Infection adware (coupcoup) 2015-05-30T17:05:45+00:00

Dépannage Informatique : Infection adware (coupcoup)

  • Auteur
    Messages
  • eliDev
    Participant
    Nombre d'articles : 9

    Bonjour,
    Après plusieurs tentatives infructueuses de nettoyage, je viens demander de l’aide pour enlever un adware qui réapparaît inlassablement. En lisant différents articles, je pense que j’ai malencontreusement introduit le virus en téléchargeant un logiciel sur Cublic. Je n’arrive plus à lancer MalwareBytes anti-Malwares et chaque fois que je lance un navigateur (Chrom ou Firefox) une extension du style coupcoup se lance et fait apparaître tout un tas de publicités pop-up sur chaque fenêtre.
    Merci d’avance pour votre aide.
    Eli

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    salut

    • Désactive ton antivirus le temps du téléchargement et de l’utilisation, le mieux étant jusqu’au prochain redémarrage.
    • Télécharge AdsFix sur ton bureau.

      torrent :

      magnet:?xt=urn:btih:1DB57663546DE0BF48343F45E4CD060E6BF35B02&dn=AdsFix.exe&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a80%2fannounce&tr=udp%3a%2f%2ftracker.publicbt.com%3a80%2fannounce&tr=udp%3a%2f%2ftracker.ccc.de%3a80%2fannounce

      Note : Enregistrer votre travail avant de continuer !

    • Lance AdsFix ( clic droit “executer en tant qu’administrateur” pour Vista/7/8/8.1 )
    • Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
    • Inscrit ton pays
    • Clique sur Nettoyer , après l’avoir débloqué dans les options

      Note : Patiente le temps du scan

    • Laisse travailler l’outil même s’il te parait bloqué
    • Héberge le rapport C:AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

    Aide:

  • eliDev
    Participant
    Nombre d'articles : 9

    Merci je viens de lancer adsfix. Mais j’ai l’impression que ça prend beaucoup de temps. Est ce normal?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    il fouille les méandres du pc à son plus profond , et en plus suivant si le pc est plein , ou si tu as plusieurs sessions oui , car il les fait toutes

  • eliDev
    Participant
    Nombre d'articles : 9
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    re

    désinstalle spybot il sert à rien

    =

    note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible dans ton disque système ( logiquement C: )

  • eliDev
    Participant
    Nombre d'articles : 9
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    re

    désinstalle malwarebytes , puis ensuite passe ceci : http://downloads.malwarebytes.org/file/mbam_clean

    ensuite :

    • Télécharge MalwareBytes Anti-Malware
    • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”

    • Clic sur Examiner maintenant

    • Une fois l’examen terminé vérifie que toutes les détections sont bien cochées, puis clique sur [Supprimer la sélection]

    • Un redémarrage sera peut-être nécessaire, si oui laisse faire et relance ensuite Malwarebytes
    • Ouvre l’onglet “Historique” puis “Journaux de l’application”
    • Fais un double-clic sur le dernier Scan Log en date (celui du haut)

    • En bas clique sur [Exporter] -> sélectionne “Fichier texte (*.txt)”

    • Dans l’explorateur sélectionne le bureau, nomme-le mbam.txt, clique sur [Enregistrer]

    • Héberge le rapport mbam.txt sur SOSUpload puis donne le lien obtenu.
      -> Tutoriel SosUpload : actu/tutoriel-sosupload/
  • eliDev
    Participant
    Nombre d'articles : 9
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    re

    Télécharge Gmer : http://www.gmer.net/#files clique sur « Download EXE » et enregistre-le sur ton bureau

    Important : Désactive toutes tes protections : tutoriel-desactiver-protection-residentiel-t586.html

    Ne pas utiliser l’ordinateur pendant le scan de GMER

    Pour XP => double clique sur gmer.exe
    Pour Vista et 7 => clique droit « executer en tant que…. »

    GMER va lancer un scan automatique

    s’il detecte une activité de rootkit et demande un scan complet , répondre non.
    décoche IAT/EAT, ShowAll et les lecteurs (C: , D:….) , et coche tout le reste
    clique sur Scan
    si une fenêtre indiquant un rootkit apparait clique sur OK.
    Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log
    ensuite héberge ce rapport sur https://antimalware.top et donne le lien obtenu
    Réactive tes protections.

    Note: Si problèmes utiliser GMER en mode sans echec.

  • eliDev
    Participant
    Nombre d'articles : 9
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    rends-toi sur https://www.virustotal.com puis fais analyser ce fichier :

    C:Windowssystem32mssprxy.dll

    une fois l’analyse des antivirus terminée , récupère le lien de la page en haut puis colle-le ici que je puisse m’y rendre pour consulter

    fais de même avec :

    C:Windowssystem3Driversa23lqqne.SYS

  • eliDev
    Participant
    Nombre d'articles : 9

    voici le rapport pour le mssprxy.dll https://www.virustotal.com/fr/file/e1edce6216b24037b243ac68ceebd510646b2efd70bc118e68303f9ed85d1973/analysis/

    par contre je ne trouve pas le second fichier que tu m’as indiqué C:Windowssystem3Driversa23lqqne.SYS

    J’ai cherché dans le fichier system32drivers et system32DriverStore mais aucun fichier ne porte le nom a23lqqne.sys

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    même en y allant directement via l explorateur windows ?

  • eliDev
    Participant
    Nombre d'articles : 9

    Bonjour,
    après avoir encore revérifier dans la commande et l’explorateur Windows aucune trace de ce fichier

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    hello

    bon ben refais quickdiag stp

  • eliDev
    Participant
    Nombre d'articles : 9
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    re

    désinstalle Glary Utilities 5 c’est un fracasse-système inutile
    désinstalle adobe reader 10 , pas à jour
    désinstalle bing bar ca sert à rien
    désinstalle tout java , pas à jour

    ==

    Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
    Télécharge https://www.sosvirus.net/telecharger/otm/ OTM (OldTimer) sur ton Bureau :
    Double-clique sur OTM.exe afin de le lancer. (clic droit “executer en tant qu’administrateur” pour Vista/7/8 )

    Copie (Ctrl+C) le texte suivant ci-dessous :


    :services
    BBSvc
    BBUpdate

    :reg
    [HKUS-1-5-21-2052365570-2561231916-1905894192-1000SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheelQuery]
    "MRUListEx"=-
    "0"=-
    [HKUS-1-5-21-2052365570-2561231916-1905894192-1000SOFTWAREMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantPersisted]
    "SIGN.MEDIA=E158A SETUP.EXE"=-
    "C:UsersEliDownloadsglary-utilities_5-21_fr_73266.exe"=-
    "C:UsersEliDownloadsspybot-search-destroy_2-4-20-05-2015_en_10965.exe"=-
    "C:Program Files (x86)Glary Utilities 5SoftwareUpdate.exe"=-
    [-HKLMSOFTWAREMicrosoftInternet ExplorerExtensions{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [-HKLMSOFTWAREWOW6432NodeMicrosoftInternet ExplorerExtensions{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [-HKLMSoftwareMozillaPlugins@adobe.com/FlashPlayer]
    [-HKLMSoftwareWOW6432NodeMozillaPlugins@adobe.com/FlashPlayer]
    [-HKLMSoftwareSafer Networking Limited]
    [-HKLMSoftwareWOW6432NodeSafer Networking Limited]
    [-HKUS-1-5-21-2052365570-2561231916-1905894192-1000SoftwareProductSetup]
    [-HKUS-1-5-21-2052365570-2561231916-1905894192-1000SoftwareSafer Networking Limited]
    [-HKUS-1-5-18SoftwareSafer Networking Limited]
    [-HKLMSYSTEMCurrentControlSetControlClass{4D36E97E-E325-11CE-BFC1-08002BE10318}]

    :files
    C:b33a814632a06615f86313c1
    C:e7cd320ebaa8b2db99f71449a7a864cb
    C:WindowsInstaller7f2de9.msi
    C:UsersAll UsersSpybot - Search & Destroy
    C:UsersEliAppDataRoamingappdataFr3.bin
    C:Program Files (x86)Spybot - Search & Destroy 2
    C:WindowsSystem32TasksSafer-Networking

    :commands
    [emptytemp]

    Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    Clique maintenant sur le bouton MoveIt!
    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:_OTMMovedFiles

    *Le nom du rapport correspond au moment de sa création : date_heure.log

  • eliDev
    Participant
    Nombre d'articles : 9

    Bonjour,
    Voici le rapport de Omt https://antimalware.top/download/do6jjwibgu7zrnyt49o596aj7nzzmbfdq9g1gjag

    J’ai donc désinstaller les programmes que tu m’as indiqué. J’avais déjà désinstaller Bing à plusieurs reprises mais il semble revenir. J’avais installé Glaries sur le conseils d’une amie helpdesk, est-ce que tu pourrais m’expliquer ce que tu veux dire par “fracasse-système”? lol Je ne m’y connais pas trop en Hardware et je suis assez curieuse de connaître ton point de vue!

    Merci encore
    Eli

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8419

    disons que c’est le genre de programme qui nettoie plus que ce qu’on lui demande, donc trop , et il arrive que ca plante le système

Le sujet ‘Infection adware (coupcoup)’ est fermé à de nouvelles réponses.