[Résolu] Infection : Ad by Advertise ou Not Set 2015-12-18T16:18:47+00:00

SOSVirus : Dépannage PC Gratuit Forums Aide à la désinfection – Forum Virus Sécurité [Résolu] Infection : Ad by Advertise ou Not Set

15 sujets de 1 à 15 (sur un total de 21)
  • Auteur
    Messages
  • mustafiano
    Participant
    Nombre d'articles : 18

    Bonjour,

    Depuis 3 jours que mon laptop souffre d’une infection. Il n’y a pas un site qui ne contient pas un mot-clé qui redirige vers un autre site web. (voir pièces jointes)
    J’ai lancé MalwareBytes, SpyHunter, Adwcleaner et Rogue Killer. Fort est de constater que ça ne semble pas se résorber. Je me tourne vers vous pour espérer une solution.

    PJ:
    http://i67.tinypic.com/sp7yfm.jpg
    http://i67.tinypic.com/2w7hmih.jpg

    Eric AronEric Aron
    Participant
    Nombre d'articles : 224

    Bjr,

    Désinstalle le programme SpyHunter qui est un logiciel considéré par beaucoup comme un scareware parce qu’il utilise des techniques de marketing très borderline pour gagner de nouveaux clients…
    • Panneau de Configuration
    • Appuie sur Programmes / Désinstaller un programme
    • Dans la liste des programmes recherche et sélectionne si tu le trouves SpyHunter puis clique sur Supprimez…
    • Valide la suppression…

    Tu peux passer par CCleaner si tu préfères.

    http://www.commentcamarche.net/faq/42771-supprimer-spyhunter

    Nous allons faire une prise de sang à ton PC avec ZHPDiag.


    Si tu utilises Avast :
    [spoil:32md9wfx]L'anti-virus Avast détecte très souvent les outils de Nicolas Coolman comme malveillants .

    Il faut donc désactiver l'anti-virus lors du téléchargement et de l'utilisation des outils de Nicolas Coolman.

    Pour désactiver temporairement Avast :

    • Cliquer droit sur l’icône de notification d'Avast (la petite boule qui tourne).
    • Sélectionner Gestions des Agents avast !
    • On obtient le choix entre plusieurs propositions :

      – Désactiver pour 10 minutes.
      – Désativer pour 1 heure.
      – Désactiver jusqu'au prochain démarrage.
      – Désactiver définitivement.
      – Ensuite, on vous informe que l'arrêt d'un ou plusieurs composant a été demandé.

    • Cliquer sur OUI pour accepter de continuer.

      Avast sera désactivé, selon le choix utilisé.

      Ne surtout pas oublier de vérifier si, par la suite, Avast est réactivé.

      Dans le cas contraire :

    • Cliquer droit sur l’icône de notification d'Avast
    • Sélectionner “Activer tous les agents

    [/spoil:32md9wfx]

    • Télécharge ZHPDiag de Nicolas Coolman.
    • Lance ZHPDiag en faisant un clic droit sur ce raccourci, puis Exécuter en tant qu’administrateur :
    • Il se peut que le Windows Smartcenter se manifeste : clique sur Informations complémentaires puis sur Exécuter quand même.
    • Clique sur Scanner.

      Il est possible qu’à un certain moment, tu aies l’impression que l’outil est “bloqué”…
      ► Le blocage étant le plus souvent “temporaire”…patiente…

    • Lorsque l’analyse est terminée :

    • Un rapport est apparu sur le bureau, héberge le et poste le lien.

      Si tu ne sais pas comment héberger le rapport, clique sur le bouton “Afficher/Showci-après. La procédure y est détaillée.

      [spoil:32md9wfx]

          Pour héberger ton rapport –> présent sur ton bureau….

        • Va sur : SosUpload
        • Suis les indications portées à l'écran.

        • Tu obtiens un lien :

        • Copie/colle-le dans ta prochaine réponse.

      [/spoil:32md9wfx]

      mustafiano
      Participant
      Nombre d'articles : 18

      SpyHunter désinstallé
      ZHPDiag lancé et fini, voici le lien du rapport:
      https://antimalware.top/download/tgl57d72vu8qnayur8ojhvnr8ab48sfj046jbs4h

      Eric AronEric Aron
      Participant
      Nombre d'articles : 224

      Bien reçu !
      J’examine ton rapport et reviens dans quelques instants…

      Eric AronEric Aron
      Participant
      Nombre d'articles : 224

      Quel est l’anti-virus que tu utilises ?

      1) O43 – CFD: 17/12/2015 – [] D — C:ProgramDataF-Secure
      2) O43 – CFD: 13/12/2015 – [] D — C:ProgramDataMcAfee

      Il faut en désinstaller un.

      Du P2P sur ton PC :
      HKCUSOFTWAREBitTorrent
      O43 – CFD: 17/12/2015 – [] D — C:UserspcAppDataRoaminguTorrent

      Sais-tu que c’est la porte ouverte aux soucis ?…

      Des traces de crack/keygen :
      LFC: 2014/01/14 23:56:58 A . (…) — C:UserspcDownloadsMicrosoft Office Visio Professional 2007 FROffice 2007 Application KeyGenmsa2007kg.exe

      Beaucoup d’Helpers refusent d’intervenir dans de telle conditions…

      Ceci dit, je ne vois rien de vraiment infectieux sur ta machine.

      Nous allons utiliser ZHPcleaner de Nicolas Coolman.

      ZHPCleaner est un utilitaire conçu pour combattre les pirates de navigateurs (Hijackers). Son objectif principal est de rétablir les paramètres Proxy et de supprimer les redirections des navigateurs.

      • Télécharge ZHPcleaner sur ton bureau. Il ne nécessite aucune installation.


        Si tu utilises Avast :

        Spoiler for 3calok24

        L'anti-virus Avast détecte les outils de Nicolas Coolman comme malveillants .

        Il faut donc désactiver temporairement l'anti-virus lors du téléchargement et de l'utilisation des outils de Nicolas Coolman.
        Si tu ne sais pas, trouve le mode opératoire de ton anti-virus sur cette page : http://assiste.forum.free.fr/viewtopic.php?t=27097%5B/spoiler:3calok24%5D

      • Double-clique sur l’icône présente sur ton bureau pour le lancer.

        Vista/7/8 –> Clic droit et “Exécuter en tant qu’administrateur“.

      • Lis et accepte les conditions d’utilisations en cliquant sur “J’accepte

      • Clique sur “Scanner“.

      • Le scan démarre immédiatement.

        Si un nettoyage est nécessaire, la demande en sera faite. Ferme alors ton navigateur avant de lancer le nettoyage.

      • Clique sur “Nettoyer

        Cette fenêtre s’affiche, il est possible de parcourir les onglets afin de décocher certaines lignes, puis clique sur « Nettoyer«.

        L’outil commence le nettoyage…

      • L’outill génère un rapport sur le Bureau et dans le dossier de l’utilisateur “%AppData%“.

      • Communique la copie du lien d’hébergement, dans ta prochaine réponse.

      A te lire…

      mustafiano
      Participant
      Nombre d'articles : 18

      Voici le lien du rapport:
      En fait, pour les anti-virus, à vrai dire ni l’un ni l’autre n’y sont installés. Le torrent je l’utilise ,occasionnellement.
      Je viens de supprimer le keygen pour Visio.

      Eric AronEric Aron
      Participant
      Nombre d'articles : 224

      Bjr,

      @mustafiano wrote:

      Voici le lien du rapport:

      Pas vu !
      Peux-tu revoir ça ?…

      @mustafiano wrote:

      Le torrent je l’utilise ,occasionnellement.
      Je viens de supprimer le keygen pour Visio.

      OK pour ça !

      @mustafiano wrote:

      En fait, pour les anti-virus, à vrai dire ni l’un ni l’autre n’y sont installés.

      Donc tu n’as pas de protection Anti-Virus… car Windows Defender sur W7 n’est en fait qu’un pare-feu.
      ►1) Essaye de désinstaller McAfee en t’aidant de ce tuto : http://www.pcastuces.com/pratique/astuces/2695.htm
      ►2) Essaye de désinstaller F-Secure en passant par cette page : Uninstallation Tool[/url:ibtniq14]

      Pour avoir une idée de ce qui se fait en matière d’AV en ce moment, je te propose de jeter un oeil sur cette page : https://www.av-test.org/fr/antivirus/particuliers-windows/windows-7/

      En payant, BitDefender demeure un des meilleurs et en gratos, tu as Avira.
      Avast… pas mauvais mais un peu usine à gaz !

      Après le passage de ZHPCleaner, ton PC a-t-il encore ses symptômes ?

      Si toujours pareil… on va chercher un peu plus profondément :

        Télécharge Farbar Recovery Scanner Tool (FRST) sur ton bureau

      • Choisis la version compatible avec ton système 32 bits ou 64 bits).

        Si tu ne sais pas quel système tu as : Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?…

      • Ferme toutes tes applications ouvertes.
      • Désactive temporairement ton antivirus. Si tu ne sais pas, trouve le mode opératoire de ton anti-virus sur cette page : http://assiste.forum.free.fr/viewtopic.php?t=27097
      • Clique sur l’icône FRST pour l’exécuter…

        pour Vista/7/8/10, clic droit et Exécuter en tant qu’administrateur.

        Pour les utilisateurs de Windows 8, 8.1 et 10, si le SmartScreen vous empêche l’exécution de l’outil préconisé :

      • Cliquer sur “Informations Complémentaires

      • Cliquer ensuite sur “Exécuter quand même

      • Si tu as la fenêtre » Clause de non-responsabilité » => clique sur Oui.

      • L’outil s’affiche.

      • Sous “Analyse facultative“, vérifie que les cases “Addition.txt“, “Shortcut.txt“, sont bien cochées.

      • Clique sur Analyser.
      • Patiente durant l’analyse.

      • Deux ou trois rapports seront générés et s’ouvriront automatiquement nommés : FRST.txt, Addition.txt et Shortcut.txt.

      • Héberge les 2 premiers (FRST.txt, Addition.txt) sur :Cjoint ou sur Up2Share
      • Copie/Colle les liens dans ta prochaine réponse.

      Dis-moi….

      mustafiano
      Participant
      Nombre d'articles : 18

      voici le lien du rapport ZHPCleaner:
      https://antimalware.top/download/5zxx3ekasgcs82744kkt0niyziwwb3b6ke9u7xk3
      En passant, merci HAWX :)

      Je vais de suite lancer FRST.

      mustafiano
      Participant
      Nombre d'articles : 18
      Eric AronEric Aron
      Participant
      Nombre d'articles : 224

      Voici la correction à effectuer avec FRST.

        Eric AronEric Aron
        Participant
        Nombre d'articles : 224

        Voici la correction à effectuer avec FRST.

        • Appuies simultanément sur les touches Windows et R
        • Une fenêtre va s’ouvrir, tape ceci : notepad

        • Clic sur OK –> Le bloc note va s’ouvrir.
        • Comme dans la vidéo ci-dessous, Sélectionne puis Copie toutes les lignes rouges en gras ci-dessous dans ton bloc-notes.


        start
        CloseProcesses:
        CreateRestorePoint:
        RemoveProxy:HKLMSOFTWAREPoliciesMicrosoftInternet Explorer: Restriction <======= ATTENTION
        HKUS-1-5-21-2912533697-1211942816-213239687-1000SoftwareMicrosoftInternet ExplorerMain,Start Page Redirect Cache = hxxp://arabic.arabia.msn.com/?ocid=iehp
        SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {0ABBDD18-3809-43CA-985E-6BB9C0380103} URL = hxxps://fr.search.yahoo.com/search?fr=m … 0130720&p={searchTerms}
        SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
        FF Extension: Pas de nom – C:Program FilesMcAfeeSiteAdvisor [non trouvé(e)]
        FF Extension: Pas de nom – C:UserspcAppDataRoamingMozillaFirefoxProfiles6fcfcx0a.defaultextensions{4ED1F68A-5463-4931-9384-8FFF5ED91D92}.xpi [non trouvé(e)]
        FF Extension: Pas de nom – C:Program FilesMcAfeeSiteAdvisorsaffplg.xpi [non trouvé(e)]
        S3 EsgScanner; system32DRIVERSEsgScanner.sys [X]
        2015-12-20 10:12 – 2015-12-20 10:12 – 00000000 ____D C:ProgramDataF-Secure-UninstallationTool
        2015-12-20 10:11 – 2015-12-20 10:12 – 00608344 _____ C:UserspcDownloadsMCPR.exe
        2015-12-20 10:10 – 2015-12-20 10:11 – 00845372 _____ C:UserspcDownloadsUninstallationTool.zip
        2015-12-17 16:12 – 2015-12-20 10:18 – 00000000 ____D C:ProgramDataF-Secure
        2015-12-17 16:07 – 2015-12-17 16:07 – 00014500 _____ C:UserspcDownloadsF-Secure Client Security 12.00 build 648.torrent
        2015-12-17 15:55 – 2015-12-19 12:03 – 00000000 ____D C:Windows4FC9DA9DF608454E8191D7EFFDCC5726.TMP
        2015-12-17 11:28 – 2015-12-17 11:28 – 00001941 _____ C:UsersPublicDesktopHitmanPro.lnk
        2015-12-17 11:28 – 2015-12-17 11:28 – 00000000 ____D C:ProgramDataMicrosoftWindowsStart MenuProgramsHitmanPro
        2015-12-16 11:24 – 2015-12-16 12:12 – 00000000 ____D C:Program FilesHitmanPro
        2015-12-16 11:23 – 2015-12-17 11:54 – 00000000 ____D C:ProgramDataHitmanPro
        2015-12-16 11:01 – 2015-12-16 11:02 – 00011485 _____ C:UserspcDownloadsHitman Pro v3.7.1.186 (x32,x64) avec Crack.torrent
        2015-12-20 10:18 – 2009-07-13 23:53 – 00000006 ____H C:WindowsTasksSA.DAT
        2015-03-02 11:03 – 2015-03-02 11:03 – 0000057 _____ () C:ProgramDataAment.ini
        C:UserspcAppDataLocalTempdllnt_dump.dll
        C:UserspcAppDataLocalTempsqlite3.dll
        HitmanPro 3.7 (HKLM…HitmanPro37) (Version: 3.7.0.183 – SurfRight B.V.)
        Shared C Run-time for x86 (Version: 10.0.0 – McAfee) Hidden
        Task: {06CF6483-9E3A-4A57-9AAD-8C75685597BC} – System32Tasks{B37BE70D-D252-44DA-83B4-7A8A05691D75} => pcalua.exe -a “C:UserspcAppDataLocalTempRar$EXa0.802WD Quick View Setup.exe” -d C:UserspcAppDataLocalTempRar$EXa0.802 -c runas=true
        Task: {FAB94989-CD21-4BFE-99B9-0381548811BD} – System32Tasks{6E33DFEC-271F-4403-A935-7AE18FAB5E1D} => pcalua.exe -a “D:Hitman Pro v3.7.1.186 (x32,x64) avec Crackx32Setup.exe” -d “D:Hitman Pro v3.7.1.186 (x32,x64) avec Crackx32”
        FirewallRules: [{8D5702C2-2FE3-4DB0-9F5A-D24120469C6E}] => (Allow) LPort=48113
        FirewallRules: [{88282697-5921-4F8C-8109-754A9FBECE08}] => (Allow) LPort=48114
        FirewallRules: [{DCEE3A40-FD49-4213-838D-6DBA8D3EBEA0}] => (Allow) LPort=2869
        FirewallRules: [{45C39E51-B54B-478F-8DEE-BEFF78E00364}] => (Allow) LPort=1900
        FirewallRules: [{C8C091F7-C8AC-4310-9A24-5D896B038FA1}] => (Allow) LPort=5357
        plesome (HKLM…{0e54a17d-5e58-4556-6665-932929b567cf}) (Version: 1.0.0 – someautu)
        CMD: netsh winsock reset all
        CMD: bitsadmin /reset /allusers
        CMD: ipconfig /flushdns
        CMD: ipconfig /release
        CMD: ipconfig /renew

        hosts:
        EmptyTemp:
        reboot:
        end


          Une fois, le texte collé (CTRL+V) dans le bloc-note :

        • Clique sur “Fichier” puis dans le menu déroulant sur “Enregistrer sous”.

        • Arrivé à cette fenêtre, clique sur “Bureau”.

        • Dans la zone “Nom de fichier” –> tape : fixlist puis valide en cliquant sur Enregistrer.

        • Sur ton bureau tu dois avoir les fichiers (fixlist.txt & FRST.exe)

        • Lance FRST, “exécuter en tant qu’administrateur” sous Windows Vista, Windows Seven et Windows 8/8.1/10.
        • Clique sur “Corriger” (ou “Fix” selon la version).

        • Patiente jusqu’à la fin de la correction.

        • Un fichier texte semblable à celui-ci apparaît :

        • Copie/colle le contenu ici dans un nouveau message.
        • Redémarre l’ordinateur.
        mustafiano
        Participant
        Nombre d'articles : 18
        Eric AronEric Aron
        Participant
        Nombre d'articles : 224

        Bjr,

        Good job !

        Comment va ton PC ?

        mustafiano
        Participant
        Nombre d'articles : 18

        En fait, j’ai installé Avira et après un moment, un message d’erreur s’est affiché >>> Message
        Sinon, l’infection persiste toujours, check la capture.
        Je ne comprends pas pour quelle raison ça ne veut pas disparaitre :cabug
        Y a-t-il d’autres nettoyages à faire ?

        Eric AronEric Aron
        Participant
        Nombre d'articles : 224

        De quel navigateur te sers-tu quand tu as cet affichage ?

        Peux-tu nous dire si cet affichage a lieu quand tu vas sur le même site… sur un autre site, as-tu aussi cet affichage ?

        Fais moi un ZHPDiag STP.

      15 sujets de 1 à 15 (sur un total de 21)
      • Vous devez être connecté pour répondre à ce sujet.