[Résolu] Aide pour pubs intempestives

[luludo]

Bonjour,

 

Je viens solliciter votre aide pour me débarasser de pub qui s'affiche toutes seule à la place de la page que je regarde parfois directement parfois après 2 ou 3 min sans que je ne toucha à rien.

J'ai vu quelques post de personnes ayant le même soucis ,je vous post donc le rapport de adwcleaner :

http://cjoint.com/?0Ecpwd3CtE0

 

J'ai ensuite utilisé JRT dont voici le rapport:

http://cjoint.com/?0EcpHz2gf99

 

et enfin ZHP Diag qui me donne ce rapport:

http://cjoint.com/?0EcpJ1uwzEJ

La suite me semble plus difficile je me tourne donc vers vous.

 

Merci

Modifié le 4 mai 2014 par luludo

[Pierre13]

Bonjour luludo,

 

Le dernier lien ne donne pas le rapport ZHPDiag...

Modifié le 2 mai 2014 par Pierre13

[luludo]

Le voici voici, désolé

http://cjoint.com/?0EcqT4WUSf4

[Pierre13]

Re,

 

Ok...Cette fois, c'est bon.

Il y a un rootkit possible et diverses infections.

On va en 1er traiter le rootkit.

 

Désinstaller Avira...Il est inutile sous Windows 8.

 

 

Windows 8

• Faites un clic droit dans le coin en bas à gauche de votre écran « Démarrer » (bouton Windows + x) pour afficher la nouvelle fenêtre du menu d'accès rapide. Une fois le menu d'accès rapide affiché, cliquez sur Programmes et fonctionnalités
• Recherchez le produit Avira, faites un clic droit dessus et sélectionnez Désinstaller
• Confirmez la notification de désinstallation du produit qui s'affiche en cliquant sur Oui
• Confirmez l'activation du Firewall Windows en cliquant sur Oui
• La configuration d'Avira prendra quelques minutes pour désinstaller le produit
• Confirmez la notification de redémarrage de votre système en cliquant sur Oui
• Une fois votre PC redémarré, le produit Avira est entièrement supprimé

 

Ensuite,voir sur cette page pour désactiver provisoirement l'antivirus (Windows Defender) sous Windows 8

 

Une fois ceci fait,

 

Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.

• Faites un double clic sur mbam-setup-2.0.0.1000.exe et suivez les invites pour installer le programme.
• A la fin, vérifiez que ces cases sont cochées:
  • Lancer Malwarebytes Anti-Malware
  • Un essai gratuit de 14 jours des fonctions de la version Premium est pré-sélectionné. Si vous le désirez, vous pouvez dé-cocher cette case, et cela ne diminuera pas les capacités d'analyse et de suppression du programme.
• Cliquez sur Terminer.
• Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits.
• Cliquez sur l'onglet Examen, puis cliquez sur Examiner maintenant >>. Si une mise à jour est disponible, cliquez sur le bouton Mettre à jour maintenant.
• Un Examen "Menaces" va démarrer.
• Avec certaines infections, vous pouvez voir l'affichage de ce message:
  • 'Malwarebytes n'a pas pu charger le pilote Anti-Rootkit DDA'
• Cliquez sur 'Oui' sur ce message, pour permettre le chargement du pilote après un redémarrage.
• Laissez l'ordinateur redémarrer. Continuez avec le reste de ces instructions.
• Quand l'examen est terminé, click Appliquer les actions.
• Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.

 

 

Au redémarrage du PC:

• Ouvrir MBAM. (Malwarebytes Anti-Malware)
• Cliquer sur l'onglet Historique > Journaux de l'application.
• Faire un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.
• Cliquer sur Supprimer tout.
• Cliquer sur Exporter.
• Cliquer sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquer sur le Bureau.
• Dans la zone Nom du fichier: saisir un nom pour le journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et annoncer que "Votre fichier a été exporté avec succès".
• Cliquer sur OK
• Attacher ce fichier dans ta prochaine réponse.

Modifié le 2 mai 2014 par Pierre13

[luludo]

Voila le journal d'examen, merci beaucoup pour l'aide apportée.

Malwarebytes Anti-Malware

www.malwarebytes.org

Date de l'examen: 02/05/2014

Heure de l'examen: 17:34:12

Fichier journal: journal examen mbam.txt

Administrateur: Oui

Version: 2.00.1.1004

Base de données Malveillants: v2014.05.02.08

Base de données Rootkits: v2014.03.27.01

Licence: Essai

Protection contre les malveillants: Activé(e)

Protection contre les sites Web malveillants: Activé(e)

Chameleon: Désactivé(e)

Système d'exploitation: Windows 8.1

Processeur: x64

Système de fichiers: NTFS

Utilisateur: LUDOVIC

Type d'examen: Examen "Menaces"

Résultat: Terminé

Objets analysés: 301770

Temps écoulé: 11 min, 28 sec

Mémoire: Activé(e)

Démarrage: Activé(e)

Système de fichiers: Activé(e)

Archives: Activé(e)

Rootkits: Activé(e)

Shuriken: Activé(e)

PUP: Activé(e)

PUM: Activé(e)

Processus: 0

(No malicious items detected)

Modules: 0

(No malicious items detected)

Clés du Registre: 0

(No malicious items detected)

Valeurs du Registre: 0

(No malicious items detected)

Données du Registre: 0

(No malicious items detected)

Dossiers: 0

(No malicious items detected)

Fichiers: 8

Adware.DomaIQ, C:\$Recycle.Bin\S-1-5-21-2840529384-282118140-3218407435-1001\$ROKVZDX.exe, Mis en quarantaine, [0ff13ac66a96de22083c9ea453ad3ac6],

PUP.Optional.Somoto, C:\Users\LUDOVIC\AppData\Local\Temp\bitool.dll, Mis en quarantaine, [9f6154ac837d5fa1a01e6b984ab8758b],

PUP.Optional.Somoto, C:\Users\LUDOVIC\AppData\Local\Temp\nss83D3.tmp, Mis en quarantaine, [15eba7599e62c23e26933c8f857e43bd],

PUP.Optional.MySearchDial.A, C:\Users\LUDOVIC\AppData\Local\Temp\is1040563000\mysearchdial.dll, Mis en quarantaine, [c23e4cb4758b7c84c94bcf81877a8878],

PUP.Optional.OpenCandy, C:\Users\LUDOVIC\Downloads\DAEMONToolsUltra220-0226.exe, Mis en quarantaine, [738df40c2dd3d52b8927e9727b8942be],

PUP.Optional.BundleInstaller.A, C:\Users\LUDOVIC\Downloads\Player Setup.exe, Mis en quarantaine, [e719619f88785ba52c63c44c71932ad6],

PUP.Optional.MySearchDial.A, C:\Users\LUDOVIC\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_iagcajndpnfncplednpbnkahadegklfa_0.localstorage, Mis en quarantaine, [41bf23dd926e25db3dd8c7b311f19d63],

PUP.Optional.MySearchDial.A, C:\Users\LUDOVIC\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_iagcajndpnfncplednpbnkahadegklfa_0.localstorage-journal, Mis en quarantaine, [f40cfa0643bd986817feadcd877bc838],

Secteurs physiques: 0

(No malicious items detected)

(end)

[Pierre13]

Re,

 

Parfait

 

Refaire un rapport ZHPDiag pour vérification.

Question: Windows Defender est bien désactivé et Avira désinstallé ?

[luludo]

Alors voici le nouveau rapport :

http://cjoint.com/?0EcrZWPtTC3

Windows defender est bien desactivé et Avira désinstallé.

 

Merci

[Pierre13]

Ok.

 

• 
  
  Suis cette procédure dans l'ordre indiqué :
  
  1) ZHPFix :
  
  Ferme toutes les applications ouvertes
  Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  
  Si tu n'as pas ZHPDiag,

Télécharger ZHPFix sur le bureau.



Important:
Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
Copie les lignes ci-dessous dans la fenêtre

----------------------------------------------------------

Script ZHPFix
[MD5.00000000000000000000000000000000] [APT] [FF Watcher {5642375D-5D5C-401B-90F9-1909F647964B}] (...) -- C:\Program Files\V-bates\PrefHelper.exe (.not file.) [0] =>Adware.Incredibar
[HKCU\Software\AppDataLow\{4A0F38A9-FE55-4B89-B73F-E60FDC0F72E9}] => PUP.Agent
O43 - CFD: 12/04/2014 - 19:13:13 - [] ----D C:\ProgramData\InstallMate =>PUP.Tarma
O44 - LFC:[MD5.D3A789FFF8CA999A6FFF24F57F16E33D] - 24/04/2014 - 12:12:43 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\wStLibG64.sys [61120] =>PUP.LinkiDoo
O44 - LFC:[MD5.68444E9D77D56E5524C62DB51953C7F3] - 28/04/2014 - 09:02:31 ---A- . (...) -- C:\user.js [45] => Infection PUP (PUP.Multiples)
O45 - LFCP:[MD5.7EC361A2EA4825BC7FCC1EB38DDC01A4] - 30/04/2014 - 20:00:56 ---A- - C:\Windows\Prefetch\BROWSEMARK.PURBROWSE64.EXE-3169D1D3.pf =>PUP.BrowseMark
O45 - LFCP:[MD5.32ABE3B9EB0A1A77BED2C8D7DDE243CF] - 24/04/2014 - 10:42:19 ---A- - C:\Windows\Prefetch\BROWSEMARK_SETUP.EXE-05EBDC8F.pf =>PUP.BrowseMark
O45 - LFCP:[MD5.0C659439A44E5624882B00253B05C027] - 28/04/2014 - 09:02:37 ---A- - C:\Windows\Prefetch\V-BATES.TMP-A5968D76.pf =>Adware.Incredibar
O58 - SDL:24/04/2014 - 12:12:43 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\wStLibG64.sys [61120] =>PUP.LinkiDoo
O61 - LFC: 28/04/2014 - 17:48:14 ---A- . (.Wajamu.) -- C:\Users\LUDOVIC\AppData\Local\Microsoft\Windows\INetCache\IE\EYRID9GH\v-bates[1].exe [1899688] =>PUP.Wajam
O61 - LFC: 28/04/2014 - 17:48:22 ---A- . (.Wajamu.) -- C:\Users\LUDOVIC\AppData\Local\Temp\v-bates.exe [1899688] =>PUP.Wajam
O61 - LFC: 30/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\nsw94A.tmp\UAC.dll [30208] => Infection Rootkit (Rootkit.Agent)
O61 - LFC: 30/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\nsx70DC.tmp\UAC.dll [30208] => Infection Rootkit (Rootkit.Agent)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\FindRight_RASAPI32 =>Hijacker.FindrToolbar
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\FindRight_RASMANCS =>Hijacker.FindrToolbar
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateFindRight_RASAPI32 =>Hijacker.FindrToolbar
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateFindRight_RASMANCS =>Hijacker.FindrToolbar
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilFindRight_RASAPI32 =>Hijacker.FindrToolbar
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilFindRight_RASMANCS =>Hijacker.FindrToolbar
C:\ProgramData\InstallMate =>PUP.Tarma^
c:\users\ludovic\appdata\local\temp\nsw94a.tmp\uac.dll
c:\users\ludovic\appdata\local\temp\nsx70dc.tmp\uac.dll
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary
O4 - HKUS\S-1-5-21-2840529384-282118140-3218407435-1001\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary
O43 - CFD: 10/04/2014 - 15:49:37 - [0] ----D C:\ProgramData\LumaEmu_SteamCloud => Empty Folder not necessary
O43 - CFD: 12/04/2014 - 19:13:14 - [] ----D C:\ProgramData\SuperbApp => Online.PokerGame
O44 - LFC:[MD5.F70C955E279E2F3C1D2716A1AC32A573] - 28/04/2014 - 09:06:23 ---A- . (...) -- C:\Windows\DirectX.log [198] => Fichiers de rapport (Log)
O51 - MPSK:{b7a85203-7559-11e3-be74-7427eaba4377}\AutoRun\command. (...) -- F:\demarrage.exe (.not file.) => Fichier absent
O61 - LFC: 27/04/2014 - 17:48:24 R--A- . (.Acresso Software Inc..) -- C:\Users\LUDOVIC\Downloads\Les Sims 3 mise à jour + crack v 1.55.4\Update\TS3_1.55.4.0220xx_update.exe [1391998657]
O61 - LFC: 27/04/2014 - 17:48:24 R--A- . (.Electronic Arts, Inc..) -- C:\Users\LUDOVIC\Downloads\Les Sims 3\Les Sims 3\Crack\TS3.exe [29761224]
O61 - LFC: 27/04/2014 - 17:48:24 R--A- . (.Electronic Arts, Inc..) -- C:\Users\LUDOVIC\Downloads\Les Sims 3\Les Sims 3\UNIQUEMENT si le premier crack ne fonctionne pas\TS3.exe [29761224]
O61 - LFC: 28/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\Quarantine.exe [385993] => Temporary file not necessary
O61 - LFC: 28/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\vstub.exe [265576] => Temporary file not necessary
O61 - LFC: 30/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\avgnt.exe\Avira.OE.ExtApi.dll [49744] => Temporary file not necessary
O61 - LFC: 30/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpguhyk1.dll [41984] => Temporary file not necessary
O61 - LFC: 30/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\nsw94A.tmp\DropboxNSISTools.dll [68096] => Temporary file not necessary
O61 - LFC: 30/04/2014 - 17:48:22 ---A- . (...) -- C:\Users\LUDOVIC\AppData\Local\Temp\nsw94A.tmp\nsExec.dll [6144] => Temporary file not necessary
O43 - CFD: 01/01/2014 - 10:48:14 - [] ----D C:\Program Files (x86)\AskPartnerNetwork => Toolbar.Ask
C:\Program Files (x86)\AskPartnerNetwork =>Toolbar.Ask
HostFix
EmptyClsid
Ifeofix
Proxyfix
FirewallRaz
ShortcutFix
EmptyPrefetch
emptytemp
emptyflash
Sysrestore

----------------------------------------------------------
Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.
Le script doit automatiquement apparaitre dans ZHPFix.

Clique sur le bouton GO pour lancer le nettoyage

Valide par Oui la désinstallation des programmes si demandé.
Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt
Redémarrer le PC ensuite.

Comment se comporte le PC ?

[luludo]

Voici le rapport ZHPFix:

http://cjoint.com/?3Ecshn5rL8u

 

Après redémarrage et une rapide navigation sur le net la page vient toujours, c'est une page "obselete java version..." qui s'affiche très souvent alors que tout est a jour. Elle s'affiche parfois après plusieurs minutes en fermant le site que je regardais c'est vraiment dérangeant. Avez vous-une idée??

 

Merci

[Pierre13]

Voir sur cette page pour réinitialiser le ou les navigateurs.

 

Pour supprimer les éventuelles restrictions :

 

• Télécharger CTR.exe
• XP =>> Double cliquer sur le fichier pour le lancer.
• Vista, Windows 7 et 8 =>> Clic droit sur le fichier et choisir Exécuter en tant qu'administrateur pour le lancer.
• L'analyse ne dure que quelques instants.
• Poster le contenu du rapport.
• Le rapport est sur le bureau (CTR.txt)
  

 

Pour contrôler les logiciels sensibles :

 

• Télécharger LSIA.exe sur le bureau.
• Sous Windows XP, double cliquer sur le fichier.
• Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
• Patienter quelques secondes.
  
  
• Un rapport va s'ouvrir à la fin.
• Poster le contenu.
• Le rapport est sur le bureau (Rapport.txt)