Problème popup itempestif

Résolu
pixelrulez -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

J'ai deux popup qui apparaissent régulièrement sur mon pc ainsi que de temps une redirection vers plusieurs sites avec un message "the document has moved".
J'ai lancé un scan complet de antimalwarebytes en mode sans echec sans succès si quelqu'un peut m'aider via des logs de hijackthis ou autre je l'en remercie d'avance.

18 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour et Bienvenue sur CCM

    Nous allons utiliser cet outil de diagnostic :

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    netsvcs 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.*
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://security-x.fr/up/
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  2. pixelrulez
     
    Bonsoir Kalimusic,

    Merci pour ta réponse rapide !

    Voici mes logs OTL

    OTL

    Extras
    0
  3. pixelrulez
     
    Bonjour,

    Oui c'est moi qui ait utilisé un proxy, je l'ai désactivé je m'en sers plus.

    A+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    == == == == == == == == == == == == == == == == == == == == == ==
    Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait l'endommager.
    Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.

    == == == == == == == == == == == == == == == == == == == == == ==


    1. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions suivantes :

    Ferme impérativement les applications en cours.
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    2. Télécharge RogueKiller (par Tigzy) sur le bureau

    (Choisir la version correspondant à ton système d'exploitation)

    Ferme toutes tes applications en cours
    ● Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    ● Laisse le prescan se terminer, clique sur Scan
    ● Clique sur Rapport pour l'ouvrir.

    3. Poste les 2 rapports

    A +
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Petit oubli, les instructions pour OTL

      :instructions
      :OTL
      O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.     
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1     
      [2011/04/15 22:55:50 | 000,000,160 | ---- | C] () -- C:\ProgramData\~43900680r 
      [2011/04/15 22:55:50 | 000,000,120 | ---- | C] () -- C:\ProgramData\~43900680 
      [2011/04/15 22:55:07 | 000,000,336 | ---- | C] () -- C:\ProgramData\43900680 
      :Reg
      [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] 
      ""="C:\Windows\SysNative\wbem\fastprox.dll"
      :Files
      echo,Y|cacls "%WinDir%\system32\drivers\etc\hosts" /G everyone:f /c
      ipconfig /flushdns /c
      :Commands 
      [resethosts]
      [emptytemp]
      0
  6. pixelrulez Messages postés 8 Statut Membre
     
    Bonjour,

    Voici les rapports de OTL et de RogueKiller.

    OTL

    RK

    Merci encore de ton aide !!
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    1. Relance RogueKiller

    ● Clique sur Suppression
    ● Clique sur Rapport pour l'ouvrir

    2. Relance OTL

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note

    3. Héberge les rapports et donne moi les liens.

    A +
    0
  8. pixelrulez Messages postés 8 Statut Membre
     
    Voici les 2 nouveaux rapports de RogueKiller et OTL :

    RK

    OTL

    Le scan RK m'envoie vers un tuto pour supprimer ZeroAccess.
    0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Oui, tu avais l'infection zeroaccess, normalement RK a fait le boulot.
    Il faut vérifier si des services Windows n'ont pas été endommagés par cette infection.

    Télécharge Farbar Service Scanner sur ton Bureau.
    ● Lance l'outil puis coche les cases suivantes :

    Internet Services
    Windows Firewall
    System Restore
    Security Center
    Windows Update
    Windows Defender
    Others Services

    ● Clique sur "Scan".
    ● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

    A +
    0
  10. pixelrulez Messages postés 8 Statut Membre
     
    Ok super merci beaucoup pour ton aide kali !

    Je poste mon rapport FSS car je ne sais pas si tout est ok

    FSS
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Il y a eu des dégâts...

    1. Télécharge Windows Repair (all in one)
    Choisir Portable (3.32 MB) > Download > Direct Download

    ● Lance le programme, onglet Step 3 :
    ● Clique sur Do it , laisse se dérouler la vérification des fichiers système.
    ● Ensuite onglet Start Repairs, clique sur Start
    ● Coche les cases suivantes :

    Reset Registry Permissions
    Reset File Permissions
    Repair WMI
    Repair Windows Firewall
    Repair Internet Explorer
    Repair Hosts File
    Remove Policies Set By Infections
    Repair Winsock & DNS Cache
    Repair Proxy Settings
    Repair Windows Updates
    Set Windows Services To Default Startup
    Repair MSI (Windows Installer)

    ● Coche la case Restart/Shutdown System when finished et Restart System
    ● Clique sur Start et laisse l'outil travailler.

    2. Relance un scan FSS et poste le rapport

    A +
    0
  12. pixelrulez Messages postés 8 Statut Membre
     
    Voici le rapport FSS aprés la réparation de Windows Repair

    FSS

    A+
    0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    C'est mieux, on va faire ce qui reste avec OTL.

    == == == == == == == == == == == == == == == == == == == == == ==
    Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait l'endommager.
    Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.

    == == == == == == == == == == == == == == == == == == == == == ==


    1. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    Ferme impérativement les applications en cours.
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    2. Relance un scan FSS et poste le rapport

    A+
    0
  14. pixelrulez Messages postés 8 Statut Membre
     
    Hello,

    voici le rapport du scan FSS après la correction via OTL

    FSS
    0
  15. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Maintenant, c'est ok.

    Il te reste quoi comme problème ?

    A +
    0
  16. pixelrulez
     
    Bonjour kalimusic,

    ba merci encore de m'avoir dépanner ça me rend bien service !

    Depuis les scans j'ai des fichiers sur mon bureau desktop.ini et deux .odt qui sont affichés comme des fichiers cachés et quand je les ouvre ca me dit que ce sont des fichiers systèmes ce qui me parait assez étrange...

    En tout cas plus de poblèmes avec les popups !!

    A+
    0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Ce n'est rien, il faut remettre l'affichage par défaut :

    ● Clique sur l'icône de l'Explorateur
    ● Clique sur Organiser, puis sur Options des dossiers et de recherche
    ● Dans l'onglet Affichage, coche les paramètres suivants :
    - Ne pas afficher les fichiers, dossiers et lecteurs cachés
    - Masquer les fichiers protégés du système d'exploitation
    ● Clique sur Appliquer

    == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

    1. Lance OTL

    ● Dans la partie "Personnalisation", copie/colle :

    :commands
    [clearallrestorepoints]

    ● Clique sur le bouton Correction.

    2. Relance OTL
    ● Clique sur le bouton Purge outils
    ● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
    ● Supprime les outils et les rapports restants éventuellement sur ton Bureau

    == == == == == == == == == MISES A JOUR == == == == == == == == ==

    Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

    Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

    !! Décoche les cases proposant des logiciels partenaires pendant les installations !!

    Désinstalle les anciennes versions de Java si tu en as encore installées.
    https://www.java.com/fr/download/help/remove_olderversions.html

    == == == == == == == == == == == == == == == == == == == == == ==

    La sécurité de son PC, c'est quoi ? (par Malekal)

    == == == == == == == == == == == == == == == == == == == == == ==

    Bonne journée

    0
  18. pixelrulez
     
    Ok je fais ça de suite, je te remercie encore une fois pour le temps que tu m'as consacré et te souhaite la bonne journée et bonne continuation !!

    A+
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      :))
      0