Fenêtres intempestives de "france.consumers" et pop de pub Fermé

Question

Bonjour,
En téléchargeant un logiciel gratuit( chose que je fais jamais) j'ai du chopé un virus que je n'arrive pas a éradiquer.
J' ai souvent des fenêtres qui s'ouvrent pour me proposer des enquêtes ou concours comme "france.consumers.com"ou des lien qui apparaisse dans des textes qui m'ouvrent divers pubs.
J'ai fais un tour sur le forum et j'ai scanné  et nettoyer mon ordi mais j'ai encore de soucis.
quelqu'un pourrai m'aider a résoudre mon problème et notamment  a déchiffrer des rapports de OTL, JRT ou encore ZHPDia.

Rapport JRT.txt
https://www.cjoint.com/?DBgkxsYsB1q
rapport OTL extra.txt
https://www.cjoint.com/?DBgkAUsKoax
rapport OTL otl.txt
https://mon-partage.fr/f/0szK2IYe/

rapport "zhpdiag.txt" 
https://www.cjoint.com/?DBgkEu4Fb3l

Merci de votre aide

juju666 · Answer

Salut,

&#9654 Télécharge ici (lien direct): AdwCleaner (de Xplode)

&#9654 Lance-le

&#9654 Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre.

~~

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée. 

A+

kreau · Answer

Voila c'est fait , voici le rapport
https://www.cjoint.com/?DBglpjmZZ8x

juju666 · Answer

vu

en attente de malwarebytes :)

kreau · Answer

C'est en cours d'analyse je te le transmet une fois terminé

kreau · Answer

Voila le rapport
//////////////////////////////
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.02.06.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Kreaumnia :: THIERRY-FIXE [administrateur]

Protection: Activé

08/02/2014 12:12:05
mbam-log-2014-02-08 (12-12-05).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 785373
Temps écoulé: 1 heure(s), 45 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

juju666 · Answer

parfait, encore des soucis ?

kreau · Answer

Oui j'ai toujours les enquêtes qui s'ouvre encore une ce matin

juju666 · Answer

De quelle manière ? Sous quelle forme ? 
Avec quel navigateur ?

kreau · Answer

Ce matin avec mozilla firefox  j'a ouvert le lien de ce forum via ma boite email et une première page c'est ouverte avec commentcamarche puis une seconde page avec une sonnerie de téléphone et une voir me proposant de répondre à un enquête ou concours malheureusement je n'ai pas eu le temps de récupérer l'url la fenêtre c'est refermé.

Autre chose sur un site que je connais et je sais qu'il n'y a normalement pas de lien dans le texte.  Un à deux mots   est souligné deux fois  et au passage de la souris il y a un pop de pub si je clic sur le lien j'ai une page qui s'ouvre dans firefox vers http://ww1.todays-living.com (un sondage)

juju666 · Answer

Ok.

Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

kreau · Answer

Adblock plus 2.4.1
Clear cache 1.4
colorZilla 2.8
DownloadHElper 
Firebug
fire shot
google translator
Measurelt
web developper
xmarks
Google toolbar for Firefox

Voila

kreau · Answer

la pop qui s'ouvre c'est de  friends Chekers

juju666 · Answer

A part la google toolbar qui est inutile, je ne vois pas d'extension louche.

Tu fais du développement web ?

Refais OTL mais de cette manière stp :

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C

kreau · Answer

Juste une petite précision
je colle le code dans "personnalisation" puis j'analyse ou le clic sur "correction"

juju666 · Answer

Analyse évidemment !

kreau · Answer

Voici le rapport OLT
"otl.txt" 
https://www.cjoint.com/?DBhkNUGub6K

juju666 · Answer

Tu n'as pas respecté la configuration en image
désactive les safelist !

kreau · Answer

excuse moi j'ai pas compris

juju666 · Answer

[color=#E56717]========== Processes (SafeList) ==========[/color]

sur la config image (Clique ici pour voir la configuration  ) tu as tout laissé sur "Avec liste blanche" alors que je demande de mettre sur "Tous".

Mais même je vois pas ce qui cause cette pub ton PC est propre.
As-tu testé avec un autre navigateur si ça fait la même chose ?

kreau · Answer

Je ne trouve pas ou désactiver les safelist

juju666 · Answer

clik sur mon lien !!!

kreau · Answer

ok je refait une analyse, je viens de tester sur le même site que tout a l'heure et il semble que les liens est disparus
 je te transmet quand même le rapport une fois terminé

juju666 · Answer

ok

kreau · Answer

je viens de cliquer sur un bouton dans l'un de mes soie et vlan!!! je suis rediriger pendant quelques seconde sur une page de sondage.
Je sais pas ce que sait cette vérole mais cela commence a bien faire

kreau · Answer

Voila le rapport
https://www.cjoint.com/?DBhllJDJZai

juju666 · Answer

sur un bouton dans l'un de mes soie  ???????

&#9654 Télécharges ici:  mbar 
&#9654 Décompresses le contenu du dossier vers le bureau.
&#9654 Ouvrir le dossier et exécuter mbar.exe (Sous Vista/7 : exécuter en tant qu'administrateur)
&#9654 La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
&#9654 Clic sur Next
&#9654 La nouvelle fenêtre te propose de faire la mise a jour. Clic sur Update et une fois terminé clic sur next
&#9654 Pour lancer l'analyse clic sur scan
&#9654 Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
&#9654 Patiente pendant le processus de nettoyage qui peut être long.
&#9654 Lorsque terminé, envois les deux rapports qui se trouvent dans le dossier MBAR : mbar-log.txt et log.txt

kreau · Answer

Voici le fichier extra
https://www.cjoint.com/?DBhlonolcut

juju666 · Answer

on a posté en même temps regarde

kreau · Answer

sur un bouton dans l'un de mes soie ??????? 
Sur un bouton dans l'un de mes site

juju666 · Answer

Han mais c'est la page de ton site qui est infectée alors

file le lien de ton site

kreau · Answer

Je suis certain que ça ne viens pas du site mais de mon ordi
d'ailleurs je n'arrive pas a reproduite le phénomène

kreau · Answer

Bon  mbar  n'a rien trouvé, ou ce trouve les rapports?

juju666 · Answer

s'il n'a rien trouvé ... ton pc est pas infesté

moi je parie que ça vient de ton site

kreau · Answer

Dans le dossier MBAR il n'y a aucun fichier text a part changes.txt

kreau · Answer

non car j'ai le problème sur d'autre site qui ne sont pas les miens

juju666 · Answer

beh, je sèche.

tu peux faire ça mais il trouvera rien j'en suis sûr :)

&#9654 Télécharge ici :  RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

kreau · Answer

je pense que je vais être obligé de formater mon ordinateur si cela se reproduit.

je tiens à te remercier pour ton aide et ta patience, c'est sympa de ta part.

juju666 · Answer

bah formater ça servira à rien je te dis que ton pc est propre ...

Fenêtres intempestives de "france.consumers" et pop de pub

38 réponses

Discussions similaires