Virus

Résolu/Fermé
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013 - 6 janv. 2013 à 22:14
 Utilisateur anonyme - 12 janv. 2013 à 22:55
Bonjour,

Depuis quelques jours, j'ai des liens vers des sites publicitaires qui se mettent automatiquement, dans mes emails, sur les blogs, sur n'importe quel site.
Notamment, j'ai droit à "répondez à cette question et réclamez votre Appel iphone 5"
C'est vraiment agaçant et je crois qu'en plus ça ralentit mon PC.
Au début, je croyais que c'était normal, mais devant la multiplication de ces liens et ceux sur n'importe quels sites, j'ai compris que mon ordinateur était infecté.
J'utilise deux navigateurs : firefox et Chrome, j'ai le même problème sur les deux.

J'ai cherché sur le net des cas analogues au mien, j'en ai trouvés, malheureusement les réponses étaient extrêmement compliquées et à chaque fois ceux qui aidaient demandaient à connaître les rapports fournis par les différents logiciels de diagnostics, résultat, je n'ai jamais réussi à aller au bout des manipulations qu'ils recommandaient.

Merci d'avance de votre aide.

13 réponses

Utilisateur anonyme
6 janv. 2013 à 22:16
salut qu'as-tu utilisé comme logiciels ?
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
7 janv. 2013 à 09:03
Bonjour,

Pour essayer de me débarrasser du problème, j'ai exécuté :
- OTL
- CCcleaner
- ZHPDiag (et ensuite ZHPFix)

ça n'a rien donné, mais m'est avis que mes manipulations étaient incomplètes.
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
7 janv. 2013 à 09:06
salut pour avancer

héberge OTL.txt et extras.txt sur https://www.cjoint.com/ et poste les 2 liens
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
8 janv. 2013 à 19:07
Désolé, je n'ai pas tout compris à certains échanges, et j'ai cru que vous discutiez entre vous ^^''

Voici toujours le lien vers le OTL.txt :
https://www.cjoint.com/?3Aitadgpbe5

Quant au fichier extras.txt, merci de me donner la marche à suivre pour l'obtenir car je ne sais pas où aller le pécher.
0
ca va pas...

il me manque la moitié des infos...

on va le refaire comme ca :

clic droit "executer en tant que...." sur OTL.exe pour le lancer.

? => Clique ici pour voir la Configuration

? Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
net.exe
iastor.sys
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


? Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
8 janv. 2013 à 21:42
0
Utilisateur anonyme
8 janv. 2013 à 21:51
recommence en desactivant la sandbox d'avast
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
8 janv. 2013 à 21:54
Heu... normalement, elle était désactivée.
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
8 janv. 2013 à 21:57
Attends, le texte de personnalisation, je l'ai recopié à partir du mail que j'ai reçu, c'est peut-être ça qui a faussé l'analyse. Je recommence.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
8 janv. 2013 à 22:03
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0: C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-

:Files
C:\ProgramData\SaveByclick
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SaveByclick


:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]



▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
8 janv. 2013 à 22:45
Aucun rapport ne s'est ouvert après le redémarrage.
0
Utilisateur anonyme
8 janv. 2013 à 22:58
alors il est dans C:\_OTL\Moved Files\la_date_et_l'heure.txt
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 09:10
OK, je regarderai ce soir s'il y est.
Par contre, je me demande si je n'ai pas fait une gaffe : après avoir fait cette correction, je suis allée voir si j'avais toujours le problème et il y a l'un de ces fameux liens indésirables que je voyais toujours au même endroit et a priori il n'y était plus. Je me suis donc dit que c'était bon.
Par contre, la manip ayant supprimé tous mes pluggins, j'ai voulu au moins réinstaller flash player pour vérifier que tout marchait bien comme avant. Et je me suis aperçue après avoir fait ça que finalement mon problème n'était pas résolu. Est-ce que ça peut poser problème pour la suite des opérations ?
0
Utilisateur anonyme
9 janv. 2013 à 13:34
ouaip si tu prends des initiatives ca va etre moins evident....
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 17:56
Oui, c'est mon gros défaut ^^'''' Je vais tâcher d'éviter dans prendre sur mon ordinateur personnel tant que le problème n'est pas résolu. J'attendrai ton feu vert.
Donc, flash player peut poser problème pour la suite des opérations ?
Je peux éventuellement refaire la manip de correction (à condition, bien sûr, qu'on puisse faire cette manip deux fois).
Autre chose : cette manipulation m'a créer plein de raccourcis de dossier (raccourcis faux qui plus est "le chemin spécifié est introuvable"), c'est normal ?
0
Utilisateur anonyme
9 janv. 2013 à 18:00
supprime

tu as trouvé le rapport ?
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 18:01
Je suis sur mon PC du boulot, je ne serai sur mon ordi perso qu'à 19 h 15 (au plus tôt).
0
Utilisateur anonyme
9 janv. 2013 à 18:03
haaaaaannnn je croyais qu il etait au moins 8h !!! ^^
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 18:08
Par "supprimer", tu entends que je désinstalle simplement flashplayer ou que je recommence la manip ?
....
A moins que tu parles de supprimer les raccourcis qui servent à rien ^^
0
Utilisateur anonyme
9 janv. 2013 à 18:24
oui les raccourcis ^^
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 19:25
J'ai bien trouvé le répertoire, mais pas de fichier txt à l'intérieur.
Voilà une impression écran de ce que ça donne :
https://www.cjoint.com/?CAjtykZ0aUo
0
Utilisateur anonyme
9 janv. 2013 à 19:28
je comprends pas ce que tu fais.....
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 19:36
Je t'ai mis une impression écran pour te montrer ce qu'il y avait dans le répertoire _OTL.
C'est à dire beaucoup de répertoires et très peu de fichiers (et pas du tout de fichiers txt)
J'ai un dossier intitulé avec la date et l'heure = 01082013_222712, mais pas de fichier txt à l'intérieur.
0
Utilisateur anonyme
9 janv. 2013 à 19:42
pas dedans , à coté du dossier
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 19:56
Y a aucun fichier txt dans le répertoire _OTL à aucun niveau, ni directement dans _OTL, ni directement dans MovedFiles, ni nulle part dans ce dossier.
Et pas de fichier txt non plus directement dans c:
Je précise à toutes fins utiles que j'ai affiché les fichiers et dossiers cachés.
0
Utilisateur anonyme
9 janv. 2013 à 20:10
refais une analyse OTL selon les consignes ?
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
9 janv. 2013 à 21:09
0
Utilisateur anonyme
9 janv. 2013 à 21:14
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
10 janv. 2013 à 08:56
J'ai manqué de temps hier, je le fais ce soir.
0
Utilisateur anonyme
10 janv. 2013 à 10:14
bien à te lire :)
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
10 janv. 2013 à 20:49
Voilà.
J'ai fait une analyse hier soir que j'ai dû interrompre au bout de 13 minutes parce que j'avais pas le temps... il est ressorti de cette analyse un fichier infecté (que j'ai supprimé) :
https://www.cjoint.com/?3AkuTvGh16M
J'en ai fait une autre ce soir (vraiment complète cette fois... et il n'y avait plus aucun fichier infecté
https://www.cjoint.com/?3AkuVgQCRrK
Donc, celui que j'ai trouvé hier était le seul.
Par contre, j'ai toujours mes fameux liens indésirables (par exemple, j'en ai sur mon premier post en haut de cette page sur le mot "firefox", si je positionne ma souris dessus, ça fait "click to continuer > by browse to save"... et si je clique ça m'envoie sur une page "ClickCompare".
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
12 janv. 2013 à 14:22
Plus personne ne me répondant, j'ai à nouveau fait des recherches. Cette fois-ci, je suis tombée sur des solutions moins complexes et plus rapides. L'une d'elle (désactiver shockwave dans les modules complémentaires de firefox) permettait de ne plus voir ces liens s'afficher... cependant, comme l'a justement fait remarquer un des intervenants, le problème n'était certes plus visible (ce qui est toujours un mieux), mais existait toujours (en témoignent les lenteurs de connexion qui elles étaient toujours là).
Certains invitaient à aller voir dans les programmes s'il n'y en aurait pas un qui n'aurait rien à faire là (notamment si l'un d'entre eux s'appelle "I want this"), mais de ce côté-ci, chez moi, rien à redire.
Par contre, j'ai finalement trouvé le coupable dans les modules complémentaires de firefox : une extention nommée SaveByClick dont je n'avais jamais demandé l'installation. Je l'ai supprimée et il semble que mon problème soit résolu (je ne vois plus de liens alors que j'ai réactivé Shockwave et ma connexion semble un peu plus vigoureuse).
Donc, j'ai a priori trouvé la solution à mon problème et je poste ceci pour vous en informer et pour que mon expérience serve à d'autres.
0
bonsoir désolé je t'ai perdu en route

ma connection en ce moment étant incertaine , il se peut que je tombe sur un post ( comme le tien) , et que au moment de répondre cela me marque page introuvable....donc dès que ma connection va mieux , ben vu que je t'ai déja lue , tu n'apparais plus en gras dans mes interventions ce qui faot que tu pars aux oubliettes

tu aurais du faire un "UP" mais ca tu ne pouvais pas le savoir....si tu as resolu ton souci tant mieux par contre je te suggère de faire ce menage à ton pc ca lui fera le plus grand bien

https://gen-hackman.kanak.fr/

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
0
maria_ferrari Messages postés 19 Date d'inscription dimanche 6 janvier 2013 Statut Membre Dernière intervention 12 janvier 2013
12 janv. 2013 à 22:46
Merci ^^
0
Utilisateur anonyme
12 janv. 2013 à 22:55
c'est un plaisir :)
0