[Résolu] Probable infection, apparition d'un pop-up de pub

[viveleltsi]

Résolu, explications:

Voici l'explication, malgré plusieurs infections mon problème ne venait pas de là. Il s'agissait au final d'un site de phishing. Donc la solution est de s'informer et de faire attention aux sites frauduleux qui ressemblent à l'original mais qui ne l'est pas. Attention à l'autocompletion (suggestion lorsqu'on tape dans la barre d'adresse), il suffit de faire une fois faux l'adresse et on aura tendance à le refaire faux par la suite.

 

 

Bonjour,

 

Description du problème

j'ai remarqué que lorsque j'essayais d'aller sur certaines pages web un pop-up par dessus le site me demandait de couper adblockplus et de cliquer sur des liens pour acheter des service pour téléphone portable (musique, applications, etc). Je suspecte un malware.

 

Procédures déjà effectuées

De ce fait j'ai suivit des procédures standards tel que:

• ccCleaner
• Malwarebytes' Anti-Malware
• adwcleaner (en mode sans Echec)

Mais le problème persiste.

 

Informations complémentaires

Mon pc a toujours été équipé d'avira antivirus et du pare-feu Comodo. Et je viens donc vers vous pour m'aider si vous le pouvez =). Merci d'avance!

[Apollo]

Bonjour,

 

Poster les rapports d'AdwCleaner et MBAM svp.

 

Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

Site éditeur: http://thisisudax.org/

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.
S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera. Mettez-le à la corbeille et téléchargez la dernière version.

Renomme JRT_NEW en JRT.

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

Poste le rapport généré à la fin de l'analyse.

NB: Le bureau disparaitra un instant, c'est normal.

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

[viveleltsi]

Voila les rapports demandés, je les ai également mise dans mon premier post.

Modifié le 31 mars 2014 par viveleltsi

[Apollo]

Il y a depuis peu, une nouvelle version de MBAM: http://theknitter-apollo.xooit.com/p21796.htm

 

Fais un autre scan ZHPDiag et héberge son rapport stp.

 

Rappel de procédure:

 

ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
  Lien de secours: ftp://zebulon.fr/ZHPDiag2.exe
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Clique sur Complet (Full options)

[*]

[*]Tu patientes jusqu'à ce que le scan affiche 100%
Tu refermes ZHPDiag

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)
Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.

ou http://dl.free.fr/

http://www.rue-du-montceau.fr/tuto_cjoint.html >> tuto de Nardino pour héberger.

@++

[viveleltsi]

<rapport supprimé>

Modifié le 31 mars 2014 par viveleltsi

[Apollo]

J'avais demandé d'héberger le rapport, enfin...

 

ZHPFix :

• Ferme toutes les applications ouvertes
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
  
• Copie les lignes ci-dessous dans la fenêtre

sauf citation.

 

 

Script ZHPFix

[MD5.4B96654025B28EEB1E5D8F001E5D1B8A] - (.APN - Ask Toolbar Notifier.) -- C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1758160] [PID.4112]
[MD5.B342CD9AA44E4AE99E2368EBDBC2E17A] - (.APN LLC. - APN Updater.) -- C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [166352] [PID.1900]
O3 - Toolbar: Avira SearchFree Toolbar - [HKLM]{41564952-412D-5637-4300-7A786E7484D7} . (.APN LLC. - Passport.) -- C:\Program Files (x86)\AskPartnerNetwork\Toolbar\AVIRA-V7C\Passport_x64.dll
O23 - Service: Service de mise à jour Ask (APNMCP) . (.APN LLC. - APN Updater.) - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe
[HKCU\Software\AskPartnerNetwork]
[HKLM\Software\AskPartnerNetwork]
[HKLM\Software\Wow6432Node\AskPartnerNetwork]
O43 - CFD: 20.01.2014 - 01:07:16 - [12.948] ----D C:\Program Files (x86)\AskPartnerNetwork
O43 - CFD: 20.01.2014 - 01:07:16 - [1.270] ----D C:\ProgramData\AskPartnerNetwork
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (Bing) - <http://www.bing.com>
O90 - PUC: "25946514D214736534007A857BC0A030" . (.Avira SearchFree Toolbar.) -- C:\Windows\Installer\{41564952-412D-5637-4300-A758B70C0A03}\ToolbarIcon.exe
[MD5.B9DD25E962EBAF270D77820FD0B02781] [WIS][20.02.2014] (.APN, LLC - Avira SearchFree Toolbar.) -- C:\Windows\Installer\1319e.msi [813568]
SR - | Auto 13.02.2014 166352 | (APNMCP) . (.APN LLC..) - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe
[HKLM\SYSTEM\CurrentControlSet\Services\APNMCP]
[HKCU\Software\AskPartnerNetwork]
[HKLM\Software\AskPartnerNetwork]
[HKLM\Software\Wow6432Node\AskPartnerNetwork]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{41564952-412D-5637-4300-7A786E7484D7}
C:\Program Files (x86)\AskPartnerNetwork
C:\ProgramData\AskPartnerNetwork
C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe
C:\Windows\Installer\1319e.msi
EmptyClsid
Ifeofix
Proxyfix
FirewallRaz
ShortcutFix
EmptyPrefetch
emptytemp
emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.
  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------------------------

Fais ces vérifications de sécurité importantes stp:

http://theknitter-apollo.xooit.com/p17644.htm

Ou ici: http://www.vista-xp.fr/forum/topic13109.html#p108827

Pour Java, utiliser l'outil de Pierre13. (à partir de XP SP3!)
Poster son rapport.

Idem pour Adobe Reader (outil dédié de Pierre13 + rapport)

[viveleltsi]

Oups désolé pour le rapport. J'ai lancé l'outil ZHPFix avec ton scripte et j'attends, cela fait plus de dix minutes que ça en est bloqué à environ 60% avec une petite fenêtre bleu sans contenu qui est apparu et le curseur est en mode sablier (enfin rond window qui tourne). Je laisse tourner sauf si tu me confirme que c'est pas normal.

[Apollo]

Si ça traîne, fais cette manip en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

@++

[viveleltsi]

En mode sans Echec ça a prit quelques secondes:

 

Rapport de ZHPFix 2014.3.25.5 par Nicolas Coolman, Update du 25/03/2014
Fichier d'export Registre :
Run by Dan at 30.03.2014 18:34:02
High Elevated Privileges : OK
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 01s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Clés du Registre ==========
Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (18)
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉ: C:\Windows\Installer\1319e.msi
SUPPRIMÉS Temporaires Windows (124) (6'343'585 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
1 : Clés du Registre
8 : Valeurs du Registre
3 : Dossiers
3 : Fichiers


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\Users\Dan\AppData\Roaming\ZHP\ZHPFix[R1].txt - 30.03.2014 18:34:04 [1269]

[Apollo]

Certes mais je ne vois pas qu'il ait éliminé cette peste d'Ask toolbar qui est "offerte" gracieusement par Antivir...

 

ESET ONLINE SCANNER

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:
http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
  
• Une nouvelle fenêtre apparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

Nota : ce scan peut être très long et prendre plusieurs heures.

Modifié le 30 mars 2014 par Apollo