Se connecter / S'enregistrer
Votre question

Adwares...Adwares partout !

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Décembre 2012 15:49:37

Bonjour,

Je sollicite une fois de plus vos lumières. Mon PC portable semble contenir pas mal d'adwares sous Chrome (dont un qui transforme certains mots en lien vers des sites bizarres). Rien de bien méchant, mais assez agaçant.

En vous remerciez par avance pour votre aide,

Joris

Autres pages sur : adwares adwares

a b 8 Sécurité
31 Décembre 2012 16:09:12

Bonjour,

Les adwares sont facilement évitables, on verra ça à la fin.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Contenus similaires
    a b 8 Sécurité
    1 Janvier 2013 23:15:55

    On va se charger du gros boulot avec adwcleaner.

    Désinstalle si possible :
    Java(TM) 6 Update 31, obsolète
    Messenger_Plus_Live_France Toolbar
    Ask.com Search Assistant

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt
    a b 8 Sécurité
    2 Janvier 2013 13:41:36

    Tu peux refaire une analyse OTL ? on va s'occuper des restes
    2 Janvier 2013 14:27:43

    Analyse OTL en copiant le même texte et avec la même configuration ?
    a b 8 Sécurité
    2 Janvier 2013 15:20:45

    Yep :) 
    a b 8 Sécurité
    2 Janvier 2013 23:10:32

    Re,

    MessengerPlus est à éviter, c'est un bon vecteur d'adwares.
    De même que les packs de codec, MyFree Codec me semble très suspect.

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      FF - prefs.js..extensions.enabledAddons: uncharted3@momentum.com:1.0.2
      FF - prefs.js..extensions.enabledAddons: {85E85FF9-E50C-42DE-8A3D-61485FD6C8DB}:2.0
      FF - prefs.js..extensions.enabledAddons: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.2.126
      FF - prefs.js..extensions.enabledAddons: wrc@avast.com:7.0.1466
      FF - prefs.js..extensions.enabledAddons: {46551EC9-40F0-4e47-8E18-8E5CF550CFB8}:1.3
      FF - prefs.js..extensions.enabledAddons: foxyproxy@eric.h.jung:4.0.2
      FF - prefs.js..extensions.enabledAddons: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:6.3.0.11079
      FF - prefs.js..extensions.enabledItems: illimitux@illimitux.net:3.2
      FF - prefs.js..extensions.enabledItems: {46551EC9-40F0-4e47-8E18-8E5CF550CFB8}:1.1.2
      FF - prefs.js..extensions.enabledItems: {59994074-c06d-4a75-9768-49e5a8c21264}:3.3.3.2
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
      FF - prefs.js..extensions.enabledItems: {85E85FF9-E50C-42DE-8A3D-61485FD6C8DB}:2.0
      FF - prefs.js..extensions.enabledItems: eafo3fflauncher@ea.com:1.1
      FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
      FF - prefs.js..extensions.enabledItems: firesheep@codebutler.com:0.1
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
      FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94
      FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94
      FF - prefs.js..extensions.enabledItems: foxyproxy@eric.h.jung:2.22.5
      FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\Zango@Zango.com: C:\Program Files\Zango\bin\10.3.85.0\firefox\extensions
      O4 - HKLM..\Run: [NPSStartup] File not found
      O4 - HKU\S-1-5-21-1950923098-1706116117-1699432730-1000..\Run: [Badoo Desktop] C:\ProgramData\Badoo\Badoo Desktop\1.6.30.1009\Badoo.Desktop.exe File not found
      O4 - HKU\S-1-5-21-1950923098-1706116117-1699432730-1000..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
      O4 - HKU\S-1-5-21-1950923098-1706116117-1699432730-1000..\Run: [PlayNC Launcher] File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O7 - HKU\S-1-5-21-1950923098-1706116117-1699432730-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-1950923098-1706116117-1699432730-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O33 - MountPoints2\{8e178443-039d-11e1-ad85-001f16a18e44}\Shell - "" = AutoRun
      O33 - MountPoints2\{8e178443-039d-11e1-ad85-001f16a18e44}\Shell\AutoRun\command - "" = E:\Startme.exe
      @Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:35759C73
      @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:B623B5B8
      @Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:ADE16379
      @Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:3064D21D
      @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:814B9485
      @Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:9E22BBE8
      @Alternate Data Stream - 105 bytes -> C:\ProgramData\Temp:B203B914
      @Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:131C0EE9
      @Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:ABE89FFE

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    3 Janvier 2013 17:34:36

    Voici le rapport :


    All processes killed
    ========== OTL ==========
    Prefs.js: uncharted3@momentum.com:1.0.2 removed from extensions.enabledAddons
    Prefs.js: {85E85FF9-E50C-42DE-8A3D-61485FD6C8DB}:2.0 removed from extensions.enabledAddons
    Prefs.js: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.2.126 removed from extensions.enabledAddons
    Prefs.js: wrc@avast.com:7.0.1466 removed from extensions.enabledAddons
    Prefs.js: {46551EC9-40F0-4e47-8E18-8E5CF550CFB8}:1.3 removed from extensions.enabledAddons
    Prefs.js: foxyproxy@eric.h.jung:4.0.2 removed from extensions.enabledAddons
    Prefs.js: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:6.3.0.11079 removed from extensions.enabledAddons
    Prefs.js: illimitux@illimitux.net:3.2 removed from extensions.enabledItems
    Prefs.js: {46551EC9-40F0-4e47-8E18-8E5CF550CFB8}:1.1.2 removed from extensions.enabledItems
    Prefs.js: {59994074-c06d-4a75-9768-49e5a8c21264}:3.3.3.2 removed from extensions.enabledItems
    Prefs.js: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 removed from extensions.enabledItems
    Prefs.js: {85E85FF9-E50C-42DE-8A3D-61485FD6C8DB}:2.0 removed from extensions.enabledItems
    Prefs.js: eafo3fflauncher@ea.com:1.1 removed from extensions.enabledItems
    Prefs.js: engine@conduit.com:3.3.3.2 removed from extensions.enabledItems
    Prefs.js: firesheep@codebutler.com:0.1 removed from extensions.enabledItems
    Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems
    Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
    Prefs.js: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94 removed from extensions.enabledItems
    Prefs.js: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94 removed from extensions.enabledItems
    Prefs.js: foxyproxy@eric.h.jung:2.22.5 removed from extensions.enabledItems
    Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\Zango@Zango.com deleted successfully.
    File C:\Program Files\Zango\bin\10.3.85.0\firefox\extensions not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-1950923098-1706116117-1699432730-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Badoo Desktop deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-1950923098-1706116117-1699432730-1000\Software\Microsoft\Windows\CurrentVersion\Run\\EA Core deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-1950923098-1706116117-1699432730-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PlayNC Launcher deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-1950923098-1706116117-1699432730-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-1950923098-1706116117-1699432730-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8e178443-039d-11e1-ad85-001f16a18e44}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8e178443-039d-11e1-ad85-001f16a18e44}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8e178443-039d-11e1-ad85-001f16a18e44}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8e178443-039d-11e1-ad85-001f16a18e44}\ not found.
    File E:\Startme.exe not found.
    ADS C:\ProgramData\Temp:35759C73 deleted successfully.
    ADS C:\ProgramData\Temp:B623B5B8 deleted successfully.
    ADS C:\ProgramData\Temp:ADE16379 deleted successfully.
    ADS C:\ProgramData\Temp:3064D21D deleted successfully.
    ADS C:\ProgramData\Temp:814B9485 deleted successfully.
    ADS C:\ProgramData\Temp:9E22BBE8 deleted successfully.
    ADS C:\ProgramData\Temp:B203B914 deleted successfully.
    ADS C:\ProgramData\Temp:131C0EE9 deleted successfully.
    ADS C:\ProgramData\Temp:ABE89FFE deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 56541 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: premier
    ->Temp folder emptied: 3643605410 bytes
    ->Temporary Internet Files folder emptied: 577263289 bytes
    ->Java cache emptied: 38604085 bytes
    ->FireFox cache emptied: 669730244 bytes
    ->Google Chrome cache emptied: 276552242 bytes
    ->Flash cache emptied: 70686 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 1410344 bytes
    %systemroot%\System32 .tmp files removed: 1249280 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 577185194 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 5 518,00 mb


    OTL by OldTimer - Version 3.2.69.0 log created on 01032013_170632

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    a b 8 Sécurité
    3 Janvier 2013 22:19:49

    C'est mieux ? on va boucler

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS