Votre question
Résolu

Pages de publicité qui n'arrêtent pas d'essayer de se lancer

Tags :
  • ZeroAccess
  • Virus
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Mai 2016 21:27:53

Bonjour,

C'est la première fois que je poste dans ce forum. J'espère pouvoir donner toutes les informations utiles.
Voilà jusqu'à maintenant à chaque fois que j'ai eu mon micro infecté par un virus j'ai réussi à m'en débarrasser mais cette fois-ci si je comprends bien j'ai plusieurs étapes à utiliser dont l'outil FRST et là on arrive clairement à la limite de mes compétences...
Les symptomes :
. A chaque démarrage de mon PC, Quelque chose cherche à lancer Chrome avec une adresse du type "ads01-atmgroup..." qui se remplace au bout de quelques secondes par une page de publicité. Le système essaye même de lancer x instances de Chrome... (que je dois "tuer" dans le gestionnaire de tâches).
. Quand je navigue sur Chrome, très très régulièrement il cherche à ouvrir une nouvelle fenêtre ou un nouvel onglet avec une enquête ou une publicité (m'indiquant notamment que mon PC est infecté et me proposant de cliquer sur un bouton ce qu'évidemment je n'ai pas fait)


J'ai fait tourné FRST, voilà le contenu de deux rapports :
FRST.txt
https://drive.google.com/open?id=0BwKnviXl-tG-N0JYOV9CW...
addition.txt
https://drive.google.com/open?id=0BwKnviXl-tG-RWlCcUgxW...

En vous remerciant par avance de votre aide

Autres pages sur : pages publicite arretent essayer lancer

Meilleure solution

a c 295 8 Sécurité
17 Mai 2016 02:00:07

Bonjour,

Ton PC est rempli d'adwares.


1/

  • Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

  • Une fois le scan terminé, choisis l'option Nettoyer.

  • Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[C?].



  • 2/



  • Au cas où tu perdrais la connexion, regarde à la partie "Manuellement" de cette page :
    http://forum.malekal.com/reinitialiser-les-serveurs-nom...
    partage
    18 Mai 2016 00:15:00

    Bonjour,

    Merci beaucoup pour votre aide.
    AdwCleaner : ci-dessous le lien du rapport :
    http://pjjoint.malekal.com/files.php?id=20160518_n14s9w...

    Une fois passé ce programme, cela va déjà nettement mieux : pas de lancement intenpestif de Chrome et très forte diminitution des tentatives d'ouvertures de nouvel onglet ou fenêtre (en une heure cela ne m'est arrivé qu'une seule fois)

    Rapport RogueKiller
    http://pjjoint.malekal.com/files.php?id=20160518_b1110b...
    Je n'ai fait que le scan comme indiqué (pas de clic sur supprimer)

    Très cordialement
    m
    0
    l
    Contenus similaires
    a c 295 8 Sécurité
    18 Mai 2016 00:27:46

    Ok, relance RogueKiller et clique sur "Suppression" cette fois-ci.

    Puis je voudrais un nouveau rapport FRST (et Addition) s'il te plaît.
    m
    0
    l
    a c 295 8 Sécurité
    19 Mai 2016 20:14:23

    Le fichier Hosts a été modifié, réinitialise-le avec RstHosts :
    https://toolslib.net/downloads/viewdownload/15-rsthosts...

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
    • Copie-colle le texte encadré ci-dessous dans le Bloc-notes :


      start
      CloseProcesses:
      HKU\S-1-5-21-1970182103-1873875689-2147173695-1000\...\Run: [GoogleChromeAutoLaunch_F9D74E541E130D63EFA9B254234B668B] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [811848 2015-11-07] (Google Inc.)
      CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
      Winsock: Catalog5 01 mswsock.dll Pas de fichier ATTENTION: LibraryPath devrait être "%SystemRoot%\system32\NLAapi.dll"
      Winsock: Catalog5 07 mswsock.dll Pas de fichier ATTENTION: LibraryPath devrait être "%SystemRoot%\System32\mswsock.dll"
      Winsock: Catalog5-x64 01 mswsock.dll Pas de fichier ATTENTION: LibraryPath devrait être "%SystemRoot%\system32\NLAapi.dll"
      Winsock: Catalog5-x64 07 mswsock.dll Pas de fichier ATTENTION: LibraryPath devrait être "%SystemRoot%\System32\mswsock.dll"
      SearchScopes: HKU\S-1-5-21-1970182103-1873875689-2147173695-1000 -> DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL =
      SearchScopes: HKU\S-1-5-21-1970182103-1873875689-2147173695-1000 -> {2770B4FC-3C44-4b33-92C9-6E73BCDC9704} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-1970182103-1873875689-2147173695-1000 -> {932CFBC5-1E78-41c3-BD17-FE22AF9F1609} URL = hxxp://fr.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV
      Toolbar: HKU\S-1-5-21-1970182103-1873875689-2147173695-1000 -> Pas de nom - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Pas de fichier
      FF user.js: detected! => C:\Users\Francois\AppData\Roaming\Profiles\svxg7r79.default\user.js [2016-05-14]
      FF SearchPlugin: C:\Users\Francois\AppData\Roaming\Profiles\svxg7r79.default\searchplugins\lv1m6tvf.xml [2016-05-14]
      FF Extension: Pas de nom - C:\Users\Francois\AppData\Roaming\2YourFace\ffextension [non trouvé(e)]
      FF Extension: Pas de nom - C:\Users\Francois\AppData\Roaming\Profiles\svxg7r79.default\extensions\firefoxmini@go.im.xpi [non trouvé(e)]
      FF Extension: Pas de nom - C:\Program Files (x86)\Nosibay\Bubble Dock\extensions\FFSurfMatch [non trouvé(e)]
      FF Extension: Pas de nom - C:\Users\Francois\AppData\Roaming\Profiles\svxg7r79.default\extensions\{C9B68337-E93A-44EA-94DC-CB300EC06444} [non trouvé(e)]
      FF Extension: Video AdBlock - C:\Users\Francois\AppData\Roaming\Profiles\svxg7r79.default\extensions\{068e178c-61a9-4a63-b74f-87404a6f5ea1} [2016-05-14]
      FF Extension: Pas de nom - C:\Program Files\Web Assistant\Firefox [non trouvé(e)]
      FF Extension: Pas de nom - C:\Users\Francois\AppData\Roaming\Profiles\svxg7r79.default\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-05-13] [non signé]
      FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2013-01-30] <==== ATTENTION
      CHR HomePage: ChromeDefaultData -> hxxp://www.yessearches.com/?ts=AHEqAn8mB3YpAE..&v=20160513&uid=B8583B6DCD2EDBABFA63741A53DED722&ptid=ism&mode=loadm
      CHR HKU\S-1-5-21-1970182103-1873875689-2147173695-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
      S2 Soiiepva; "C:\Users\Francois\AppData\Roaming\HaduQixpeka\Hoecte.exe" -cms [X]
      C:\Users\Francois\AppData\Roaming\HaduQixpeka
      U3 apnpnp3a; C:\Windows\System32\Drivers\apnpnp3a.sys [0 ] (Sonic Solutions) <==== ATTENTION (zéro octet Fichier/Dossier)
      C:\Windows\System32\Drivers\apnpnp3a.sys
      C:\Windows\system32\roe
      C:\Users\Francois\AppData\Roaming\Penkud
      C:\Users\Francois\AppData\Roaming\MuwhaWummo
      C:\Users\Francois\AppData\Roaming\Cowmareeh
      C:\Users\Francois\AppData\Local\Tempfolder
      C:\uninst
      C:\Program Files (x86)\Chirase
      C:\Program Files (x86)\Kcuiedposge
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chrome .lnk
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox .lnk
      C:\Users\Invité\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome .lnk
      C:\Users\Invité\Desktop\Chrome .lnk
      C:\Users\Invité\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Firefox .lnk
      C:\Users\Invité\Desktop\Firefox .lnk
      C:\Users\Invité\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Iexplore .lnk
      C:\Users\Invité\Desktop\Iexplore .lnk
      C:\Users\Agathe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome .lnk
      C:\Users\Agathe\Desktop\Chrome .lnk
      C:\Users\Agathe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Firefox .lnk
      C:\Users\Agathe\Desktop\Firefox .lnk
      C:\Users\Agathe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Iexplore .lnk
      C:\Users\Agathe\Desktop\Iexplore .lnk
      C:\Users\Francois\AppData\LocalLow\Company
      C:\Program Files (x86)\Software
      C:\Users\Francois\AppData\Local\TempDIR
      C:\Program Files (x86)\Google\Desktop\Install
      Task: {ADC3916E-5C06-4F4B-B1E4-FD4111AAF58B} - \Cawlez -> Pas de fichier <==== ATTENTION
      Task: {E626239E-449B-4ED5-B72B-B6D8E89E0DE3} - System32\Tasks\e-Buyer Updater => Wscript.exe //B "C:\Users\Francois\AppData\Local\ebuyer\ebuyer\1.4.4.4\..\updt.js"
      AlternateDataStreams: C:\ProgramData\Temp:15B79D44 [129]
      Reg: reg delete "HKU\S-1-5-21-1970182103-1873875689-2147173695-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ebuyer" /f
      DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
      EmptyTemp:
      end



    • Enregistre le fichier dans le dossier Téléchargements (au même endroit que FRST) sous le nom fixlist.txt
    • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
    • Clique sur Corriger. Patiente le temps de la correction.

      Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

    • Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
    • Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
    m
    0
    l
    a c 295 8 Sécurité
    22 Mai 2016 22:43:23

    Pas de souci.

    As-tu encore des publicités intempestives ?

    Un dernier rapport FRST (et Addition) ?
    m
    0
    l
    28 Mai 2016 08:19:03

    Bonjour Destrio5.
    Semaine chargée et pas toujours chez moi.
    Plus aucun problème. c'est superbe. Merci.
    Je vais sélectionner ta réponse comme meilleure solution.
    Encore merci !
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS