Votre question
Fermé

[Résolu] Publicités intempestives sous Chrome

Tags :
  • chrome
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Avril 2012 14:56:59

Salut les experts,

On m'a confié un PC pour un checkup et je me suis rendu compte qu'il était infecté puisque des pubs s'ouvrent à intervalles régulières sous Chrome. C'est varié, ça va de Meetic Affinity à KKO Club en passant par EasyVoyage.com. J'ai lancé un scan complet MBAM qui m'a détecté et supprimé du EoRezo en masse puis du GibMedia. Il y avait aussi SpiderMessenger mais tout ça a été supprimé. Au redémarrage du PC, les pubs sont malheureusement toujours là et un nouveau scan complet MBAM n'a rien donné. Comme mes compétences sont très limitées et que les outils ont du bien évoluer depuis que je ne m'intéresse plus à la désinfection, je m'en remet à vous :) 

Le PC est sous Vista. Dites-moi si vous voulez voir les 2 logs MBAM.

Merci d'avance !

Autres pages sur : resolu publicites intempestives chrome

a c 614 8 Sécurité
a b Ē Google Chrome
11 Avril 2012 15:21:55

Bonjour ;) 

On va regarder ça, certains adwares ne sont pas détecté par MBAM.

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    11 Avril 2012 16:55:52

    yop
    je m'incruste juste parce que je suis curieux, mais c'est Hyun qui s'occupe toujours de toi ;O)
    t'es sûr que MBam était à jour quand tu as scanné avec?
    dans ton rapport:
    Citation :
    O2 - BHO: (SpiderMessenger_BHO Class) - {ADE49752-DBBC-43A3-9498-379A82F574BF} - C:\Program Files\SpiderMessenger\SpiderMessenger.BHO.dll (AgenceExclusive)

    alors que MBAM le prend normalement:
    Citation :
    Malwarebytes Anti-Malware (Essai) 1.60.0.1800
    http://www.malwarebytes.org

    Version de la base de données: v2012.01.10.04

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 6.0.2900.5512
    BATAILLE :: UNICORNI-AC7163 [administrateur]

    Protection: Activé

    10/01/2012 15:02:06
    mbam-log-2012-01-10 (15-02-06).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 326230
    Temps écoulé: 10 minute(s), 17 seconde(s)

    Processus mémoire détecté(s): 2
    C:\Program Files\EoRezo\eorezo.exe (Rogue.Eorezo) -> 3688 -> Suppression au redémarrage.
    C:\Program Files\SpiderMessenger\SpiderMessenger.exe (Spyware.AgenceExclusive) -> 2960 -> Suppression au redémarrage.

    http://www.pc-infopratique.com/forum-informatique/adwar...

    (à moins que MBAM ne fasse sauter que le .exe, mais ça m'étonnerait.)
    11 Avril 2012 19:03:29

    hyunkel30 a dit :
    Re,

    Ouais encore des adwares, c'est un dérivé de ça : http://forum.security-x.fr/securite-generale/tuto4pc-et...

    Il me faudrait le rapport extra.txt s'il te plait pour t'indiquer les programmes à virer avant le ménage.

    Ah oui je vois...

    Voici le rapport:
    http://pjjoint.malekal.com/files.php?id=20120411_n6s5y1...
    Sham_Rock a dit :
    yop
    je m'incruste juste parce que je suis curieux, mais c'est Hyun qui s'occupe toujours de toi ;O)
    t'es sûr que MBam était à jour quand tu as scanné avec?

    Hello Sham !

    Normalement il l'était oui, parce que je l'ai installé dès que j'ai récupéré ce PC infecté (hier) donc à l'installation il y a la mise à jour.
    a b 8 Sécurité
    11 Avril 2012 19:22:12

    Je pose mon drapeau [:cupra]
    11 Avril 2012 19:24:07

    J'ai bien l'impression d'être une star, tout le monde veut suivre mon évolution :o 
    a b 8 Sécurité
    11 Avril 2012 19:31:08

    Ca nous permet de voir quel genre d'amis tu as avec les rapports :o 
    11 Avril 2012 19:45:35

    Vous ne saurez rien :o 
    a c 614 8 Sécurité
    a b Ē Google Chrome
    11 Avril 2012 21:34:37

    Re,

    Une bande de charognard quoi ... :lol: 

    1) Désinstalle les programmes suivants (si présents) :

    - eoJet 2.1 (adware)
    - SpiderMessenger 1.0 (idem)
    - Notification de cadeaux MSN (sponsors)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2012/01/03 15:49:48 | 003,581,440 | ---- | M] () -- C:\Users\nathalie\AppData\Local\combroadcaster\combroadcaster.exe
    SRV - [2012/01/02 15:31:52 | 003,015,168 | ---- | M] () [Auto | Running] -- C:\Users\nathalie\AppData\Local\safeupdater\SafeUpdater.exe -- (SafeUpdater)
    IE - HKU\S-1-5-21-165073397-2419409527-2408674296-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st
    IE - HKU\S-1-5-21-165073397-2419409527-2408674296-1000\..\SearchScopes,DefaultScope = {2ec61f9f-edd6-4035-b020-2aaf8b3d60e4}
    IE - HKU\S-1-5-21-165073397-2419409527-2408674296-1000\..\SearchScopes\{2ec61f9f-edd6-4035-b020-2aaf8b3d60e4}: "URL" = http://www.yougoo.fr/annuaire?search&q={searchTerms}
    IE - HKU\S-1-5-21-165073397-2419409527-2408674296-1000\..\SearchScopes\{8d3f2882-5b4c-4af1-9ab1-c9d00235e15e}: "URL" = http://www.searcheo.fr/?search&q={searchTerms}
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\SpiderMessengerHelper@spidermessenger.com: C:\Program Files\SpiderMessenger [2012/04/11 01:06:27 | 000,000,000 | ---D | M]
    O2 - BHO: (SpiderMessenger_BHO Class) - {ADE49752-DBBC-43A3-9498-379A82F574BF} - C:\Program Files\SpiderMessenger\SpiderMessenger.BHO.dll (AgenceExclusive)
    O4 - HKLM..\Run: [combroadcaster] C:\Users\nathalie\AppData\Local\combroadcaster\combroadcaster.exe ()
    MsConfig - StartUpFolder: C:^Users^nathalie^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Notification de cadeaux MSN.lnk - - File not found
    MsConfig - StartUpReg: eorezo - hkey= - key= - File not found
    MsConfig - StartUpReg: SpiderMessenger - hkey= - key= - File not found
    @Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:F01E7F17
    @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:DB365884
    @Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:A696643D
    @Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:861A898F
    @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:9F683177
    @Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:4F636E25
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:CF5C4195
    @Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:8AB6C1D7
    @Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:793F316E
    @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:E36F5B57
    @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:4D066AD2
    @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:4CF61E54
    @Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:390B30B4
    @Alternate Data Stream - 107 bytes -> C:\ProgramData\TEMP:9E22BBE8
    @Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:C46995DA
    @Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:9B52F176
    @Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:4BB26BE9
    @Alternate Data Stream - 100 bytes -> C:\ProgramData\TEMP:798A3728
    @Alternate Data Stream - 100 bytes -> C:\ProgramData\TEMP:3E7393FC

    :Files
    C:\Users\nathalie\AppData\Local\combroadcaster
    C:\Users\nathalie\AppData\Local\safeupdater
    C:\Program Files\SpiderMessenger

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



    Tu me diras si tout est ok après cette manip, on finira et mettrons à jour le pc.
    11 Avril 2012 23:19:36

    Uhm j'ai un petit soucis...

    J'ai bien suivi la procédure mais là, depuis maintenant plus de 30 minutes, OTL bloque tout le PC. C'est-à-dire que j'ai cliqué sur "Correction", le travail a commencé et au bout de quelques minutes, OTL s'est réduit dans la barre des tâches et plus moyen de cliquer nulle part. Le curseur bouge mais rien n'est cliquable. Le pire c'est que le disque dur travaille à fond depuis tout ce temps... Est-ce normal ?
    12 Avril 2012 00:48:37

    Bon au bout de 2h20 de blocage, j'ai pris l'initiative de faire un hard reboot. Le PC a redémarré normalement mais aucun log n'a été créé par OTL. J'attends tes instructions :) 
    a c 614 8 Sécurité
    a b Ē Google Chrome
    12 Avril 2012 11:10:50

    Re,

    Oui cela arrive parfois si un fichier ou un processus bloque la procédure.

    Regarde si un dossier _OTL s'est crée à la base du disque dur.
    Si oui, regarde dedans, tu peut trouver un rapport nommé "date-heure.log" qui correspondrait à la correction.

    S'il n'y a rien de tout cela, il faut refaire la manipulation en mode sans échec avec OTL
    a c 614 8 Sécurité
    a b Ē Google Chrome
    12 Avril 2012 13:56:30

    Re,

    C'est ok.

    Dis-moi si tout es bon de ton côté et on finira en nettoyant les outils et en mettant à jour le pc.
    12 Avril 2012 14:02:02

    Il ne semble plus y avoir de pubs :) 
    a c 614 8 Sécurité
    a b Ē Google Chrome
    12 Avril 2012 14:59:12

    Re,

    Ok, on y go alors pour la fin :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, met manuellement à jour : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Si rien ne se passe, met à jour manuellement vers la version 10.x : http://get.adobe.com/fr/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pense aussi à vérifier les mises à jour Windows, et notamment Internet explorer à mettre à jour vers la version 8 ou 9


    Pour l'utilisateur :

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    :jap: 
    12 Avril 2012 21:12:53

    'soir les filles :o 
    Citation :
    Administrateur

    Uhm j'ai un petit soucis...

    J'ai bien suivi la procédure mais là, depuis maintenant plus de 30 minutes, OTL bloque tout le PC.

    perso, je parie 1 pack sur les 19 fichiers en p2p que l'on voit en @Alternate Data Stream ;O)
    a c 614 8 Sécurité
    a b Ē Google Chrome
    12 Avril 2012 22:18:21

    :) 

    Moi vu le second rapport en MSE, si on compare avec ce qui avait été supprimé par OTL avant qu'il bloque (not found), je pari pour les services pourris d'adware et leurs processus qui étaient encore en mémoire malgré le kill des processus.

    mais parfois OTL bloque sans vraiment savoir pourquoi.

    13 Avril 2012 15:55:58

    C'est tout bon, merci beaucoup hyunkel :) 

    A très bientôt ;) 
    a c 614 8 Sécurité
    a b Ē Google Chrome
    13 Avril 2012 16:13:30

    [:hyunkel30]

    Tu sais comment mettre en resolu je suppose ... :lol: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS