ordinateur infesté, pubs intempestives

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Re: ordinateur infesté, pubs intempestives

Messagepar badaster » 14 Oct 2012 22:20

Rebonsoir,

Mea culpa...C'est mon Antivirus Comodo que j'avais pourtant désactivé qui semblait bloquer le lancement de RogueKiller. J'ai donc pu lancer un scan sans problème et le rapport est ici:
RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : julien [Droits d'admin]
Mode : Recherche -- Date : 14/10/2012 23:17:53

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[TASK][SUSP PATH] {31B71402-5038-4BC8-92A9-6268F61767A0} : C:\Windows\System32\pcalua.exe -a C:\Users\julien\Desktop\CertiNomis.exe -d C:\Users\julien\Desktop -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEVS-22UST0 +++++
--- User ---
[MBR] 95bc4f3a1074808bb9a9d6ff57911cf2
[BSP] f5a400805fe2b7cafd10167d5449e36e : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 114372 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254701568 | Size: 110788 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 481595392 | Size: 3320 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: SanDisk Cruzer USB Device +++++
--- User ---
[MBR] 03b34deef0ba056807e0c9f46790f5ac
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 58 | Size: 7820 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Merci
J.
badaster
 
Messages: 19
Inscription: 08 Oct 2012 06:06

Re: ordinateur infesté, pubs intempestives

Messagepar zaede » 14 Oct 2012 22:27

Suis la manip que j'ai mis avant ce post
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: ordinateur infesté, pubs intempestives

Messagepar badaster » 14 Oct 2012 23:09

Rebonsoir Zaede,

Ok pour Combofix.
Voici le rapport : http://cjoint.com/?0Jpai0BlJ92

A plus tard
J
badaster
 
Messages: 19
Inscription: 08 Oct 2012 06:06

Re: ordinateur infesté, pubs intempestives

Messagepar zaede » 15 Oct 2012 23:50

Re, tu as encore des soucis apres combofix?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: ordinateur infesté, pubs intempestives

Messagepar badaster » 16 Oct 2012 13:48

Bonjour Zaede,

Malheureusement tu es tombé sur un client avec un lourd dossier...
Encore quelques ouvertures (beaucoup plus limitées) et surtout j'ai essayé de relancer Malware Bytes pour faire une analyse mais impossible d'aller au bout (sans blocage total du PC avec le message STOP cependant).

A plus tard
badaster
 
Messages: 19
Inscription: 08 Oct 2012 06:06

Re: ordinateur infesté, pubs intempestives

Messagepar zaede » 16 Oct 2012 22:47

Bonjour badaster, quel est le contenu de ce message stop?

Tu dois avoir un raccourcis MBRcheck qui s'est créée en même temps que ZHPFix
Clique dessus et poste le contenu de ce rapport
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: ordinateur infesté, pubs intempestives

Messagepar badaster » 16 Oct 2012 22:54

Bonsoir Zaede,

Je me suis mal exprimé.
Au début de ta prise en charge quand tu m'as demandé de faire un examen complet avec Malwarebytes, mon PC plantait et affichait le message STOP sur fond bleu. Pour vérifier si mon PC allait mieux j'ai relancé aujourd'hui un examen complet de Malwarebytes. Le PC ne se met pas en sécurité avec le message STOP mais il n'arrive pas à faire l'analyse complète et tourne rapidement dans le vide...et d'autres fenêtres se sont encore ouvertes ce soir quand je naviguais sur Firefox...
badaster
 
Messages: 19
Inscription: 08 Oct 2012 06:06

Re: ordinateur infesté, pubs intempestives

Messagepar zaede » 16 Oct 2012 23:25

Ah ok, je préfère ça
Pour MBAM, essaie de faire le scan en mode sans echec avec prise en charge du réseau
F8 au demarrage du PC et choisi ta session
Passe un scan rapide pour commencer

Quel type de fenêtre qui s'ouvre?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: ordinateur infesté, pubs intempestives

Messagepar badaster » 17 Oct 2012 09:37

Bonjour Zaede,

J'ai quand meme essayé de faire une analyse rapide avec Malwarebytes en mode normal mais rien n'y fait...le PC tourne rapidement dans le vide. En mode échec/prise en charge réseau, pas de problèmes (aucun élément nuisible détecté apparemment) et le rapport se trouve ci-dessous.
Les fenêtres qui s'ouvrent sont le plus souvent La Bourse pour les nuls qui demande de Quitter pour pouvoir fermer la fenêtre, Devenez riche..., des sites de rencontre pour ne pas dire plus...
et si même Combofix ne règle pas le problème...

Malwarebytes Anti-Malware (Essai) 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.16.06

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.6002.18005
julien :: PC-DE-JULIEN [administrateur]

Protection: Désactivé

17/10/2012 10:26:55
mbam-log-2012-10-17 (10-26-55).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 195071
Temps écoulé: 5 minute(s), 58 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

A plus tard
badaster
 
Messages: 19
Inscription: 08 Oct 2012 06:06

Re: ordinateur infesté, pubs intempestives

Messagepar zaede » 17 Oct 2012 23:49

Bonsoir badaster, tenace ce problème de pub

Relance Roguekiller
Clique sur Suppression

Poste le rapport


Clique ensuite sur DNS RAZ

Poste egalement ce rapport

Tu as encore des pubs?

Si oui, passe ce scan

Télécharge aswMBR.exe sur ton bureau
Double clique sur aswMBR.exe pour lancer le programme 'clic droit et exécuter en tant qu'administrateur pour Vista /Seven
Accepte la mise à jour de la base antivirus avast
Clique sur scan
A la fin du scan, clique sur save log et poste le resultat dans la prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: ordinateur infesté, pubs intempestives

Messagepar badaster » 18 Oct 2012 09:28

Bonjour Zaede,

Tenace effectivement...

Rapport après suppression RogueKiller:

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : julien [Droits d'admin]
Mode : Suppression -- Date : 18/10/2012 08:58:20

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[TASK][SUSP PATH] {31B71402-5038-4BC8-92A9-6268F61767A0} : C:\Windows\System32\pcalua.exe -a C:\Users\julien\Desktop\CertiNomis.exe -d C:\Users\julien\Desktop -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEVS-22UST0 +++++
--- User ---
[MBR] 95bc4f3a1074808bb9a9d6ff57911cf2
[BSP] f5a400805fe2b7cafd10167d5449e36e : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 114372 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254701568 | Size: 110788 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 481595392 | Size: 3320 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Rapport après DNS RAZ RogueKiller

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : julien [Droits d'admin]
Mode : DNS RAZ -- Date : 18/10/2012 08:59:15

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Et rapport après le scan d'Avast:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-18 09:01:54
-----------------------------
09:01:54.123 OS Version: Windows 6.0.6002 Service Pack 2
09:01:54.123 Number of processors: 2 586 0xF0D
09:01:54.126 ComputerName: PC-DE-JULIEN UserName: julien
09:01:58.348 Initialize success
09:18:33.959 AVAST engine defs: 12101701
09:42:38.781 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
09:42:38.784 Disk 0 Vendor: WDC_WD25 01.0 Size: 238475MB BusType: 3
09:42:38.816 Disk 0 MBR read successfully
09:42:38.819 Disk 0 MBR scan
09:42:38.863 Disk 0 unknown MBR code
09:42:38.866 Disk 0 Partition 1 00 12 Compaq diag NTFS 9993 MB offset 63
09:42:38.892 Disk 0 Partition 2 80 (A) 06 FAT16 NTFS 114372 MB offset 20467712
09:42:38.920 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 110788 MB offset 254701568
09:42:39.067 Disk 0 Partition 4 00 12 Compaq diag NTFS 3320 MB offset 481595392
09:42:39.074 Disk 0 scanning sectors +488394752
09:42:39.137 Disk 0 scanning C:\Windows\system32\drivers
09:42:53.795 Service scanning
09:43:28.446 Modules scanning
09:43:35.724 Disk 0 trace - called modules:
09:43:35.748 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iastor.sys
09:43:35.756 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x866e27c0]
09:43:35.764 3 CLASSPNP.SYS[88dbb8b3] -> nt!IofCallDriver -> [0x855f5f08]
09:43:35.772 5 acpi.sys[82e9e6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x855f4030]
09:43:37.458 AVAST engine scan C:\Windows
09:43:43.190 AVAST engine scan C:\Windows\system32
09:47:37.199 AVAST engine scan C:\Windows\system32\drivers
09:47:55.271 AVAST engine scan C:\Users\julien
10:13:19.310 AVAST engine scan C:\ProgramData
10:15:39.638 Scan finished successfully
10:22:45.234 Disk 0 MBR has been saved successfully to "C:\Users\julien\Desktop\MBR.dat"
10:22:45.239 The log file has been saved successfully to "C:\Users\julien\Desktop\aswMBR.txt"

Je continue à surfer et je te tiens au courant sur l'ouverture (ou non) de fenêtres dont je me passerais bien...
Merci encore

J.
badaster
 
Messages: 19
Inscription: 08 Oct 2012 06:06

Re: ordinateur infesté, pubs intempestives

Messagepar zaede » 18 Oct 2012 23:14

Bonjour badaster


Il y a aussi le fichier host qui permet de bloquer des pubs non malicieuses


- Rends toi dans C:\WINDOWS\system32\drivers\ etc

Tu y trouvera un fichier nommé hosts sans extension, double clic dessus choisis le bloc notes pour l'ouvrir

Surligne le texte en citation, clic droit dessus choisis copier et ajoute le à la fin de ton fichier hosts les lignes qui sont en citation.




127.0.0.1 localhost


127.0.0.1 www.meetyourmessenger.com
127.0.0.1 www.meetyourmessenger.fr
127.0.0.1 www.meetyourmessenger.be
127.0.0.1 www.meetyourmessenger.pt
127.0.0.1 www.meetyourmessenger.it
127.0.0.1 www.meetyourmessenger.ch
127.0.0.1 www.queblock.com/fr/
127.0.0.1 www.checkmessenger2.net/fr/s/check-messenger/
127.0.0.1 fr.bloquo.com/main
127.0.0.1 www.inspectmessenger.com/
127.0.0.1 www.kimebloc.1s.fr/
127.0.0.1 www.cocoland.fr/
127.0.0.1 www.greatstuff.com
127.0.0.1 ads.regiedepub.com
127.0.0.1 clibleclick.com
127.0.0.1 doubleclick.net
127.0.0.1 espace.netavenir.com
127.0.0.1 mediaplex.com
127.0.0.1 smartadserver.com
127.0.0.1 tradedoubler.com
127.0.0.1 valueclick.com
127.0.0.1 valueclick.fr
127.0.0.1 advertising.com
127.0.0.1 bluestreak.com
127.0.0.1 mediaplex.com
127.0.0.1 mediaplex.fr
127.0.0.1 mediaplex.com/fr
127.0.0.1 statcounter.com
127.0.0.1 ad.adserverplus.com
127.0.0.1 engine.espace.netavenir.com
127.0.0.1 adviva.com
127.0.0.1 coremetrics.com
127.0.0.1 webtrendlive.com
127.0.0.1 ad.yieldmanager.com
127.0.0.1 www.captainkdo.com
127.0.0.1 track.effiliation.com
127.0.0.1 www.mailskinner.com
127.0.0.1 aflgate.com
127.0.0.1 bqgate.com
127.0.0.1 protectionfield.com
127.0.0.1 qzgate.com
127.0.0.1 xvgate.com
127.0.0.1 asafetysolution.com
127.0.0.1 asecuresource.com
127.0.0.1 asecuretool.com
127.0.0.1 asecurityclick.com
127.0.0.1 asoftwarepro.com
127.0.0.1 bnmgate.com
127.0.0.1 cdegate.com
127.0.0.1 krgate.com
127.0.0.1 pdgate.com
127.0.0.1 protectionroom.com
127.0.0.1 asecuritynote.com
127.0.0.1 asafetyway.com
127.0.0.1 fhgate.com
127.0.0.1 hwgate.com
127.0.0.1 aprotectinfo.com
127.0.0.1 viruseffaceur.com
127.0.0.1 XPOnlinescanner.com
127.0.0.1 123-argent.fr
127.0.0.1 www.monagence.com/
127.0.0.1 www.cartouche-club.com/

# End



Laisse un espace entre 127.0.0.1 et l'adresse du site a l'aide de la touche avec les deux flèches a gauche du clavier

ce qui nous donne:

127.0.0.1 espace www.monagence.com/

Refait de même avec toute page que tu voudras bloquer


Clique ensuite sur Fichier et Enregistrer.

Pour Vista/Seven il faudra faire ceci avant de modifier le fichier hosts.

Désactive l'UAC-User Account Control - contrôle des comptes utilisateurs

[*] Démarrer ==> Panneau de Configuration
[*] Double clique sur l'icône Comptes d'utilisateurs
[*] Clique ensuite sur Désactiver et valide.
[*] Si tu ne sais pas comment faire consulte ce lien: http://www.zebulon.fr/astuces/220-desac ... vista.html


Tutoriel

Si tu ne peux rien modifier:

Fais un clic droit sur le fichier hosts sans extension

Sur l'onglet Général vérifie que ce fichier ne soit pas en lecture seule
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: ordinateur infesté, pubs intempestives

Messagepar badaster » 21 Oct 2012 19:51

Bonjour Zaede,

Je te remercie pour ton aide précieuse. Je ne suis pas intervenu sur le fichier Host car l'ouverture de fenêtres publicitaires s'est considérablement ralentie surtout depuis la suppression de Roguekiller. J'ai en tout cas bien compris l'intérêt d'une intervention sur le fichier Host.
Je repasserai donc sur le forum si jamais la situation s'aggrave. Encore merci pour l'efficacité de votre forum et votre professionnalisme.

A très vite

J.
badaster
 
Messages: 19
Inscription: 08 Oct 2012 06:06

Re: ordinateur infesté, pubs intempestives

Messagepar zaede » 21 Oct 2012 20:10

Ok, pas de problèmes

Le vidage des caches arrangent parfois les choses

Voici un petit logiciel qui nettoie bien et sans installation aucune

Télécharge ATF-Cleaner (Atribune) Enregistre ce fichier sur le bureau.

- Démarre ATF-Cleaner et Coche

Windows Temp
Current User Temp
All Users Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin


* Clique sur Empty Selected et au message Done Cleaning sur Ok


Si tu utilises Firefox

* Clique sur Firefox au haut et choisis Select All
* Clique sur le bouton Empty Selected
* NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite.
* Clique sur Main pour revenir à menu principal


Si tu utilises le navigateur Opera

* Clique sur Opera au haut et choisis Select All
* Clique sur le bouton Empty Selected
* NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite.
* Clique sur Main pour revenir à menu principal

* Clique sur Exit, du menu prinicipal, pour quitter ATFcleaner
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Précédente

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités