page de pub dans firefox et ralentissement pcRésolu/Fermé

Question

Bonjour a tous

a peine le pc réinstaller que déjà j'ai du moins je suppose une infection 

mon problème est le suivant ,firefox s'ouvre régulièrement t tout seule sur des pages de pub , et sa me ralentis le pc 

A chaque fois je me suis aperçu que l'uc était bloqué a 100% (Lollipop.exe)

En regardant sur le forum j'ai vu qu'il y a avait différente manip a faire ,mais j' voudrais avoir des conseils de votre part avant de faire n'importe quoi 

Merci par avance 



Configuration: Windows XP / Firefox 15.0.1

Destrio5 · Answer

Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir "Exécuter en tant qu'administrateur")

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau. 

--> Utilise le site http://pjjoint.malekal.com/ pour me transmettre le rapport ZHPDiag car il est plutôt long. Copie-colle le lien donné par le site dans ton prochain message.

monfafa · Answer

bonsoir a toi destrio 5 et je m'excuse du retard mais je débauche

j'ai fait se que tu ma dis ,mais j'ai un problème le programme se bloque a 39% et j'ai sa comme explication : 
impossible d'ouvrir le fichier "C\ ZHP\Tempo.txt". Le processus ne peut pas accéder au fichier car se fichier est utiliser par un autre processus

Destrio5 · Answer

Redémarre ton PC et réessaie.

monfafa · Answer

je viens de voir qu'il y a un problème avec le processus schtasks.exe 

c'est quoi et comment régler le problème

Destrio5 · Answer

As-tu vu mon précédent message ?

monfafa · Answer

bonjour

désolé je n'avais pas vu ton post 

Donc au redémarrage du pc se matin j'ai tenté de refaire un scan ,mais rien a faire il se bloque toujours a 39%

Que dois je faire

Destrio5 · Answer

On va utiliser un outil semblable à ZHPDiag.

--> Télécharge et enregistre OTL sur ton Bureau.

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

--> Clique ici pour voir les réglages que tu dois effectuer.

--> Copie-colle le texte présent en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation" :

/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
netsvcs 
safebootminimal 
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\system32\*.ini 
%systemroot%\Tasks\*.* 
%systemroot%\system32\Tasks\*.* 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\system32\config\*.sav 
%systemroot%\system32\config\*.exe /s 
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 
CREATERESTOREPOINT

--> Clique sur "Analyse". 

--> A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). Il y aura aussi un rapport nommé Extras.txt. 

/!\ Ne les poste pas directement sur le forum (ils sont trop longs) /!\

--> Héberge OTL.txt et Extras.txt sur http://pjjoint.malekal.com et poste les liens qui mènent aux rapports dans ton prochain message.

monfafa · Answer

bonsoir
j'ai fait le scan et je te donne l'adresse ou j'ai poste les deux raport 
https://pjjoint.malekal.com/files.php?read=OTL_Extras_20120919_q7m11j11z14n10

Destrio5 · Answer

--> Désinstalle Spybot.

--> Télécharge et lance  AdwCleaner (d'Xplode), choisis l'option "Suppression" et poste le rapport.

monfafa · Answer

probleme le programme se bloque au quart ,j'ai essaye de le relancer plusieurs fois mais rien a faire

Destrio5 · Answer

En mode sans échec, il ne bloquera pas :
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp

monfafa · Answer

mais en mode sans echec il bloque 
je ni comprend plus rien

Destrio5 · Answer

--> Télécharge et enregistre SystemLook sur ton Bureau.  
--> Double-clique sur SystemLook.exe pour le lancer.  
--> Copie-colle le texte en gras ci-dessous dans la zone texte de SystemLook :  


:dir  
C:\WINDOWS\System32\Extensions /S /MD5       
C:\WINDOWS\System32\searchplugins /S /MD5        
C:\Documents and Settings\administrateur\Local Settings\Application Data\Lollipop /S /MD5  


--> Clique sur le bouton Look pour démarrer l'examen.  
--> A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.  
Note : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

monfafa · Answer

bonjour 

voila le rapport 
SystemLook 30.07.11 by jpshortstuff
Log created at 07:14 on 20/09/2012 by Administrateur
Administrator - Elevation successful

========== dir ==========

C:\WINDOWS\System32\Extensions - Parameters: "/S /MD5"

---Files---
None found.

No folders found.

C:\WINDOWS\System32\searchplugins - Parameters: "/S /MD5"

---Files---
None found.

No folders found.

C:\Documents and Settings\administrateur\Local Settings\Application Data\Lollipop - Parameters: "/S /MD5 "

---Files---
Lollipop.exe	--a---- 760320 bytes	[18:05 13/09/2012]	[18:05 13/09/2012] 18B8B648A3CBBB7045B27B95B4F7E1EF
lollipop.lpd	--a---- 3597 bytes	[18:06 13/09/2012]	[05:13 20/09/2012] C432A024F7E8DB436CD6D81AD56DD647
lollipop_cfg.lpd	--a---- 363683 bytes	[18:06 13/09/2012]	[16:48 17/09/2012] 197F87E6B5BC9D21D64E58C8477E5385
lollipop_ps.lpd	--a---- 3316 bytes	[18:06 13/09/2012]	[05:14 20/09/2012] 49ABB742BFF92AAB1D19DE2A49BF3F55

No folders found.

-= EOF =-

juju666 · Answer

Salut j'aimerais savoir à quoi sert ce fichier il me parait louche:  

C:\Documents and Settings\administrateur\Local Settings\Application Data\Lollipop\Lolipop.exe  

Peux-tu l'envoyer sur  https://www.virustotal.com/gui/ et coller le lien vers l'analyse ? merci 
  
 .::. Contributeur Sécurité .::.

monfafa · Answer

bonsoir
j"ai fait se que tu ma dis et je suis infecter , mais comment je dois faire pour regler se probleme
https://www.virustotal.com/gui/file/da9b5615821b5e88d31feacd7a35fd010f133934ef7158e15f5308c6234b0842

juju666 · Answer

Ouvre OTL, coche Rapport minimal , clique sur analyse.
Héberge le rapport sur pjjoint et poste le lien

monfafa · Answer

https://pjjoint.malekal.com/files.php?id=OTL_Extras_20120920_j6l13v5n9t7

juju666 · Answer

la suite avec Destrio5 :o)

Merci pour l'analyse de ce fichier, je sais désormais qu'il est néfaste ! :D

Destrio5 · Answer

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

--> Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte en gras présent ci-dessous :


:OTL
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\applic~1\browse~1\22643~1.41\{16cdf~1\browse~1.dll) - c:\Documents and Settings\All Users\Application Data\Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll () 
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\SweetIM\Toolbars\Internet Exploreresources\menuext.html File not found   
O4 - HKU\S-1-5-21-1275210071-1958367476-682003330-500\..\Run: [lollipop] c:\documents and settings\administrateur\local settings\application data\lollipop\lollipop.exe ()   
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\Documents and Settings\All Users\Application Data\Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012/09/13 20:13:2
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"      
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"      
IE - HKU\S-1-5-21-1275210071-1958367476-682003330-500\..\SearchScopes,BrowserMngrDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} 
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}   
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10015  
SRV - [2012/09/13 20:13:17 | 001,701,400 | ---- | M] () [Auto | Running] -- C:\Documents and Settings\All Users\Application Data\Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager)

:files
C:\Program Files\SweetIM 
C:\Documents and Settings\All Users\Application Data\Browser Manager
c:\documents and settings\administrateur\local settings\application data\lollipop

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]  
"C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}]  
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5B58EF61-85F2-4977-97A5-84C19F926579}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}]
[-HKEY_USERS\S-1-5-21-1275210071-1958367476-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lollipop]      

:commands
[emptytemp]


--> Puis clique sur le bouton Correction en haut de la fenêtre.

--> Laisse le programme travailler, redémarre une fois le fix terminé.

--> Poste le rapport qui s'affichera après redémarrage.

monfafa · Answer

https://pjjoint.malekal.com/files.php?read=20120920_f8g11b13z6c9

Destrio5 · Answer

Bien.

Réessaie d'utiliser AdwCleaner maintenant.

monfafa · Answer

https://pjjoint.malekal.com/files.php?read=20120920_v14e10n8w6g6

monfafa · Answer

ok je fais quoi maintenant

Destrio5 · Answer

--> Relance AdwCleaner, choisis l'option "Suppression" et poste le rapport.

monfafa · Answer

voila le rapport
 https://pjjoint.malekal.com/files.php?read=20120920_r15s12w9u10y13

Destrio5 · Answer

Plus de souci ?

--> Relance AdwCleaner et choisis "Désinstallation".

--> Je voudrais un nouveau rapport d'OTL.

monfafa · Answer

rapport d'OTL
 https://pjjoint.malekal.com/files.php?read=OTL_20120920_1114p10q9q7

Destrio5 · Answer

"O1 - Hosts: 10.2.0.240	DC1TF 
O1 - Hosts: 10.2.0.241	tacon2 
O1 - Hosts: 10.2.0.242	tacon3  
O1 - Hosts: 10.2.0.240	DC1TF.taconfrance.com  
O1 - Hosts: 10.2.0.241	tacon2.taconfrance.com
O1 - Hosts: 10.2.0.242	tacon3.taconfrance.com    
O1 - Hosts: 192.168.1.18	nasvig   
O1 - Hosts: 192.168.2.18	nascdr    
O1 - Hosts: 192.168.1.18	nasvig.taconfrance.com   
O1 - Hosts: 192.168.2.18	nascdr.taconfrance.com"

--> C'est toi qui a mis ça ?

monfafa · Answer

bonjour destrio5 ,fatigué hier soir je suis aller me coucher

pour les lignes que tu as mis , non se n'est pas moi c'est un pc de bureau que j'ai racheter a mon entreprise 
Mais si il y a moyen et si elle ne servent a rien ,comment faire pour les supprimer

Destrio5 · Answer

Ok.

Le PC fonctionne mieux ?

---> Télécharge HostsXpert sur ton Bureau :
http://www.funkytoad.com/download/HostsXpert.zip

---> Décompresse-le (Clic droit >> Extraire ici).

---> Double-clique sur HostsXpert pour le lancer.

---> Clique sur le bouton "Restore MS Hosts File" puis ferme le programme.

PS : avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche soit ouvert sinon tu vas avoir un message d'erreur.

monfafa · Answer

bonjour

oui le pc va mieux ,mise apart firefox que je trouve un peu long a s'ouvrir 

j'ai fait se que tu ma dis , et je maintenant ? pour les lignes que tu me décrivais dans ton dernier post de hier soir il faut faire quoi pour les supprimer ?

Destrio5 · Answer

Pour les lignes Hosts, c'est réglé avec HostsXpert.

Tu as quoi comme extension(s) sur Firefox ?

monfafa · Answer

j'ai que adblock plus 
et noscript qui désactivé car que je croyais que les souci venait de lui

Destrio5 · Answer

As-tu désinstallé puis réinstallé Firefox pour voir si cela changeait quelque chose ?

https://www.mozilla.org/fr/firefox/new/

monfafa · Answer

bonjour
non je ne l'avais pas encore fais ,mais après le post de mon message je vais le faire
Mais par contre l'uc a toujours tendance a se bloque a 100% c'est le processus MsMpEng.exe qui prend toute la puissance

Destrio5 · Answer

Ce processus appartient à Microsoft Security Essentials.

monfafa · Answer

ok , mais il est embêtant car il bloque le pc régulièrement est ce que autre chose n'en, serait pas la cause?

Destrio5 · Answer

Au pire, change d'antivirus.

Retélécharge ZHPDiag et réessaie cette manip' :
https://forums.commentcamarche.net/forum/affich-26095294-page-de-pub-dans-firefox-et-ralentissement-pc#1

monfafa · Answer

bonsoir
voila le rapport
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120922_x915r1310p11

monfafa · Answer

bonjour destrio5

tu pense quoi du rapport de ZHPDiag

Destrio5 · Answer

Désinstalle l'antivirus de Microsoft et installe Avast ou Avira par exemple et vois ce que ça donne.

monfafa · Answer

pourquoi tu pense que mes souci vienne de lui

Destrio5 · Answer

Par rapport à ce que tu as écrit : "Mais par contre l'uc a toujours tendance a se bloque a 100% c'est le processus MsMpEng.exe qui prend toute la puissance"

monfafa · Answer

et se processus est lié avec l'anti virus?
il était déjà installer quand j'ai eu le pc, est ce qu'il aurait pas ete mal installer

et une désinstallation et une réinstallation ne résoudrais pas le problème

Destrio5 · Answer

Oui :
https://forums.commentcamarche.net/forum/affich-26095294-page-de-pub-dans-firefox-et-ralentissement-pc?page=2#37

Tu peux tester si tu le souhaites :
https://support.microsoft.com/en-us/windows/what-is-microsoft-security-essentials-c25ad47a-7d15-8072-1438-b07dffcbbb20

monfafa · Answer

bonjour 
ok et d'après toi quel est le mieux sur les deux que tu ma citer "antivir ou avast"

Destrio5 · Answer

Avast est pas mal :
http://www.commentcamarche.net/download/telecharger-151-avast

monfafa · Answer

bonjour

j'ai installer avast et sa a l'air d' un peu mieux , mais dis moi j'ai une question a te poser j'ai vu sur différent forum qu'il était possible de désactiver certains  pour soulager xP, est ce que c'est vrai et si oui lequel

Destrio5 · Answer

Certains services ?

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} Clé orpheline   
O20 - Winlogon Notify: avldr . (...) -- avldr.dll      
O43 - CFD: 26/07/2006 - 16:46:38 - [27,998] ----D C:\Program Files\Panda Software
O20 - Winlogon Notify: TPLogon . (...) -- TPLogon.dll
O47 - AAKE:Key Export SP - "C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe" [Enabled] .(...) -- C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe (.not file.)
O47 - AAKE:Key Export DP - "C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe" [Enabled] .(...) -- C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe (.not file.)
[HKLM\Software\Panda Software]
[HKCU\Software\lollipop]  
O53 - SMSR:HKLM\...\startupreg\SweetIM  [Key] . (...) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]  
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

monfafa · Answer

bonjour voila le rapport :
Rapport de ZHPFix 1.3.01 par Nicolas Coolman, Update du 22/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-09-2012-15-03-28.txt
Run by Administrateur at 29/09/2012 15:03:28
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: Winlogon Notify: avldr
SUPPRIME Key: Winlogon Notify: TPLogon
SUPPRIME Key: HKLM\Software\Panda Software
SUPPRIME Key: HKCU\Software\lollipop
SUPPRIME Key:  StartupReg: SweetIM
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}

========== Valeur(s) du Registre ==========
SUPPRIME AAKE KeyValue: C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Panda Software
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
ABSENT File: avldr.dll
ABSENT File: tplogon.dll
ABSENT File: c:\program files\panda software\panda administrator 3\pav_agent\pagent.exe
ABSENT File: c:\program files\sweetim\messenger\sweetim.exe
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
9 : Clé(s) du Registre
1 : Valeur(s) du Registre
3 : Dossier(s)
6 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 16s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/09/2012 15:03:28 [1824]

monfafa · Answer

bonsoir destrio5

est ce que le rapport est bien si oui je peux désinstaller les logiciels que j'ai mis sur le pc pour le désinfection

Destrio5 · Answer

Pour finir :


1/

---> Télécharge DelFix sur ton Bureau.
* Lance DelFix puis clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

* Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Mets à jour Adobe Reader (décoche McAfee Security Scan Plus).

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


;)

Steph58. · Answer

je doit avoir casiment le meme probleme mais mon anti-virus a bloque firefox par avance
il me met que lollipop.exe a tenté de modifier votre naviguateur

celine10 · Answer

http://cjoint.com/12nv/BKjmitQaVjy_zhpdiag1

Merci de m'aider.

Destrio5 · Answer

Il est préférable que chacun crée son propre sujet :
https://forums.commentcamarche.net/forum/virus-securite-7/new

Page de pub dans firefox et ralentissement pc

56 réponses

Newsletters