FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[pikach]

Bonjour, depuis quelques temps, j'ai des ouvertures intempestives de pages publicitaires. De plus, sur chaque page que j'ouvre, j'ai ces fameuses publicités qui bougent toutes seules sur l'écran et c'est super pénible. Même quand j'actualise une page ça m'ouvre des nouvelles fenêtres !
J'ai fait un nettoyage sur la session de Mr mais pas sur celle de Mme. Je pensais en effet que ce nettoyage aurait fonctionné pour les deux sessions ce qui n'est pas le cas.
Je vous remercie de vos messages par contre, je pars en weekend ce soir et je ne reviens que mardi alors je pourrait rien faire entre temps. Soit c'est fait avant, soit on fera ça à mon retour.
Merci beaucoup de votre aide.

Rapport ADW Cleaner : http://cjoint.com/?0FghqtwrMHx

[g3n-h@ckm@n]

salut

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[pikach]

Voici le rapport Shortcut :

http://upload.sosvirus.net/www/?a=di=5rQPfWsISI

[g3n-h@ckm@n]

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

Win by Browsing
nhfjefnfnmmnkcckbjjcganphignempo

relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[pikach]

Me voici, de retour après un long weekend bien sympa à la plage en Normandie, avec plein de coups de soleil !!!   

J'ai passé Shortcut mais j'ai eu deux coupures d’électricité pendant la désinfection.   Je l'ai passé une troisième fois avec réussite. Voici le rapport :

http://cjoint.com/?0Fkrk0b0eWQ

Ceci dit, j'ai toujours ces nouvelles pages qui s'ouvrent et ces pubs qui bougent sur mes pages...

[g3n-h@ckm@n]

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
• #ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

[pikach]

Je suis pas certain d'avoir tout compris mais voilà le rapport :

http://cjoint.com/?0FksOl5VxJx

[g3n-h@ckm@n]

dac

on fait un diag

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[pikach]

Voici les rapports :

OTL : http://upload.sosvirus.net/www/?a=di=asFfFraNpt
Extras : http://upload.sosvirus.net/www/?a=di=bjSjPuRdwG

[g3n-h@ckm@n]

hello

indications non suivies recommence

[pikach]

Bah pourtant j'ai tout fait comme t'as dit. Je recommence de suite et je poste dès que c'est fait...

[g3n-h@ckm@n]

tu n'as pas collé le texte en bas comme demandé ^^

[pikach]

Voilà cette fois je crois que c'est juste...

OTL: http://upload.sosvirus.net/www/?a=di=UVLnsHxbAC
Extras: http://upload.sosvirus.net/www/?a=di=e8UjKTyHIM

[pikach]

Bon je pars cet après midi et je rentre vendredi midi, on pourra s'y remettre à ce moment là mais ça à l'air d'aller déjà un peu mieux...   

[g3n-h@ckm@n]

ok , tu feras ceci :

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[pikach]

J'espère que c'est ça, quand j'ai cliqué sur "Tout mettre en quarantaine", ça a tout effacé et quand j'ai cliqué sur "copier dans le presse papiers", ça a rien ouvert. J'ai trouvé ça dans le journal:

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 13/06/2014
Heure de l'examen: 08:57:17
Fichier journal: Malware.txt
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.13.03
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: miguel family

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 332481
Temps écoulé: 18 min, 3 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 2
PUP.Optional.InstallBrain.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WNLT, Mis en quarantaine, [a057b1c6ed8e181e1432b3290300926e],
PUP.Optional.DealPly.A, HKU\S-1-5-21-3575584983-3790313422-2347108932-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\gaiilaahiahdejapggenmdmafpmbipje, Mis en quarantaine, [8275beb90675ce68fb687f24d52d06fa],

Valeurs du Registre: 1
PUP.Optional.InstallBrain.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WNLT|URL, MYSTART, Mis en quarantaine, [a057b1c6ed8e181e1432b3290300926e]

Données du Registre: 1
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Bon: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Mauvais: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),Remplacé,[e51296e1afcc092d04f4adc725df54ac]

Dossiers: 0
(No malicious items detected)

Fichiers: 7
PUP.Optional.MultiPlug.A, C:\ProgramData\AllaboutApp\SW-Booster\SW-Booster.exe, Mis en quarantaine, [f5024e2994e7e254ab23a88cf60b8d73],
PUP.Optional.OutBrowse, C:\Users\miguel family\Documents\Downloads\setup.exe, Mis en quarantaine, [76813a3d0c6fa096a19bf4894cb51ce4],
PUP.Optional.OutBrowse, C:\Users\miguel family\Downloads\setup.exe, Mis en quarantaine, [7a7d8dea7209be784678bbcc3ec3d62a],
PUP.Optional.Superfish.A, C:\Users\miguel family\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage, Mis en quarantaine, [0ee9ea8dbdbe51e592c49b0be61cd927],
PUP.Optional.Superfish.A, C:\Users\miguel family\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal, Mis en quarantaine, [df180c6b8dee77bf67ef673f32d045bb],
PUP.Optional.Iminent.A, C:\Users\miguel family\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bon: (), Mauvais: ( "homepage": "http://start.iminent.com/?appId=959B725 ... A91689CA25",), Remplacé,[2ccb05724e2db1850df7772cb74d9e62]
PUP.Optional.ASK.A, C:\Users\miguel family\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bon: (), Mauvais: ( "startup_urls": [ "http://www.search.ask.com/?tpid=BTR-V7o ... psv=pt=crx", "http://start.iminent.com/?appId=959B725 ... A91689CA25", "https://www.google.fr/" ],), Remplacé,[6b8cb6c10576f5417ea55152b3516c94]

Secteurs physiques: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

AllaboutApp

relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[pikach]

Désolé d'avoir mis si longtemps, weekend chargé et dur de récupérer...   

Voici le nouveau rapport: http://cjoint.com/?0Fspv1EUfTI

[g3n-h@ckm@n]

bien refais OTL stp

[pikach]

Voilà: http://cjoint.com/?0FstNJCVuv7

[g3n-h@ckm@n]

re

refais un nettoyage avec shortcut_module en mode sans echec stp

[pikach]

comment je fais le mode sans échec ?

[g3n-h@ckm@n]

http://www.google.fr

[pikach]

Super ton lien !   

Voici le rapport:

http://cjoint.com/?0FutyRvwCTb

[g3n-h@ckm@n]

re

heu refais OTL mais avec la même config que je t'ai demandé au début stp , le précédent n'a pas été effectué ainsi d'ailleurs

[pikach]

Alors OTL refait comme la première fois avec le même script

OTL: http://cjoint.com/?0FvpJqUVzpW
Extras: http://cjoint.com/?0FvpI66CN5I

[g3n-h@ckm@n]

heu.... tu n'as synchronisé de navigateur avec ta boite mail au moins ?

[pikach]

Si, Google Chrome est synchronisé avec le compte Google ! C'est grave ?   

[g3n-h@ckm@n]

oui si tu te connectes sur un pc infecté , tu te ramenes toutes les infections dans le tien à la connection suivante ^^

[pikach]

La synchro c'est juste pour se connecter avec le smartphone. On se connecte que très très rarement ailleurs (uniquement quand on est en vacances et encore, on a tendance à lâcher dans ces cas là...)

[g3n-h@ckm@n]

ok ben coupe la synchro le temps de la desinfection tu la remettras après si tu veux