Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection massive Adware

vfeuillette

Par vfeuillette
dans Analyses et éradication malwares

 Partager

Messages recommandés

vfeuillette Junior Member

vfeuillette

Posté(e)
Posté(e) (modifié)

Bonjour,

 

J'ai depuis plusieurs mois une infection massive qui se traduit par de nombreux pop up (DSNR media group, pub en fash, ... ) et des redirections (javaupdatefr et autres) dans tous les navigateurs que j'utilise sur mon ordinateur.

 

Pouvez vous m'accompagner pour me débarasser de tout ça ?

 

En vous remerciant par avance pour votre aide.

 

bien cordialement,

 

Vincent

Modifié par vfeuillette

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag
Autre lien en cas de défaiillance du précédent

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.
34038020130908194213.jpg
Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

50312920130802113656.jpg
Cliquer Configurer

Cliquez sur le bouton12040309492645704.jpg
120403104704343592.jpg
et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Télécharger RogueKiller (by tigzy) sur le bureau
En fonction de votre système ,choisissez la version 32 ou 64 bits
Quitter tous les programmes
Lancer RogueKiller.exe.Acceptez le disclaimer
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées
(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )
Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des index)

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait
Il y aura 6 rapports à poster



Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
mbam.jpg
Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.






Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau
34038020130908194213.jpg
ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre

[94316920130908191607.jpg

Script Zhpfix

O1 - Hosts: 78.46.61.26 www.google-analytics.com.
O1 - Hosts: 78.46.61.26 ad-emea.doubleclick.net.
O1 - Hosts: 78.46.61.26 www.statcounter.com.
O1 - Hosts: 108.163.215.51 www.google-analytics.com.
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 www.statcounter.com.
O4 - HKCU\..\Run: [Akamai NetSession Interface] C:\Users\VFE\AppData\Local\Akamai\netsession_win.exe (.not file.)
O4 - HKUS\S-1-5-21-252404202-2268265617-28896921-1000\..\Run: [Akamai NetSession Interface] C:\Users\VFE\AppData\Local\Akamai\netsession_win.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{52907FA4-86F2-4711-BCE3-43180E5460E8}] (...) -- C:\Program Files (x86)\GIMPshop\bin\gimp-2.2.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{74942A5F-1559-4E1B-B1FA-F613D6C1FC4B}] (...) -- C:\Users\VFE\Desktop\sympy-0.7.1.win32.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{8DFCDBE0-8369-4674-81D8-F14BDD3821E3}] (...) -- C:\Users\VFE\Desktop\ipython-0.12.1.win32.exe (.not file.) [0]
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\35495728.sys . (...) -- C:\Windows\System32\Drivers\35495728.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\35495728.sys . (...) -- C:\Windows\System32\Drivers\35495728.sys (.not file.)
O51 - MPSK:{02e63c39-7171-11e0-b22a-90e6ba4ddfb7}\AutoRun\command. (...) -- F:\LGAutoRun.exe (.not file.)
O51 - MPSK:{281a9299-5648-11e2-bae7-90e6ba4ddfb7}\AutoRun\command. (...) -- G:\Startme.exe (.not file.)
O87 - FAEL: "{6E28A664-32D8-401D-90E5-76638CA1315F}" |In - Private - P6 - TRUE | .(...) -- C:\Users\VFE\AppData\Local\Temp\lxde\wireless\FRENCH\lxdewpss.exe (.not file.)
O87 - FAEL: "{22EDA78A-4269-4CD7-A61F-904FCD484D05}" |In - Private - P17 - TRUE | .(...) -- C:\Users\VFE\AppData\Local\Temp\lxde\wireless\FRENCH\lxdewpss.exe (.not file.)
O87 - FAEL: "TCP Query User{1C009552-C22C-4366-A652-86C17CF395F6}C:\users\vfe\appdata\local\akamai\netsession_win.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\vfe\appdata\local\akamai\netsession_win.exe (.not file.)
O87 - FAEL: "UDP Query User{711D1833-F40C-4435-9CE9-034251A0F728}C:\users\vfe\appdata\local\akamai\netsession_win.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\vfe\appdata\local\akamai\netsession_win.exe (.not file.)
[HKCU\Software\YahooPartnerToolbar]
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]

Hostfix
EmptyTemp
EmptyClsid
Proxyfix
FirewallRaz
SysRestore



Cliquer sur "Go" en bas, à gauche
Redémarrer pour achever le nettoyage.

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt



Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport (SFT.txt) va s'ouvrir à la fin enregistré sur le bureau .

Comment poster les rapports
Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

 

 

Installez l'extension Ghostery:

 

http://assiste.free.fr/Assiste/Ghostery.html

Modifié par pear
vfeuillette Junior Member

vfeuillette

Posté(e)
  • Auteur
Posté(e)

Alors,

 

Rapport RogueKiller : http://cjoint.com/?0JDqLCPv5oF

 

Rapport RK après suppression : http://cjoint.com/?0JDqMvz4XrP

 

Rapport RK Host RAZ : http://cjoint.com/?0JDqNIdUI2D

 

Rapport RK Proxy RAZ : http://cjoint.com/?0JDqODoMtLg

 

Rapport RK DNS RAZ : http://cjoint.com/?0JDqO1Vu8O9

 

Rapport RK RAcc. RAZ : http://cjoint.com/?0JDqPobsQwK

 

Rapport MBAM : http://cjoint.com/?0JDqPVjYs13

 

Rapport ZHPFIX : http://cjoint.com/?0JDqQTGCP4Q

 

Rapport SFTGC : http://cjoint.com/?0JDqQTGCP4Q

 

Et j'ai installé l'extension Ghostery sur firefox.

 

Dans l'attente de vos prochaines instruction. Merci encore.

pear Devil Member !

pear

Posté(e)
Posté(e)

Réinitialiser le navigateur

 

Il faut parfois nettoyer les raccourcis (icones) de lancement des navigateurs.
clic droit->propriétés sur les icones de raccourcis de lancement des navigateurs
Dans le champ cible, après le chemin du navigateur WEB se trouve une adresse HTTP ajoutée pour ouvrir un autre site au démarrage du navigateur,
supprimer cette adresse http.

Shortcut Cleaner
C'est un utilitaire qui va scanner votre ordinateur pour les raccourcis Windows qui ont été détournés par des logiciels indésirables ou malveillants.
S'il trouve des raccourcis défectueux, il va automatiquement les nettoyer pour qu'ils n'ouvrent pas les programmes indésirables.

 

Cela fait, dites si vos problèmes persistent.

  • Upvote 1
pear Devil Member !

pear

Posté(e)
Posté(e)

Bien!

 

Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,
éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.
resolu.jpg
[1] En bas de votre premier message, cliquer sur Modifier
[2] En bas de l'éditeur qui s'ouvre, cliquer sur Utiliser l'éditeur complet
[3] En haut de l'éditeur complet, ajouter Résolu au début du titre de votre sujet.
[4] Enregistrer les modifications

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...