FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[lechat]

Bonjour,

Depuis hier, des pubs intempestives apparaissent sur mon naviagteur web. Sous formes de photos à cliquer et autres textes incitant à voir des produits similaires.....et ma machine pédale dans la choucroute...

De plus et je pense que c'est lié, la page d'accueil est "sweet-home", et je n'arrrive pas à la supprimer.

Quelqu'un peut'il m'aider??

Merci d'avance

Francis

[g3n-h@ckm@n]

salut

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[lechat]

Bonjour et merci pour ton aide.

J'ai téléchargé le logiciel et lancé le scan de nettoyage. A 97%, la machine m'a posé la queqtion du proxy à laquelle j'ai répondu non.

Les 3% restant ont été faits très vite en mon absence.

La machine a été relancée toute seule.

Comment accéder au rapport??

à bientôt

Francis

[g3n-h@ckm@n]

hello

le proxy tu le connais pour avoir repondu non?

lis mes indications jusqu'à le fin et tu sauras pour le rapport

[lechat]

Salut,

Pour le proxy, et bien .............. non, je n'ai pas fais gaffe et j'ai juste dit non( 3 heures du mat ). Quelles peuvent être les conséquences??

Pour le rapport :le voici : http://upload.sosvirus.net/www/?a=di=HR6IhgTJUk

à bientôt

Francis

[g3n-h@ckm@n]

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[lechat]

et voici lasuite

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 01/06/2014
Heure de l'examen: 13:54:59
Fichier journal:
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.01.04
Base de données Rootkits: v2014.05.21.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: elmi Ferm Com1

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 307278
Temps écoulé: 20 min, 7 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 2
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Mis en quarantaine, [fa4e8fe48cefca6c1f932740d230ed13],
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Mis en quarantaine, [fa4e8fe48cefca6c1f932740d230ed13],

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 1
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Bon: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Mauvais: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),Remplacé,[64e40c67aad195a11d1a0957907433cd]

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

à bientôt

Francis

[g3n-h@ckm@n]

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[lechat]

Pour l'instant, j'ai une erreur 522 lorque je veux télécharger OTL.

Je réessaye plus trad, peut être le serveur est'il trop sollicité??

[g3n-h@ckm@n]

oui je pense aussi ca fait pareil de mon coté

[lechat]

c'est bon, je suisentrain de scanner avec otl

[lechat]

rapport OTL : rapport

rapport extras : extras

à bientôt

[g3n-h@ckm@n]

récupère tout ce texte en le sélectionnant , puis CTRL + C :

:OTL
IE - HKU\S-1-5-21-555450789-4107646132-2540293066-1020\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}l=diso=HPNTDF
IE - HKU\S-1-5-21-555450789-4107646132-2540293066-1000\..\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: "URL" = http://www.trovi.com/Results.aspx?gd=ct ... erms}SSPV=
IE - HKU\S-1-5-21-555450789-4107646132-2540293066-1020\..\SearchScopes\{85D9B06C-BEA1-4295-9090-5C26C8C4C101}: "URL" = http://www.amazon.fr/s/ref=azs_osd_ieaf ... earchTerms}
IE - HKU\S-1-5-21-555450789-4107646132-2540293066-1020\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/709-11107 ... earchTerms}
FF - user.js - File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O33 - MountPoints2\{8a465ad0-5c25-11e2-bd2d-7ce9d3caee0d}\Shell - "" = AutoRun
O33 - MountPoints2\{8a465ad0-5c25-11e2-bd2d-7ce9d3caee0d}\Shell\AutoRun\command - "" = G:\SETUP.EXE
O33 - MountPoints2\{8a465ad0-5c25-11e2-bd2d-7ce9d3caee0d}\Shell\configure\command - "" = G:\SETUP.EXE
O33 - MountPoints2\{8a465ad0-5c25-11e2-bd2d-7ce9d3caee0d}\Shell\install\command - "" = G:\SETUP.EXE
O33 - MountPoints2\{e5bcefd7-5ca5-11e2-8d35-7ce9d3caee0d}\Shell - "" = AutoRun
O33 - MountPoints2\{e5bcefd7-5ca5-11e2-8d35-7ce9d3caee0d}\Shell\AutoRun\command - "" = F:\autorun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\autorun.exe
O36 - AppCertDlls: x64 - (C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll) - File not found
O36 - AppCertDlls: x86 - (C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll) - File not found
[1 C:\Program Files (x86)\*.tmp files - C:\Program Files (x86)\*.tmp - ]
[HKEY_CURRENT_USER\Software\ƒAƒvƒŠƒP[ƒVƒ‡ƒ“ ƒEƒBƒU[ƒh‚Ő¶¬‚³‚ꂽƒ[ƒJƒ‹ ƒAƒvƒŠƒP[ƒVƒ‡ƒ“]
[2006/12/01 23:37:14 | 000,904,704 | ---- | M] (Microsoft Corporation) -- C:\msdia80.dll
[2014/06/01 17:29:49 | 000,000,000 | ---D | M] -- C:\Users\elmi Ferm Com1\AppData\Local\AB9484A1-5131-495B-A169-24665516C769.aplzod
[2013/05/16 20:06:22 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\GUM5710.tmp
@Alternate Data Stream - 118 bytes - C:\ProgramData\Temp:373E1720

:files
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*

:commands
[emptytemp]

colle-le en bas de OTL sous personnalisation puis clique sur correction et poste le nouveau rapport

[lechat]

et voici la suite
rapport 2

à bientôt

[g3n-h@ckm@n]

hello

refais-en un avec ca :

:reg
[-HKEY_CURRENT_USER\Software\ƒAƒvƒŠƒP[ƒVƒ‡ƒ“ ƒEƒBƒU[ƒh‚Ő¶¬‚³‚ꂽƒ[ƒJƒ‹ ƒAƒvƒŠƒP[ƒVƒ‡ƒ“]

[lechat]

Ca a été fait en 3 secondes, et voici le rapport :

rapport

[g3n-h@ckm@n]

parfait , des soucis persistent ?

[lechat]

Plus de pubs, c'est super.

Pourtant, la navigation est très ralentie.

Au niveau des performances de la machine l'UC frole souvet les 78% ( par pics ) et la mémoire physique semble sollicitée sur 1.90 GO

Du coup, ça rame pas mal ( voir copie ecran )

http://i39.servimg.com/u/f39/18/88/66/05/perfor12.jpg

[g3n-h@ckm@n]

fais une capture des processus quand tu as ces pics

[lechat]

Voici les 3 captures des performances, avec un memoire physique de 1.90 GO et UC entre 12% et 60% ( en variable )

1 ) http://i39.servimg.com/u/f39/18/88/66/05/perf111.jpg

2) http://i39.servimg.com/u/f39/18/88/66/05/perf210.jpg

3) http://i39.servimg.com/u/f39/18/88/66/05/perf310.jpg

Merci Pascal

[g3n-h@ckm@n]

tout est normal apparemment

perso sans rien faire je consomme 2.4 Go de RAM

[lechat]

Ok,

Alors je te remercie pour ton intervention.

A bientôt

Francis

[g3n-h@ckm@n]

finis quand meme avec ce menage si ce n'est fait : http://gen-hackman.purforum.com/t50-fin-de-desinfection

[lechat]

Merci,

je vais le fairfe.

Car la machine est lente, surtout pour charger le navigateur firefox

[g3n-h@ckm@n]

ok tiens au courant si tu as des soucis