Virus

Résolu
maria_ferrari Messages postés 22 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Depuis quelques jours, j'ai des liens vers des sites publicitaires qui se mettent automatiquement, dans mes emails, sur les blogs, sur n'importe quel site.
Notamment, j'ai droit à "répondez à cette question et réclamez votre Appel iphone 5"
C'est vraiment agaçant et je crois qu'en plus ça ralentit mon PC.
Au début, je croyais que c'était normal, mais devant la multiplication de ces liens et ceux sur n'importe quels sites, j'ai compris que mon ordinateur était infecté.
J'utilise deux navigateurs : firefox et Chrome, j'ai le même problème sur les deux.

J'ai cherché sur le net des cas analogues au mien, j'en ai trouvés, malheureusement les réponses étaient extrêmement compliquées et à chaque fois ceux qui aidaient demandaient à connaître les rapports fournis par les différents logiciels de diagnostics, résultat, je n'ai jamais réussi à aller au bout des manipulations qu'ils recommandaient.

Merci d'avance de votre aide.

13 réponses

  1. g3n-h@ckm@n
     
    salut qu'as-tu utilisé comme logiciels ?
    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      Bonjour,

      Pour essayer de me débarrasser du problème, j'ai exécuté :
      - OTL
      - CCcleaner
      - ZHPDiag (et ensuite ZHPFix)

      ça n'a rien donné, mais m'est avis que mes manipulations étaient incomplètes.
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      salut pour avancer

      héberge OTL.txt et extras.txt sur https://www.cjoint.com/ et poste les 2 liens
      0
  2. maria_ferrari Messages postés 22 Statut Membre
     
    Désolé, je n'ai pas tout compris à certains échanges, et j'ai cru que vous discutiez entre vous ^^''

    Voici toujours le lien vers le OTL.txt :
    https://www.cjoint.com/?3Aitadgpbe5

    Quant au fichier extras.txt, merci de me donner la marche à suivre pour l'obtenir car je ne sais pas où aller le pécher.
    0
  3. g3n-h@ckm@n
     
    ca va pas...

    il me manque la moitié des infos...

    on va le refaire comme ca :

    clic droit "executer en tant que...." sur OTL.exe pour le lancer.

    ? => Clique ici pour voir la Configuration

    ? Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    net.exe
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ? Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
  4. g3n-h@ckm@n
     
    recommence en desactivant la sandbox d'avast
    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      Heu... normalement, elle était désactivée.
      0
    2. maria_ferrari Messages postés 22 Statut Membre
       
      Attends, le texte de personnalisation, je l'ai recopié à partir du mail que j'ai reçu, c'est peut-être ça qui a faussé l'analyse. Je recommence.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    FF - user.js - File not found
    FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    FF - HKLM\Software\MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0: C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

    :Reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    ""=-

    :Files
    C:\ProgramData\SaveByclick
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SaveByclick

    :commands
    [CLEARALLRESTOREPOINTS]
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      Aucun rapport ne s'est ouvert après le redémarrage.
      0
  7. g3n-h@ckm@n
     
    alors il est dans C:\_OTL\Moved Files\la_date_et_l'heure.txt
    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      OK, je regarderai ce soir s'il y est.
      Par contre, je me demande si je n'ai pas fait une gaffe : après avoir fait cette correction, je suis allée voir si j'avais toujours le problème et il y a l'un de ces fameux liens indésirables que je voyais toujours au même endroit et a priori il n'y était plus. Je me suis donc dit que c'était bon.
      Par contre, la manip ayant supprimé tous mes pluggins, j'ai voulu au moins réinstaller flash player pour vérifier que tout marchait bien comme avant. Et je me suis aperçue après avoir fait ça que finalement mon problème n'était pas résolu. Est-ce que ça peut poser problème pour la suite des opérations ?
      0
    2. g3n-h@ckm@n
       
      ouaip si tu prends des initiatives ca va etre moins evident....
      0
    3. maria_ferrari Messages postés 22 Statut Membre
       
      Oui, c'est mon gros défaut ^^'''' Je vais tâcher d'éviter dans prendre sur mon ordinateur personnel tant que le problème n'est pas résolu. J'attendrai ton feu vert.
      Donc, flash player peut poser problème pour la suite des opérations ?
      Je peux éventuellement refaire la manip de correction (à condition, bien sûr, qu'on puisse faire cette manip deux fois).
      Autre chose : cette manipulation m'a créer plein de raccourcis de dossier (raccourcis faux qui plus est "le chemin spécifié est introuvable"), c'est normal ?
      0
  8. g3n-h@ckm@n
     
    supprime

    tu as trouvé le rapport ?
    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      Je suis sur mon PC du boulot, je ne serai sur mon ordi perso qu'à 19 h 15 (au plus tôt).
      0
    2. g3n-h@ckm@n
       
      haaaaaannnn je croyais qu il etait au moins 8h !!! ^^
      0
    3. maria_ferrari Messages postés 22 Statut Membre
       
      Par "supprimer", tu entends que je désinstalle simplement flashplayer ou que je recommence la manip ?
      ....
      A moins que tu parles de supprimer les raccourcis qui servent à rien ^^
      0
    4. g3n-h@ckm@n
       
      oui les raccourcis ^^
      0
    5. maria_ferrari Messages postés 22 Statut Membre
       
      J'ai bien trouvé le répertoire, mais pas de fichier txt à l'intérieur.
      Voilà une impression écran de ce que ça donne :
      https://www.cjoint.com/?CAjtykZ0aUo
      0
  9. g3n-h@ckm@n
     
    je comprends pas ce que tu fais.....
    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      Je t'ai mis une impression écran pour te montrer ce qu'il y avait dans le répertoire _OTL.
      C'est à dire beaucoup de répertoires et très peu de fichiers (et pas du tout de fichiers txt)
      J'ai un dossier intitulé avec la date et l'heure = 01082013_222712, mais pas de fichier txt à l'intérieur.
      0
    2. g3n-h@ckm@n
       
      pas dedans , à coté du dossier
      0
    3. maria_ferrari Messages postés 22 Statut Membre
       
      Y a aucun fichier txt dans le répertoire _OTL à aucun niveau, ni directement dans _OTL, ni directement dans MovedFiles, ni nulle part dans ce dossier.
      Et pas de fichier txt non plus directement dans c:
      Je précise à toutes fins utiles que j'ai affiché les fichiers et dossiers cachés.
      0
  10. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      J'ai manqué de temps hier, je le fais ce soir.
      0
  11. g3n-h@ckm@n
     
    bien à te lire :)
    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      Voilà.
      J'ai fait une analyse hier soir que j'ai dû interrompre au bout de 13 minutes parce que j'avais pas le temps... il est ressorti de cette analyse un fichier infecté (que j'ai supprimé) :
      https://www.cjoint.com/?3AkuTvGh16M
      J'en ai fait une autre ce soir (vraiment complète cette fois... et il n'y avait plus aucun fichier infecté
      https://www.cjoint.com/?3AkuVgQCRrK
      Donc, celui que j'ai trouvé hier était le seul.
      Par contre, j'ai toujours mes fameux liens indésirables (par exemple, j'en ai sur mon premier post en haut de cette page sur le mot "firefox", si je positionne ma souris dessus, ça fait "click to continuer > by browse to save"... et si je clique ça m'envoie sur une page "ClickCompare".
      0
  12. maria_ferrari Messages postés 22 Statut Membre
     
    Plus personne ne me répondant, j'ai à nouveau fait des recherches. Cette fois-ci, je suis tombée sur des solutions moins complexes et plus rapides. L'une d'elle (désactiver shockwave dans les modules complémentaires de firefox) permettait de ne plus voir ces liens s'afficher... cependant, comme l'a justement fait remarquer un des intervenants, le problème n'était certes plus visible (ce qui est toujours un mieux), mais existait toujours (en témoignent les lenteurs de connexion qui elles étaient toujours là).
    Certains invitaient à aller voir dans les programmes s'il n'y en aurait pas un qui n'aurait rien à faire là (notamment si l'un d'entre eux s'appelle "I want this"), mais de ce côté-ci, chez moi, rien à redire.
    Par contre, j'ai finalement trouvé le coupable dans les modules complémentaires de firefox : une extention nommée SaveByClick dont je n'avais jamais demandé l'installation. Je l'ai supprimée et il semble que mon problème soit résolu (je ne vois plus de liens alors que j'ai réactivé Shockwave et ma connexion semble un peu plus vigoureuse).
    Donc, j'ai a priori trouvé la solution à mon problème et je poste ceci pour vous en informer et pour que mon expérience serve à d'autres.
    0
  13. g3n-h@ckm@n
     
    bonsoir désolé je t'ai perdu en route

    ma connection en ce moment étant incertaine , il se peut que je tombe sur un post ( comme le tien) , et que au moment de répondre cela me marque page introuvable....donc dès que ma connection va mieux , ben vu que je t'ai déja lue , tu n'apparais plus en gras dans mes interventions ce qui faot que tu pars aux oubliettes

    tu aurais du faire un "UP" mais ca tu ne pouvais pas le savoir....si tu as resolu ton souci tant mieux par contre je te suggère de faire ce menage à ton pc ca lui fera le plus grand bien

    https://gen-hackman.kanak.fr/

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
    1. maria_ferrari Messages postés 22 Statut Membre
       
      Merci ^^
      0
    2. g3n-h@ckm@n
       
      c'est un plaisir :)
      0