[Résolu] Infection : Ad by Advertise ou Not Set 2015-12-18T16:18:47+00:00

SOSVirus : Dépannage PC Gratuit Support Aide à la désinfection – Forum Virus Sécurité [Résolu] Infection : Ad by Advertise ou Not Set

  • Auteur
    Messages
  • Photo du profil de mustafianomustafiano
    Participant
    Nombre d'articles : 16

    Bonjour,

    Depuis 3 jours que mon laptop souffre d’une infection. Il n’y a pas un site qui ne contient pas un mot-clé qui redirige vers un autre site web. (voir pièces jointes)
    J’ai lancé MalwareBytes, SpyHunter, Adwcleaner et Rogue Killer. Fort est de constater que ça ne semble pas se résorber. Je me tourne vers vous pour espérer une solution.

    PJ:
    http://i67.tinypic.com/sp7yfm.jpg
    http://i67.tinypic.com/2w7hmih.jpg

  • Photo du profil de Eric AronEric Aron
    Modérateur
    Nombre d'articles : 223

    Bjr,

    Désinstalle le programme SpyHunter qui est un logiciel considéré par beaucoup comme un scareware parce qu’il utilise des techniques de marketing très borderline pour gagner de nouveaux clients…
    • Panneau de Configuration
    • Appuie sur Programmes / Désinstaller un programme
    • Dans la liste des programmes recherche et sélectionne si tu le trouves SpyHunter puis clique sur Supprimez…
    • Valide la suppression…

    Tu peux passer par CCleaner si tu préfères.

    http://www.commentcamarche.net/faq/42771-supprimer-spyhunter

    Nous allons faire une prise de sang à ton PC avec ZHPDiag.


    Si tu utilises Avast :
    [spoil:32md9wfx]L'anti-virus Avast détecte très souvent les outils de Nicolas Coolman comme malveillants .

    Il faut donc désactiver l'anti-virus lors du téléchargement et de l'utilisation des outils de Nicolas Coolman.

    Pour désactiver temporairement Avast :

    • Cliquer droit sur l’icône de notification d'Avast (la petite boule qui tourne).
    • Sélectionner Gestions des Agents avast !
    • On obtient le choix entre plusieurs propositions :

      – Désactiver pour 10 minutes.
      – Désativer pour 1 heure.
      – Désactiver jusqu'au prochain démarrage.
      – Désactiver définitivement.
      – Ensuite, on vous informe que l'arrêt d'un ou plusieurs composant a été demandé.

    • Cliquer sur OUI pour accepter de continuer.

      Avast sera désactivé, selon le choix utilisé.

      Ne surtout pas oublier de vérifier si, par la suite, Avast est réactivé.

      Dans le cas contraire :

    • Cliquer droit sur l’icône de notification d'Avast
    • Sélectionner “Activer tous les agents

    [/spoil:32md9wfx]

    • Télécharge ZHPDiag de Nicolas Coolman.
    • Lance ZHPDiag en faisant un clic droit sur ce raccourci, puis Exécuter en tant qu’administrateur :
    • Il se peut que le Windows Smartcenter se manifeste : clique sur Informations complémentaires puis sur Exécuter quand même.
    • Clique sur Scanner.

      Il est possible qu’à un certain moment, tu aies l’impression que l’outil est “bloqué”…
      ► Le blocage étant le plus souvent “temporaire”…patiente…

    • Lorsque l’analyse est terminée :

    • Un rapport est apparu sur le bureau, héberge le et poste le lien.

      Si tu ne sais pas comment héberger le rapport, clique sur le bouton “Afficher/Showci-après. La procédure y est détaillée.

      [spoil:32md9wfx]

          Pour héberger ton rapport –> présent sur ton bureau….

        • Va sur : SosUpload
        • Suis les indications portées à l'écran.

        • Tu obtiens un lien :

        • Copie/colle-le dans ta prochaine réponse.

      [/spoil:32md9wfx]

    • Photo du profil de mustafianomustafiano
      Participant
      Nombre d'articles : 16

      SpyHunter désinstallé
      ZHPDiag lancé et fini, voici le lien du rapport:
      https://antimalware.top/download/tgl57d72vu8qnayur8ojhvnr8ab48sfj046jbs4h

    • Photo du profil de Eric AronEric Aron
      Modérateur
      Nombre d'articles : 223

      Bien reçu !
      J’examine ton rapport et reviens dans quelques instants…

    • Photo du profil de Eric AronEric Aron
      Modérateur
      Nombre d'articles : 223

      Quel est l’anti-virus que tu utilises ?

      1) O43 – CFD: 17/12/2015 – [] D — C:ProgramDataF-Secure
      2) O43 – CFD: 13/12/2015 – [] D — C:ProgramDataMcAfee

      Il faut en désinstaller un.

      Du P2P sur ton PC :
      HKCUSOFTWAREBitTorrent
      O43 – CFD: 17/12/2015 – [] D — C:UserspcAppDataRoaminguTorrent

      Sais-tu que c’est la porte ouverte aux soucis ?…

      Des traces de crack/keygen :
      LFC: 2014/01/14 23:56:58 A . (…) — C:UserspcDownloadsMicrosoft Office Visio Professional 2007 FROffice 2007 Application KeyGenmsa2007kg.exe

      Beaucoup d’Helpers refusent d’intervenir dans de telle conditions…

      Ceci dit, je ne vois rien de vraiment infectieux sur ta machine.

      Nous allons utiliser ZHPcleaner de Nicolas Coolman.

      ZHPCleaner est un utilitaire conçu pour combattre les pirates de navigateurs (Hijackers). Son objectif principal est de rétablir les paramètres Proxy et de supprimer les redirections des navigateurs.

      • Télécharge ZHPcleaner sur ton bureau. Il ne nécessite aucune installation.


        Si tu utilises Avast :
        [spoiler:3calok24]L'anti-virus Avast détecte les outils de Nicolas Coolman comme malveillants .

        Il faut donc désactiver temporairement l'anti-virus lors du téléchargement et de l'utilisation des outils de Nicolas Coolman.
        Si tu ne sais pas, trouve le mode opératoire de ton anti-virus sur cette page : http://assiste.forum.free.fr/viewtopic.php?t=27097%5B/spoiler:3calok24%5D

      • Double-clique sur l’icône présente sur ton bureau pour le lancer.

        Vista/7/8 –> Clic droit et “Exécuter en tant qu’administrateur“.

      • Lis et accepte les conditions d’utilisations en cliquant sur “J’accepte

      • Clique sur “Scanner“.

      • Le scan démarre immédiatement.

        Si un nettoyage est nécessaire, la demande en sera faite. Ferme alors ton navigateur avant de lancer le nettoyage.

      • Clique sur “Nettoyer

        Cette fenêtre s’affiche, il est possible de parcourir les onglets afin de décocher certaines lignes, puis clique sur « Nettoyer«.

        L’outil commence le nettoyage…

      • L’outill génère un rapport sur le Bureau et dans le dossier de l’utilisateur “%AppData%“.

      • Communique la copie du lien d’hébergement, dans ta prochaine réponse.

      A te lire…

    • Photo du profil de mustafianomustafiano
      Participant
      Nombre d'articles : 16

      Voici le lien du rapport:
      En fait, pour les anti-virus, à vrai dire ni l’un ni l’autre n’y sont installés. Le torrent je l’utilise ,occasionnellement.
      Je viens de supprimer le keygen pour Visio.

    • Photo du profil de Eric AronEric Aron
      Modérateur
      Nombre d'articles : 223

      Bjr,

      @mustafiano wrote:

      Voici le lien du rapport:

      Pas vu !
      Peux-tu revoir ça ?…

      @mustafiano wrote:

      Le torrent je l’utilise ,occasionnellement.
      Je viens de supprimer le keygen pour Visio.

      OK pour ça !

      @mustafiano wrote:

      En fait, pour les anti-virus, à vrai dire ni l’un ni l’autre n’y sont installés.

      Donc tu n’as pas de protection Anti-Virus… car Windows Defender sur W7 n’est en fait qu’un pare-feu.
      ►1) Essaye de désinstaller McAfee en t’aidant de ce tuto : http://www.pcastuces.com/pratique/astuces/2695.htm
      ►2) Essaye de désinstaller F-Secure en passant par cette page : Uninstallation Tool[/url:ibtniq14]

      Pour avoir une idée de ce qui se fait en matière d’AV en ce moment, je te propose de jeter un oeil sur cette page : https://www.av-test.org/fr/antivirus/particuliers-windows/windows-7/

      En payant, BitDefender demeure un des meilleurs et en gratos, tu as Avira.
      Avast… pas mauvais mais un peu usine à gaz !

      Après le passage de ZHPCleaner, ton PC a-t-il encore ses symptômes ?

      Si toujours pareil… on va chercher un peu plus profondément :

        Télécharge Farbar Recovery Scanner Tool (FRST) sur ton bureau

      • Choisis la version compatible avec ton système 32 bits ou 64 bits).

        Si tu ne sais pas quel système tu as : Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?…

      • Ferme toutes tes applications ouvertes.
      • Désactive temporairement ton antivirus. Si tu ne sais pas, trouve le mode opératoire de ton anti-virus sur cette page : http://assiste.forum.free.fr/viewtopic.php?t=27097
      • Clique sur l’icône FRST pour l’exécuter…

        pour Vista/7/8/10, clic droit et Exécuter en tant qu’administrateur.

        Pour les utilisateurs de Windows 8, 8.1 et 10, si le SmartScreen vous empêche l’exécution de l’outil préconisé :

      • Cliquer sur “Informations Complémentaires

      • Cliquer ensuite sur “Exécuter quand même

      • Si tu as la fenêtre » Clause de non-responsabilité » => clique sur Oui.

      • L’outil s’affiche.

      • Sous “Analyse facultative“, vérifie que les cases “Addition.txt“, “Shortcut.txt“, sont bien cochées.

      • Clique sur Analyser.
      • Patiente durant l’analyse.

      • Deux ou trois rapports seront générés et s’ouvriront automatiquement nommés : FRST.txt, Addition.txt et Shortcut.txt.

      • Héberge les 2 premiers (FRST.txt, Addition.txt) sur :Cjoint ou sur Up2Share
      • Copie/Colle les liens dans ta prochaine réponse.

      Dis-moi….

    • Photo du profil de mustafianomustafiano
      Participant
      Nombre d'articles : 16

      voici le lien du rapport ZHPCleaner:
      https://antimalware.top/download/5zxx3ekasgcs82744kkt0niyziwwb3b6ke9u7xk3
      En passant, merci HAWX :)

      Je vais de suite lancer FRST.

    • Photo du profil de mustafianomustafiano
      Participant
      Nombre d'articles : 16
    • Photo du profil de Eric AronEric Aron
      Modérateur
      Nombre d'articles : 223

      Voici la correction à effectuer avec FRST.

      • Photo du profil de Eric AronEric Aron
        Modérateur
        Nombre d'articles : 223

        Voici la correction à effectuer avec FRST.

        • Appuies simultanément sur les touches Windows et R
        • Une fenêtre va s’ouvrir, tape ceci : notepad

        • Clic sur OK –> Le bloc note va s’ouvrir.
        • Comme dans la vidéo ci-dessous, Sélectionne puis Copie toutes les lignes rouges en gras ci-dessous dans ton bloc-notes.


        start
        CloseProcesses:
        CreateRestorePoint:
        RemoveProxy:HKLMSOFTWAREPoliciesMicrosoftInternet Explorer: Restriction <======= ATTENTION
        HKUS-1-5-21-2912533697-1211942816-213239687-1000SoftwareMicrosoftInternet ExplorerMain,Start Page Redirect Cache = hxxp://arabic.arabia.msn.com/?ocid=iehp
        SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {0ABBDD18-3809-43CA-985E-6BB9C0380103} URL = hxxps://fr.search.yahoo.com/search?fr=m … 0130720&p={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
        FF Extension: Pas de nom – C:Program FilesMcAfeeSiteAdvisor [non trouvé(e)]
        FF Extension: Pas de nom – C:UserspcAppDataRoamingMozillaFirefoxProfiles6fcfcx0a.defaultextensions{4ED1F68A-5463-4931-9384-8FFF5ED91D92}.xpi [non trouvé(e)]
        FF Extension: Pas de nom – C:Program FilesMcAfeeSiteAdvisorsaffplg.xpi [non trouvé(e)]
        S3 EsgScanner; system32DRIVERSEsgScanner.sys [X]
        2015-12-20 10:12 – 2015-12-20 10:12 – 00000000 ____D C:ProgramDataF-Secure-UninstallationTool
        2015-12-20 10:11 – 2015-12-20 10:12 – 00608344 _____ C:UserspcDownloadsMCPR.exe
        2015-12-20 10:10 – 2015-12-20 10:11 – 00845372 _____ C:UserspcDownloadsUninstallationTool.zip
        2015-12-17 16:12 – 2015-12-20 10:18 – 00000000 ____D C:ProgramDataF-Secure
        2015-12-17 16:07 – 2015-12-17 16:07 – 00014500 _____ C:UserspcDownloadsF-Secure Client Security 12.00 build 648.torrent
        2015-12-17 15:55 – 2015-12-19 12:03 – 00000000 ____D C:Windows4FC9DA9DF608454E8191D7EFFDCC5726.TMP
        2015-12-17 11:28 – 2015-12-17 11:28 – 00001941 _____ C:UsersPublicDesktopHitmanPro.lnk
        2015-12-17 11:28 – 2015-12-17 11:28 – 00000000 ____D C:ProgramDataMicrosoftWindowsStart MenuProgramsHitmanPro
        2015-12-16 11:24 – 2015-12-16 12:12 – 00000000 ____D C:Program FilesHitmanPro
        2015-12-16 11:23 – 2015-12-17 11:54 – 00000000 ____D C:ProgramDataHitmanPro
        2015-12-16 11:01 – 2015-12-16 11:02 – 00011485 _____ C:UserspcDownloadsHitman Pro v3.7.1.186 (x32,x64) avec Crack.torrent
        2015-12-20 10:18 – 2009-07-13 23:53 – 00000006 ____H C:WindowsTasksSA.DAT
        2015-03-02 11:03 – 2015-03-02 11:03 – 0000057 _____ () C:ProgramDataAment.ini
        C:UserspcAppDataLocalTempdllnt_dump.dll
        C:UserspcAppDataLocalTempsqlite3.dll
        HitmanPro 3.7 (HKLM…HitmanPro37) (Version: 3.7.0.183 – SurfRight B.V.)
        Shared C Run-time for x86 (Version: 10.0.0 – McAfee) Hidden
        Task: {06CF6483-9E3A-4A57-9AAD-8C75685597BC} – System32Tasks{B37BE70D-D252-44DA-83B4-7A8A05691D75} => pcalua.exe -a “C:UserspcAppDataLocalTempRar$EXa0.802WD Quick View Setup.exe” -d C:UserspcAppDataLocalTempRar$EXa0.802 -c runas=true
        Task: {FAB94989-CD21-4BFE-99B9-0381548811BD} – System32Tasks{6E33DFEC-271F-4403-A935-7AE18FAB5E1D} => pcalua.exe -a “D:Hitman Pro v3.7.1.186 (x32,x64) avec Crackx32Setup.exe” -d “D:Hitman Pro v3.7.1.186 (x32,x64) avec Crackx32”
        FirewallRules: [{8D5702C2-2FE3-4DB0-9F5A-D24120469C6E}] => (Allow) LPort=48113
        FirewallRules: [{88282697-5921-4F8C-8109-754A9FBECE08}] => (Allow) LPort=48114
        FirewallRules: [{DCEE3A40-FD49-4213-838D-6DBA8D3EBEA0}] => (Allow) LPort=2869
        FirewallRules: [{45C39E51-B54B-478F-8DEE-BEFF78E00364}] => (Allow) LPort=1900
        FirewallRules: [{C8C091F7-C8AC-4310-9A24-5D896B038FA1}] => (Allow) LPort=5357
        plesome (HKLM…{0e54a17d-5e58-4556-6665-932929b567cf}) (Version: 1.0.0 – someautu)
        CMD: netsh winsock reset all
        CMD: bitsadmin /reset /allusers
        CMD: ipconfig /flushdns
        CMD: ipconfig /release
        CMD: ipconfig /renew

        hosts:
        EmptyTemp:
        reboot:
        end


          Une fois, le texte collé (CTRL+V) dans le bloc-note :

        • Clique sur “Fichier” puis dans le menu déroulant sur “Enregistrer sous”.

        • Arrivé à cette fenêtre, clique sur “Bureau”.

        • Dans la zone “Nom de fichier” –> tape : fixlist puis valide en cliquant sur Enregistrer.

        • Sur ton bureau tu dois avoir les fichiers (fixlist.txt & FRST.exe)

        • Lance FRST, “exécuter en tant qu’administrateur” sous Windows Vista, Windows Seven et Windows 8/8.1/10.
        • Clique sur “Corriger” (ou “Fix” selon la version).

        • Patiente jusqu’à la fin de la correction.

        • Un fichier texte semblable à celui-ci apparaît :

        • Copie/colle le contenu ici dans un nouveau message.
        • Redémarre l’ordinateur.
      • Photo du profil de mustafianomustafiano
        Participant
        Nombre d'articles : 16
      • Photo du profil de Eric AronEric Aron
        Modérateur
        Nombre d'articles : 223

        Bjr,

        Good job !

        Comment va ton PC ?

      • Photo du profil de mustafianomustafiano
        Participant
        Nombre d'articles : 16

        En fait, j’ai installé Avira et après un moment, un message d’erreur s’est affiché >>> Message
        Sinon, l’infection persiste toujours, check la capture.
        Je ne comprends pas pour quelle raison ça ne veut pas disparaitre :cabug
        Y a-t-il d’autres nettoyages à faire ?

      • Photo du profil de Eric AronEric Aron
        Modérateur
        Nombre d'articles : 223

        De quel navigateur te sers-tu quand tu as cet affichage ?

        Peux-tu nous dire si cet affichage a lieu quand tu vas sur le même site… sur un autre site, as-tu aussi cet affichage ?

        Fais moi un ZHPDiag STP.

      • Photo du profil de mustafianomustafiano
        Participant
        Nombre d'articles : 16

        En fait, j’ai testé IE, et il ne semble pas être infecté (test effectué sur le même site), tandis que sur Chrom, c’est toujours le même problème. Par exemple, sur ce lien on voit que Chrome continue d’afficher toujours le lien sur certains mot-clés. Cepndant, IE n’affiche rien.
        Le ZHPDiag suivra…

      • Photo du profil de mustafianomustafiano
        Participant
        Nombre d'articles : 16
      • Photo du profil de Eric AronEric Aron
        Modérateur
        Nombre d'articles : 223

        Aaaarrrrggghhhh…. Chrome !!! :E

        Je pense avoir repéré quelque chose…

        Désactive ton antivirus le temps du téléchargement et de l’utilisation.

        • Télécharge ZHPFix sur ton bureau.

          ZHPFix (de Nicolas coolman)

        • Installe ZHPFix sur ton bureau en faisant un clic droit sur l’icône
        • La fenêtre de Contrôle de Compte Utilisateur s’ ouvre >> “Voulez-vous autoriser le programme….” ,
        • Clique sur OUI.
        • Lance-le en faisant un clic droit sur l’icône situé sur ton bureau puis en choisissant : Exécuter en tant qu’administrarteur

        • Laisse-toi guider par les différents écrans en cliquant sur “Suivant“et en dernier sur “Terminer“. Tu vas arriver à cet écran :

        • Copie tout le texte en gras situé entre les 2 lignes ci-dessous ( Sélectionne tout le texte gras / Clic droit dessus et choisis “Copier” ou fait Ctrl+C comme le montre cette animation).

          _____________________________________________
          Script ZHPFix
          G0 – GCSP: Preferences [User DataDefault][HomePage] http://static.xx.fbcdn.net
          G2 – GCE: Preference [User DataDefault] [blhjobkfabeopalncconblmakfcllmhk] __MSG_extName__
          G2 – GCE: Preference [User DataDefault] [gbajclanpfajnmiiihhnllgfobjbhpem] Flash Playlist
          G2 – GCE: Preference [User DataDefault] [ifooldnmmcmlbdennkpdnlnbgbmfalko] Auto Refresh
          SysRestore
          EmptyTemp
          EmptyFlash
          EmptyCLSID
          EmptyPrefetch
          FirewallRaz
          ProxyFix
          _____________________________________________


          Avis aux lecteurs…
          Ce script est exclusivement destiné à l’utilisateur actuel. Vous ne devez en aucun cas l’utiliser de votre propre chef sur un autre PC, vous risqueriez d’endommager le système.

        • Clique sur le Bouton Importer.
        • Si le script n’est pas conforme un message d’exemple s’affiche.

          Vérifie que les lignes du script importé dans ZHPFix correspondent bien à celles du script que je t’ai donné.

        • Puis Clic sur “GO
        • Confirme les nettoyages des données en cliquant sur “Oui
        • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
        • Copie le rapport, et colle-le dans la prochaine réponse sur le forum.
      • Photo du profil de mustafianomustafiano
        Participant
        Nombre d'articles : 16

        Voici le rapport

        Normalement, tout est réglé :bravo1:

      • Photo du profil de Eric AronEric Aron
        Modérateur
        Nombre d'articles : 223

        @mustafiano wrote:

        Normalement, tout est réglé

        Si tu le dis… c’est que c’est vrai alors…

        Plus de pubs intempestives ?

        On peut entamer la phase finale… Reporte-toi à l’autre topic pour passer TFC et Delfix…

        Pour être parfait, je devrais te faire un cours sur les comportements sécuritaires sur la toile… mais tu me semble être un adulte responsable… n’est-ce pas !

        Bonne continuation, bon surf… et bonnes fêtes de fin d’année.

      • Photo du profil de mustafianomustafiano
        Participant
        Nombre d'articles : 16

        Une chose est sûre, maintenant t’as un adulte averti :)
        Merci encore pour ton superbe boulot, et bonnes fêtes :)

        Chuss !

      Le sujet ‘[Résolu] Infection : Ad by Advertise ou Not Set’ est fermé à de nouvelles réponses.