Annonce Surgissante Lottery Master

Résolu
cedbord Messages postés 22 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour, j'utilise depuis un moment mozilla firefox. Jusqu'à il y a peu de temps, je n'avais aucun problème avec celui-ci, mais maintenant je reçois des annonces m'invitant à jouer à Lottery Master qui provienne du site GoDaddy. Ces annonces se manifestes par ouverture d'onglet lorsque je clique à un moment ou un autre. Cela n'a rien avoir avec les publicités sur les sites web puisqu'ils s'ouvrent à n'importe quel instant comme en ce moment même. J'ai déjà essayer de désinstaller firefox complètement mais ca n'a fonctionner qu'au début et je ne souhaite pas changer de naviguateur. Merci

6 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Télécharge sur cette page: AdwCleaner (de Xplode)

    ▶ Lance-le

    clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    0
    1. cedbord Messages postés 22 Statut Membre 1
       
      Voici le rapport:
      # AdwCleaner v2.100 - Rapport créé le 14/12/2012 à 13:23:59
      # Mis à jour le 09/12/2012 par Xplode
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
      # Nom d'utilisateur : maison - MAISON-HP
      # Mode de démarrage : Normal
      # Exécuté depuis : C:\Users\maison\Desktop\AdwCleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****

      Dossier Supprimé : C:\ProgramData\Browser Manager
      Fichier Supprimé : C:\Users\maison\AppData\Roaming\Mozilla\Firefox\Profiles\wjggu7ht.default\bprotector_extensions.sqlite
      Supprimé au redémarrage : C:\Program Files (x86)\Common Files\AVG Secure Search

      ***** [Registre] *****


      ***** [Navigateurs] *****

      -\\ Internet Explorer v9.0.8112.16457

      [OK] Le registre ne contient aucune entrée illégitime.

      -\\ Mozilla Firefox v17.0.1 (fr)

      Nom du profil : default
      Fichier : C:\Users\maison\AppData\Roaming\Mozilla\Firefox\Profiles\wjggu7ht.default\prefs.js

      [OK] Le fichier ne contient aucune entrée illégitime.

      -\\ Google Chrome v22.0.1229.96

      Fichier : C:\Users\maison\AppData\Local\Google\Chrome\User Data\Default\Preferences

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S1].txt - [17316 octets] - [13/12/2012 20:23:55]
      AdwCleaner[S2].txt - [1297 octets] - [14/12/2012 13:23:59]

      ########## EOF - C:\AdwCleaner[S2].txt - [1357 octets] ##########
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    De retour la suite :

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ● Exécute le fichier après l'installation de MBAM

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    0
    1. cedbord Messages postés 22 Statut Membre 1
       
      Malwarebytes Anti-Malware 1.65.1.1000
      www.malwarebytes.org

      Version de la base de données: v2012.12.14.12

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 9.0.8112.16421
      maison :: MAISON-HP [administrateur]

      2012-12-14 18:17:34
      mbam-log-2012-12-14 (18-17-34).txt

      Type d'examen: Examen complet (C:\|D:\|F:\|Q:\|)
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 428501
      Temps écoulé: 1 heure(s), 28 minute(s), 39 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 1
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Mis en quarantaine et supprimé avec succès.

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 7
      C:\Users\maison\Desktop\Autre\New Windows 7 Activator [2010]\7Loader Release 5.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\maison\Desktop\Autre\New Windows 7 Activator [2010]\RemoveWAT.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.
      C:\Temp\crazyloader-1.3-win32.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\maison\Desktop\Download\New Windows 7 Activator [2010]\7Loader Release 5.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\maison\Desktop\Download\New Windows 7 Activator [2010]\RemoveWAT.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\maison\Local Settings\Application Data\chromeupdate.crx (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\maison\AppData\Local\chromeupdate.crx (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

      (fin)
      0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    OK. Attention aux actes de piratage !!


    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    services.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
    0
    1. cedbord Messages postés 22 Statut Membre 1
       
      https://forums-fec.be/upload/www/?action=d&id=6534469735
      https://forums-fec.be/upload/www/?action=d&id=2243978693
      Ce sont les liens, le premier c'est le OTL et le second c'est l'Extras
      0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Tu es canadien ?

    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :OTL
    IE - HKLM\..\SearchScopes\{25821B13-40ED-4E5C-89C4-A1D7E7DCCB2F}: "URL" = https://fr.ask.com/?o=0&l=dir&ad=dirN{searchTerms}&l=dis&o=cahpl
    IE - HKLM\..\SearchScopes\{25821B13-40ED-4E5C-89C4-A1D7E7DCCB2F}: "URL" = https://fr.ask.com/?o=0&l=dir&ad=dirN{searchTerms}&l=dis&o=cahpl
    IE - HKU\S-1-5-21-1733499062-1829670079-46817025-1000\..\SearchScopes\{91607fa7-3c2f-4f90-93e3-d5337a6b0ac2}: "URL" = playbryte/search/redirect/?type=default&user_id=f14d6eb7-3943-47fa-82d4-87378ba326cf&query={searchTerms}
    FF - prefs.js..browser.startup.homepage: "https://www.vevo.com/"
    [2012/05/04 00:20:37 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
    O4 - HKU\S-1-5-21-1733499062-1829670079-46817025-1000\..\Run: [nleas] rundll32.exe "C:\Users\maison\AppData\Roaming\nleas.dll",BaseException File not found
    O4 - HKU\S-1-5-21-1733499062-1829670079-46817025-1000\..\Run: [prexth] "C:\Windows\System32\rundll32.exe" "C:\Users\maison\AppData\Roaming\prexth.dll",ToContiguous File not found
    O4 - HKU\S-1-5-21-1733499062-1829670079-46817025-1000\..\Run: [uiplmi] rundll32.exe "C:\Users\maison\AppData\Roaming\uiplmi.dll",PixelMap File not found
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} http://download.divx.com/player/DivXBrowserPlugin.cab (Reg Error: Key error.)
    O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) => http://www.exent.com/about/company profile.as
    [2012/12/14 12:18:41 | 000,000,000 | ---D | C] -- C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
    [2012/10/28 15:14:10 | 000,000,000 | ---D | M] -- C:\Users\maison\AppData\Roaming\WebPlayerBdd

    :Commands
    [EMPTYTEMP]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

    0
    1. cedbord Messages postés 22 Statut Membre 1
       
      Oui je suis québécois et voici le rapport:

      All processes killed
      ========== OTL ==========
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{25821B13-40ED-4E5C-89C4-A1D7E7DCCB2F}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25821B13-40ED-4E5C-89C4-A1D7E7DCCB2F}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{25821B13-40ED-4E5C-89C4-A1D7E7DCCB2F}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25821B13-40ED-4E5C-89C4-A1D7E7DCCB2F}\ not found.
      Registry key HKEY_USERS\S-1-5-21-1733499062-1829670079-46817025-1000\Software\Microsoft\Internet Explorer\SearchScopes\{91607fa7-3c2f-4f90-93e3-d5337a6b0ac2}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91607fa7-3c2f-4f90-93e3-d5337a6b0ac2}\ not found.
      Prefs.js: "https://www.vevo.com/" removed from browser.startup.homepage
      C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\searchplugin folder moved successfully.
      C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\modules folder moved successfully.
      C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\META-INF folder moved successfully.
      C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\defaults folder moved successfully.
      C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\components folder moved successfully.
      C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\chrome folder moved successfully.
      C:\Users\maison\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} folder moved successfully.
      Registry value HKEY_USERS\S-1-5-21-1733499062-1829670079-46817025-1000\\Software\Microsoft\Windows\CurrentVersion\Run\\nleas deleted successfully.
      Registry value HKEY_USERS\S-1-5-21-1733499062-1829670079-46817025-1000\\Software\Microsoft\Windows\CurrentVersion\Run\\prexth deleted successfully.
      Registry value HKEY_USERS\S-1-5-21-1733499062-1829670079-46817025-1000\\Software\Microsoft\Windows\CurrentVersion\Run\\uiplmi deleted successfully.
      Starting removal of ActiveX control {67DABFBF-D0AB-41FA-9C46-CC0F21721616}
      C:\Windows\Downloaded Program Files\DivXPlugin.inf moved successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
      Starting removal of ActiveX control {6A060448-60F9-11D5-A6CD-0002B31F7455}
      Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6A060448-60F9-11D5-A6CD-0002B31F7455}\DownloadInformation\\INF .
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ not found.
      C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69\x64\x64 folder moved successfully.
      C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69\x64 folder moved successfully.
      C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 folder moved successfully.
      C:\Users\maison\AppData\Roaming\WebPlayerBdd folder moved successfully.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: All Users

      User: Default
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes
      ->Flash cache emptied: 56466 bytes

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes
      ->Flash cache emptied: 0 bytes

      User: maison
      ->Temp folder emptied: 8071517 bytes
      ->Temporary Internet Files folder emptied: 2349328 bytes
      ->Java cache emptied: 2082960 bytes
      ->FireFox cache emptied: 177218019 bytes
      ->Google Chrome cache emptied: 393128154 bytes
      ->Apple Safari cache emptied: 0 bytes
      ->Flash cache emptied: 62874 bytes

      User: Public

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 18013 bytes
      %systemroot%\System32 .tmp files removed: 0 bytes
      %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 666179 bytes
      %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 102851 bytes
      %systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes
      RecycleBin emptied: 118661105 bytes

      Total Files Cleaned = 670.00 mb


      OTL by OldTimer - Version 3.2.69.0 log created on 12172012_122029

      Files\Folders moved on Reboot...
      C:\Users\maison\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

      PendingFileRenameOperations files...

      Registry entries deleted on Reboot...
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK je comprends alors les IP dans ton rapport :)

    Tu as encore des soucis ?
    0
    1. cedbord Messages postés 22 Statut Membre 1
       
      Non je crois que c'est réglé,

      Merci ;)
      0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    pas si vite ^^

    reste le ménage : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
    0