FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

[Résolu] infection Ads by ShowPassword

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
 Sujet verrouillé
  • Avatar du membre
  • Avatar du membre
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 mer. 19 mars 2014 23:16 #114148
Bonsoir Gabriel

J'avais déjà réinitialisé IE, je l'ai refait mais ads by Showpassword revient

et d'autres fenêtres s'ouvrent

J'ai également un message de MBAM qui m'indique avoir bloqué l'accès à un site web

potentiellement malveillant : 5.153.38.132 / type sortant / Port : il diffère Processus : avp.exe

Egalement message d'IE indiquant avoir bloqué une fenêtre contextuelle depuis :

exchange.datropy.com

Didier
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 jeu. 20 mars 2014 00:27 #114165
Ok voici le rapport

http://cjoint.com/?DCuawMlKCdd

Par ailleurs je n'arrive plus à ouvrir un doc office un message s'affiche

Problème de raccourci : l'indicateur de fonctionnalité n'est pas inscrit

Et quelques fois, l'explorateur windows indique avoir cessé de fonctionné et se ferme. Il faut

le ré ouvrir.

Même chose avec IE mais il se ré-ouvre tout seul sur sa page d'accueil et on doit restaurer

sa session
Avatar du membre

infection Ads by ShowPassword

par 2011N2
 ven. 21 mars 2014 14:19 #114391
Bonjour,

Et avant il marchait sur cet ordinateur ?

C'est bizarre je ne vois rien sur les rapports, c'est ta page d'accueil qui est modifiée ?
Les mots sont soulignés en vert également ?

Si tu pouvais me lister les extensions d'IE ce serait bien STP.

Merci,

Gabriel.
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 ven. 21 mars 2014 16:01 #114418
Pas de problème pour Microsoft office avant les actions mais j'ai le cd et peut recorriger les erreurs

Pour IE, effectivement certains mots sont soulignés en vert et quand on met la souris dessus on a une notification de pub "ads"

Pour les extensions, je travaille du soir et finis à 22h et regarderais en rentrant

Didier
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 ven. 21 mars 2014 23:43 #114534
Bonsoir

Pour les barrres outils et extension (toutes désactivées) sur IE 11 (version 11.0.9600.16521)

(non vérifié) Atheros Communications INC : CIESpeechBHO Class

KApersky Lab : Content Blocker plugin / Virtual Keyboard Plugin / Safe Money Plugin / URL Advisor Plugin / Analyse des liens

Microsoft Corporation : Windows Live ID Sign-in-Helper / Rechercher

Non disponible : Clavier Virtuel / Ajout Direct dans Windows Live / Send by Bluetooth to / Research / Discuter

Oracle America, INC : Java(tm) Plug-In SSV Helper / Java(tm) Plug-In 2 SSV Helper

Bing en moteur de recherche

Je remettrais office plus tard

Didier
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 dim. 23 mars 2014 13:49 #114908
Re,

Et oui c'est quand même incroyable j'ai ouvert IE puis mis l'url orange et "ads by Showpassword" est réapparu en haut, au milieu et en bas

La seule chose qui est toujours présente lorsque que je tape l'url est la recherche bing

Didier
Avatar du membre

infection Ads by ShowPassword

par 2011N2
 dim. 23 mars 2014 17:24 #115012
Re,

Fais Windows + R pour ouvrir la fenêtre Exécuter.
Tape regedit et valide par OK.

Déroule : HKEY_CURRET_User\Software\VirtualDJ
Puis fais Fichier = Exporter...

Héberge le fichier sur cjoint et poste le lien.

Gabriel.
Avatar du membre

infection Ads by ShowPassword

par 2011N2
 lun. 24 mars 2014 20:32 #115287
Re,

D'accord. Alors on va utiliser un autre outil de diagnostic en espérant qu'il puisse voir l'infection.
  • Télécharge OTL sur ton bureau.
  • Fais un double clic sur l'icône pour le lancer. Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
  • Quand la fenêtre apparaît, coche la case Tous les utilisateurs.
  • Sous Processus, Modules, Services, Pilotes, Registre: standard, Registre: approfondi coche Tous.
  • Coche également les cases Recherche Lop et Recherche Purity.
  • Dans la partie Personnalisation, colle ceci :

    HKCU\Software
    HKLM\Software
    HKCU\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Command Processor /s
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %programFiles%\*
    %programfiles%\Google\Desktop\Install /s
    %programFiles%\*.
    %Systemroot%\Installer\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    dir %Homedrive%\* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT
  • Clique sur le bouton Analyse. L'analyse ne va pas durer longtemps.
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
  • Héberge-les, comme ceci.
Gabriel.
Avatar du membre

infection Ads by ShowPassword

par 2011N2
 mer. 26 mars 2014 22:30 #115822
Bonsoir,

Bien.

Ce script va cibler certains éléments à supprimer :

• Lance OTL.
• Copie/colle dans la zone "Personnalisation" de OTL le script en gras qui est indiqué ci-dessous :

:OTL
IE - HKU\S-1-5-21-2037902501-1815167949-2456506914-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snapdo.com/?publisher=Shopp ... 10/11/2013
IE - HKU\S-1-5-21-2037902501-1815167949-2456506914-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.snapdo.com/?publisher=Shopp ... 10/11/2013
IE - HKU\S-1-5-21-2037902501-1815167949-2456506914-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://feed.snapdo.com/?publisher=Shopp ... 10/11/2013
IE - HKU\S-1-5-21-2037902501-1815167949-2456506914-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snapdo.com/?publisher=Shopp ... 10/11/2013
IE - HKU\S-1-5-21-2037902501-1815167949-2456506914-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snapdo.com/?publisher=Shopp ... 10/11/2013
IE - HKU\S-1-5-21-2037902501-1815167949-2456506914-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snapdo.com/?publisher=Shopp ... 10/11/2013

• Clique sur « Correction » et laisse l'outil travailler. Il est possible que l'ordinateur redémarre.
• Copie/colle la totalité du rapport dans ta prochaine réponse.

Gabriel.
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 mer. 26 mars 2014 23:50 #115830
Re,

J'ai un peu de fatigue et ai effectué une analyse pas nécessaire mais je poste les rapports quand même

Tout d'abord une analyse par OTL dont voici les rapports

- rapport OTL : http://cjoint.com/?DCAxQR2FPfl

- rapport extra : http://cjoint.com/?DCAxRtwyYG3

Puis la correction que j'ai faite 3 fois ( pas avec les mêmes cases de cocher) mais je pense que cela revient au même

http://cjoint.com/?DCAxWu9Ki5r

http://cjoint.com/?DCAxWQHSY8Z

http://cjoint.com/?DCAxXfA63m0

Didier
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 jeu. 27 mars 2014 17:21 #116014
Re,

Oui et même sur le site (souligné "site gratuit" et "de sécurité informatique") et dans la première log (rappel du premier message)

Et quand j'ouvre le site avec le lien du gmail et que je veux mettre mon premier message, une fenêtre supplémentaire s'ouvre ainsi qu'un onglet

Didier
Avatar du membre

infection Ads by ShowPassword

par 2011N2
 jeu. 27 mars 2014 19:08 #116070
Re,

Ah, bonne nouvelle.

Du coup, essaye de créer une nouvelle session (un nouveau compte utilisateur), et dis-moi s'il n'y a pas de bug non plus.

Gabriel.
Avatar du membre

infection Ads by ShowPassword

par lefredonneur
 jeu. 27 mars 2014 19:48 #116094
Re,

j'ai créer un compte admin, j'ai ouvert IE et tout allait bien, le gmail, le forum et ouverture d'un nouvel onglet et patatras c'est revenu

Je n'ai accepter aucune demande d'IE et ai fermer par la croix

Didier
 Sujet verrouillé
 Retourner vers « Désinfection »
Des conseils pour intégrer un chatbot sur mon site e-commerce?

Salut ! Oui, j’ai testé un chatbot su[…]

FLTL_READ_MORE
Présentation

Sois la bienvenue anne-Marie ! :)

FLTL_READ_MORE
Présentation Kev28

Salut, Je suis Kev28 , j'ai 25 ans, je vis en Fran[…]

FLTL_READ_MORE
Moteur de recherche Google remplacé par Yahoo automatiquement

De rien Bonne soirée :ok:

FLTL_READ_MORE
FLTL_VIEW_MORE_TOPICS