"ads not by this site" , pubs intempsestives, et navigation au ralenti...

[tonito77]

Bonsoir
Je crois avoir été infecté hier en voulant télécharger un plug-in VSTi ( pour un logiciel de MAO )sur un site apparemment malveillant. En effet, après le téléchargement du fichier, une barre Babylon Search s'est installée d'office dans mon navigateur ainsi qu'un programme dont le nom contenait "Browser".
J'ai en outre constaté l'apparition de pubs intitulées "ads not by this site" sur de nombreux sites ( pubs qui étaient absentes auparavant )
La navigation est en outre considérablement ralentie.
J'ai désinstallé la barre et le programme Browser et la barre d'outils babylon via ajout et suppression de programmes, j'ai également lancé une analyse de Malwarbytes Anti-Malware, qui a détecté deux fichiers infectés et que j'ai donc supprimé. La barre a disparu, mais rien à faire, je galère toujours autant avec ces pubs...
j'ai suivi la procédure requise avec ATF cleaner et RSIT, mais je n'obtiens qu'un fichier log au lieu des deux attendus...
Merci d'avance de votre réponse
tonito
-----

[chantal11]

Bonjour,

Tu as oublié de joindre le rapport Info.txt.

Tu peux aussi poster le rapport Malwarebytes s'il te plaît ?

Désinstalle Giant Savings si présent dans Ajout/Suppression de programmes.

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Sont attendus les rapports en PJ :

• AdwCleaner(S).txt
• mbam-log[date-heure].txt

@+

[tonito77]

Bonsoir et merci de votre réponse

Pour le fichier info.txt, je ne comprends pas : j'ai relançé RSIT, et il ne m'a encore affiché que le fichier log.txt mais aucune trace du info.txt... Que faire ???

Giant Savings était bel et bien présent et a été désinstallé par ajout/supression de programmes

J'ai téléchargé et exécuté AdwCleaner ( par curiosité, AVG n'a pas vraiment aimé, il me le signalait comme un cheval de troie, est-ce normal ? ), je joins donc le rapport d'AdwCleaner ainsi que les 2 rapports de Malwarebytes effectués cet après-midi.

Encore merci pour la prise en charge de mon problème.

[chantal11]

Re,

OK pour les rapports.

Ce n'est pas grave pour le rapport Info.txt, on s'en passera.

Tu avais eu une infection importante en avril 2012, la quarantaine TDSSKiller n'avait pas été vidée.

Des antivirus peuvent en effet réagir avec AdwCleaner ou d'autres outils.
Quand le cas se présente pour un outil que nous avons demandé de télécharger et exécuter, il faut désactiver momentanément l'antivirus.

Comment se comporte le système maintenant ?

Nous allons faire un examen plus poussé avec cet outil.

----------------------------------------------------------------------------------------------

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\ *.sys /lockedfiles
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports en PJ
  Les rapports sont sauvegardés sur le Bureau.

----------------------------------------------------------------------------------------------

Sont attendus les rapports en PJ :
OTL.txt et Extras.txt

[A voir en vidéo sur Futura]

[tonito77]

Merci pour ta réponse

les fenêtres "Ads not by this site" semblent ne plus apparaître.Tant mieux...

Voici en pj comme tu me l'as demandé, les rapports d'OTL

[chantal11]

Bonjour,

les fenêtres "Ads not by this site" semblent ne plus apparaître.Tant mieux...

Bien, une bonne chose alors

Encore un peu de nettoyage à faire.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Ajout/Suppression de Programmes (si présents) :

- Java(TM) 6 Update 32 (version obsolète)
- ZHPDiag 1.30 (version obsolète)

---------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
  
  Code:

  :OTL
  IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
  IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
  IE - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
  IE - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\SearchScopes\{2A47A0BC-BFF3-4D70-B74F-93FBF23E2A3F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=5DBA3595-9D91-42B5-AF5F-65C323868C06&apn_sauid=1E901F9D-1EBB-42CE-A507-3EAED6ED8AC3
  O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
  O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
  O2 - BHO: (no name) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
  O3 - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
  O3 - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\Toolbar\ShellBrowser: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - No CLSID value found.
  O3 - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
  O3 - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\Toolbar\WebBrowser: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - No CLSID value found.
  O3 - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.
  O3 - HKU\S-1-5-21-3163657354-1369469207-3130769489-1008\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
  O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
  O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
  O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
  O20 - AppInit_DLLs: (c:\docume~1\alluse~1\applic~1\browse~1\25911~1.18\{c16c1~1\mngr.dll) -  File not found
  [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
  [2012/11/21 22:49:00 | 000,000,366 | ---- | M] () -- C:\WINDOWS\tasks\Symantec NetDetect.job
  [2012/04/27 18:55:52 | 000,000,000 | ---D | M] -- C:\WINDOWS\$NtUninstallKB35420$\1183894732\L
  [2012/04/27 18:56:45 | 000,000,000 | ---D | M] -- C:\WINDOWS\$NtUninstallKB35420$\1183894732\U
  [2012/05/01 00:12:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
  [2008/01/07 20:19:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Symantec
  @Alternate Data Stream - 498 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:05EE1EEF
  @Alternate Data Stream - 103 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
  
  :files
  C:\WINDOWS\$NtUninstallKB35420$
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [RESETHOSTS]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
  A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
• Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
  A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
• N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
• Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
• Poste le rapport dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• C:\_OTL\MovedFiles\********_** ****.log
• SX Check&Update

@+

[tonito77]

Bonsoir,

J'ai supprimé Java(TM) 6 Update 32 ( enfin j'espère ) et ZHPDiag 1.30 via ajout/suppression de programmes.

J'ai ensuite effectué la manip avec OTL ( le rapport est en pièces jointes ).

J'ai ensuite exécuté SX Check&Update, en cliquant sur le bouton Update Flash, j'ai bien installé la nouvelle version Flash Player, mais le bouton Update Java n'a rien donné... ( ? ) Je poste cependant le rapport de SX Check ( qui indique Java(TM) 6 Update 7 n'est pas à jour ! d'où mon doute sur la suppression effective de Java(TM) 6 update 32, et pourtant le bouton ne m'a pas proposé de nouvelle version... Est-ce une erreur de manip de ma part ? )

merci et @+

[chantal11]

Bonsoir,

C'est OK pour le rapport du correctif OTL.

Pour l'outil SXCU, en effet la mise à jour Java n'a pas abouti.
Mais j'ai omis de t'indiquer la désinstallation de Java 6 Update 7.

- Désinstalle Java 6 update 7

- Télécharge et installe cette dernière version Java

- Télécharge et installe cette dernière version Adobe Shockwave Player

Si tout va bien, nous allons pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

Purge points de restauration :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous
  

  :Commands
  [CLEARALLRESTOREPOINTS]
  [EMPTYTEMP]

• Colle l'intégralité du code dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
• Si l'outil te demande de redémarrer le PC, tu acceptes

---------------------------------------------------------------------------------------------

Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Purge d'outils
  
• Valide l'avertissement par OK et laisse le pc redémarrer

• Relance AdwCleaner et clique sur Désinstaller
• Supprime SXCU de ton Bureau
• Supprime tous les rapports générés restants

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi et comment je me fais infecter ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut l'installer Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  Maintenir Java, Adobe Reader et le player Flash à jour
  Exploitation SWF/PDF et Java - système non à jour = danger
  
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

[tonito77]

Bonjour,

je n'ai pas finalisé encore la procédure car j'ai rencontré quelques petits soucis :

- Je ne trouve pas Java 6 update 7 que tu m'as demandé de supprimer
- impossible d'installer la dernière version d'Adobe Schockwave player ( ça plante à chaque tentative ( voir pj ))

En revanche j'ai pu installer et télécharger la dernière version de java.

Voilà où j'en suis.
@+ et merci

[chantal11]

Bonjour,

Je ne trouve pas Java 6 update 7 que tu m'as demandé de supprimer

Il n'apparaît pas dans Ajout/Suppression de programmes ?

On va utiliser un outil spécifique pour nettoyer les anciennes versions Java.

---------------------------------------------------------------------------------------------

JavaRa :

• Télécharge JavaRa.Zip de Paul McLain & Fred de Vries et enregistre-le sur ton Bureau
  • Clic-droit sur JavaRa.zip -> Extraire tout
  • Le dossier JavaRa s'ouvre
• Double-clique sur JavaRa.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Effacer les anciennes versions et valide par Oui
  
• Referme tout navigateur ouvert et valide par OK
• En fin d'analyse, clique sur OK. Le rapport JavaRa.log s'ouvre. Copie-colle le contenu de ce rapport dans ta prochaine réponse.
  Le rapport se trouve sous C:\JavaRa.log

---------------------------------------------------------------------------------------------

impossible d'installer la dernière version d'Adobe Schockwave player ( ça plante à chaque tentative ( voir pj ))

Désinstalle alors la version obsolète dans Ajout/Suppression de programmes, redémarre le PC et installe la dernière version indiquée
http://get.adobe.com/fr/shockwave/

@+

[tonito77]

Bonjour,

J'ai bien vérifié, mais non Java 6 update 7 n'apparaîssait pas dans Ajout/Suppression de programmes. J'ai donc utilisé JavaRA. ( le rapport est en PJ ).

La version obsolète d'Adobe Schockwave player, était en revanche bien présente, et je l'ai donc supprimée, puis j'ai redémarré le PC. Mais le site http://get.adobe.com/fr/schockwave a de nouveau "planté" IE au moment où j'ai cliqué sur le bouton installer.
J'ai alors trouvé cette version sur Commentçamarche.net, et j'ai téléchargé Schockwave Installer Slim, en m'assurant qu'il s'agissait bien de la bonne version, et elle apparaît bien ( version 11.6 ) dans Ajout/Suppression de programmes ( j'espère ne pas avoir commis de boulette... )

@+ et merci

[chantal11]

Re,

OK donc pour le rapport JavaRa.
L'outil a nettoyé tous les restes de versions précédentes.

OK aussi pour la mise à jour Schockwave. Ton système doit faire une petite allergie au site Adobe

@+