FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[lefredonneur]

Bonjour

J'ai plusieurs images et je vais indiquer comment je les ai eues

Images 1 et 2 en ouvrant le forum à partir de mon gmail





Image 3 quand j'ai cliqué sur Notifications (j'ai eu cette fenêtre avec une adresse de redirection avant, adresse identique à celle de l'image 7)



Image 4 onglet ouvert lorsque j'ai cliqué sur la dernière notification



Image 5 elle était à l'ouverture du site en bas



Image 6 en cliquant pour écrire ce post



Image 7 j'ai fermé le site et l'ai réouvert à partir de gmail puis cliquer sur notifications pour avoir l'adresse de redirection



Didier

[2011N2]

Re,

Essaye d'installer AdBlock Plus pour voir : http://www.forum-entraide-informatique. ... s-tutoriel

Gabriel.

[g3n-h@ckm@n]

Hello

j'ai integré les noms des sites qui s'ouvrent , relance Shortcut_module , il va se mettre à jour , puis refais un nettoyage, et enfin poste le lien du rapport heberge sur http://cjoint.Com

[lefredonneur]

Re et bonsoir

J'ai installé AdBlock Plus et relancé donc Shortcup_Module donc voici le rapport

http://cjoint.com/?DCCtoHRUkGf

Didier

[g3n-h@ckm@n]

et ca dit quoi ?
tu es bien sur de desactiver tout ce qui concerne la sécurité dan kaspersky ?

[lefredonneur]

Re,

je pense tout arrêter pour l'antivirus mais je fais simplement "suspendre la protection"

Pour le résultat toujours pareil, mots soulignés, bandeaux et chargement de page

Je pars travailler donc pourrais faire des actions que demain matin

Didier

[lefredonneur]

Re,

Plutôt après-midi, je finis à 09h

Didier

[2011N2]

Re,

D'accord, à demain.

Gabriel.

[lefredonneur]

Bonjour,

Je reviens vers vous. Lorsque j'ai désinstallé chrome et firefox, leurs paramètres sont restées dans la base de registre dans HKEY_CURRENT_USER et HKEY_LOCAL_MACHINE

Ses clefs peuvent elles remonter des infos sur IE car j'ai toujours des erreurs et spam

Didier

[2011N2]

Bonjour,

Il faudrait que tu essayes de les désinstaller avec Revo Uninstaller en mode Avancé : http://www.forum-entraide-informatique. ... ion-propre

Gabriel.

[lefredonneur]

Bonjour

J'avais déjà exécuté Revo et lorsque je le lance, pas de firefox et chrome mais j'ai du les désinstaller via ajout/suppression de programme

D'ailleurs j'avais également "showpassword" dans ajout/suppression de programme et je l'ai désinstaller de la même façon sans utiliser Recvo

Didier

[2011N2]

Bonjour,

Essaye de réinstaller Chrome et Firefox, comme ça tu les désinstalleras avec Revo.

Quand est-ce qu'il y avait ShowPassword ?

Gabriel.

[lefredonneur]

Bonjour,

Il me semble l'avoir vu dans les programmes au début quand j'ai commencer à regarder le problème des ses spams

[2011N2]

Re,

D'accord, c'était donc avant les manipulations que nous avons effectué.

Gabriel.

[lefredonneur]

Re,

Oui il me semble. La désinstallation n'a pris que très très peu de temps. En fait le temps d'enlever le nom des programmes

J'ai réinstallé firefox et suis en train de la désinstaller avec Revo et il a trouvé des traces dans le registre HKEY_CLASSES_ROOT (Firefox HTML et FirefoxURL)

Je vais faire la même chose avec Chrome

Didier

[lefredonneur]

Re,

Pour Chrome, une seule clef dans HKEY_CURRENT_USER / SOFTWARE

Didier

[g3n-h@ckm@n]

re

tu fais bien les opérations avec les navigateurs fermés ? revo vire bien tout ce qu'il trouve après que ce soit coché ?
tu le fais bien en mode avancé ?

[lefredonneur]

Re,

Oui je fait Revo navigateur fermé et tel que décris dans http://www.forum-entraide-informatique. ... ion-propre

Didier

[g3n-h@ckm@n]

ok et quand tu réinstalles chrome , refuse la connection via ta boite mail

[lefredonneur]

Re,

J'ai fait une note avec l'URL complète extraite d'une barre d'adresse de ShowPassword ainsi que 2 copies d'écran que je joins

http://cjoint.com/?DDdqvSJ0n2X





Didier

[lefredonneur]

Re,

Au fait j'ai désinstallé Chrome et j'avais pas renseigné ma boite mail. Pour info je mets les logs sur le forum à partir d'une autre PC le plus souvent

Didier

[g3n-h@ckm@n]

Télécharge http://general-changelog-team.fr/fr/dow ... -xx/6-seaf SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape jsfor.net

dans cette fenêtre

confirme la recherche "également" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

[lefredonneur]

Re,

Voici le rapport

http://cjoint.com/?DDdrKyfpmAQ

Didier

[2011N2]

Bonjour,

Passe Dr.Web et poste le rapport : http://www.forum-entraide-informatique. ... t-tutoriel

T'as vraiment pas de bol normalement ce genre de truc est super rapide à désinfecter, mais là t'es tombé sur une infection à un nom aléatoire qui se dissimule bien apparemment...

Gabriel.

[lefredonneur]

Re,

Oui je sais que cela est normalement facile et rapide mais là ...

Donc voici le rapport mais Dr.Web n'a rien détecté selon lui

http://cjoint.com/?DDdtAHGZ2sp

Didier

[g3n-h@ckm@n]

ptain là chuis vert !

[2011N2]

Re,

T'as quoi dans les paramètres de page d'accueil de IE ?

Gabriel.

[lefredonneur]

Re

Dans les options IE

Général - page accueil http://go.microsoft.com/fwlink/p/?LinkId=255141 qui ouvre http://fr.msn.com/ et rien de particulier au onglet - historique

Sécurité
- Internet - Moyen haut avec activer le mode protégé de coché
- Intranet local - moyenne basse avec activer le mode protégé non coché
- sites de confiance - moyenne avec activer le mode protégé non coché
- sites sensibles avec activer le mode protégé coché

Confidentialité - moyenne

Autres onglets rien de particulier étant donné que l'on avait réinitialiser les paramètres d'IE

Didier

[lefredonneur]

Re,

Ci joint une copie d'écran contenant un script en bas de la page de démarrage d'IE



Didier

[2011N2]

Re,

Tu peux mettre Google en page d'accueil STP ? https://www.google.fr/

Sinon, le script en bas de page sur le site msn.fr, il est normal, je l'ai également.

Gabriel.

[lefredonneur]

Re,

L'url de google est maintenant en page d'accueil

Didier

[2011N2]

Bonjour,

Et y'a toujours ShowPassword qui s'ouvre en même temps dans un second onglet ?

Gabriel.

[lefredonneur]

Bonjour,

En fait il ne s'ouvre pas tout seul. j'ouvre IE avec la page d'accueil google ok pas de problème

Je fais une recherche ok. c'est à partit du moment ou je choisis la recherche qu'à l'affichage de la page que "Ads by Showpassword" apparait

En scrolant une autre page s'ouvre ou la page choisie change et une autre page apparait

Si on clique dans une recherche de la page, là apparait une autre page avec l'url jsw.jsfor.net ... et cela ouvre une page et également un autre onglet

Didier

[2011N2]

Re,

Mmmmmh d'accord.

Repasse MBAM : http://www.forum-entraide-informatique. ... m-tutoriel
Car il a changé de version depuis, en espérant qu'il voit quelque chose...

Gabriel.

[lefredonneur]

Bonjour,

Désolé de répondre aussi tard mais je rentre du travail

Tout d'abord j'ai effectué le scan de MBAM hier et j'ai eu le résultat ce matin mais j'ai du faire une erreur et cela m'a fermé MBAM sans que j'ai pu appliqué les actions

J'avais quand même pris le temps de faire un screenshot



J'ai donc repassé le scan dans la journée et ai obtenu ce résultat et appliqué les actions



Et le fichier

http://cjoint.com/?DDfvd3ecyAt

J'ai redémarré le pc

Didier

[2011N2]

Bonjour,

Bien.

Toujours les mêmes soucis je suppose ?

Gabriel.

[lefredonneur]

Bonjour,

Je n'ai pas ouvert IE donc je ne sais pas

Je le ferai en rentrant du travail vers 19h

Didier

[2011N2]

Re,

D'accord.

@+

Gabriel.

[lefredonneur]

Re,

Tu avais raison, rien de changer

Il suffit d'ouvrir une URL et d'attendre (pas longtemps) pour voir apparaître les indésirables

Didier

[g3n-h@ckm@n]

Télécharge Gmer : http://www.gmer.net/#files clique sur « Download EXE » et enregistre-le sur ton bureau

Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

Ne pas utiliser l'ordinateur pendant le scan de GMER

Pour XP = double clique sur gmer.exe
Pour Vista et 7 = clique droit « executer en tant que…. »

GMER va lancer un scan automatique

s'il detecte une activité de rootkit et demande un scan complet , répondre non.

décoche IAT/EAT, ShowAll et les lecteurs (C:\ , D:\....) , et coche tout le reste

clique sur Scan

si une fenêtre indiquant un rootkit apparait clique sur OK.
Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

ensuite clique sur copy, puis colle-le dans ta réponse.

Réactive tes protections.

Note: Si problèmes utiliser GMER en mode sans echec.