pub de redirection automatique! Résolu

Question

Bonjour à tous,

j'ai téléchargé "roguekiller" sur le site officiel (ainsi qu'il est recommandé sur ce site), et après avoir lancé un scan, plusieurs résultats ont été trouvés. J'ignore totalement ce que je peux me permettre de supprimer sans risque. Cela m'inquiète d'autant plus que des faux positifs peuvent être détectés.

Dans le doute, je n'ai rien supprimé.

Voici le rapport de roguekiller :

RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 04/13/2014 02:10:55
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 2 ¤¤¤
[Administrateur][SUSP PATH] flashsec.lnk : C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\flashsec.lnk @C:\Documents and Settings\Administrateur\Application Data\Flash\updatesec.vbs [-][x] -> TROUVÉ
[Administrateur][SUSP PATH] flashupdate.lnk : C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\flashupdate.lnk @C:\Documents and Settings\Administrateur\Application Data\Flash\updatesg.vbs [-][x] -> TROUVÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Faked][Fichier] igxpmp32.sys : C:\WINDOWS\system32\drivers\igxpmp32.sys [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Mal.Hosts ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

146.0.75.221 www.bing.com. --> Potentially malicious!
79.142.66.242 www.bing.com. --> Potentially malicious!

127.0.0.1 localhost
::1 localhost
146.0.75.221 www.google-analytics.com.
146.0.75.221 google-analytics.com.
146.0.75.221 connect.facebook.net.
146.0.75.221 bing.com.
146.0.75.221 www.bing.com.
79.142.66.242 www.google-analytics.com.
79.142.66.242 google-analytics.com.
79.142.66.242 connect.facebook.net.
79.142.66.242 bing.com.
79.142.66.242 www.bing.com.

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) HDS728080PLA380 +++++
--- User ---
[MBR] 6f0ee07d1cd2419c18370be55051776f
[BSP] b3c67d918101dca27c36b3982b42c283 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 78520 MB
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_04132014_021055.txt >>

NB : sur l'interface figuraient plusieurs noms de drivers (un sacré paquets, dont "superAntispyware" -le seul faux positif que j'ai pu repéré- mais ils ne sont pas détaillés sur le rapport, j'ignore si c'est normal...)

Merci pour votre aide!

Afficher la suite

Utilisateur anonyme · Answer

bonjour,

on ne passe pas un outil sans raison sur un pc !

quel est ton problème à la base ?

Lizzie · Answer

Bonjour Electricien 69, 

je te remercie pour cette réponse rapide.

En effet c'est suite à un pb que j'ai souhaité utiliser cet outils. Depuis quelques jours, des publicités s'affichaient en bas à gauche de mon écran, sensiblement toujours la même : une pub pour des jeux vidéo. De plus, une fenêtre de pub sous forme de redirection s'affiche. Je suis redirigée vers des sites de rencontre. Mais avant cela s'affiche les URL suivants :

meta.7search
midstudent.com
tryscary.com

(Je les ai bloqué dans les options firerfox, mais rien n'y fait!)

L'ordinateur s'en trouvait fortement ralenti, puis le système se gelait carrément. Et je devais éteindre manuellement l'ordinateur. S'est affiché à deux reprises un msg du BIOS en blanc sous fond bleu. 

Ont été déjà faits (en mode normal, et sans échec) :

scan antivirus (AVAST)
scan via malwarebytes anti-malware 
scan via superanti malware
Ccleaner
et adwcleaner

Pas mal de bestioles ont été trouvées, certaines choses ont été supprimées, d'autres mises en quarantaine.

Depuis :

les petites fenêtres de pub en bas à gauche de l'écran ont disparu. Le pc a retrouvé une vitesse tout à fait honorable (quoique un peu plus lent qu'à l'ordinaire). Le système ne gèle plus. Et je n'ai plus eu de msg sous fond bleu.

Ceci dit, il persiste cette fenêtre de redirection. J'ai pensé que roguekiller pourrait peut-être repérer ce virus récalcitrant.

Merci encore pour ton aide...

Utilisateur anonyme · Answer

ok,

laisse de côté roguekiller,

passe ceci :

/!\ Attention : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas d'utiliser le mode d'installation personnalisé et décocher la/les cases correspondantes pendant l'installation.


De plus de ceci, évite fortement les sites comme 01n@t et S@ftonic, les logiciels gratuits et libres sont repackés avec leurs barres d'outils ! 

Pour les tuto diffusés par Tuto4pc, Eorezo, Agence exclusif .. etc (quelque soit son nom puisqu'on le change sans arrêt !

Il faut bien lire le contrat de licence d'utilisation avant l'installation !!!

https://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/



? Télécharger et enregistre ADWcleaner sur ton bureau (de Xplode) : 

https://toolslib.net 



Lance le 
accèpte le contrat de licence d'utilisation 
clique sur scanner 
Patiente jusqu'à la fin, 
Une fois le scan terminé, clique sur le rapport 
Copie et colle la totalité du rapport sur ton prochain message

Lizzie · Answer

J'ai essayé de le faire il y a deux jours, et il me trouve un fichier suspect. Le pb est qu'il bloque au moment du nettoyage. Je ne peux plus rien faire, ni même éteindre l'ordi.

Je désinstalle et je ressaie quand même aujourd'hui?

Utilisateur anonyme · Answer

essaie en mode sans echec pour voir !

Lizzie · Answer

Avec maintien du réseau ou mode sans échec tout court?

Mais je voulais savoir : il bloque au nettoyage mais pas pendant le scan. Peut-être que je peux envoyer le rapport sans avoir recours au nettoyage? Si c'est le cas, c'est bon...

Utilisateur anonyme · Answer

s'il a choppé des trucs, c'est forcement (je dirais à 90 % si pas plus), c'est infectieux !

envoie le rapport de recherche et on verra ce que c'est !

Lizzie · Answer

ok je fais ça de suite!

Lizzie · Answer

# AdwCleaner v3.023 - Rapport créé le 13/04/2014 à 16:38:43
# Mis à jour le 01/04/2014 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Administrateur - TITANIUM
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\ Internet Explorer v6.0.2900.2180


-\ Mozilla Firefox v28.0 (fr)

[ Fichier : C:\Documents and Settings\Administrateur\Application 

Data\Mozilla\Firefox\Profiles\74vpxhgu.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [725 octets] - [13/04/2014 16:38:43]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [784 octets] ##########





Voici le rapport en mode normal. Je n'ai pas cliqué sur "nettoyer".

J'attends tes instructions...

Utilisateur anonyme · Answer

il n'y a pas eu de détections ,

 
*  Télécharge et enregistre ZHPDiag sur ton bureau : 

http://general-changelog-team.fr/downloads/viewdownload/49-outils-de-nicolas-coolman/124-zhpdiag

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/



* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

=> L'icône est sous forme de parchemin. 

* Clique sur « Full options » 

* Laisse travailler l'outil, même s'il semble bloqué ! 

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

ou
https://up2sha.re/
, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  


tuto zhpdiag : 

http://nicolascoolman.webs.com/tutorials.htm

Lizzie · Answer

Voici le lien ZHP diag :

http://cjoint.com/?3DntEBnGei5

Utilisateur anonyme · Answer

tu dois surement savoir qu'il n'y a plus de mises à jour de sécurité pour combler les failles de Xp depuis 10/04/2014 !

désinstalle SUPERAntiSpyware, tu as déjà MBAM et Avast !

si ta version de MBAM est celle de pro (antivirus) tu peux même désinstaller avast !


relance Roguekiller, 

[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad

Lizzie · Answer

Oui en effet tu dois être surpris de voir le nb de scans et d'outils que j'utilise ces derniers temps. Mais c'est depuis cette infection, et je me suis basée sur les différents protocoles et conseils postés sur ce forum. Si je supprime superAntiSpyware, je supprime également les fichiers mis en quarantaine. Or, il y en a un grand nombre. Est-ce que cela comporte un risque? Voici le rapport demandé (je n'ai pas fermé l'interface s'il faut faire d'autres manip sue les résultat du scan) : RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software mail : http://www.adlice.com/contact/ Remontees : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Administrateur [Droits d'admin] Mode : HOSTS RAZ -- Date : 04/13/2014 20:20:53 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : Mal.Hosts ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 146.0.75.221 www.bing.com. --> Potentially malicious! 79.142.66.242 www.bing.com. --> Potentially malicious! 127.0.0.1 localhost ::1 localhost 146.0.75.221 www.google-analytics.com. 146.0.75.221 google-analytics.com. 146.0.75.221 connect.facebook.net. 146.0.75.221 bing.com. 146.0.75.221 www.bing.com. 79.142.66.242 www.google-analytics.com. 79.142.66.242 google-analytics.com. 79.142.66.242 connect.facebook.net. 79.142.66.242 bing.com. 79.142.66.242 www.bing.com. ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[0]_H_04132014_202053.txt >> RKreport[0]_S_04132014_021055.txt;RKreport[0]_S_04132014_202009.txt

Utilisateur anonyme · Answer

je pense qu'il est inutile de passer tous les outils par ce qu'on a une suspicion d'infections sur el pc !

il vaut mieux demander de l'aide directement sur le forum  :D

 


Si je supprime superAntiSpyware, je supprime également les fichiers mis en quarantaine. Or, il y en a un grand nombre. Est-ce que cela comporte un risque? 

si tu as redémarrer le pc et su'il n'y a pas de disfonctionnement sur le pc, ni tes programmes, tu peux désinstaller superAntiSpyware !


sur ton rapport, à part une clé de Ask, il y a avait juste les fichiers host endommagés !


redémarre le pc et regarde voir si tu as autres soucis ?

@ +

Lizzie · Answer

Bonjour Electricien 69,


eh bien, plus de redirection vers des publicités après redémarrage! J'espère ne pas m'emballer, mais apriori ça a l'air d'être résolu :-))


Je te remercie mille fois de m'avoir apporté ton aide!

T'as assuré!

Bonne journée!

Utilisateur anonyme · Answer

super,

n'oublie pas de désinstaller les outils,

sur ce, bon surf  ;-)

Lizzie · Answer

Euuuuhhhh encore moi, lol!


On m'a toujours dit qu'il n'y avait pas de questions bêtes (peut-être que si finalement...) : quels outils dois-je supprimer?

Désolée...

Utilisateur anonyme · Answer

Roguekiller,
ADWC, 
Zhpdiag
et tous les autres que je n'ai pas vu sur le pc  :D

Lizzie · Answer

Ok ok! Tu as tout vu sur mon pc, lol! Je sais que j'ai fait fort sur les outils, mais je n'ai que ceux que j'ai mentionné. N'abusons pas.


Et je ne sais pas s'il est possible de renommer le poste pour qu'il puisse servir à d'autres? Avec un titre plus précis du style : "pub de redirection automatique". 

Si c'est possible je n'ai pas trouvé comment faire...

Utilisateur anonyme · Answer

chose faite  ;-)

Lizzie · Answer

Génial!

Merci beaucoup!

Et bonne continuation à toi!

:-)

Utilisateur anonyme · Answer

;-)

Pub de redirection automatique!

22 réponses

Votre réponse

Discussions similaires

Newsletters