Rootkit détecté et publicités intempestives Fermé

Question

Bonjour

J'ai un gros souci avec mon portable Compaq qui a deux mois. Avast gratuit installé dès la configuration. Pourtant dès les premiers jours, pc lent, pubs intempestives, sites web qui ne répondent. De pire en pire. Je n'arrive plus taper sur mon clavier. Rootkit détecté par avast, j'ai supprimé les fichiers.
L'ordinateur est encore lent, les pages web se ferment .... au secours : (
Pouvez vous m'aider svp ?

Malekal_morte- · Answer

Salut, 

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB. 
Voici la procédure à suivre pour les supprimer : 

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Corydoras · Answer

Merci pour ta réponse rapide.
Voici le rapport de AdwCleaner : 

# AdwCleaner v3.310 - Rapport créé le 19/09/2014 à 12:03:53
# Mis à jour le 12/09/2014 par Xplode
# Système d'exploitation : Windows 8.1  (64 bits)
# Nom d'utilisateur : Sylvie - SYLVIE
# Exécuté depuis : C:\Users\Sylvie\Desktop\adwcleaner_3.310.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : Update NetCrawl
[#] Service Supprimé : Util NetCrawl
Service Supprimé : {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64
Service Supprimé : {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\374311380 
Dossier Supprimé : C:\Program Files (x86)\Mysearchdial
[!] Dossier Supprimé : C:\Program Files (x86)\NetCrawl
[!] Dossier Supprimé : C:\Program Files (x86)\NetCrawl
Dossier Supprimé : C:\Users\Sylvie\AppData\Local\pay-by-ads
Dossier Supprimé : C:\Users\Sylvie\AppData\Local\Rocket
Dossier Supprimé : C:\Users\Sylvie\AppData\Local\Temp\NetCrawl
Dossier Supprimé : C:\Users\Sylvie\AppData\Roaming\Mysearchdial
Dossier Supprimé : C:\Users\Sylvie\AppData\Roaming\pdfforge
Dossier Supprimé : C:\Users\Sylvie\AppData\Roaming\RocketUpdater
Dossier Supprimé : C:\Users\Ugo\AppData\Local\pay-by-ads
Fichier Supprimé : C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys
Fichier Supprimé : C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys

***** [ Tâches planifiées ] *****

Tâche Supprimée : MySearchDial
Tâche Supprimée : Rocket Updater
Tâche Supprimée : Yahoo! Search

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\MICROSOFT\INTERNET EXPLORER\DOMSTORAGE\superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\NetCrawl_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\NetCrawl_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\updateNetCrawl_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\updateNetCrawl_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\utilNetCrawl_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\utilNetCrawl_RASMANCS
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Update NetCrawl
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Util NetCrawl
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CA5CAA63-B27C-4963-9BEC-CB16A36D56F8}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{769A91DA-209F-47FE-88B9-B0321B0982C8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91C6335B-B94B-4CED-BCE3-BC33A09F5DB5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{15f1ee5b-4c16-415d-a4b9-e7e00753d0cf}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{769A91DA-209F-47FE-88B9-B0321B0982C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{769A91DA-209F-47FE-88B9-B0321B0982C8}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{91C6335B-B94B-4CED-BCE3-BC33A09F5DB5}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\mysearchdial
Clé Supprimée : HKCU\Software\NetCrawl
Clé Supprimée : HKCU\Software\Rocket Browser
Clé Supprimée : HKCU\Software\RocketUpdater
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKCU\Software\AppDataLow\NetCrawl
Clé Supprimée : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\SOFTWARE\InstallCore
Clé Supprimée : HKLM\SOFTWARE\NetCrawl
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mysearchdial
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ac225167-00fc-452d-94c5-bb93600e7d9a}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NetCrawl

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17278

Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]

*************************

AdwCleaner[R0].txt - [7620 octets] - [19/09/2014 11:58:13]
AdwCleaner[S0].txt - [5757 octets] - [19/09/2014 12:03:53]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5817 octets] ##########

Malekal_morte- · Answer

ok, voici la suite :


Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
Mets le à jour puis lance un examen. 

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche. 
Redémarre l'ordinateur si besoin. 
Après redémarrage, relance Malwarebytes. 
Vas chercher le rapport dans l'onglet Historique. 
A gauche Journal des examens. 
Doube-clic sur l'examen dans la liste. 
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
 
 

puis :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    


* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Corydoras · Answer

Alors voici lien pour le rapport de Malwarebytes : 

https://pjjoint.malekal.com/files.php?id=20140919_i11n15p10d12p14

Et le lien pour le rapport OTL : 

https://pjjoint.malekal.com/files.php?id=OTL_20140919_n7x5g14z12z12

Merci pour ton aide !

Malekal_morte- · Answer

Ca va mieux ? ou encore des pubs intempestives ?
si oui sur quel navigateur WEB ?

Corydoras · Answer

Je surfais sur google chrome et après les update de windows il y a deux jours, Internet Explorer s'est remis d'office comme navigateur.

J'ai éteint l'ordinateur après l'envoi des rapports car je devais sortir. Je viens de le rallumer :  
- Malware détecté
- Je voulais télécharger Mozilla Firefox, et je m'aperçois que Google refuse de charger une fenêtre web. Le serveur proxy ne répond pas. Internet Explorer ne peut pas afficher la page Web. Et ceci, peu importe la recherche que j'effectue. 

; (

Rootkit détecté et publicités intempestives

6 réponses

Discussions similaires