Adxtendmedia - zero access

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Adxtendmedia - zero access

Messagepar luciola » 23 Oct 2012 21:17

Bonjour

Le prob vient de adxtendmedia,je sais pas d ou il peut sortir,mais regulierement il se pointe et ouvre une fenetre de telechargement pour telecharger quoi? je sais pas, un truc qui se nomme : st.
Sinon y a aussi le curser souris qui clignote alors qu il est au repos;que je touche a la souris ou pas.
J ai essayé malwarebytes,bullguard antivirus,mais rien de changer.

J ai oublier de précisé que peu de temps avant (j en suis pas sur),j ai été infecté par ukash et le virus gendarmerie,j ai désinfecté en sans échec avec "antizeroaccess" et un passage de "rogue killer" et "tdsskiller", j ai récupérer l ordi,mais je ne saurais affirmé que c était présent avant l infection ukash.

Avant d aller plus loin j ai besoin de l aide de quelqun qui s y connait mieux que moi<<<<<<.


merci.

win7/firefox
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar lenapache » 24 Oct 2012 08:12

Bonjour luciola et bienvenue sur libellules.ch

Je vais prendre ton sujet en charge, la désinfection devra être suivie jusqu'à ce que le PC soit propre.

Pour plus de lisibilité sur le forum les rapports demandés devront être postés (si il y a plusieurs) en lien et dans la même réponse en utilisant cet hébergeur de fichiers Image

Avant de faire quoi que ce soit on va faire un audit de ton PC

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

  • Télécharge ZHPDiag (de Nicolas coolman)

    Image
  • Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  • Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Trois icônes seront crées sur le bureau lors de son installation

    Image
  • Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
  • Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
  • Clique sur le bouton Tournevis (Options)
  • Coche toutes les cases sauf celle devant :

    • Derniers fichiers créés dans Windows Prefetcher (045)
    • Derniers fichiers modifiés ou crées (Utilsateur) (061)
    • Alternate Data Stream File (062)
  • Clique en haut à gauche sur la loupe Image

    Image
  • Laisse le scan se dérouler.

    Image
  • Le scan terminé, clique sur la disquette Image
  • Enregistre le rapport sur le bureau.
  • Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt



Image Pour poster le rapport en lien dans ta réponse utilise cet hébergeur de fichiers : Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: adxtendmedia//zero access

Messagepar luciola » 24 Oct 2012 18:20

bonjour

et merci de vous interesser a mon pb.

En attendant le rapport Je met une capture de la fenetre qui s ouvre aleatoirement:

http://cjoint.com/?BJytsb2gpFx

zhp rapport

http://cjoint.com/?BJytBm2zPOf

http://cjoint.com/?BJytBX0f3SY

Je precise qu en redemarrant l ordi,aujourdhui, j ai plus de son,j ai reinstallé les pilotes,redemarrer mais rien....ca n etait pas arriver jusque la.
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar lenapache » 25 Oct 2012 08:16

Bonjour luciola

Les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers Image


Script ZHPFix


Le temps de téléchargement du script a été volontairement limité à 4 jours


  • Clique sur Script ZHPFix
  • Sur la page qui s'ouvre clic droit et Tout sélectionner
  • Refais un clic droit et Copier
  • Double clique sur Image qui est sur le bureau.
  • Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  • Clique en haut à gauche sur la deuxième icône (colller le presse papiers) Image
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

    Image
  • Clique sur Go
  • Confirme le nettoyage des données si demandé

    Image
  • Patiente le temps du traitement
  • Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
  • Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt


Poste aussi en lien le rapport de Scan de RogueKiller pour que je me fasse une idée de ce qui a été fait
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: adxtendmedia//zero access

Messagepar luciola » 25 Oct 2012 17:08

bonjour lenapache,

voila le rapport. http://cjoint.com/?BJzsgdxQmc1

Sinon,j ai vu ds le script des choses inoffensives,comicrak,c un lecteur de bd ...enfin je l ai fait.manifestement rien de changer.merci
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar lenapache » 26 Oct 2012 17:54

Bonsoir luciola

Refais un scan avec ZHPDiag poste ensuite son rapport en lien
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: adxtendmedia//zero access

Messagepar luciola » 28 Oct 2012 19:36

salut

En definitive j ai fait une reinstal du system,pour l instant plus de pb.

30/10

apres reinstal,voila que je me retrouve a nouveau avec ce adtxmedia qui ouvre sa fenetre.....est qu on peut poursuivre le pb svp...merci
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar luciola » 31 Oct 2012 20:34

hello

je up ,parsque j ai besoin d aide sur ce coup,si vous pouviez me repondre....

je joins le rapport zhp

http://cjoint.com/?BJFuLluL65G

merci
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar lenapache » 31 Oct 2012 22:03

Bonsoir luciola

Pas de traces de adtxmedia dans le rapport de ZHPDiag on va le traquer autrement.


:arrow: Télécharge SEAF Enregistre ce fichier sur le bureau

  • Double-clique sur SEAF.exe
  • Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Dans la zone de recherche tape où copie/colle adtxmedia
  • Coche Chercher également dans le registre
  • Clique sur Lancer la recherche.

    Image
  • Patiente elle risque de durer un certain temps
  • Celle-ci terminée un rapport s'affichera poste le en lien il risque d'être long, tu peux le trouver aussi ici C:\SEAFlog.txt
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: adxtendmedia//zero access

Messagepar luciola » 31 Oct 2012 23:17

voila,


3. Commencé à: 22:49:55 le 31/10/2012
4.
5. Valeur(s) recherchée(s):
6. adtxmedia
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 22:54:40 le 31/10/2012
24. 1196839 Éléments analysés
25.
26. =========================
27. E.O.F


manifestement y trouve rien.....
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar lenapache » 02 Nov 2012 09:20

Bonjour luciola

On va utiliser un autre scanneur pour voir si on peut localiser l'intrus.


Les rapports d'Otl doivent être postés en lien, ils sont parfois trop longs pour tenir dans une réponse.

  • Télécharge OTL de (Old_Timer)
  • Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.
  • Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur


  • Coche Tous les utilisateurs
  • Règle Age des fichiers sur 60 jours
  • Coche Recherche lop et Recherche purity
  • Si tu as une version 64 bits de Windows coche aussi la case 64 bits qui est en dessous de Tous les utilisateurs.

Copie/colle le texte qui est dans cadre code sous l'emplacement Personnalisation

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT


Image


  • Clique sur le bouton Analyse rapide
  • Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront dans le Bloc-Notes.

Poste le contenu de OTL.txt (qui sera affiché) ainsi que de Extras.txt (qui sera réduit dans la Barre des Tâches) en lien.

Pour poster les rapports en lien utilise Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: adxtendmedia//zero access

Messagepar luciola » 03 Nov 2012 18:29

luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar luciola » 06 Nov 2012 22:18

alors,pas de nouvelles??? ca serait bien qu on avance un peu svp!

Au passage j ai une nouvelle fenetre :

http://cjoint.com/?BKgwrEp99Sh

merci
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: adxtendmedia//zero access

Messagepar luciola » 07 Nov 2012 19:06

luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: Adxtendmedia - zero access

Messagepar lenapache » 08 Nov 2012 11:41

Bonjour luciola

Il faudrait peut être éviter de réinfecter ton pc après une nouvelle installation

Les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers Image

Sript OTL


:arrow: Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.

  • Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur
  • Sous l'emplacement Personnalisation copie/colle le texte qui est en citation ci dessous

:otl
O4 - HKLM\..\Run: []
O8 - Extra context menu item: ????3?? - C:\Users\luciola\AppData\Roaming\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: ????3?????? - C:\Users\luciola\AppData\Roaming\FlashGetBHO\GetAllUrl.htm ()
O32 - AutoRun File - [2012/10/20 22:05:51 | 000,304,886 | R--- | M] () - K:\Autorun.ico -- [ UDF ]
[2012/10/27 19:57:53 | 000,143,360 | R--- | C] (Zenographics) -- C:\Windows\apptune1020.exe

:commands
[emptytemp]

  • Clique sur le bouton Correction
  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste le contenu du rapport dans ta prochaine réponse.


Scan RogueKiller


:arrow: Télécharge Roguekiller (par tigzy) sur le bureau

  • Lance RogueKiller.exe.
  • Accepte la licence

    Image
  • Attends la fin du pré-scan
  • Clique sur le bouton Scan

    Image
  • Laisse l'outil travailler ne touche ni au clavier ni à la souris
  • Ne supprime rien sans mon accord
  • Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse


Note : Tu as deux rapports à poster
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Adxtendmedia - zero access

Messagepar luciola » 08 Nov 2012 21:43

ok, tu as bien raison a propos de la reinfection.....

Les rapports:

otl

http://cjoint.com/?BKivO6sJ8sh

rk

http://cjoint.com/?BKivQLJhmaa


merci
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: Adxtendmedia - zero access

Messagepar luciola » 13 Nov 2012 19:20

up svp...
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: Adxtendmedia - zero access

Messagepar lenapache » 15 Nov 2012 09:35

Bonjour luciola

Désolé il y a des jours où ça veut pas, je vais te faire passer un scan en ligne :

ESET Online Scanner

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce lien:
http://download.eset.com/special/eos/es ... er_enu.exe


- Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner.

Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
- Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
- Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

- Lance la recherche antivirale en cliquant sur le bouton "Start":
l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
- Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
- Une nouvelle fenêtre apparaît:
clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
- Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
- Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
[*] Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu en lien dans ta prochaine réponse
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Adxtendmedia - zero access

Messagepar luciola » 16 Nov 2012 15:14

j ai pas encore fait le scan,ce soir,mais juste pour info j ai une nouvelle fenetre:

http://cjoint.com/?BKqpodC5POJ



le rapport eset: 3 treaths

http://cjoint.com/?BKqvGn3B6pc


Alors qu en dites vous? C est la cause probable du pb? doit on faire plus et si oui, quoi de plus?


merci

arghhhhh apres desinfection, j ai toujours cete fenetre,la meme que poster ds ce fil, un peu plus haut....
luciola
 
Messages: 16
Inscription: 23 Oct 2012 21:12

Re: Adxtendmedia - zero access

Messagepar lenapache » 17 Nov 2012 19:36

Bonsoir luciola

Attention cet outil n'est à utiliser qu'avec l'aval d'un Helper Sécu

Le scan est à faire navigateur fermé ainsi que toutes les applications en cours, Antivirus et logicels de sécurité fermés ou désactivés.

Scan Combofix

  • Télécharge Combofix (de sUBs)
  • Enregistre ce fichier sur le bureau (impératif)
  • Fais un clic droit sur combofix.exe choisis Exécuter en tant qu'administrateur pour lancer le scan
  • Pendant le scan de Combofix ne touche ni au clavier ni à la souris
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités