration car pas de connexion...

Puis l'ordi a redémarré tout seul au milieu de l'analyse, ça fait 3 fois qu'il redémarre tout seul...

J'ai donc relancé l'analyse, rebelote rootkit, puis l'analyse s'est terminé normalement :

https://www.cjoint.com/?BBAvILV0Mq8

merci

jonjonjon · Answer

là bien mieux, avira s'active, connexion rétablie!

Utilisateur anonyme · Answer

Re

Tu procèdes comme  pour accéder au mode sans échec mais tu choisis:

Invite de commande en mode sans échec :

Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).

@ pour espace

cd \
cd@windows
cd@system32
rstrui

Pour obtenir : 
C : \windows \system32 > rstrui

Cela te permettra d'accéder à la restauration
Et procède à une restauration antérieure à ton problème originel.

N'hésites pas à choisir une date ancienne.


@+

jonjonjon · Answer

la restauration ne me fera pas perdre toutes les modifications que j'ai faites entre temps ? Nouveau fichiers, dossier etc...

jonjonjon · Answer

après moultes péripéties, je suis sur l'inviter de commande du mode ans echec, mais la commande rstrui n'est pas reconnue ...

jonjonjon · Answer

J'ai restauré au 15 février 2012 avec l'outil restauration dans accessoire, là je fais des analyse Mbam et Avira. Si quelqu'un a d'autres suggestions car je ne crois pas qu'il soit vraiment réparer...

Merci Guillaume en tout cas!

jonjonjon · Answer

Voila le rapport Avira avec 10 virus, et le scan en temps réel en trouve régulièrement...

https://www.cjoint.com/?BBBao10Y552

Merci d'avance !

Utilisateur anonyme · Answer

Bonsoir

1)Supprime ComboFix.

2)Télécharge le à nouveau
Lance le et poste moi son rapport.

@+

jonjonjon · Answer

Re Guillaume

Voila le rapport combofix, a noter qu'il ma indiqué la présence du rootkit zeroaccess qui a l'air méchant, et que je n'arrivais pas a désactiver AVIRA (je l'ai fais mais combofix me disait qu'il était encore actif, impossible d'arrêter le processus)

https://www.cjoint.com/?BBCrGgTxqDM

Merci

Utilisateur anonyme · Answer

Bonsoir

Lance une analyse complète de ton PC avec ton antivirus à jour et ensuite poste moi ce rapport;merci.

@+

jonjonjon · Answer

Bonsoir,

Voila le rapport avec du retard...

https://www.cjoint.com/?BCbrSEOMTzS

Encore merci !

Utilisateur anonyme · Answer

Bonsoir

1)Vide la quarantaine de ton antivirus.

2)Met à jour Malwaresbytes et lance une analyse rapide .
Supprime bien tout ce qu'il trouve.
Poste moi ensuite son rapport;merci

@+

jonjonjon · Answer

Bonsoir,

Voila, par contre c'est un examen complet :

https://www.cjoint.com/?BCbtyLXMRfz

L'ordi va mieux, avira ne bip plus toute les 5min ! Je crois qu'on arrive au bout ?

Utilisateur anonyme · Answer

Re

1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


3)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

jonjonjon · Answer

Bonsoir

Le rapport Del Fix est en fin de réponse 

Pour CCleaner, j'ai une erreur qui revient tout le temps après avoir d'abord réparé les nombreuses erreurs qu'il y avait:

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}]

Enfin, pour la restauration j'ai pas compris si au final je dois laissé cochée ou décochée la case : " Désactiver la Restauration du système sur tous les lecteurs"...?

En tout cas merci bien, encore ce soir, l'ordi n'a pas bronché !

++



*	# DelFix v8.8 - Rapport créé le 02/03/2012 à 20:52:07
*	# Mis à jour le 12/02/12 par Xplode
*	# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
*	# Nom d'utilisateur : BATTANDIER - BATTANDI-7A1978 (Administrateur)
*	# Exécuté depuis : C:\Documents and Settings\BATTANDIER\Mes documents\Téléchargements\delfix.exe
*	# Option [Suppression]
*	
*	
*	~~~~~~ Dossiers(s) ~~~~~~
*	
*	Supprimé : C:\Qoobox
*	Supprimé : C:\USBFix
*	Supprimé : C:\ZHP
*	Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\RK_Quarantine
*	Supprimé : C:\Program Files\ZHPDiag
*	
*	~~~~~~ Fichier(s) ~~~~~~
*	
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\asdehi.exe <-- Combofix
*	Supprimé : C:\ComboFix.txt
*	Supprimé : C:\TDSSKiller.2.7.14.0_26.02.2012_20.41.40_log.txt
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\RKreport[1].txt
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\RKreport[2].txt
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\RogueKiller.exe
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\TDSSKiller.exe
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\ZHPDiag.txt
*	Supprimé : C:\Documents and Settings\BATTANDIER\Bureau\ZHPDiag2.exe
*	Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
*	Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
*	Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
*	Supprimé : C:\WINDOWS\grep.exe
*	Supprimé : C:\WINDOWS\PEV.exe
*	Supprimé : C:\WINDOWS\NIRCMD.exe
*	Supprimé : C:\WINDOWS\MBR.exe
*	Supprimé : C:\WINDOWS\SED.exe
*	Supprimé : C:\WINDOWS\SWREG.exe
*	Supprimé : C:\WINDOWS\SWSC.exe
*	Supprimé : C:\WINDOWS\SWXCACLS.exe
*	Supprimé : C:\WINDOWS\Zip.exe
*	
*	~~~~~~ Registre ~~~~~~
*	
*	Clé Supprimée : HKLM\SOFTWARE\Swearware
*	Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
*	
*	~~~~~~ Autres ~~~~~~
*	
*	-> Prefetch Vidé
*	
*	*************************
*	
*	DelFix[S1].txt - [1985 octets] - [02/03/2012 20:52:07]
*	
*	########## EOF - C:\DelFix[S1].txt - [2109 octets] ##########Bas du formulaire

Utilisateur anonyme · Answer

Bonsoir

Pour la restauration;

Dans un premier temps il s'agit de la désactiver (tu valides)

Dans le deuxième temps de la réactiver (et tu valides)

Si tu n'as plus de problèmes ,je te propose de clore ce post.

@+

jonjonjon · Answer

Ok

Merci encore pour ton aide !

A+

Page de pub internet ! plus d'avira, mbam bug

24 réponses

Discussions similaires

Newsletters