Ads not by this site encore et toujour

Résolu
smayk -  
 smayk -
Bonjour,
alors voila je tente de supprimé se "Ads not by this" site j'ai déjà passé adwcleaner + Amlwarbytes Anti-Malware +HitmanPro et a présent OTL
mais avec la chance que j'ai il va encore être la help

27 réponses

  • 1
  • 2
Résumé de la discussion

La suppression persistante de la bannière 'Ads not by this site' et la difficulté à nettoyer un système Windows 7 64 bits persistent malgré l’usage d’outils antimalware.
Plusieurs outils et méthodes ont été proposés ou testés, notamment AdwCleaner, Malwarebytes Anti-Malware, HitmanPro et OTL, suivis de DelFix et de l’usage de Waterfox (version 64 bits) comme alternative à Firefox.
Des échanges décrivent des étapes de pré-diagnostic, des rapports issus de DelFix, ainsi que des manipulations des éléments de démarrage et du registre pour nettoyer les éléments indésirables et sécuriser le système.
En cas de doute persistant, des vérifications complémentaires comme l’analyse Virustotal d’un fichier suspect et le recours à un antivirus peuvent être envisagés pour éviter les réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut possible de lire les differents rapports .?
    0
  2. smayk
     
    oui celui AdwCleaner

    # AdwCleaner v2.115 - Rapport créé le 02/04/2013 à 15:29:13
    # Mis à jour le 17/03/2013 par Xplode
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
    # Nom d'utilisateur : Smayk - WINDOWS7-PC
    # Mode de démarrage : Mode sans échec avec prise en charge réseau
    # Exécuté depuis : C:\Users\Windows7\Downloads\adwcleaner(1).exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16470

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v19.0 (fr)

    Fichier : C:\Users\Windows7\AppData\Roaming\Mozilla\Firefox\Profiles\9e8n9oc2.default-1348100695708\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Fichier : C:\Users\Windows7\AppData\Roaming\Mozilla\Firefox\Profiles\9e8n9oc2.default-1348100695708\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Fichier : C:\Users\Windows7\AppData\Roaming\Mozilla\Firefox\Profiles\9e8n9oc2.default-1348100695708\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R2].txt - [3693 octets] - [02/04/2013 15:05:58]
    AdwCleaner[R3].txt - [1517 octets] - [02/04/2013 15:23:44]
    AdwCleaner[R4].txt - [1536 octets] - [02/04/2013 15:26:45]
    AdwCleaner[S3].txt - [3563 octets] - [02/04/2013 15:06:34]
    AdwCleaner[S4].txt - [1583 octets] - [02/04/2013 15:24:13]
    AdwCleaner[S5].txt - [1469 octets] - [02/04/2013 15:29:13]

    ########## EOF - C:\AdwCleaner[S5].txt - [1529 octets] ##########

    celui de Malwarebytes Anti-Malware

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.04.02.06

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Smayk :: WINDOWS7-PC [administrateur]

    Protection: Activé

    02/04/2013 15:48:28
    mbam-log-2013-04-02 (15-48-28).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 209880
    Temps écoulé: 5 minute(s), 18 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Windows7\Downloads\3d-object-converter-for-windows-480-patch-by-drxj-psa_id2108125id.exe (PUP.Adware.MediaGet) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    les autres je les trouve pas je les relance.
    0
  3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    nan inutile

    le rapport de malwarebytes c'est pas le bon
    0
  4. smayk
     
    ha ok je le relance alors désolé
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      nan ne le relance pas cherche dans l onglet rapports/logs le dernier relatant les infections
      0
    2. smayk
       
      je crois que je les supprimé par erreur oups
      le HitmanPro touve rien que les cookie
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. smayk
     
    voila Malwarebytes il trouve rien.

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.04.02.06

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Smayk :: WINDOWS7-PC [administrateur]

    Protection: Activé

    02/04/2013 17:08:21
    mbam-log-2013-04-02 (17-08-21).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 209902
    Temps écoulé: 6 minute(s), 2 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  7. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ok fais voir tes rapports OTL ?
    0
  8. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    j'ai pas assez d'infos refais-le comme ca :

    si tu as XP => double clique
    si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
    0
    1. smayk
       
      ok merci je vient de voir un plugin qui a apparu dans waterfox (savenow ) je l'ai viré déjà lui
      et plus de Ads not by this site
      mais je vérifie si il reste pas des trace
      0
  9. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    dans l'attente du rapport pour plus de precisions quant-à cette mer$e...
    0
    1. smayk
       
      oui car la l'analyse risque d'être longue si il scanne tout mes disque 1T + un de 500G partitionné en 2
      0
  10. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ah oui ben on attend , on est pas pressés :)
    0
    1. smayk
       
      http://cjoint.com/?CDcsjl8W8oh
      plus rapide que je pensais
      0
  11. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

    ou , si le lien n'est pas fonctionnel :

    http://www.archive-host.com (renommé winlogon)
    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
    1. smayk
       
      ok je suis tes info et merci
      0
    2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      :) tu as un reste de rogue , il devrait sauter
      0
    3. smayk
       
      http://cjoint.com/?CDcudyMLQ2I
      voila
      0
  12. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    tu es sur(e) d'avoir desactivé NOD32 ?????

    ==

    relance l'outil , clique sur diag et heberge le rapport pre_diag , puis donne le lien
    0
    1. smayk
       
      oui
      0
    2. smayk
       
      http://cjoint.com/?CDcuRCfEQcI
      un de plus
      0
  13. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    lol un windows 7 / 64 bits avec des fichiers de 1999 c'est un truc de fous ca !!

    ============================

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    %SystemRoot%\System32\hhctrl.ocx

    * Clique maintenant sur Envoyer le fichier ou Scan IT. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    =============================

    softonic , 01net , telecharger.com faut plus telecharger chez eux il pourrissent les installeurs de programmes avec leurs barres d'outil pourries , ou si c'est pas les leurs , elles sont encore plus pourries !

    =============================

    va falloir penser à installer un antivirus !! ^^

    =============================

    sélectionne ce texte , puis , CTRL + C :

    Kill::

    list::
    C:\Program Files (x86)\WinCleaner Memory Optimizer

    Key::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[]
    [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
    [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
    [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
    [HKU\S-1-5-21-1893936254-2006721271-1144986980-1000\Software\FVDToolbar]

    File|Fold::
    C:\Users\Windows7\Downloads\SoftonicDownloader_pour_cheat-engine.exe
    C:\Users\Windows7\Downloads\spybotsd162.exe
    C:\ProgramData\SoftSafe
    C:\ProgramData\InstallMate
    C:\ProgramData\Spybot - Search & Destroy
    C:\Program Files (x86)\Spybot - Search & Destroy
    C:\Users\Windows7\AppData\Local\Temp\tmp*.tmp

    Clean::

    MBR::

    Reboot::


    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
    1. smayk
       
      https://www.virustotal.com/fr/file/983bef9f3faf520632df9150299fc378f76721746df2d066df5cae391e685aa0/analysis/
      déjà virustotal
      0
    2. smayk
       
      sélectionne ce texte , puis , CTRL + C :
      où???
      0
    3. smayk
       
      ha ok dans Pre_Scan dans script
      normal qu'il bloque sur WinCleaner Memory Optimizer
      il dit le "programme ne répond pas"
      0
    4. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      laisse tourner ...

      j'aurais aimé que tu le fasses réanaliser ce fichier sur virus-total .....
      0
    5. smayk
       
      ok
      0
  14. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    je l'aime pas ce programme je sais pas pourquoi ....
    0
    1. smayk
       
      il est toujours au même point
      0
  15. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ? y'a quoi la dedans ? :

    C:\Program Files (x86)\WinCleaner Memory Optimizer
    0
    1. smayk
       
      je ne sais pas, je n'ai pas accès à quoi que ce soit
      0
    2. smayk
       
      les fichier de 1999 (rmud.exe , delttsul.dll et tv_enua.dll qui lui est même de 1998
      vienne peut etre du même programme
      .© 1998 Lernout & Hauspie Speech Products N.V. - L&H English TruVoice TTS.
      0
  16. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    retente en mode sans echec
    0
    1. smayk
       
      ok je retente
      0
    2. smayk
       
      WinCleaner Memory Optimizer est un programme que j'ai utilisé 1 fois mais me faisait ramé.
      je le vire (un oublie de désinstallée

      donc je fait ce script

      Kill::

      list::

      Key::
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[]
      [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[]
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
      [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
      [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
      [HKU\S-1-5-21-1893936254-2006721271-1144986980-1000\Software\FVDToolbar]

      File|Fold::
      C:\Users\Windows7\Downloads\SoftonicDownloader_pour_cheat-engine.exe
      C:\Users\Windows7\Downloads\spybotsd162.exe
      C:\ProgramData\SoftSafe
      C:\ProgramData\InstallMate
      C:\ProgramData\Spybot - Search & Destroy
      C:\Program Files (x86)\Spybot - Search & Destroy
      C:\Users\Windows7\AppData\Local\Temp\tmp*.tmp


      Clean::

      MBR::

      Reboot::

      ???
      0
    3. smayk
       
      le rmud.exe correspond bien la reconnaissance vocale Microsoft pour un test en aide de développement de programme GPS sur winCE 4.2
      la fonction TTS
      0
  17. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    non enlève ca du coup : list::
    0
    1. smayk
       
      ok
      0
    2. smayk
       
      ha mieux plus rapide

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0401 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      Smayk : Windows 7 Ultimate (64 bits)

      Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

      New restorepoint created

      Script : 23:54:54

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      ¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

      (1188) -- hamachi-2.exe
      (1348) -- explorer.exe
      (1552) -- ctfmon.exe

      ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


      Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
      Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:
      Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
      Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper
      Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
      Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper
      Key Deleted : HKU\S-1-5-21-1893936254-2006721271-1144986980-1000\Software\FVDToolbar

      ¤

      File Moved to quarantine successfully : |A| - C:\Users\Windows7\Downloads\SoftonicDownloader_pour_cheat-engine.exe
      File Moved to quarantine successfully : |A| - C:\Users\Windows7\Downloads\spybotsd162.exe
      Folder Moved to quarantine successfully : |D| - C:\ProgramData\SoftSafe
      Folder Moved to quarantine successfully : |D| - C:\ProgramData\InstallMate
      Impossible to move Folder : |D| - C:\ProgramData\Spybot - Search & Destroy
      Folder Moved to quarantine successfully : |D| - C:\Program Files (x86)\Spybot - Search & Destroy
      C:\Users\Windows7\AppData\Local\Temp\tmp*.tmp : Not Found !

      ¤¤¤¤¤¤¤¤¤¤ | MBR

      Windows Version: Windows 7 Ultimate Edition
      Windows Information: Service Pack 1 (build 7601), 64-bit
      Base Board Manufacturer: Acer
      BIOS Manufacturer: Phoenix Technologies LTD
      System Manufacturer: Acer
      System Product Name: Aspire 7740
      Logical Drives Mask: 0x0000009c

      Analysis of file "C:\Pre_Scan\MBR.bin":
      Windows 7 MBR code detected


      64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

      ¤


      ¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

      Disk cleaned

      ¤


      ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 23:55:48
      0
  • 1
  • 2