Bonjour...

Depuis quelques temps, quand je surfe sur Mozilla Firefox, des fenêtres intempestives s'ouvrent avec des publicités en tout genre (le plus souvent des sites de rencontres...).

A partir des informations d'un forum, j'ai donc réalisé une analyse avec AdwCleaner.exe sans réaliser un scan au préalable avec ZHP Diag comme vous le préconisez pourtant.

Pour me rattraper, j'ai donc réalisé ce diagnostic visible ici : http://cjoint.com/?0JihvEypxNK

Et je vous poste mon rapport après recherche sous AdwCleaner.exe:
# AdwCleaner v2.003 - Rapport créé le 08/10/2012 à 07:25:53
# Mis à jour le 23/09/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : julien - PC-DE-JULIEN
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\julien\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v15.0 (fr)

Nom du profil : default
Fichier : C:\Users\julien\AppData\Roaming\Mozilla\Firefox\Profiles\kgfojqxd.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\julien\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S2].txt - [1775 octets] - [07/10/2012 13:44:21]
AdwCleaner[R1].txt - [1073 octets] - [08/10/2012 07:25:53]

########## EOF - C:\AdwCleaner[R1].txt - [1133 octets] ##########

Je vous remercie d'avance pour votre aide précieuse.

J.

Bonjour badaster, rien de visible

Télécharge :

Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau


Mets le à jour


- Lance MalwareByte's Anti-Malware

- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.


- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.



Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's


-Poste le rapport de malwarebyte's

Bonsoir Zaede,

Merci pour la réponse rapide. Malheureusement, je pense que la situation va être compliquée.

En effet, après avoir installé MalwareByte's Anti-Malware sur mon bureau, les ennuis ont commencé puisque je n'ai jamais pu faire d'analyse complète. En effet, mon PC a planté au milieu de chaque analyse et Windows a du se verrouiller avec le message STOP sur fond bleu. Un des codes STOP : 0x00000008E (0xC0000005, 0X952F0E69, 0xA4E0A394, 0x00000000).
J'ai même désinstallé MalwareByte's Anti-Malware pour le réinstaller et refaire une analyse, aucun changement...et j'ai essayé un examen rapide mais mon PC a également planté sur cette dernière analyse rapide.

Que faire?
Merci beaucoup

Bonjour Zaede,

Suite à mes problèmes rencontrés avec MalwareByte's Anti-Malware en mode normal, j'ai quand même pu lancer aujourd'hui une analyse avec MalwareByte's en mode sans échec/réseau. Celle-ci a fonctionné mais les résultats n'apportent pas grand chose car aucun élément nuisible n'a été identifé comme on peut le voir ci-dessous:
Malwarebytes Anti-Malware (Essai) 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.08.07

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.6002.18005
julien :: PC-DE-JULIEN [administrateur]

Protection: Désactivé

09/10/2012 12:13:14
mbam-log-2012-10-09 (12-13-14).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 384223
Temps écoulé: 1 heure(s), 30 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Les recherches vont donc se poursuivre...
A très vite

Bonjour badaster

- Télécharge Roguekiller (par tigzy) sur le bureau

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

- Clique sur Scan.

Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse

Bonsoir Zaede,

La situation est préoccupante. Si je suis bien arrivé à télécharger RogueKiller sur le bureau, quand j'ai essayé de l'ouvrir, la fenêtre apparaît et se referme aussi tôt et RogueKiller se désinstalle immédiatement de mon ordinateur.
De plus, j'ai reçu un mail aujourd'hui de la part de Google qui me parle d'une tentative d'intrusion dans ma boîte Gmail depuis la Turquie...
Je commence vraiment à m'inquiéter.

Merci et à très vite

Bonjour Zaede,

Comme je n'arrive toujours pas à installer RogueKiller sur mon bureau et surtout l'ouvrir, j'ai réalisé un scanner en ligne avec Eset Nod32 qui a fonctionné. Au final, il a repéré un élément menaçant (un cheval de Troie apparemment...) visible dans le texte ci-dessous:
C:\Program Files\Setup_FreeVideoConverter.exe Win32/Toolbar.Widgi Application nettoyé par suppression - mis en quarantaine

Quelle étape dois-je suivre maintenant?

Merci

Re-bonjour Zaede,

J'ai pu lancer Roguekiller en mode échec/prise en charge réseau.
Voici le résultat:
RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : julien [Droits d'admin]
Mode : Recherche -- Date : 12/10/2012 15:11:16

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet003\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEVS-22UST0 +++++
--- User ---
[MBR] 95bc4f3a1074808bb9a9d6ff57911cf2
[BSP] f5a400805fe2b7cafd10167d5449e36e : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 114372 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254701568 | Size: 110788 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 481595392 | Size: 3320 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Pour l'instant je n'ai rien supprimé
Merci

Bonsoir badaster

Relance Roguekiller
Clique Suppression
Poste le rapport

Bonjour Zaede,

Voici le rapport de Roguekiller après suppression en mode sans échec/ prise en charge réseau:

RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : julien [Droits d'admin]
Mode : Suppression -- Date : 13/10/2012 13:31:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl) -> SUPPRIMÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet003\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl) -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEVS-22UST0 +++++
--- User ---
[MBR] 95bc4f3a1074808bb9a9d6ff57911cf2
[BSP] f5a400805fe2b7cafd10167d5449e36e : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 114372 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254701568 | Size: 110788 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 481595392 | Size: 3320 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

A plus tard

Bonjour badaster, tu as encore des soucis?

Bonjour Zaede,

Malheureusement, non car des fenêtres s'ouvrent encore. Surtout, je ne peux toujours pas installer Roguekiller sur mon bureau et le lancer normalement puisque quand j'essaie de l'installer il se désinstalle instantanément. Je pense que ceci montre que mon ordinateur est encore infesté.

Merci.

Je voulais dire : "malheureusement oui...j'ai encore des soucis..."
Merci

Re, oui tout a fait

Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche:


Cochez la case située devant Loaded modules

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".


Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:


puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:


Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:


Ensuite cliquez sur le bouton Continue

Un redémarrage est nécessaire:


Cliquez sur Reboot computer


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:

Bonjour Zaede,

Je suis vraiment désolé de vous faire travailler le dimanche.
Voici le rapport demandé:
http://cjoint.com/?0JorwZqr77U

Merci

Chou blanc , on continu la traque


Clique sur Démarrer ==> Tous les programmes ==> Accessoires

- Clic droit sur Invite de commandes et Exécuter en tant qu'administrateur

Copie /colle le texte suivant:

nslookup www.google.fr /c >c:\box.txt

Clique sur ENTER

Poste le rapport directement ici

Il se trouve dans c:\box.txt

Bonsoir Zaede,

Voici la réponse attendue:
Serveur : dns2.proxad.net
Address: 212.27.40.241

Nom : www.google.fr
Addresses: 2a00:1450:4007:800::1018
74.125.230.248
74.125.230.247

A plus tard

J.

Supprime roguekiller du bureau et recommence la mani

- Télécharge Roguekiller (par tigzy) sur le bureau

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

- Clique sur Scan.

- Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse

Rebonsoir Zaede,

Toujours impossible de lancer Roguekiller en mode normal. Je peux le télécharger sur le bureau mais quand je veux le lancer, le message suivant apparaît:
Windows ne trouve pas 'C:/Users/julien/Desktop/RogueKiller.exe. Vérifiez que vous avez entré le nom correct, puis réessayez.

Merci

On passe a autre chose

Télécharge combofix.exe (de sUBs) de l'un de ces liens
http://download.blee...Bs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

- Au moment de l'enregistrement renomme Combofix.exe en badaster.exe

- Enregistre ce fichier sur le bureau (impératif)

Note : Le scan est à faire navigateur fermé ainsi que toutes les applications en cours, Antivirus et logiciels de sécurité fermés ou désactivés.
* Fais un clic droit sur badaster.exe choisis "Exécuter en tant que... Administrateur" pour lancer le scan
* Pendant le scan de Combofix ne touche ni au clavier ni à la souris
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse via cjoint.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt