Virus indetectable

Résolu
Gilad Messages postés 17 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour à tous,

Alors je suis nouveau sur ce forum, et je prend contact avec vous car depuis quelques temps j'ai de gros problèmes avec un virus informatique. Lorsque je surf sur le net j'ai régulièrement des petites fenêtres pubicitaires en russes qui apparaissent et qui me rendent vraiment fou aujourd'hui. Mon anti-virus (F-Secure) ne detecte rien, malwarebyte non plus.
L'utilisation de CCleaner n'a rien donné.
J'ai reformaté mon disque dur et réinstallé mon système d'éxploitation, le tout 2 fois, et rien n'y fait, je fini toujours par avoir ces popup. J'ai même cru un moment que le virus s'était mis dans mon secteur de demarrage principal, mais faire un fixmbr et fixboot n'a rien changé.

Voilà j'espère vraiment que quelqu'un pourra m'aider car je ne sais vraiment plus quoi faire.

Grand merci à ceux qui m'aiderons

31 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur signale des fenêtres publicitaires russes qui s'affichent régulièrement lors de la navigation et persistent malgré deux réinstallations du système et l'usage d'antivirus, Malwarebytes et CCleaner.
Plusieurs réponses suggèrent des vérifications, notamment la mise à jour de pilotes graphiques et l'examen de rapports de désinfection, en laissant entendre qu'une extension ou plugin pourrait la cause.
Le fil précise qu'aucune infection n'est détectée par RogueKiller ou VirusTotal et que l'affichage publicitaire pourrait provenir d'un plugin installé, avec des indications techniques, notamment about:support pour extraire des rapports.
En cas de détection négative, l'accent est mis sur la possibilité d'un plugin plutôt que d'un virus, et les échanges suggèrent de tester les extensions du navigateur en partageant les rapports pour diagnostic.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Gilad Messages postés 17 Statut Membre 2
     
    Bonsoir tout le monde,

    tout d'abord désolé de ne pas avoir respecté les règles de bonnes pratique de ce site mais je les ignorais. Comme je l'ai dit plus haut, je suis nouveau sur CCM et je dois dire que moi aussi j'ai l'occasion d'aller sur d'autre forum où poster les rapports n'est pas "obligatoire". Je posterai donc les rapports pour la suite.

    Voici déjà le rapport de RogueKiller :

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : XXXXX [Droits d'admin]
    Mode : Recherche -- Date : 10/05/2013 19:34:13
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD1001FALS-00E8B0 ATA Device +++++
    --- User ---
    [MBR] 90c7cdfab2d1c46974858c7b34ae0cea
    [BSP] 9668f9150e9f0af211ac4744ee5fad35 : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300000 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 614402048 | Size: 653867 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_10052013_193413.txt >>
    RKreport[1]_S_10052013_193413.txt

    Pour en revenir au dernier message de kalimusic, puis-je te demander plus de précision lorsque tu dis "Dans la barre d'adresse, copie/coller et aller about:support"?
    Je ne suis pas sur de te comprendre...

    Bàv,

    Gilad
    1
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Bonjour,

      Ah oui désolé :s
      Dans la barre d'adresse de Firefox
      Copie/coller et aller about:support
      Clique sur le bouton Copier le texte dans le presse papier.

      Copie/colle le ici, A +
      0
  2. Gilad Messages postés 17 Statut Membre 2
     
    En tout cas, cela m'a permi de voir que mes pilotes graphique étaient obsoletes (pas encore fait depuis mon dernier formatage).Je vais déjà faire ça

    à+
    1
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Si en formatant 2 fois, l'infection réapparaît.
    C'est que tu la réinstalles à ton insu.
    Soit avec Windows, soit avec un logiciel, soit avec tes documents (avec une clé usb ou un DD externe) car elle présente sur ce support.

    Tu as ces pubs avec n'importe quel navigateur ?

    A +
    0
  4. Gilad Messages postés 17 Statut Membre 2
     
    Bonsoir,

    j'ai essayé avec google chrome et j'ai le même problème. Des pubs en russe avec bien souvent ecrit popunder.ru dessus. J'ai effectivement un DD externe que j'ai aussi scanné plusieur fois avec different logiciel mais rien n'est trouvé.

    merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Nous allons utiliser cet outil de diagnostic afin d'essayer d'identifier le problème.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface s'ouvre.
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    netsvcs 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.*
    %systemroot%\Tasks\*.* /s
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://security-x.fr/up/
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Je regarde les rapports reçus en mp, A +
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Je ne vois rien d'anormal.

    1. Relance Firefox en mode sans échec et regarde ce que ça donne.

    2. Télécharge RogueKiller (par Tigzy) sur le bureau
    Ferme toutes tes applications en cours
    ● Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    ● Laisse le prescan se terminer, clique sur Scan
    ● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

    A +
    0
  9. Gilad Messages postés 17 Statut Membre 2
     
    re,

    je t'ai envoyé le rapport de RogueKiller en MP.

    à bientôt
    0
  10. Gilad Messages postés 17 Statut Membre 2
     
    Au fait j'ai fait la manip pour firefox, et effectivement je n'ai plus rien eu de suspect. Par contre en normal rien ne change...

    à+
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Roguekiller confirme ce que je pensais en voyant le rapport OTL.
    Pas d'infection, par contre un logiciel que tu as du installer a mis un plugin ou une extension qui affiche ses pubs dans les navigateurs.

    Dans la barre d'adresse, copie/coller et aller about:support
    Copier le texte dans le presse papier.
    Colle le rapport dans le bloc-note et tu me l'envoies.

    A +
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut Kali ;)

      Dommage que nous ne puissions pas lire les rapports produits.
      Cela nous aiderait à meubler nos tablettes de "travail".
      ;)

      Merci.
      Amicalement.
      Albert
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Salut,

      Il n'y rien d'intéressant dans ces rapports.
      Je suis également présent sur autre un forum de désinfection où les rapports sont verrouillés, seul l'équipe de désinfection et la modération ont accès.
      Je peux comprendre l'utilisateur même si rien ne peut être exploiter dans les rapports d'outils.
      Par contre, si un élément infectieux digne d'intérêt était présent, rien ne m'empêche de le poster pour information ou discussion sur un forum privé de helper.

      cdt
      0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut,

    Je te reçois bien.

    C'est vrai que certains forums n'affichent pas les rapports; et plus particulièrement pour le lecteur lambda NON-membre.
    Bien souvent, il suffit d'être membre pour lire les rapports postés par l'internaute (soit en fichier joint, soit en lien d'hébergement).

    Mais ici, sur CCM, il est d'usage de poster les rapports à la lecture de chacun.
    Et si l'internaute suspecte des données privées à "cacher", il peut en discuter avec le Helper.

    Toutefois, si je te lis bien < https://forums.commentcamarche.net/forum/affich-27773774-virus-indetectable#8 >: «Colle le rapport dans le bloc-note et tu me l'envoies.», cela ne laisse plus beaucoup de place au respect de la charte des Helpers qui prescrit qu'aucune désinfection ne peut se faire en MP.
    Je rappelle que l'espace "Contributeurs Sécu" t'autoriserait à poster les rapports produits, même s'ils sont vides d'informations dites "Importantes ou Dignes d'intérêt".

    Je pense en tout cas qu'il ne faudrait pas que cette façon de faire devienne une habitude sur CCM.
    Sauf à considérer, comme tu le faisais observer, que "les rapports sont verrouillés, seuls l'équipe de désinfection = les Helpers, les Contributeurs et la Modération ont accès".

    Cela mérite débat.
    Le plus simple serait de ne pas changer nos habitudes. ;)
    CDT.
    Albert
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      100% d'accord
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Je ne vais pas trop épiloguer, cela pourrait être perçu comme une justification.
      La désinfection se fait sur le forum, je n'ai envoyer aucun mp à l'utilisateur.
      Je crois que c'est la seconde fois en 4 ans qu'un utilisateur envoie un rapport par mp, alors le mot habitude me fait sourire.
      Ou mon message précédent a était mal interprété ou vous aimez voir des choses qui n'existent pas.
      0
    3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      c'est pour cela que je suis 100% d'accord perso : Mais ici, sur CCM, il est d'usage de poster les rapports à la lecture de chacun.
      0
  13. Gilad Messages postés 17 Statut Membre 2
     
    Bonjour,

    voici :

    Paramètres de base de l'application

    Nom
    Firefox

    Version
    20.0.1

    Agent utilisateur
    Mozilla/5.0 (Windows NT 6.0; rv:20.0) Gecko/20100101 Firefox/20.0

    Configuration de compilation

    about:buildconfig

    Extensions

    Nom

    Version

    Activée

    ID

    Microsoft .NET Framework Assistant
    0.0.0
    false
    {20a82645-c095-46ed-80e3-08825760534b}

    Préférences modifiées importantes

    Nom

    Valeur

    browser.cache.disk.capacity
    358400

    browser.cache.disk.smart_size.first_run
    false

    browser.cache.disk.smart_size.use_old_max
    false

    browser.cache.disk.smart_size_cached_value
    358400

    browser.places.smartBookmarksVersion
    4

    browser.privatebrowsing.autostart
    true

    browser.startup.homepage_override.buildID
    20130409194949

    browser.startup.homepage_override.mstone
    20.0.1

    dom.w3c_touch_events.expose
    false

    extensions.lastAppVersion
    20.0.1

    javascript.enabled
    false

    network.cookie.prefsMigrated
    true

    places.history.expiration.transient_current_max_pages
    87194

    plugin.disable_full_page_plugin_for_types
    application/pdf

    privacy.donottrackheader.enabled
    true

    privacy.sanitize.migrateFx3Prefs
    true

    Accélération graphique

    Date du pilote
    12-1-2008

    Description de la carte
    ASUS EAH4870 series

    Direct2D activé
    Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 10.6 ou supérieure.

    DirectWrite activé
    false (7.0.6002.18592)

    Fenêtres avec accélération graphique
    0/1 Basic Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

    GPU #2 active
    false

    ID du périphérique
    0x9440

    ID du vendeur
    0x1002

    Pilotes de la carte
    atidxx32 atidxx64 atiumdag atiumdva atiumd64 atiumd6a atitmm64

    RAM de la carte
    Unknown

    Rendu WebGL
    Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

    Version du pilote
    8.561.0.0

    AzureCanvasBackend
    cairo

    AzureContentBackend
    none

    AzureFallbackCanvasBackend
    none

    JavaScript

    Ramasse-miettes incrémentiel
    true

    Accessibilité

    Activée
    false

    Empêcher l'accessibilité
    0

    Versions des bibliothèques

    Version minimale attendue

    Version utilisée

    NSPR
    4.9.5
    4.9.5

    NSS
    3.14.3.0 Basic ECC
    3.14.3.0 Basic ECC

    NSSSMIME
    3.14.3.0 Basic ECC
    3.14.3.0 Basic ECC

    NSSSSL
    3.14.3.0 Basic ECC
    3.14.3.0 Basic ECC

    NSSUTIL
    3.14.3.0
    3.14.3.0

    Cordialement,

    Gilad
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Dans la barre d'adresse de Firefox, copie/colle about:support
    -> Entrée -> Restaurer Firefox dans son état initial
    Clique sur le bouton Réinitialiser Firefox

    A+
    0
  15. Gilad Messages postés 17 Statut Membre 2
     
    re,

    c'est fait :

    Paramètres de base de l'application

    Nom
    Firefox

    Version
    20.0.1

    Agent utilisateur
    Mozilla/5.0 (Windows NT 6.0; rv:20.0) Gecko/20100101 Firefox/20.0

    Configuration de compilation

    about:buildconfig

    Extensions

    Nom

    Version

    Activée

    ID

    Microsoft .NET Framework Assistant
    0.0.0
    false
    {20a82645-c095-46ed-80e3-08825760534b}

    Préférences modifiées importantes

    Nom

    Valeur

    browser.cache.disk.capacity
    358400

    browser.cache.disk.smart_size.first_run
    false

    browser.cache.disk.smart_size.use_old_max
    false

    browser.cache.disk.smart_size_cached_value
    358400

    browser.places.smartBookmarksVersion
    4

    browser.startup.homepage_override.buildID
    20130409194949

    browser.startup.homepage_override.mstone
    20.0.1

    dom.w3c_touch_events.expose
    false

    extensions.lastAppVersion
    20.0.1

    network.cookie.prefsMigrated
    true

    places.history.expiration.transient_current_max_pages
    87194

    plugin.disable_full_page_plugin_for_types
    application/pdf

    privacy.sanitize.migrateFx3Prefs
    true

    Accélération graphique

    Date du pilote
    12-1-2008

    Description de la carte
    ASUS EAH4870 series

    Direct2D activé
    Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 10.6 ou supérieure.

    DirectWrite activé
    false (7.0.6002.18592)

    Fenêtres avec accélération graphique
    0/1 Basic Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

    GPU #2 active
    false

    ID du périphérique
    0x9440

    ID du vendeur
    0x1002

    Pilotes de la carte
    atidxx32 atidxx64 atiumdag atiumdva atiumd64 atiumd6a atitmm64

    RAM de la carte
    Unknown

    Rendu WebGL
    Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

    Version du pilote
    8.561.0.0

    AzureCanvasBackend
    cairo

    AzureContentBackend
    none

    AzureFallbackCanvasBackend
    none

    JavaScript

    Ramasse-miettes incrémentiel
    true

    Accessibilité

    Activée
    false

    Empêcher l'accessibilité
    0

    Versions des bibliothèques

    Version minimale attendue

    Version utilisée

    NSPR
    4.9.5
    4.9.5

    NSS
    3.14.3.0 Basic ECC
    3.14.3.0 Basic ECC

    NSSSMIME
    3.14.3.0 Basic ECC
    3.14.3.0 Basic ECC

    NSSSSL
    3.14.3.0 Basic ECC
    3.14.3.0 Basic ECC

    NSSUTIL
    3.14.3.0
    3.14.3.0

    Gilad
    0
  16. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Toujours ces pubs en russes ?

    A+
    0
  17. Gilad Messages postés 17 Statut Membre 2
     
    oui, toujours. Ca n'a rien changé sur FireFox et bien sur idem sur internet explorer.

    bàt,

    Gilad
    0
  18. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Comme dis au début de mon intervention, lors de la réinstallation du système, des programmes, etc... il y a une application qui place cette infection quelque part.

    Firefox en mode sans échec, cela fonctionnait pourtant ?
    Je vais me renseigner et je reviens vers toi.

    A +

    0
  19. Gilad Messages postés 17 Statut Membre 2
     
    oui effectivement cela fonctionne en mode sans echec.

    Merci pour ton aide,

    Gilad
    0
  20. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Est ce tu es connecté via une box ou un routeur ?
    Quel est ton fournisseur Internet ? Est-il situé au Pays-Bas ?

    1. Analyse le fichier C:\Windows\System32\ASDR.exe sur https://www.virustotal.com/gui/
    Si un message te dit que le fichier à déjà été analysé, ré-analyse le
    Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
    tuto : Analyser un fichier avec VirusTotal

    2. Télécharge MiniToolBox (by Farbar) sur ton Bureau.
    ▸ Sous XP double-clic sur l'icône pour lancer l'outil.
    ▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Coche la case située devant les lignes suivantes :

    Flush DNS
    Report IE Proxy Settings
    Report FF Proxy Settings
    List content of Hosts
    List IP configuration

    ● Clique sur le bouton GO
    ● Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin.

    Poste le rapport Result.txt
    (à héberger si trop long)

    A +
    0
  21. Gilad Messages postés 17 Statut Membre 2
     
    Salut,

    mon fournisseur est Scarlet (Belgique et Pays-Bas) et j'utilise un routeur. Pour la manip que tu me conseil, je reviens vers toi demain : je n'ai pas accès à mon ordi pour le moment.

    Bàt,

    Gilad
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      ok, à demain :)
      0
  • 1
  • 2