Site publicitaire lorsque je clique une recherche google

raphaelle 01 Messages postés 14 Statut Membre -  
raphaelle 01 Messages postés 14 Statut Membre -
Bonjour,

Depuis quelques jours, lorsque je fais une recherche google et veut cliquer sur un lien, un autre site (souvent publicitaire et souvent ebay) se lance en lieu et place du site voulu.

Avira ne détecte aucun virus mais seulement des objets cachés.

En plus, mon PC plante : une fenêtre bleue apparait disant que windows a été fermé pour ne pas endommager mon système.

Est-ce que quelqu'un peut m'aider?

Merci d'avance

24 réponses

  • 1
  • 2
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Je vois 3 antivirus installés sur le système, c'est une source de conflit et c'est inefficace. Lequel veux tu conserver entre Norton et Antivir ?

    Symantec Norton Antivirus
    Avira Free Antivirus
    ClamWin Free Antivirus 0.97.6


    A +
    1
  2. Utilisateur anonyme
     
    bonjour,

    ---> Téléchargez et lancez AdwCleaner (merci à Xplode)

    ---> adwcleaner

    ---> Cliquez sur [Recherche], et postez le rapport sur le forum.

    ---> Si le rapport ne s'est pas affiché, il se trouve aussi dans : C:\AdwCleaner[R_].txt.

    @ +
    0
  3. raphaelle 01 Messages postés 14 Statut Membre
     
    Bonjour et merci pour votre réponse.

    Voici le rapport :

    # AdwCleaner v2.007 - Rapport créé le 16/11/2012 à 18:34:10
    # Mis à jour le 06/11/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
    # Nom d'utilisateur : MSI - PC-DE-MSI
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\MSI\Downloads\adwcleaner.exe
    # Option [Recherche]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Présent : C:\Program Files\CrazyLoader
    Dossier Présent : C:\Program Files\freeTVRadio
    Dossier Présent : C:\Users\MSI\AppData\Local\Crazyloader Air
    Dossier Présent : C:\Users\MSI\AppData\Local\freetvradio Air
    Dossier Présent : C:\Users\MSI\AppData\Roaming\freeTVRadio
    Dossier Présent : C:\Users\MSI\AppData\Roaming\OpenCandy
    Dossier Présent : C:\Users\MSI\AppData\Roaming\pdfforge
    Fichier Présent : C:\Users\MSI\AppData\Roaming\Mozilla\Firefox\Profiles\7fmqcqk2.default\searchplugins\Askcom.xml

    ***** [Registre] *****

    Clé Présente : HKCU\Software\freeTVRadio
    Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\CrazyLoader
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5F65718-341D-4E7D-9842-FCB9CC89527E}
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Présente : HKCU\Software\Spointer
    Clé Présente : HKLM\Software\CrazyLoader
    Clé Présente : HKU\S-1-5-21-2016265845-1833855667-2221819533-1000\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v7.0.6001.18000

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v16.0.2 (fr)

    Nom du profil : default
    Fichier : C:\Users\MSI\AppData\Roaming\Mozilla\Firefox\Profiles\7fmqcqk2.default\prefs.js

    Présente : user_pref("browser.search.order.1", "Ask.com");

    *************************

    AdwCleaner[R1].txt - [2276 octets] - [16/11/2012 18:34:10]

    ########## EOF - C:\AdwCleaner[R1].txt - [2336 octets] ##########
    0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir raphaelle 01

    Il faut être vigilant quand on installe un programme, faire attention aux conditions d'utilisation et aux cases pré-cochées.
    Bannir les diverses barres d'outils ou moteurs de recherches, etc....proposées lors de l'installation : https://forum.malekal.com/viewtopic.php?t=33776&start=

    1. Désinstalle si encore présents et si possible :

    CrazyLoader
    freeTVRadio 

    Aide : Comment désinstaller un programme

    2. Relance AdwCleaner

    ▸ Sous XP double-clic sur l'icône pour lancer l'outil.
    ▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    Ferme impérativement le navigateur ainsi que les applications en cours.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    Poste le rapport, A +

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. raphaelle 01 Messages postés 14 Statut Membre
     
    Merci pour ton aide.
    Je dois effectivement etre plus vigileante.
    Voici le rapport.
    Raphaëlle

    # AdwCleaner v2.007 - Rapport créé le 17/11/2012 à 01:10:17
    # Mis à jour le 06/11/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
    # Nom d'utilisateur : MSI - PC-DE-MSI
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\MSI\Downloads\adwcleaner(1).exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files\CrazyLoader
    Dossier Supprimé : C:\Program Files\freeTVRadio
    Dossier Supprimé : C:\Users\MSI\AppData\Local\Crazyloader Air
    Dossier Supprimé : C:\Users\MSI\AppData\Local\freetvradio Air
    Dossier Supprimé : C:\Users\MSI\AppData\Roaming\freeTVRadio
    Dossier Supprimé : C:\Users\MSI\AppData\Roaming\OpenCandy
    Dossier Supprimé : C:\Users\MSI\AppData\Roaming\pdfforge
    Fichier Supprimé : C:\Users\MSI\AppData\Roaming\Mozilla\Firefox\Profiles\7fmqcqk2.default\searchplugins\Askcom.xml

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\freeTVRadio
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\CrazyLoader
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5F65718-341D-4E7D-9842-FCB9CC89527E}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Spointer
    Clé Supprimée : HKLM\Software\CrazyLoader
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v7.0.6001.18000

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v16.0.2 (fr)

    Nom du profil : default
    Fichier : C:\Users\MSI\AppData\Roaming\Mozilla\Firefox\Profiles\7fmqcqk2.default\prefs.js

    C:\Users\MSI\AppData\Roaming\Mozilla\Firefox\Profiles\7fmqcqk2.default\user.js ... Supprimé !

    Supprimée : user_pref("browser.search.order.1", "Ask.com");

    *************************

    AdwCleaner[R1].txt - [2405 octets] - [16/11/2012 18:34:10]
    AdwCleaner[R2].txt - [2468 octets] - [17/11/2012 01:09:22]
    AdwCleaner[R3].txt - [2528 octets] - [17/11/2012 01:10:07]
    AdwCleaner[S1].txt - [2420 octets] - [17/11/2012 01:10:17]

    ########## EOF - C:\AdwCleaner[S1].txt - [2480 octets] ##########
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    L'élimination des adwares n'a pas du résoudre ton problème de redirections car cela relève d'une infection plus conséquente. Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    netsvcs 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.*
    winsock.*
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.*
    %systemroot%\Tasks\*.* /s
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  8. raphaelle 01 Messages postés 14 Statut Membre
     
    Bonsoir,

    Je n'arrive pas à désinstaller Symantec Norton (installé d'origine mais qui n'est plus à jour).
    Il n'apparait pas dans la liste des programmes que je peux désinstaller.

    Idem pour ClamWin que j'ai installé récemment.

    Je souhaite conserver Avira, comment faire pour désinstaller les autres?

    Merci,
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Bonjour,

      J'attendais de savoir lequel tu voulais garder pour te donner la méthode.

      Moi, je l'ai vois dans la liste :

      ClamWin Free Antivirus 0.97.6
      Norton Internet Security
      LiveUpdate (Symantec Corporation)

      Téléchargement et exécution de l'outil Norton Removal Tool pour désinstaller votre produit Norton

      Fait ce que tu peux, ensuite, on pourra commencer la désinfection car tu as zeroaccess.

      A +
      0
  9. raphaelle 01 Messages postés 14 Statut Membre
     
    J'ai désinstallé Norton (je pense) grâce à l'outil Norton Removal Tool.
    Que dois-je faire ensuite?

    Merci,
    0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    == == == == == == == == == == == == == == == == == == == == == ==
    Par précaution, sauvegarde tes documents les plus importants.
    == == == == == == == == == == == == == == == == == == == == == ==

    1. Télécharge ComboFix de sUBs.
    TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

    IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
    Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

    Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.

    ● Lance ComboFix
    ● Accepte la licence d'utilisation et laisse toi guider par le programme.
    ● Accepte d'installer la console de récupération (sous XP)
    ● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.

    Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

    Notes :

    ▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
    ▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
    ▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.


    Aide : Comment utiliser ComboFix

    2. Héberge le rapport sur un des sites suivants :
    https://security-x.fr/up/
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    1. Relance OTL

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note

    2. Télécharge Farbar Service Scanner sur ton Bureau.
    ● Lance l'outil puis coche les cases suivantes :

    Internet Services
    Windows Firewall
    System Restore
    Security Center
    Windows Update
    Windows Defender
    Others Services

    ● Clique sur "Scan".
    ● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

    3. Héberge les rapports et poste les liens

    A +
    0
  12. raphaelle 01 Messages postés 14 Statut Membre
     
    Est-ce que je personnalise OTL comme la dernière fois?
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Non, ce n''est pas nécessaire :)
      0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Il te reste quoi comme soucis ?

    Relance OTL

    ● Dans la partie "Personnalisation", copie/colle :

    C:\Users\MSI\AppData\Roaming\570B3E4C42042AD31A21EBCE448C4924 \*.* /s 

    ● Clique sur le bouton Aucun puis Analyse.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.
    ● Copie/colle le dans ton prochain message.

    A +
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Bonjour,

      Nous avions presque fini, il eut été préférable de finaliser cette désinfection.


      A +
      0
  14. raphaelle 01 Messages postés 14 Statut Membre
     
    Bonjour,

    J'étais en congés la semaine dernières. Désolée de ne pas avoir prévenue.

    En ce qui concerne les problèmes, je n'ai plus eu de problème de redirection (mais je n'ai pas utilisé mon ordi la semaine dernière).
    Aujourd'hui en tout cas, pas de soucis particulier.

    Ci dessous le rapport OTL demandé.

    Merci,

    Raphaëlle

    OTL logfile created on: 26/11/2012 22:50:35 - Run 5
    OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\MSI\Desktop
    Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
    Internet Explorer (Version = 7.0.6001.18000)
    Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

    2,97 Gb Total Physical Memory | 2,11 Gb Available Physical Memory | 71,00% Memory free
    6,16 Gb Paging File | 5,26 Gb Available in Paging File | 85,39% Paging File free
    Paging file location(s): ?:\pagefile.sys [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
    Drive C: | 43,95 Gb Total Space | 5,02 Gb Free Space | 11,43% Space Free | Partition Type: NTFS
    Drive D: | 181,13 Gb Total Space | 80,80 Gb Free Space | 44,61% Space Free | Partition Type: NTFS

    Computer Name: PC-DE-MSI | User Name: MSI | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

    [color=#E56717]========== Custom Scans ==========[/color]

    [color=#A23BEC]< C:\Users\MSI\AppData\Roaming\570B3E4C42042AD31A21EBCE448C4924 \*.* /s >[/color]

    < End of report >
    0
  15. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    == == == == == == == == == == == == == == == == == == == == == ==
    Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
    Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
    == == == == == == == == == == == == == == == == == == == == == ==

    1. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions suivantes :

    :instructions
    :OTL
    DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\jxoqimry.sys -- (jxoqimry)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 10.5.1)
    O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 10.5.1)
    @Alternate Data Stream - 164 bytes -> C:\ProgramData\TEMP:BC359956
    :Files
    C:\Users\MSI\AppData\Roaming\570B3E4C42042AD31A21EBCE448C4924
    ipconfig /flushdns /c
    :Commands
    [emptytemp]

    Ferme impérativement les applications en cours.
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    2. Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Laisse cochées les cases : Mettre à jour Malwarebytes Anti-Malware et Lancer Malwarebytes Anti-Malware, puis clique sur Terminer.
    ● Si une mise à jour est trouvée, il va télécharger et installer la dernière version.
    ● Une fois le programme chargé, sélectionne "Effectuer un examen rapide", puis clique sur le bouton Rechercher.
    ● Lorsque l'analyse est terminée, clique sur OK, puis Afficher les résultats.
    ● Vérifie que toutes les cases soient cochées, puis clique sur Supprimer la sélection.
    ● Quand la désinfection est terminée, un rapport s'ouvre dans le Bloc-notes.
    ● Si des éléments sont difficiles à supprimer, Malwarebytes l'indiquera, clique sur OK, laisse l'outil poursuivre la désinfection.
    ● Accepte de redémarrer l'ordinateur si nécessaire.

    Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb

    Les rapports sont automatiquement enregistrés et peuvent être consultés en cliquant sur l'onglet rapports/logs

    3. héberge les rapports et poste les liens.

    A +
    0
  16. raphaelle 01 Messages postés 14 Statut Membre
     
    Bonjour,
    j'ai essayé par deux fois de lancer OTL avec la personnalisation indiquée, mais l'ordi ne redémarre pas et plante. Je dois le redémarrer par moi -même. (ctrl +alt+ sup).

    Que dois je faire?
    Merci,
    0
  • 1
  • 2