Ouverture de pages intempestives & redirection sous mozilla

[Naudin]

Bonjour,

Depuis quelques jours, je suis victime d'ouverture de pages publicitaires intempestives et de redirection de pages suite à une recherche sur google.

Après avoir suivi les premiers conseils de base (Ccleaner, Ad-Aware, Spybot et Malwarebytes) et changer d'antivirus gratuit Antivir en lieu et place d'Avast, j'ai l'impression que ça rentre dans l'ordre.

Mais à la lecture des différents fils concernant des problèmes similaires aux miens, je suis conscient qu'il faille se méfier de l'eau qui dort et je préfère m'en remettre à votre expertise et m'assurer de l'éradication complète des virus ou autres malwares.

Je vous joins les logs de RSIT

D'avance merci pour votre contribution
-----

[invitec04351b8]

Bonjour,

les redirections sont effectivement des problèmes à ne pas négliger.

Je pourrais avoir le plus ancien rapport MBAM (malwarebytes) que tu ais ?

Dans ton rapport, le point délicat, c'est cette ligne :

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

===
Télécharge seaf.exe de C__XX


*Double clique sur SEAF.exe ( clic droit et "Exécuter en tant qu'administrateur" pour Vista).

*Une fenêtre Cmd va s'ouvrir.

*Tape [moreoption],userinit.exe dans cette fenêtre et "Entrée".

*Patiente pendant la recherche.

*Une fenêtre avec un log .txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

@+

[Naudin]

Merci de ta réponse si rapide.

Comme demandé, je joins le log MBAM le plus ancien ainsi que le log SEAF.

A quoi dois-je m'attendre ? Est-ce grave, docteur ?

Au plaisir de te lire à nouveau...

[Naudin]

Les symptômes, qui avaient disparus momentanément, sont réapparus (pub + redirection). Antivir a détecté un 'TR/Dldr.Piker.YZ' [trojan]...

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonjour,

fais ceci :

Télécharge GMER Scanner de rootkit

• télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.
  
• exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.
  
• le chargement va prendre une minute.
  
• si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).
  
• règle les paramètres (fenêtre de droite) de la manière suivante :
  
  # Sections : décochée
  # IAT/EAT : décochée
  # seule la partition système (en général C:\ ) doit rester cochée
  # Show All : <gras>décochée</gras>
  
• clique sur "SCAN" puis patiente...
  
• En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "161209.txt"
  
• Double clique sur "161209.txt" ; le fichier s'ouvre dans le Bloc-Notes
  
• Copie le contenu et colle le dans ta réponse.

@+

[Naudin]

Voici le log de gmer en pièce jointe. J'ai eu des soucis à le récupérer, car mon ordinateur s'est planté (gros ralentissement).

@+

[invitec04351b8]

Bonjour,

je crois que Gmer a dépisté le problème.

Il doit y avoir un problème sur atapi.sys.

Pour avancer (et confirmer), fais ceci :

Télécharge OTListIt sur ton Bureau.

• Ferme toutes les fenêtres de programme,
• Double clic sur OTL.exe pour le lancer.

Copie les lignes ci-dessous dans la fenêtre Custom Scan

Code:

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
atapi.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT

Clique sur le bouton Quick Scan. Ne change aucun autre réglage sauf demande expresse.

Sois patient, le scan peut être assez long.

Quand il sera terminé, il ouvrira 2 fenêtres du Bloc-Notes OTL.Txt et Extras.Txt. Ils sont sauvegardés dans le même répertoire que OTL.

Poste les dans ta réponse.

@+

[Naudin]

Je te joins les deux logs demandés, en espérant avoir bien récupérer le bon OTL.exe, car il n'y avait pas de lien valide dans ton dernier message

Merci encore

[Naudin]

Bonjour,

Ce matin, j'ai trouvé que le démarrage de la session était plus lent que d'habitude. Est-ce lié à ce malware ?

Merci

[invitec04351b8]

Bonjour,

télécharge ComboFix (par sUBs)

et enregistre le sur le Bureau.

Déconnecte toi d'Internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur l'icône qui a été créée et suis les instructions

en particulier installe la Console de récupération.

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/comb...iser*-combofix

Ne t'inquiète pas pour les problèmes de nom, c'est normal.

@+

[Naudin]

Bonjour,

Voici le log demandé

J'ai mis à jour mon IE et mon Windows entre temps

Merci

[invitec04351b8]

Bonjour,

fais redémarrer l'ordi et dis moi si tu as encore des problèmes de redirection.

@+

[Naudin]

je n'ai a priori plus de redirection. donc a priori mission accomplie.
D'après le dernier rapport, y a t-til des choses à améliorer (au démarrage, logiciels à désinstaller, à mettre à jour, ...)

Merci beaucoup.

[invitec04351b8]

Re,

sans être pessimiste, je préfère que tu me confirmes ça demain après un peu d'utilisation.

@+

[Naudin]

A demain donc
Puis-je d'ores & déjà me débarraser des applications que tu m'as fait installé ?

[invitec04351b8]

Re,

on fera ça dés que je serai convaincu que le problème est résolu.

@+

[Naudin]

Bonjour,

Depuis hier soir, je n'ai subi aucune redirection & aucune apparition intempestive de publicité.

Si jamais j'ai de mauvaises nouvelles qui surviennent dans la journée, je t'en ferai part.

A+

[invitec04351b8]

Bonjour,

alors je crois que l'on peut nettoyer.

Démarrer, Exécuter, tape <code>combofix /uninstall</code> dans la zone de saisie puis clique sur OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.


hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


Pour Vista : clic droit et exécuter en tant qu'administrateur.

@+

[Naudin]

Combofix est désinstallé et voici le rapport de ToolsCleaner demandé.


Merci encore pour ton aide et ton temps

[invitec04351b8]

Bonsoir,

je suis pris d'un doute : est ce que OTL a été supprimé ?

===

on va nettoyer la restauration système :

Ouvre ce lien : Restauration du système

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===


Deux outils de nettoyage :

=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau

=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected

* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Quitte ATF-Cleaner

(à utiliser tous les jours).

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

===

Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

http://www.malekal.com/tutorial_Online_Armor.php

===

Tiens moi au courant.

@+

[Naudin]

Salut,

j'ai enlevé OTL manuellement. et j'ai suivi toutes les étapes indiquées dans ton message précédent. Ca fonctionne bien.

Par contre, je trouve le démarrage windows beaucoup plus long qu'avant.
Je sais que combofix m'a installé une console de récupération. mais à par ça, ça devrait démarré comme avant, non ? pour te donner un exemple, les icones sur mon bureau ne s'affiche plus directement comme avant. Est-ce du au diverses manipulations effectuées ce derniers jours, ou alors y a t il un autre pb ?
Merci
Merci

[invitec04351b8]

Bonjour,

est ce que une défragmentation de tes partitionsd améliore les choses ?

@+

[Naudin]

Bonjour,

J'ai défragmenté ma partition C:/ mais ça ne change pas grand chose. Le démarrage est vraiment deux fois plus lent qu'avant.
- j'ai upgradé windows en le passant à SP3 et j'ai effectué toutes les mises à jour qui vont avec.
- j'ai mis à jour Java
- et j'ai changé d'antivirus

Est-ce là l'explication ?
A+

[invitec04351b8]

Bonjour,

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

@+

[Naudin]

Bonsoir,

J'ai exécuté ZHPDiag et je joins le rapport en pièce jointe.
En espérant que ça puisse t'aider à y voir clair.

Le démarrage plus lent est juste un constat. je m'en accommode très bien. Après si tu peux y remédier, tant mieux.

A+

[invitec04351b8]

Bonsoir,


Copie dans le Presse-papier ces lignes (sélectionne le avec la souris et fais simultanément Ctrl et C)

Code:

O44 - LFC:Last File Created 13/12/2009 - 20:30:52 ---A- C:\WINDOWS\System32\drivers\rqpbprf.sys
O44 - LFC:Last File Created 13/12/2009 - 20:30:52 ---A- C:\WINDOWS\ttytmjy
O58 - SDL:System Drivers List - C:\WINDOWS\system32\drivers\iqetaosk.sys
O58 - SDL:System Drivers List - C:\WINDOWS\system32\drivers\rqpbprf.sys
O64 - Services: CurCS - kxloypoc (kxloypoc) - LEGACY_KXLOYPOC

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[Naudin]

Bonjour,

Voici le rapport de ZHPfix demandé.
Le redémarrage n'a pas été plus rapide.
A+

[invitec04351b8]

Bonsoir,

on reverra ça lundi prochain.

pour le moment :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

@+

[Naudin]

Bonjour, et Meilleurs Voeux !
N'étant pas à mon domicile, je n'ai pu intervenir avant aujourd'hui.

Alors, je viens seulement d'effectuer la manipulation demandé et redémarré l'ordinateur.

A+

[invitec04351b8]

Bonjour,

mes meilleurs voeux en retour des tiens.

Le démarrage est toujours aussi lent ?

C'est le seul problème que tu constates ?

@+