Votre question

Malware sous mon PC

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Janvier 2011 13:51:59

Bonjour à tous !

Malgré un PC tout neuf et KASPERSKY AV installé, j'ai réussi à choper un malware !

Il m'ouvre régulièrement des pages porno sans rien demander (sympa pour mon fils de 3 ans !!) et change ma page d'accueil sous firefox.

Connaissant votre rapidité et votre excellence dans les conseils d'éradication de ce genre de programmes, j'ai gagné du temps en réalisant à l'avance un rapport ZHPDiag dont voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201101/cij0FwVy...

Si quelqu'un peut trouver le temps de m'aider, je lui en serait très reconnaissant !

Merci d'avance !

Autres pages sur : malware

15 Janvier 2011 19:43:15

Re-Salut à tous !!

Un petit Up pour que vous ne m'oubliez pas ...
a c 614 8 Sécurité
a b , Internet Explorer
15 Janvier 2011 21:58:43

Bonsoir,

Tu as installé un sponsor publicitaire avec l'un de tes programmes.


Télécharge Ad-R (de C_XX) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware, déconnecte-toi et ferme toutes les applications en cours /!\

  • Installe le programme (avec les paramètres par défaut).
  • Le programme se lance automatiquement à la fin de l'installation, sinon, lance-le via le raccourci Ad-R situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le raccourci de Ad-R -> Exécuter en tant qu'administrateur)
  • Valide l'avertissement, puis, dans la fenêtre principal, choisis l'option Scanner, et valide avec "Oui"
  • A la fin, appuie sur une touche, un rapport apparaitra (sinon, il est situé ici C:\Ad-report(date).log). Poste-le dans ta prochaine réponse

    /!\ N'oublie pas de réactiver tes protections résidentes /!\
    Contenus similaires
    24 Janvier 2011 18:57:40

    Salut !

    Merci beaucoup pour ta réponse !

    J'ai mis un peu de temps à te répondre mais je n'étais pas là ce week-end.

    Comme le rapport n'est pas très long, je te le poste directement sans passer par le "ci-joint".

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 20/01/11 à 19:00
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:53:16 le 24/01/2011, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    Julien et Laura@JULIENETLAURA (Packard Bell imedia S1300)

    ============== RECHERCHE ==============

    Service: "sdmBackupIP" Présent

    Dossier trouvé: C:\Program Files (x86)\Installer
    Fichier trouvé: C:\Windows\SysWOW64\Utils.dll
    Dossier trouvé: C:\Windows\BackupIP
    Dossier trouvé: C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\conduit
    Fichier trouvé: C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\searchplugins\conduit.xml
    Dossier trouvé: C:\Users\Julien et Laura\AppData\LocalLow\Conduit
    Dossier trouvé: C:\Program Files (x86)\Conduit
    Dossier trouvé: C:\Users\Julien et Laura\AppData\Local\networker

    -- Fichier ouvert: C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\Prefs.js --
    Ligne trouvée: user_pref("CT2611275.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne trouvée: user_pref("CT2611275.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261...
    Ligne trouvée: user_pref("CT2611275.ct2611275.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_...
    Ligne trouvée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
    Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList", "CT2611275");
    Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList2", "CT2611275");
    Ligne trouvée: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sun Jan 23 2011 20:05:30 GMT+0100");
    Ligne trouvée: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2611275");
    Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&Sea...
    -- Fichier Fermé --


    Clé trouvée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
    Clé trouvée: HKLM\Software\Classes\Toolbar.CT2611275
    Clé trouvée: HKLM\Software\Install Pedia Limited
    Clé trouvée: HKLM\Software\Conduit
    Clé trouvée: HKCU\Software\AppDataLow\Toolbar
    Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|installer


    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\Julien et Laura\\Documents
    browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&SearchSource=3&q={searchTerms}
    browser.search.selectedEngine,
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=imedia_s1300&r=173612104216pe435x105y4611264o
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: www.easysear.ch/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=imedia_s1300&r=173612104216pe435x105y4611264o
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://www.yaape.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 24/01/2011 (4572 Octet(s))

    Fin à: 18:54:02, 24/01/2011

    ============== E.O.F ==============

    Merci d'avance pour tes précieux conseils !
    a c 614 8 Sécurité
    a b , Internet Explorer
    24 Janvier 2011 19:52:03

    Re,

    C'est bien çà, tu as volontairement installé ces pubs en ne lisant pas les conditions d'utilisation lors de l'installation d'un logiciel ...

    Pour suivre :

    Relance AD-R

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Lance-le via le raccourci Ad-R situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le raccourci de Ad-R -> Exécuter en tant qu'administrateur)
  • Valide l'avertissement, puis, dans la fenêtre principal, choisis l'option Nettoyer, et valide avec "Oui"
  • A la fin, appuie sur une touche, un rapport apparaitra (sinon, il est situé ici C:\Ad-report(date).log). Poste-le dans ta prochaine réponse

    /!\ N'oublie pas de réactiver tes protections résidentes /!\
    28 Janvier 2011 09:08:30

    Salut hyunkel30 !

    Merci de ton aide !

    Je n'ai pas le souvenir d'avoir installé de programme particulier contenant ce genre de pubs (p-ê ma femme !), dans tous les cas, je te fais confiance et je lirai désormais plus attentivement les conditions d'utilisation... En même temps, ça me rassure aussi puisque ni Kaspersky ni mon pare-feu n'avait tiqué mot.

    Voici le rapport Clean que tu m'as demandé :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 20/01/11 à 19:00
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 08:59:34 le 28/01/2011, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    Julien et Laura@JULIENETLAURA (Packard Bell imedia S1300)

    ============== ACTION(S) ==============

    Service: "sdmBackupIP" Stoppé et supprimé

    Dossier supprimé: C:\Program Files (x86)\Installer
    Fichier supprimé: C:\Windows\SysWOW64\Utils.dll
    Dossier supprimé: C:\Windows\BackupIP
    Dossier supprimé: C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\conduit
    Fichier supprimé: C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\searchplugins\conduit.xml
    Dossier supprimé: C:\Users\Julien et Laura\AppData\LocalLow\Conduit
    Dossier supprimé: C:\Program Files (x86)\Conduit
    Dossier supprimé: C:\Users\Julien et Laura\AppData\Local\networker

    (!) -- Fichiers temporaires supprimés.


    -- Fichier ouvert: C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\Prefs.js --
    /!\ Impossible d'ouvrir le fichier, nettoyage interrompu /!\
    -- Fichier Fermé --


    Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2611275
    Clé supprimée: HKLM\Software\Install Pedia Limited
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Toolbar
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|installer


    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Users\Julien et Laura\AppData\Roaming\Mozilla\FireFox\Profiles\oz7fyd3u.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\Julien et Laura\\Documents
    browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&SearchSource=3&q={searchTerms}
    browser.search.selectedEngine,
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage_override.mstone, rv:1.9.2.13
    keyword.URL, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&q=
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/
    browser.startup.homepage, www.easysear.ch/

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 20 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 28/01/2011 (4699 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 24/01/2011 (4701 Octet(s))

    Fin à: 09:00:41, 28/01/2011

    ============== E.O.F ==============

    Merci d'avance !
    a c 614 8 Sécurité
    a b , Internet Explorer
    28 Janvier 2011 15:14:07

    Re,

    Encore des pubs ?


    Pour voir, fais ceci :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS