Pubs / Malware / Affreux ralentissements

Fermé
Patullacci - 4 déc. 2014 à 13:33
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 déc. 2014 à 20:06
Bonjour,
Petit problème dont l'origine semble connue...
J'ai depuis quelques semaines de gros ralentissements de mon ordi, exclusivement lorsqu'un navigateur est ouvert...
Des malwares / spywares sans aucun doute... Le problème a été partiellement réglé via différents outils, mais il n'a pas disparu et a évolué...
Je n'ai plus de fenêtres intempestives qui s'ouvrent, ni de bannières de pub sur les moteurs de recherche. En revanche, chaque onglet est en permanence en "connexion", et je vois en bas à gauche s'afficher rapidement des messages comme "En attente de XXX", "Connecté à XXX", "Transfert de données depuis XXX", par exemple cdn.adnxs.com (il y en a des dizaines d'autres...).
J'ai scanné / supprimé ce que je pouvais via adwcleaner et JRT, mais ça n'a rien amélioré. AdwC ne trouve d'ailleurs plus rien.
Je viens de dl et de lancer malwarebytes, qui me détecte plusieurs choses, et dont voici le rapport :

Scan Date: 04/12/2014
Scan Time: 12:57:30
Logfile: Rapport malwarebytes1.txt
Administrator: Yes

Version: 2.00.4.1028
Malware Database: v2014.12.04.05
Rootkit Database: v2014.12.03.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x86
File System: NTFS
User: MEDIA CENTER

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 329334
Time Elapsed: 13 min, 34 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 4
PUP.Optional.HQVideo.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\HQ-Video-Pro-1.9, , [ae2790ce4735d363992b7e425fa543bd],
PUP.Optional.PlusVid.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\PlusVid, , [597c104eb5c72b0b11311458669d09f7],
PUP.Optional.GenericAddon.A, HKU\S-1-5-21-1892762943-673790183-763778535-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\GenericAddon, , [ede88ad4a3d9ae88b2de1c377e85aa56],
PUP.Optional.FastStart.A, HKU\S-1-5-21-1892762943-673790183-763778535-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MOZILLA\EXTENDS, , [894ce777b6c693a301d4b59dce35cb35],

Registry Values: 2
PUP.Optional.MBot.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|mbot_fr_268, , [35a01945de9ee6500a228dcac340ee12],
PUP.Optional.FastStart.A, HKU\S-1-5-21-1892762943-673790183-763778535-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MOZILLA\EXTENDS|appid, ***@***, , [894ce777b6c693a301d4b59dce35cb35]

Registry Data: 1
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Good: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Bad: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[4f8669f57efec472331981df17ee7789]

Folders: 0
(No malicious items detected)

Files: 6
PUP.Optional.BrowserApp.A, C:\Users\MEDIA CENTER\AppData\Roaming\OLBOZOZI.exe, , [399cca9480fcd660f99c5755f50c34cc],
PUP.Optional.BrowserApp.A, C:\Users\MEDIA CENTER\AppData\Roaming\TZNM.exe, , [f3e2144ab0ccdb5b2c6902aa07fafe02],
PUP.Optional.OpenCandy, C:\Users\MEDIA CENTER\Downloads\daemon_tools_lite_daemon_tools_lite_4_47_1_fr_10729.exe, , [b520e7776d0fa98df0620284fe0750b0],
PUP.Optional.DomaIQ, C:\Users\MEDIA CENTER\Downloads\Setup.exe, , [3d9873eb81fb89ad60987f6e35cc4eb2],
PUP.Optional.InstallCore, C:\Users\MEDIA CENTER\Downloads\Popcorn%20Time.exe, , [0dc8b0aef389181eaac28aabc83d8779],
PUP.Optional.ISearch.A, C:\Program Files\Mozilla Firefox\browser\searchplugins\omiga-plus.xml, , [63720f4f3d3f5fd7eb73743650b4b14f],

Physical Sectors: 0
(No malicious items detected)


(end)


Je ne sais quoi faire comme action, "Quarentine" ou "Add exclusion" sur chacun des coupables détectés, ni si cela suffira à régler le problème, ce qui m'étonnerait fort...
A noter que j'ai désactivé et/ou supprimé les extensions louches dans Firefox et dans IE...

D'avance, merci pour votre aide, qui me sera précieuse...!


A voir également:

5 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 4/12/2014 à 13:34
Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Sur quel navigateur WEB?


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Merci pour ta réponse...

Le problème est commun à Firefox et à IE : ralentissement horrible du pc, "connexion" à des adresses louches presque en permanence...

Au besoin, ça ne me dérangerait pas plus que ça de désinstaller IE et de ne garder que Firefox, si les procédures pour les 2 sont trop difficiles...

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 déc. 2014 à 15:13
non cest pas possible de virer IE,

commence par ça :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.


0
Voici les 3 liens vers les PJ :

FRST : http://pjjoint.malekal.com/files.php?id=20141204_y5d13c12h13c14
Addition : http://pjjoint.malekal.com/files.php?id=20141204_c12i8p13r8r6
Shortcut : http://pjjoint.malekal.com/files.php?id=20141204_p5g13k10u9m15

("Addition" est bien le nom du fichier généré, et non Additionnal, je pense que ça n'a pas d'importance...)
Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 déc. 2014 à 16:27
Supprime les PUM.DNS avec RogueKiller en suivant ce tutorial : https://forum.malekal.com/viewtopic.php?t=48312&start=
Donne le rapport de suppression de RogueKiller.

0
J'espère que c'est bien un c/c que tu attends, et non un rapport dl en PJ...

RogueKiller V10.0.8.0 [Nov 20 2014] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarré en : Mode normal
Utilisateur : MEDIA CENTER [Administrateur]
Mode : Suppression -- Date : 12/04/2014 16:52:46

¤¤¤ Processus : 1 ¤¤¤
[Suspicious.Path] FRST.exe -- C:\Users\MEDIA CENTER\Desktop\FRST.exe[-] -> Tué(e) [TermProc]

¤¤¤ Registre : 6 ¤¤¤
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A1DDE8C7-ABF3-4AC5-A8A8-ED4D511BBC84} | NameServer : 31.168.224.106,5.135.12.52 [(Unknown Country?) (XX)][(Unknown Country?) (XX)] -> Remplacé(e) ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{A1DDE8C7-ABF3-4AC5-A8A8-ED4D511BBC84} | NameServer : 31.168.224.106,5.135.12.52 [(Unknown Country?) (XX)][(Unknown Country?) (XX)] -> Remplacé(e) ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{A1DDE8C7-ABF3-4AC5-A8A8-ED4D511BBC84} | NameServer : 31.168.224.106,5.135.12.52 [(Unknown Country?) (XX)][(Unknown Country?) (XX)] -> Remplacé(e) ()
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Non sélectionné
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Non sélectionné
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Non sélectionné

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 validation.sls.microsoft.com

¤¤¤ Antirootkit : 7 (Driver: Chargé) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_CREATE[0] : Unknown @ 0x8576e1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x8576e1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x8576e1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x8576e1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_POWER[22] : Unknown @ 0x8576e1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x8576e1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_PNP[27] : Unknown @ 0x8576e1f8

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HD251HJ ATA Device +++++
--- User ---
[MBR] 35bcf6a44ee390bbfdf0e8453d8e6bd4
[BSP] b76d509a2fe6ea2955646cde8f3b46df : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 138309 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 283258080 | Size: 100163 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_12042014_165133.log


(ps : c'est moi ou il a trouvé suspect ton propre programme ? :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 déc. 2014 à 17:03
Regarde ce que cela donne pour les pubs.
0
Toujours les mêmes transferts de données depuis une foule de sites, qui affolent mon DD et font ramer....
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 déc. 2014 à 18:00
Qu'est ce qui utilise le disque ?
voir le moniteur système => https://forum.malekal.com/viewtopic.php?t=43963&start=
0
J'ai télécharger le programme, mais je ne sais pas ce que tu veux que je regarde et que je poste comme info...
Si je me réfère au gestionnaire des tâches windows, il apparait que le processus le plus gourmand est bien firefox (les chiffres oscillent beaucoup, entre 15 et 50), faisant jeu égal avec les "processus inactifs du système"...
En attendant ta prochaine réponse, je vais peut-être réinitialiser et réinstaller Firefox...?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 déc. 2014 à 20:06
Tu peux réinitialiser Firefox, oui, ça ne fera pas de mal.
0