[Résolu] Infection : Ad by Advertise ou Not Set 2015-12-18T16:18:47+00:00

SOSVirus : Dépannage PC Gratuit Support Aide à la désinfection – Forum Virus Sécurité [Résolu] Infection : Ad by Advertise ou Not Set

  • Auteur
    Messages
  • mustafiano
    Participant
    Post count: 16

    Une chose est sûre, maintenant t’as un adulte averti :)
    Merci encore pour ton superbe boulot, et bonnes fêtes :)

    Chuss !

  • Eric AronEric Aron
    Participant
    Post count: 223

    @mustafiano wrote:

    Normalement, tout est réglé

    Si tu le dis… c’est que c’est vrai alors…

    Plus de pubs intempestives ?

    On peut entamer la phase finale… Reporte-toi à l’autre topic pour passer TFC et Delfix…

    Pour être parfait, je devrais te faire un cours sur les comportements sécuritaires sur la toile… mais tu me semble être un adulte responsable… n’est-ce pas !

    Bonne continuation, bon surf… et bonnes fêtes de fin d’année.

  • mustafiano
    Participant
    Post count: 16

    Voici le rapport

    Normalement, tout est réglé :bravo1:

  • Eric AronEric Aron
    Participant
    Post count: 223

    Aaaarrrrggghhhh…. Chrome !!! :E

    Je pense avoir repéré quelque chose…

    Désactive ton antivirus le temps du téléchargement et de l’utilisation.

    • Télécharge ZHPFix sur ton bureau.

      ZHPFix (de Nicolas coolman)

    • Installe ZHPFix sur ton bureau en faisant un clic droit sur l’icône
    • La fenêtre de Contrôle de Compte Utilisateur s’ ouvre >> “Voulez-vous autoriser le programme….” ,
    • Clique sur OUI.
    • Lance-le en faisant un clic droit sur l’icône situé sur ton bureau puis en choisissant : Exécuter en tant qu’administrarteur

    • Laisse-toi guider par les différents écrans en cliquant sur “Suivant“et en dernier sur “Terminer“. Tu vas arriver à cet écran :

    • Copie tout le texte en gras situé entre les 2 lignes ci-dessous ( Sélectionne tout le texte gras / Clic droit dessus et choisis “Copier” ou fait Ctrl+C comme le montre cette animation).

      _____________________________________________
      Script ZHPFix
      G0 – GCSP: Preferences [User DataDefault][HomePage] http://static.xx.fbcdn.net
      G2 – GCE: Preference [User DataDefault] [blhjobkfabeopalncconblmakfcllmhk] __MSG_extName__
      G2 – GCE: Preference [User DataDefault] [gbajclanpfajnmiiihhnllgfobjbhpem] Flash Playlist
      G2 – GCE: Preference [User DataDefault] [ifooldnmmcmlbdennkpdnlnbgbmfalko] Auto Refresh
      SysRestore
      EmptyTemp
      EmptyFlash
      EmptyCLSID
      EmptyPrefetch
      FirewallRaz
      ProxyFix
      _____________________________________________


      Avis aux lecteurs…
      Ce script est exclusivement destiné à l’utilisateur actuel. Vous ne devez en aucun cas l’utiliser de votre propre chef sur un autre PC, vous risqueriez d’endommager le système.

    • Clique sur le Bouton Importer.
    • Si le script n’est pas conforme un message d’exemple s’affiche.

      Vérifie que les lignes du script importé dans ZHPFix correspondent bien à celles du script que je t’ai donné.

    • Puis Clic sur “GO
    • Confirme les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Copie le rapport, et colle-le dans la prochaine réponse sur le forum.
  • mustafiano
    Participant
    Post count: 16
  • mustafiano
    Participant
    Post count: 16

    En fait, j’ai testé IE, et il ne semble pas être infecté (test effectué sur le même site), tandis que sur Chrom, c’est toujours le même problème. Par exemple, sur ce lien on voit que Chrome continue d’afficher toujours le lien sur certains mot-clés. Cepndant, IE n’affiche rien.
    Le ZHPDiag suivra…

  • Eric AronEric Aron
    Participant
    Post count: 223

    De quel navigateur te sers-tu quand tu as cet affichage ?

    Peux-tu nous dire si cet affichage a lieu quand tu vas sur le même site… sur un autre site, as-tu aussi cet affichage ?

    Fais moi un ZHPDiag STP.

  • mustafiano
    Participant
    Post count: 16

    En fait, j’ai installé Avira et après un moment, un message d’erreur s’est affiché >>> Message
    Sinon, l’infection persiste toujours, check la capture.
    Je ne comprends pas pour quelle raison ça ne veut pas disparaitre :cabug
    Y a-t-il d’autres nettoyages à faire ?

  • Eric AronEric Aron
    Participant
    Post count: 223

    Bjr,

    Good job !

    Comment va ton PC ?

  • mustafiano
    Participant
    Post count: 16
  • Eric AronEric Aron
    Participant
    Post count: 223

    Voici la correction à effectuer avec FRST.

    • Appuies simultanément sur les touches Windows et R
    • Une fenêtre va s’ouvrir, tape ceci : notepad

    • Clic sur OK –> Le bloc note va s’ouvrir.
    • Comme dans la vidéo ci-dessous, Sélectionne puis Copie toutes les lignes rouges en gras ci-dessous dans ton bloc-notes.


    start
    CloseProcesses:
    CreateRestorePoint:
    RemoveProxy:HKLMSOFTWAREPoliciesMicrosoftInternet Explorer: Restriction <======= ATTENTION
    HKUS-1-5-21-2912533697-1211942816-213239687-1000SoftwareMicrosoftInternet ExplorerMain,Start Page Redirect Cache = hxxp://arabic.arabia.msn.com/?ocid=iehp
    SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {0ABBDD18-3809-43CA-985E-6BB9C0380103} URL = hxxps://fr.search.yahoo.com/search?fr=m … 0130720&p={searchTerms}
    SearchScopes: HKUS-1-5-21-2912533697-1211942816-213239687-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
    FF Extension: Pas de nom – C:Program FilesMcAfeeSiteAdvisor [non trouvé(e)]
    FF Extension: Pas de nom – C:UserspcAppDataRoamingMozillaFirefoxProfiles6fcfcx0a.defaultextensions{4ED1F68A-5463-4931-9384-8FFF5ED91D92}.xpi [non trouvé(e)]
    FF Extension: Pas de nom – C:Program FilesMcAfeeSiteAdvisorsaffplg.xpi [non trouvé(e)]
    S3 EsgScanner; system32DRIVERSEsgScanner.sys [X]
    2015-12-20 10:12 – 2015-12-20 10:12 – 00000000 ____D C:ProgramDataF-Secure-UninstallationTool
    2015-12-20 10:11 – 2015-12-20 10:12 – 00608344 _____ C:UserspcDownloadsMCPR.exe
    2015-12-20 10:10 – 2015-12-20 10:11 – 00845372 _____ C:UserspcDownloadsUninstallationTool.zip
    2015-12-17 16:12 – 2015-12-20 10:18 – 00000000 ____D C:ProgramDataF-Secure
    2015-12-17 16:07 – 2015-12-17 16:07 – 00014500 _____ C:UserspcDownloadsF-Secure Client Security 12.00 build 648.torrent
    2015-12-17 15:55 – 2015-12-19 12:03 – 00000000 ____D C:Windows4FC9DA9DF608454E8191D7EFFDCC5726.TMP
    2015-12-17 11:28 – 2015-12-17 11:28 – 00001941 _____ C:UsersPublicDesktopHitmanPro.lnk
    2015-12-17 11:28 – 2015-12-17 11:28 – 00000000 ____D C:ProgramDataMicrosoftWindowsStart MenuProgramsHitmanPro
    2015-12-16 11:24 – 2015-12-16 12:12 – 00000000 ____D C:Program FilesHitmanPro
    2015-12-16 11:23 – 2015-12-17 11:54 – 00000000 ____D C:ProgramDataHitmanPro
    2015-12-16 11:01 – 2015-12-16 11:02 – 00011485 _____ C:UserspcDownloadsHitman Pro v3.7.1.186 (x32,x64) avec Crack.torrent
    2015-12-20 10:18 – 2009-07-13 23:53 – 00000006 ____H C:WindowsTasksSA.DAT
    2015-03-02 11:03 – 2015-03-02 11:03 – 0000057 _____ () C:ProgramDataAment.ini
    C:UserspcAppDataLocalTempdllnt_dump.dll
    C:UserspcAppDataLocalTempsqlite3.dll
    HitmanPro 3.7 (HKLM…HitmanPro37) (Version: 3.7.0.183 – SurfRight B.V.)
    Shared C Run-time for x86 (Version: 10.0.0 – McAfee) Hidden
    Task: {06CF6483-9E3A-4A57-9AAD-8C75685597BC} – System32Tasks{B37BE70D-D252-44DA-83B4-7A8A05691D75} => pcalua.exe -a “C:UserspcAppDataLocalTempRar$EXa0.802WD Quick View Setup.exe” -d C:UserspcAppDataLocalTempRar$EXa0.802 -c runas=true
    Task: {FAB94989-CD21-4BFE-99B9-0381548811BD} – System32Tasks{6E33DFEC-271F-4403-A935-7AE18FAB5E1D} => pcalua.exe -a “D:Hitman Pro v3.7.1.186 (x32,x64) avec Crackx32Setup.exe” -d “D:Hitman Pro v3.7.1.186 (x32,x64) avec Crackx32”
    FirewallRules: [{8D5702C2-2FE3-4DB0-9F5A-D24120469C6E}] => (Allow) LPort=48113
    FirewallRules: [{88282697-5921-4F8C-8109-754A9FBECE08}] => (Allow) LPort=48114
    FirewallRules: [{DCEE3A40-FD49-4213-838D-6DBA8D3EBEA0}] => (Allow) LPort=2869
    FirewallRules: [{45C39E51-B54B-478F-8DEE-BEFF78E00364}] => (Allow) LPort=1900
    FirewallRules: [{C8C091F7-C8AC-4310-9A24-5D896B038FA1}] => (Allow) LPort=5357
    plesome (HKLM…{0e54a17d-5e58-4556-6665-932929b567cf}) (Version: 1.0.0 – someautu)
    CMD: netsh winsock reset all
    CMD: bitsadmin /reset /allusers
    CMD: ipconfig /flushdns
    CMD: ipconfig /release
    CMD: ipconfig /renew

    hosts:
    EmptyTemp:
    reboot:
    end


      Une fois, le texte collé (CTRL+V) dans le bloc-note :

    • Clique sur “Fichier” puis dans le menu déroulant sur “Enregistrer sous”.

    • Arrivé à cette fenêtre, clique sur “Bureau”.

    • Dans la zone “Nom de fichier” –> tape : fixlist puis valide en cliquant sur Enregistrer.

    • Sur ton bureau tu dois avoir les fichiers (fixlist.txt & FRST.exe)

    • Lance FRST, “exécuter en tant qu’administrateur” sous Windows Vista, Windows Seven et Windows 8/8.1/10.
    • Clique sur “Corriger” (ou “Fix” selon la version).

    • Patiente jusqu’à la fin de la correction.

    • Un fichier texte semblable à celui-ci apparaît :

    • Copie/colle le contenu ici dans un nouveau message.
    • Redémarre l’ordinateur.
  • Eric AronEric Aron
    Participant
    Post count: 223

    Voici la correction à effectuer avec FRST.

  • mustafiano
    Participant
    Post count: 16
  • mustafiano
    Participant
    Post count: 16

    voici le lien du rapport ZHPCleaner:
    https://antimalware.top/download/5zxx3ekasgcs82744kkt0niyziwwb3b6ke9u7xk3
    En passant, merci HAWX :)

    Je vais de suite lancer FRST.

  • Eric AronEric Aron
    Participant
    Post count: 223

    Bjr,

    @mustafiano wrote:

    Voici le lien du rapport:

    Pas vu !
    Peux-tu revoir ça ?…

    @mustafiano wrote:

    Le torrent je l’utilise ,occasionnellement.
    Je viens de supprimer le keygen pour Visio.

    OK pour ça !

    @mustafiano wrote:

    En fait, pour les anti-virus, à vrai dire ni l’un ni l’autre n’y sont installés.

    Donc tu n’as pas de protection Anti-Virus… car Windows Defender sur W7 n’est en fait qu’un pare-feu.
    ►1) Essaye de désinstaller McAfee en t’aidant de ce tuto : http://www.pcastuces.com/pratique/astuces/2695.htm
    ►2) Essaye de désinstaller F-Secure en passant par cette page : Uninstallation Tool[/url:ibtniq14]

    Pour avoir une idée de ce qui se fait en matière d’AV en ce moment, je te propose de jeter un oeil sur cette page : https://www.av-test.org/fr/antivirus/particuliers-windows/windows-7/

    En payant, BitDefender demeure un des meilleurs et en gratos, tu as Avira.
    Avast… pas mauvais mais un peu usine à gaz !

    Après le passage de ZHPCleaner, ton PC a-t-il encore ses symptômes ?

    Si toujours pareil… on va chercher un peu plus profondément :

      Télécharge Farbar Recovery Scanner Tool (FRST) sur ton bureau

    • Choisis la version compatible avec ton système 32 bits ou 64 bits).

      Si tu ne sais pas quel système tu as : Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?…

    • Ferme toutes tes applications ouvertes.
    • Désactive temporairement ton antivirus. Si tu ne sais pas, trouve le mode opératoire de ton anti-virus sur cette page : http://assiste.forum.free.fr/viewtopic.php?t=27097
    • Clique sur l’icône FRST pour l’exécuter…

      pour Vista/7/8/10, clic droit et Exécuter en tant qu’administrateur.

      Pour les utilisateurs de Windows 8, 8.1 et 10, si le SmartScreen vous empêche l’exécution de l’outil préconisé :

    • Cliquer sur “Informations Complémentaires

    • Cliquer ensuite sur “Exécuter quand même

    • Si tu as la fenêtre » Clause de non-responsabilité » => clique sur Oui.

    • L’outil s’affiche.

    • Sous “Analyse facultative“, vérifie que les cases “Addition.txt“, “Shortcut.txt“, sont bien cochées.

    • Clique sur Analyser.
    • Patiente durant l’analyse.

    • Deux ou trois rapports seront générés et s’ouvriront automatiquement nommés : FRST.txt, Addition.txt et Shortcut.txt.

    • Héberge les 2 premiers (FRST.txt, Addition.txt) sur :Cjoint ou sur Up2Share
    • Copie/Colle les liens dans ta prochaine réponse.

    Dis-moi….

  • mustafiano
    Participant
    Post count: 16

    Voici le lien du rapport:
    En fait, pour les anti-virus, à vrai dire ni l’un ni l’autre n’y sont installés. Le torrent je l’utilise ,occasionnellement.
    Je viens de supprimer le keygen pour Visio.

  • Eric AronEric Aron
    Participant
    Post count: 223

    Quel est l’anti-virus que tu utilises ?

    1) O43 – CFD: 17/12/2015 – [] D — C:ProgramDataF-Secure
    2) O43 – CFD: 13/12/2015 – [] D — C:ProgramDataMcAfee

    Il faut en désinstaller un.

    Du P2P sur ton PC :
    HKCUSOFTWAREBitTorrent
    O43 – CFD: 17/12/2015 – [] D — C:UserspcAppDataRoaminguTorrent

    Sais-tu que c’est la porte ouverte aux soucis ?…

    Des traces de crack/keygen :
    LFC: 2014/01/14 23:56:58 A . (…) — C:UserspcDownloadsMicrosoft Office Visio Professional 2007 FROffice 2007 Application KeyGenmsa2007kg.exe

    Beaucoup d’Helpers refusent d’intervenir dans de telle conditions…

    Ceci dit, je ne vois rien de vraiment infectieux sur ta machine.

    Nous allons utiliser ZHPcleaner de Nicolas Coolman.

    ZHPCleaner est un utilitaire conçu pour combattre les pirates de navigateurs (Hijackers). Son objectif principal est de rétablir les paramètres Proxy et de supprimer les redirections des navigateurs.

    • Télécharge ZHPcleaner sur ton bureau. Il ne nécessite aucune installation.


      Si tu utilises Avast :
      [spoiler:3calok24]L'anti-virus Avast détecte les outils de Nicolas Coolman comme malveillants .

      Il faut donc désactiver temporairement l'anti-virus lors du téléchargement et de l'utilisation des outils de Nicolas Coolman.
      Si tu ne sais pas, trouve le mode opératoire de ton anti-virus sur cette page : http://assiste.forum.free.fr/viewtopic.php?t=27097%5B/spoiler:3calok24%5D

    • Double-clique sur l’icône présente sur ton bureau pour le lancer.

      Vista/7/8 –> Clic droit et “Exécuter en tant qu’administrateur“.

    • Lis et accepte les conditions d’utilisations en cliquant sur “J’accepte

    • Clique sur “Scanner“.

    • Le scan démarre immédiatement.

      Si un nettoyage est nécessaire, la demande en sera faite. Ferme alors ton navigateur avant de lancer le nettoyage.

    • Clique sur “Nettoyer

      Cette fenêtre s’affiche, il est possible de parcourir les onglets afin de décocher certaines lignes, puis clique sur « Nettoyer«.

      L’outil commence le nettoyage…

    • L’outill génère un rapport sur le Bureau et dans le dossier de l’utilisateur “%AppData%“.

    • Communique la copie du lien d’hébergement, dans ta prochaine réponse.

    A te lire…

  • Eric AronEric Aron
    Participant
    Post count: 223

    Bien reçu !
    J’examine ton rapport et reviens dans quelques instants…

  • mustafiano
    Participant
    Post count: 16

    SpyHunter désinstallé
    ZHPDiag lancé et fini, voici le lien du rapport:
    https://antimalware.top/download/tgl57d72vu8qnayur8ojhvnr8ab48sfj046jbs4h

  • Eric AronEric Aron
    Participant
    Post count: 223

    Bjr,

    Désinstalle le programme SpyHunter qui est un logiciel considéré par beaucoup comme un scareware parce qu’il utilise des techniques de marketing très borderline pour gagner de nouveaux clients…
    • Panneau de Configuration
    • Appuie sur Programmes / Désinstaller un programme
    • Dans la liste des programmes recherche et sélectionne si tu le trouves SpyHunter puis clique sur Supprimez…
    • Valide la suppression…

    Tu peux passer par CCleaner si tu préfères.

    http://www.commentcamarche.net/faq/42771-supprimer-spyhunter

    Nous allons faire une prise de sang à ton PC avec ZHPDiag.


    Si tu utilises Avast :
    [spoil:32md9wfx]L'anti-virus Avast détecte très souvent les outils de Nicolas Coolman comme malveillants .

    Il faut donc désactiver l'anti-virus lors du téléchargement et de l'utilisation des outils de Nicolas Coolman.

    Pour désactiver temporairement Avast :

    • Cliquer droit sur l’icône de notification d'Avast (la petite boule qui tourne).
    • Sélectionner Gestions des Agents avast !
    • On obtient le choix entre plusieurs propositions :

      – Désactiver pour 10 minutes.
      – Désativer pour 1 heure.
      – Désactiver jusqu'au prochain démarrage.
      – Désactiver définitivement.
      – Ensuite, on vous informe que l'arrêt d'un ou plusieurs composant a été demandé.

    • Cliquer sur OUI pour accepter de continuer.

      Avast sera désactivé, selon le choix utilisé.

      Ne surtout pas oublier de vérifier si, par la suite, Avast est réactivé.

      Dans le cas contraire :

    • Cliquer droit sur l’icône de notification d'Avast
    • Sélectionner “Activer tous les agents

    [/spoil:32md9wfx]

    • Télécharge ZHPDiag de Nicolas Coolman.
    • Lance ZHPDiag en faisant un clic droit sur ce raccourci, puis Exécuter en tant qu’administrateur :
    • Il se peut que le Windows Smartcenter se manifeste : clique sur Informations complémentaires puis sur Exécuter quand même.
    • Clique sur Scanner.

      Il est possible qu’à un certain moment, tu aies l’impression que l’outil est “bloqué”…
      ► Le blocage étant le plus souvent “temporaire”…patiente…

    • Lorsque l’analyse est terminée :

    • Un rapport est apparu sur le bureau, héberge le et poste le lien.

      Si tu ne sais pas comment héberger le rapport, clique sur le bouton “Afficher/Showci-après. La procédure y est détaillée.

      [spoil:32md9wfx]

        Pour héberger ton rapport –> présent sur ton bureau….

      • Va sur : SosUpload
      • Suis les indications portées à l'écran.

      • Tu obtiens un lien :

      • Copie/colle-le dans ta prochaine réponse.

    [/spoil:32md9wfx]

  • mustafiano
    Participant
    Post count: 16

    Bonjour,

    Depuis 3 jours que mon laptop souffre d’une infection. Il n’y a pas un site qui ne contient pas un mot-clé qui redirige vers un autre site web. (voir pièces jointes)
    J’ai lancé MalwareBytes, SpyHunter, Adwcleaner et Rogue Killer. Fort est de constater que ça ne semble pas se résorber. Je me tourne vers vous pour espérer une solution.

    PJ:
    http://i67.tinypic.com/sp7yfm.jpg
    http://i67.tinypic.com/2w7hmih.jpg

Le sujet ‘[Résolu] Infection : Ad by Advertise ou Not Set’ est fermé à de nouvelles réponses.