Fenêtre de pub intempestives

[invite9462b6ce]

Bonjour,

Comme beaucoup de monde, je suis envahie par des fenêtres de pub intempestives.
Je vous ai joint les deux fichiers demandés dans votre procédure trés claire.

Merci d'avance pour votre aide
-----

[invitec04351b8]

Bonjour,

tu es infectée par l'adware Navipromo, le rigue (faux logiciel de sécurité) eorezo et quelques autres bricoles.

Fais ceci :

Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.

Double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Au menu principal, choisis 4 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisies ce qui est ci-dessous et rien d'autre puis valide:

Code:

iikkqmm

Le fix va te demander de le resaisir, fais-le et valide

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

Note : Si ton bureau ne réapparait pas, déroule les instructions suivantes:

1. Fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
2. Rends-toi à l'onglet "processus".
3. Clique en haut à gauche sur fichiers et choisis "exécuter"
4. Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport en pièce jointe dans ta prochaine réponse.

====

Ensuite :

● Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

● Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
● Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
● Au menu principal, choisis l'option A.
● Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

@+

[invite9462b6ce]

Re bonjour,

Merci beaucoup pour votre aide.
ci joint les rapports générés.

[invitec04351b8]

Re,

Navilog a fait son travail.

Ad-remover, en plus de eorezo décèle des programmes peu recommandables (Grandvirtual, Titan Poker, TryMedia System). Je te conseille vivement de les supprimer en cochant la case 1 dans la procédure de nettoyage qui suit. Je te conseille aussi de cocher la case 3 (It's TV).

La procédure de nettoyage :

! Déconnecte toi et ferme toutes les applications en cours ( navigateur compris ) .

● Relance "Ad-remover" : au menu principal choisis l'option "B" .

● A l'écran de sélection ( http://sd-1.archivehost.com/membres/up/16506160323759868/Capturer-ADR.JPG ):

> choisis le(s) chiffre(s) suivant(s) pour nettoyer les traces de:

1 - "Adwares Connus" puis [Entrée]
2 - "Eorezo" puis [Entrée]
3 - "it's TV" puis [Entrée]
4 - "Sweetim" puis [Entrée]

1, 2, 3 et 4 (c'est ce que je te conseille, sinon 2 et 4)

Une fois la sélection faite, tape S puis [Entrée] pour lancer la suppression .
--> le programme va travailler, ne touche à rien ...
● Poste le rapport qui apparait à la fin (Le rapport est sauvegardé aussi sous "C:\Ad-report.log")

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

● Aides en images (Nettoyage) : http://pagesperso-orange.fr/NosTools/tuto_ad_r3.html

============

Fais aussi ceci :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :



* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

@+

[A voir en vidéo sur Futura]

[invite9462b6ce]

Bonjour,

Ci joint les deux nouveaux rapport.
Merci pour votre aide préciseuse.
Je ne m'en serai pas sortie sans vous.

[invitec04351b8]

Bonjour,

on avance.

la suite :

Relance Toolbar-S&D en double-cliquant sur le raccourci.

Tape sur "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

=====
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[invite9462b6ce]

Bonjour,

Aprés un scan de 3h, vouci les deux nouveaux rapport.

[invitec04351b8]

Bonjour,

ceci va être plus rapide

télécharge Zeb Restore.
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes engras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

====
Pour vérifier :

Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK. )et navigue avec les + et les - jusqu'à la clé

Code:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le Bloc-Notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.

@+

[invite9462b6ce]

Ci dessous le resultat:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main]
"Disable Script Debugger"="yes"
"Anchor Underline"="yes"
"Cache_Update_Frequency"="Once _Per_Session"
"Display Inline Images"="yes"
"Do404Search"=hex:01,00,00 ,00
"Local Page"="C:\\WINDOWS\\system32\\ blank.htm"
"Save_Session_History_On_Exit" ="no"
"Show_FullURL"="no"
"Show_StatusBar"="yes"
"Show_ToolBar"="yes"
"Show_URLinStatusBar"="yes "
"Show_URLToolBar"="yes"
"Use_DlgBox_Colors"="yes"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"XMLHTTP"=dword:00000001
"UseClearType"="yes"
"SearchMigrated"=dword:0000000 1
"SearchMigratedDefaultName"="G oogle"
"SearchMigratedDefaultURL"="ht tp://www.google.com/search?q={searchTerms}&sourcei d=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
"CompatibilityFlags"=dword:000 00000
"FullScreen"="no"
"SearchMigratedInstalled"=dwor d:00000001
"Window_Placement"=hex:2c,00,0 0,00,02,00,00,00,03,00,00,00,f f,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff, 00,00,00,00,00,00,00,00,80,02, 00,00,c2,01,00,\
00
"LastCheckedHi"=dword:01c7 2b30
"Use FormSuggest"="yes"
"NotifyDownloadComplete"=" yes"
"Start Page"="http://www.google.fr/ig?hl=fr&source=iglk"
"Move System Caret"="no"
"Expand Alt Text"="no"
"Print_Background"="no"
"Show image placeholders"=dword:00000000
"Enable AutoImageResize"="yes"
"Play_Animations"="yes"
"Play_Background_Sounds"=" yes"
"Enable Browser Extensions"="yes"
"UseThemes"=dword:00000001
"Friendly http errors"="yes"
"Page_Transitions"=dword:00000 001
"DisableScriptDebuggerIE"="yes "
"NscSingleExpand"=dword:000000 00
"Force Offscreen Composition"=dword:00000000
"EnableSearchPane"=dword:00000 000
"AllowWindowReuse"=dword:00000 001
"SmoothScroll"=dword:00000 001
"NoUpdateCheck"=dword:0000 0001
"AutoSearch"=dword:0000000 4
"AutoHide"="yes"
"Save Directory"="C:\\Documents and Settings\\stéphanie lamaison\\Bureau\\"
"AlwaysShowMenus"=dword:000000 00
"SearchAssistant"=""
"StatusBarWeb"=dword:00000 001
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msn home"
"SearchDefaultBranded"=dword:0 0000001
"IE8RunOnceLastShown"=dword:00 000001
"IE8RunOnceLastShown_TIMESTAMP "=hex:ee,03,ca,02,35,b9,c9 ,01
"IE8RunOncePerInstallCompleted "=dword:00000001
"IE8RunOnceCompletionTime"=hex :1e,94,98,14,35,b9,c9,01
"IE8TourShown"=dword:00000 001
"IE8TourShownTime"=hex:f8,c0,a 7,dc,ce,af,c9,01
"Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp"
"Start Page Redirect Cache_TIMESTAMP"=hex:3c,36,9f, a5,d2,af,c9,01
"Start Page Redirect Cache AcceptLangs"="fr"
"SuppressScriptDebuggerDialog" =dword:00000001
"DOMStorage"=dword:0000000 1
"Check_Associations"="yes"
"ShowedCheckBrowser"="Yes"
"RunOnceHasShown"=dword:000000 01
"RunOnceComplete"=dword:000000 01
"HistoryViewType"=hex:08,00,66 ,63,03,00,00,00,00,00
"FavIntelliMenus"="no"
"Use Search Asst"="no"
"Search Bar"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"FormSuggest Passwords"="yes"
"FormSuggest PW Ask"="yes"
"Default_search_url"="http ://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Window Title"=""
"Use Custom Search"=dword:00000000

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\Default Feeds]

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\Default Feeds\{2D90FCA5-46D8-48B4-AE7C-0DD5A9ECAB8A}]
"Title"="Microsoft Feeds\\Microsoft at Home"
"Url"="http://go.microsoft.com/fwlink/?LinkID=68928"

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\Default Feeds\{6ACA2234-7009-4E0B-AB59-8CB98D3CD7AD}]
"Title"="Microsoft Feeds\\MSNBC News"
"Url"="http://go.microsoft.com/fwlink/?LinkID=44406"

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\Default Feeds\{DDB93AAD-0CFB-4ACB-83FD-EDFA5B6F6DC4}]
"Title"="Microsoft Feeds\\Microsoft at Work"
"Url"="http://go.microsoft.com/fwlink/?LinkID=68929"

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\FeatureControl]

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\FeatureControl\F EATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000 001

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\FeatureControl\F EATURE_LOCALMACHINE_LOCKDOWN\S ettings]
"LOCALMACHINE_CD_UNLOCK"=dword :00000000

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main\WindowsSearch]
"Version"="03.01.6000.72"
"User Favorites Path"="file:///C:\\Documents and Settings\\stéphanie lamaison\\Favoris\\"
"UpgradeTime"=hex:f0,0a,fa,17, 8f,bb,c9,01
"ConfiguredScopes"=dword:00000 005
"LastCrawl"=hex:a4,d7,a8,54,4b ,bb,c9,01

[invitec04351b8]

Re,

fais ceci :

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

Code:

REGEDIT4

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main]
"SearchMigratedDefaultURL"="http://www.google.com/"

Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

=====

Fais redémarrer l'ordi.

Réédite la clé [HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main].

Confirme moi que la donnée associée à SearchMigratedDefaultURL est devenue http://www.google.com/

@+

[invite9462b6ce]

Bonjour,

ci dessous une copie de la ligne modifiée dans la clé [HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main]:

"SearchMigratedDefaultURL"="ht tp://www.google.com/"

Merci encore pour votre aide.

[invitec04351b8]

Bonjour,

parfait.

Comment va l'ordi ?

Tu refais tourner RSIT et tu postes le rapport log.txt;

@+

[invite9462b6ce]

Re,

L'ordi va beaucoup mieux, merci.
Encore un petit soucis, mais qui n'a rien a voir je pense avec cette discussion.
Lorsque j'ouvre mes documents, l'ordi se bloque.
Je fais Ctrl+Alt+Suppr, et je doit desactiver Sysfader pour le débloquer.
Ci joint le rapport demandé.

Encore un grand merci pour cette aide préciseuse.

[invitec04351b8]

Re,

en attendant que je puisse accéder au rapport, on va voir si ceci résoud ton problème :

clique sur démarrer puis panneau de configuration

clique sur Affichage, choisis l'onglet Apparence et clique sur effets.

note ce qui est affiché et décoche les 4 premières cases.

est ce que cela suffit ?

@+

[invitec04351b8]

Re,

encore un peu de travail.

===
Double clic sur stéphanie lamaison.exe sur ton Bureau pour relancer HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

Code:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

=============
Ouvre le Bloc Notes.
Copie le texte ci-dessous dans la fenêtre :

Code:

REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\ccSvcHst.exe"=-

Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

================

Ouvre l'Explorateur Windows, cherche : C:\WINDOWS\ccSvcHst.exe.

Fais un clic droit et "Supprimer".

==================
Telecharge et installe [http://sd-1.archive-host.com/membres...653/UsbFix.exe UsbFix] de C_XX & Chiquitine29

<gras>Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir</gras>

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l' <gras>option 1</gras> ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+

[invite9462b6ce]

Bonjour,

Ci joint le rapport.
Je n'ai pas trouvé : C:\WINDOWS\ccSvcHst.exe. est ce normal?

Merci.

Bonne soirée

[invitec04351b8]

Bonjour,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l' option 2/ ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

===========

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Cherche de nouveau le fichier : C:\WINDOWS\ccSvcHst.exe

@+

[invite9462b6ce]

Bonjour,

J'ai refait la procédure, ci joint le fichier UsbFix.txt.
Mai ensuite je n'ai toujour pas trouvé C:\WINDOWS\ccSvcHst.exe.
Ci joint une copie d'écran de tout les fichier .exe dans C:\WINDOWS

Bonne soirée

[invitec04351b8]

Bonjour,

fais redémarrer l'ordi et remets un rapport RSIT.

@+

[yoda1234]

Bonjour,

je n'ai pas validé ton fichier PDF, il suffit de mettre ta capture d'écran en JPEG et de l'insérer à nouveau en pièce jointe.