[Résolu] Publicités intempestives

[Jisca]

 

http://cjoint.com/?EDdaPDO29kZ

 

================================================================================

 

Malwarebytes Anti-Malware

www.malwarebytes.org

 

 

 

Scan, 2015-04-02 17:54:21, SYSTEM, GHISLAINE-HP, Manual, Départ: 2015-04-02 17:16:01, Durée:

 

37 minutes 14 secondes, Examen "Menaces", Terminé, Détection de malveillants 1, Détection de

 

non-malveillants de 694,

Error, 2015-04-02 17:56:23, SYSTEM, GHISLAINE-HP, Protection, IsLicensed, 13,

Protection, 2015-04-02 17:56:23, SYSTEM, GHISLAINE-HP, Protection, Malware Protection,

 

Stopping,

Protection, 2015-04-02 17:56:23, SYSTEM, GHISLAINE-HP, Protection, Malware Protection,

 

Stopped,

 

(end)

[Apollo]

Il est bizarre ce rapport MBAM, c'est la 1ère fois que je vois ça.

 

Tu as mis les "détectés" en quarantaine?

 

 

Comment se comporte la machine maintenant?

 

---------

Fais ces contrôles importants de sécurité: http://theknitter-apollo.xooit.com/t2957-A-verifier-de-tempes-en-temps-important.htm

 

----------------

Ensuite, refais un scan ZHPDiag stp.

 

@++

Modifié le 2 avril 2015 par Apollo

[Apollo]

Trouver le bon rapport MBAM: http://theknitter-apollo.xooit.com/p22725.htm

[Jisca]

http://cjoint.com/?EDdaPDO29kZ

 

===================================================

 

Malwarebytes Anti-Malware

www.malwarebytes.org

 

 

 

Scan, 2015-04-02 17:54:21, SYSTEM, GHISLAINE-HP, Manual, Départ: 2015-04-02 17:16:01, Durée: 37 minutes 14 secondes, Examen "Menaces", Terminé, Détection de malveillants 1, Détection de non-malveillants de 694,

Error, 2015-04-02 17:56:23, SYSTEM, GHISLAINE-HP, Protection, IsLicensed, 13,

Protection, 2015-04-02 17:56:23, SYSTEM, GHISLAINE-HP, Protection, Malware Protection, Stopping,

Protection, 2015-04-02 17:56:23, SYSTEM, GHISLAINE-HP, Protection, Malware Protection, Stopped,

 

(end)

[Apollo]

As-tu lu ce post? C'est important. http://forum.zebulon.fr/publicites-intempestives-t211681.html?p=1765124

[Jisca]

 

Excuse-moi, je n'avais pas vu ta réponse !!!

 

La machine :

 

Au démarrage apparaît ceci encore:

http://cjoint.com/?EDdbCEOh3vG

 

au cours de la navigation, apparaît ceci encore:

http://cjoint.com/?EDdbDxzgguT

 

--------------------------------------------------------------

 

«Tu as mis les "détectés" en quarantaine?»

oui

 

-------------------------------------------------------------

[Apollo]

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

http://www.sur-la-toile.com/RogueKiller/

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven/8, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

NB: ne ferme pas la fenêtre de Rogue Killer au cas où il faudrait intervenir de suite.

 

@++

[Apollo]

D'après Bleeping Computers (traduction approximative) :

 

Sur le coin droit de votre bureau près de l'horloge numérique devrait être une flèche déroulante. Cliquez dessus et vous verrez l'icône 'knctr'. Faites un clic droit sur l'icône pourpre KNCTR et supprimer la coche par "Charger au démarrage", puis sélectionnez "Arrêt" Ensuite, allez à votre panneau de contrôle et "Désinstaller" ce programme. Redémarrez l'ordinateur.

[Jisca]

RogueKiller V10.5.8.0 [Mar 30 2015] par Adlice Software

email : http://www.adlice.com/contact/

Remontées : http://forum.adlice.com

Site web : http://www.adlice.com/fr/logiciels/roguekiller/

Blog : http://www.adlice.com

 

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Démarré en : Mode normal

Utilisateur : Ghislaine [Administrateur]

Démarré depuis : C:\Users\Ghislaine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UXAX8KN4\RogueKiller.exe

Mode : Scan -- Date : 04/02/2015 19:47:19

 

¤¤¤ Processus : 0 ¤¤¤

 

¤¤¤ Registre : 19 ¤¤¤

[suspicious.Path] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | PPort12reminder : "C:\Program Files (x86)\Nuance\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\12\Config\Ereg\Ereg.ini" -> Trouvé(e)

[suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lQcmOiZ ("C:\ProgramData\EMZHyqU\lQcmOiZ.exe") -> Trouvé(e)

[suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lQcmOiZ ("C:\ProgramData\EMZHyqU\lQcmOiZ.exe") -> Trouvé(e)

[suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lQcmOiZ ("C:\ProgramData\EMZHyqU\lQcmOiZ.exe") -> Trouvé(e)

[PUM.HomePage] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : about:newtab -> Trouvé(e)

[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-4177779064-3945070399-1181712533-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://lapoesiequejaime.net/ -> Trouvé(e)

[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-4177779064-3945070399-1181712533-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://lapoesiequejaime.net/ -> Trouvé(e)

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.1 24.200.241.37 24.200.243.189 [CANADA (CA)][CANADA (CA)] -> Trouvé(e)

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.1 24.200.241.37 24.200.243.189 [CANADA (CA)][CANADA (CA)] -> Trouvé(e)

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.1 24.200.241.37 24.200.243.189 [CANADA (CA)][CANADA (CA)] -> Trouvé(e)

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{155F9E2F-315C-4255-9442-DDED2B829826} | DhcpNameServer : 192.168.1.1 24.200.241.37 24.200.243.189 [CANADA (CA)][CANADA (CA)] -> Trouvé(e)

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{155F9E2F-315C-4255-9442-DDED2B829826} | DhcpNameServer : 192.168.1.1 24.200.241.37 24.200.243.189 [CANADA (CA)][CANADA (CA)] -> Trouvé(e)

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{155F9E2F-315C-4255-9442-DDED2B829826} | DhcpNameServer : 192.168.1.1 24.200.241.37 24.200.243.189 [CANADA (CA)][CANADA (CA)] -> Trouvé(e)

[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Trouvé(e)

[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Trouvé(e)

[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)

[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)

[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)

[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)

 

¤¤¤ Tâches : 2 ¤¤¤

[suspicious.Path] \\AllmyappsUpdateTask -- c:\users\ghislaine\appdata\roaming\allmyapps\allmyappsupdater.exe (check startup) -> Trouvé(e)

[suspicious.Path] \\KQTNHJRY -- "C:\ProgramData\b71eb41b160f492fbad2360ae188e536\b71eb41b160f492fbad2360ae188e536.exe" -> Trouvé(e)

 

¤¤¤ Fichiers : 1 ¤¤¤

[suspicious.Path][Fichier] hqghumeaylnlf.lnk -- C:\Users\Ghislaine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hqghumeaylnlf.lnk [LNK@] C:\PROGRA~3\{7672B~1\HQGHUM~1.EXE /startup -> Trouvé(e)

 

¤¤¤ Fichier Hosts : 0 ¤¤¤

 

¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000036b]) ¤¤¤

 

¤¤¤ Navigateurs web : 0 ¤¤¤

 

¤¤¤ Vérification MBR : ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5061GSYN +++++

--- User ---

[MBR] 153469f51f59590358b21a303dbce7c2

[bSP] 55a2345e79c8d4ab64d9f45faba7464f : Windows Vista/7/8 MBR Code

Partition table:

User = LL1 ... OK

User = LL2 ... OK

[Apollo]

Dans Rogue Killer, clique sur Suppression puis poste le rapport stp.