Se connecter / S'enregistrer
Votre question
Résolu

Lien de pub in text résolu

Tags :
  • Rootkit
  • Sécurité
  • Adware
  • zeroaccess
Dernière réponse : dans Sécurité et virus
16 Mai 2013 14:52:45

Bonjour !
Je me permet de faire appel a votre savoir en la question , car me voici victime de lien in text ralentissant considérablement mon ordinateur . J'ai suivis le topic sur le sujet sur votre forum Et ai donc installé OTL . J'ai le rapport "extra" Et ne sais visiblement pas quoi faire maintenant ! Si une âme charitable souhaite aider un pieux inconnu , c'est le moment !

Autres pages sur : lien pub text resolu

a c 614 8 Sécurité
16 Mai 2013 19:30:09

Bonsoir,

Nous allons regarder cela.

Pour m'assurer que tu as correctement effectuer l'analyse d'OTL merci de refaire ceci :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    16 Mai 2013 19:40:37

    Merci de venir a mon secoure . Voici le rapport extras obtenu , j'imagine que c'est celui la dont il me faut vous transmettre :
    http://up.security-x.fr/file.php?h=R59407a0841a2ebe19db... .
    J'ai suivi un poste parlant du même problème , mais cette phrase m'a amener a vous demandez directement quoi faire :
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\ .
    m
    0
    l
    Contenus similaires
    a c 614 8 Sécurité
    16 Mai 2013 19:58:58

    Re,

    Cet avertissement vaut effectivement lors des phases de correction, pas d'analyse.
    Il est plus prudent de venir nous consulter comme tu l'as fait.

    Pour la suite, merci de me fournir aussi le rapport OTL.txt s'il te plait ;) 
    m
    0
    l
    a c 614 8 Sécurité
    16 Mai 2013 23:28:52

    Re,

    Bon, plusieurs adwares (logiciels publicitaires), mais surtout le rootkit zeroaccess qui traine et c'est moins sympa ...
    Donc, logiciel, plugin et/ou système pas à jour et visite de site infecté (streaming, porn, etc ...)
    Va falloir être plus vigilant ...

    Trois questions avant de débuter :
    - Ce Windows Ultimate est-il légal ?
    - Utilises-tu et/ou as-tu installé OpenVPN Client
    - Est-ce toi qui a renommé OTL en "DivX Plus Player.lnk.exe " ?

    -------------

    à faire ensuite :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - UsbFix By El Desaparecido (inutile ici)
    - ZHPDiag 2013 (idem)

    - BrowseToSave (adware)
    - Search Assistant WebSearch 1.74 (idem)

    -----------------

    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.

    -----------------

    3) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)

    :jap: 
    m
    0
    l
    17 Mai 2013 01:57:34

    Merci de ton aide ! En effet il va me falloir être plus vigilant !
    Alors pour les 3 questions : Je n'ai aucune idée si ce window est légale ou pas , ce n'est pas moi qui l'ai installé . après je met toutes les mises à jours donc je pense qu'il est légale , j'imagine .
    Pour openVPN je m'en suis déjà servie lors de LAN et de tournoi notamment , mais cela fait une éternité .
    Enfin , je n'ai jamais renommé OTL ( et étonnamment cela me trouble beaucoup comme question :-) ) .

    J'ai désinstallé ce qui devait l'être sans incident .
    m
    0
    l
    17 Mai 2013 02:20:58

    J'ai utilisé AdwCleaner voici le rapport obtenu : http://up.security-x.fr/file.php?h=R0d7f42f918844fb929c...

    J'ai utilisé Roguekiller , il m'a d'ailleurs envoyé sur une page web me parlant de zeroaccess et de comment les enlever , ce qui semble inquiétant . Voici le rapport : http://up.security-x.fr/file.php?h=R1c2208023edb403d1c6... . J'imagine que je doit supprimer ce que roguekiller à trouver ?
    Encor une fois merci de l'aide et n'hésite pas à m'expliquer ce que je fais , j'aimerais apprendre par la même occasion :-) .
    m
    0
    l
    17 Mai 2013 03:10:37

    Bien ! J'ai tenté bien que mal à imiter ce qui est montré dans la vidéo qui me fut link après le premier scan de roguekiller . Apparemment , lorsque que maintenant je refais un scan , il ne me trouve plus de zeroaccess , il semblerait que mes maneuvres ait fonctionné . Sur ceux , j'attends votre point de vu demain , il se fait certe très tard .
    m
    0
    l
    a c 614 8 Sécurité
    17 Mai 2013 09:36:52

    Bonjour,

    J'aurais préféré que tu attendes avant de relancer de toi-même Roguekiller ...

    Si tu n'utilises plus OpenVPN, désinstalle-le dans ta liste des programmes.

    Ensuite, supprime le fichier OTL renommé DivX Plus Player.lnk.exe dans le dossier sf4 sur ton bureau.

    Où l'as-tu téléchargé la première fois ?

    ----------

    Ensuite, refais ceci s'il te plait :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 614 8 Sécurité
    17 Mai 2013 14:42:48

    Re ;) 

    Bah ok, on ira pas chercher plus loin pour OTL renommé, là c'est ok ...

    Allez, ménage à suivre :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV:64bit: - [2011/08/19 02:46:06 | 000,030,720 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\tapoas.sys -- (tapoas)
    IE - HKU\S-1-5-21-1614082276-1338799479-2795068104-1000\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
    IE - HKU\S-1-5-21-1614082276-1338799479-2795068104-1000\..\URLSearchHook: {c41be492-d9e6-4262-a0bd-e8cf6dc4208d} - No CLSID value found
    FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:2.7.2.0
    FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
    FF - prefs.js..extensions.enabledItems: {c41be492-d9e6-4262-a0bd-e8cf6dc4208d}:3.2.5.2
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: File not found
    [2011/02/27 02:54:53 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
    [2012/10/10 14:43:28 | 000,003,267 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml
    O1 - Hosts: 127.94.0.1 client.openvpn.net
    O1 - Hosts: 127.94.0.2 openvpn-client.us.shieldexchange.com
    O3 - HKU\S-1-5-21-1614082276-1338799479-2795068104-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O3 - HKU\S-1-5-21-1614082276-1338799479-2795068104-1000\..\Toolbar\WebBrowser: (no name) - {C41BE492-D9E6-4262-A0BD-E8CF6DC4208D} - No CLSID value found.
    MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^OpenVPN Connect.lnk - - File not found
    MsConfig:64bit - StartUpReg: Update - hkey= - key= - C:\Users\Robin\AppData\Roaming\supfc\upd.exe ()
    [2013/04/26 00:52:42 | 000,000,000 | ---D | C] -- C:\Users\Robin\AppData\Roaming\Systweak
    [2013/04/26 00:52:39 | 000,020,488 | ---- | C] (Systweak Inc., (www.systweak.com)) -- C:\Windows\SysNative\roboot64.exe
    [2012/02/29 18:11:16 | 000,000,237 | ---- | C] () -- C:\Users\Robin\openvpn-connect.json
    [2011/03/29 21:43:55 | 000,000,000 | ---D | M] -- C:\Users\Robin\AppData\Roaming\Raptr
    [2011/11/11 15:26:49 | 000,000,000 | ---D | M] -- C:\Users\Robin\AppData\Roaming\supfc
    [2013/04/27 15:02:05 | 000,000,000 | ---D | M] -- C:\Users\Robin\AppData\Roaming\Systweak

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{1488EC1A-76D8-4BE8-83C7-20CFA3D081C2}"=-
    "{A366DD70-4E24-43B8-BFF5-8720AAE6FBE1}"=-

    :Files
    ipconfig /flushdns /c

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    ------------------

    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    :jap: 
    m
    0
    l
    17 Mai 2013 16:37:51

    Voila le rapport d'un scan complet MalwareByte's Anti-Malware : http://up.security-x.fr/file.php?h=Rfc43ec3381392e375a1...
    Rien à signaler . Mon pc est-il sauvé de la félonie virale ?
    Par ailleurs j'aimerais savoir pourquoi ils existent , sont-il commandité par des agences publicitaires ?
    Décidément la créativité humaine n'a comme seul limite que sa conscience . . .
    En tout état de cause je vous remercie bien fortement !
    m
    0
    l
    a c 614 8 Sécurité
    17 Mai 2013 19:00:21

    Re,

    Une fois l'infection sur un système, c’est toujours plus difficile à traiter.
    Malwarebyte's n'est pas conçu pour traiter tous les adwares, car se sont pour la plupart des sponsors "légitimes" que tu installes "volontairement" en choisissant certain logiciels "gratuit" sans décocher à l'installation ces sponsors.
    C'est à toi d'être vigilant !
    Concernant l'infection Zeroaccess, c'est parce que tu ne maintiens pas à jour les logiciels et plugins de ton système, et là non plus, ni un antivirus, ni Malwarebyte's ne peuvent rien y faire si l'infection arrive par une faille exploitée.

    On va vérifier avant de conclure que le rootkit zeroaccess n'ait pas endommagé certains fichiers système :

    Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    17 Mai 2013 19:18:51

    Voici le rapport obtenu : http://up.security-x.fr/file.php?h=Re5a4560c514849c5787... .
    Une petite question si je peux me permettre : Comment en êtes vous arrivez au lignes que vous m'avez demandé d'inscrire dans la partie personalisation dOTL ? Ne vous sentez pas obligez de répondre vous m'avez déjà bien assez aidé comme cela !
    m
    0
    l

    Meilleure solution

    a c 614 8 Sécurité
    17 Mai 2013 19:32:28

    Re,

    OK, pas de réparation a effectuer.

    On conclus donc :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner.exe sur ton bureau.

    --------------

    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    ----------------

    3) Mise à jour de logiciel :

    /!\ Cette étape est très importante, tu as été en partie infecté car ce plugin n'était pas à jour !

    Met à jour le programme suivants :
    - Java vers la version 7 update 21 (pense à supprimer les anciennes version dans ajout/suppression des programmes : Java(TM) 6 Update 26 )


    -------------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    -------------------

    Citation :
    Une petite question si je peux me permettre : Comment en êtes vous arrivez au lignes que vous m'avez demandé d'inscrire dans la partie personalisation dOTL ? Ne vous sentez pas obligez de répondre vous m'avez déjà bien assez aidé comme cela !


    Je suis formé à cela ;) 
    (voir lien dans ma signature)

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    17 Mai 2013 19:58:12

    Et bien merci pour l'aide et les informations données ! Heureux de constater qu'il y a toujours des gens amicaux pour rattraper l'avarice ou la bêtise d'autrui ! Cher monsieur ce fut un plaisir , je vous souhaite une bien belle soiré !
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS