lancement appli + pubs internet
Forum Sécurité - Virus : lancement appli + pubs internet
Bonjour,
Je vais t'aider à résoudre ton problème. Merci de suivre à la lettre mes instructions et de ne pas prendre d'initiatives personnelles. Si tu as la moindre question, je suis à ton écoute.
Merci de prendre en compte que je suis bénévole et que j'ai une vie privée : je passe au moins une fois par jour.
Si tu penses avoir été oublié, envoie-moi un MP pour me le signaler.
1) Télécharge Gmer.
- Dézippe-le dans un dossier dédié ou sur ton Bureau.
- Déconnecte toi d'Internet puis ferme tous les programmes.
- Double-clique sur Gmer.exe.
Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
- Clique sur l'onglet Rootkit.
- A droite, coche tout.
- Clique maintenant sur Scan.
- Lorsque le scan est terminé, clique sur Copy.
- Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton Bureau et upload-le sur mediafire.
Uploader un fichier sur mediafire :
- Rends-toi sur ce lien : http://www.mediafire.com/
- Clique en haut sur "Upload files To Media fire". Choisis ensuite "I want to upload without an account"
- Une fenêtre de ton explorateur windows va s'ouvrir. Navigue jusqu'au rapport que je te demande d'uploader, sélectionne-le puis clique sur "ouvrir".
- Clique ensuite sur "Upload".
- A droite de l'écran, choisis : "upload to a new folder". Laisse le nom par défaut ( = la date )
- Valide et laisse l'upload se faire.
- Clique sur "Vieuw uploaded file" et copie-moi l'url ( = le lien ) du nouvel onglet ou de la nouvelle fenêtre qui va s'ouvrir dans ton prochain message. Ainsi, je pourrais télécharger le rapport demandé.
2) Télécharge DDS de sUBs et sauvegarde-le sur ton bureau.
- Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
- Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus, sois patient !
- Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
- Clique Oui à la prochaine invite Optional Scan.
- Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt, garde l'autre sous la main si jamais je te le demande. Copie/colle le rapport sur le forum. N'uploade des fichiers sur mediafire que si j'en fais la demande explicite.
Re,
1) Télécharge Hijackthis (de Trend Micro) sur ton Bureau.
- Double clique sur HJTInstall.exe pour lancer l'installation.
- Clique sur Install.
- Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
- Accepte la licence en cliquant sur Yes.
- Clique sur "Do a system scan and save a logfile".
- Poste ici[ le rapport généré.
Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log
Aide : Comment utiliser HijackThis.
2) Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
- Lance l'installation du programme en exécutant le fichier téléchargé.
- Double-clique maintenant sur le raccourci de Toolbar-S&D.
- Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
- Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
- Poste le rapport généré. (C:\TB.txt)
Message édité par Egwene le 05-12-2008 à 19:53:52
Bonjour,
Désactive tes protections résidentes ( antivirus etc. ) !
Ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
Ne tiens pas compte de l'avertissement
En bas à gauche , clique sur Outils
Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
Et décoche l'option Resident "TeaTimer"
1) Désinstalle via Ajout/Suppression de Programmes (si présents) :
- p2pmax
- ppcbooster
Je te conseille de désinstaller et de supprimer tous tes logiciels de p2p : 50% de ce que tu télécharges via p2p est piégé. Le p2p est le premier vecteur d'infection de nos jours.
Plus d'informations disponibles en cliquant sur le lien suivant : Cracks / P2P
2) Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), clique sur "do a system scan only", coche ces lignes ( si présentes ) :
O2 - BHO: adsoftinc browser enhancer - {026D060B-AEF6-8F24-1041-1F76D2F51040} - C:\WINDOWS\system32\vqfwoayfgmcgcqokr.dll
O2 - BHO: adsoftinc - {abf0067a-b076-ae73-dbed-9519a73b05c0} - C:\WINDOWS\system32\nsp10.dll
O4 - HKLM\..\Run: [ipsplrmwbulw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\vqfwoayfgmcgcqokr.dll"
O4 - Startup: p2pmax.lnk = C:\Program Files\p2pmax\p2pmax.exe
O4 - Startup: ppcb_32.lnk = C:\Program Files\ppcbooster\ppcb_32.exe
Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
Puis Fix Checked ! N.B : Il est très important de fermer toutes les applications en cours et de se déconnecter d'internet pour fixer avec hijackthis au risque d'interférer avec les résultats de la manip'.
3) On va maintenant devoir modifier le registre. Modifier le registre peut se révéler être très dangereux, c'est pourquoi nous allons créer une sauvegarde du registre avant d'effectuer nos modifications. Ainsi, en cas de souci, il n'y aura qu'à restaurer.
Merci de procéder EXACTEMENT comme décrit ci-dessous :
Télécharge ERUNT
( ERUNT = Emergency Recovery Utility NT, c'est un programme gratuit qui te permet de conserver une sauvegarde complète de ta base de registre et de la restaurer quand cela s'avère nécessaire )
- Installe ERUNT en suivant les instructions suivantes
( suis les directives d'installation par défaut, mais dis non quand on te demande d'ajouter ERUNT au startup folder ( dossier start up ), d'autant plus que si tu le souhaites tu pourras ajouter cette option ultérieurement )
- Lance ERUNT ( soit en double-cliquant sur l'icône présente sur ton bureau soit en choisissant de lancer le programme en fin d'installation )
- Choisis un emplacement pour la sauvegarde ( l'emplacement par défaut est : C:\WINDOWS\ERDNT ce qui est acceptable ).
- Assure-toi que les deux premières cases suivantes soient bien cochées !!!
- Clique sur OK
- Clique sur YES pour créer le dossier de sauvegarde.
4) Télécharge OTMoveIt3 (OldTimer). Sauvegarde-le sur ton Bureau.
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
:processes :services :reg :files :commands |
Double clique sur OTMoveIt3.exe afin de le lancer.
Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
3) Refais un scan avec DDS et poste-moi le nouveau rapport. Refais un scan avec HijackThis et poste-moi le nouveau rapport. Poste-moi aussi le rapport attach.txt que je t'avais demandé de mettre de côté.
Message édité par Egwene le 06-12-2008 à 12:09:14
Bonjour,
Tu as mal fait la manip' avec OTM3, recommence stp. Tu dois copier les données dans la zone code ci-dessous en respectant les espaces :
:processes :services :reg :files :commands |
Recommence la manip' donc et poste moi le nouveau rapport OTM3 ainsi qu'un nouveau rapport DDS.txt.
Message édité par Egwene le 07-12-2008 à 11:19:07
Tu as toujours mal fait, ce qui explique que tu doives rebooter le PC à chaque fois.
rocesses
explorer.exe
ppcb_32.exe
:services
Ndisprot
:files
c:\windows\system32\vqfwoayfgmcgcqokr.dll
c:\windows\system32\nsp10.dll
c:\program files\p2pmax
c:\program files\ppcbooster
C:\DOCUME~1\mallory\Mes documents\LimeWire\Incomplete\T-3494367-Football Manager 2009 + Patch 9.1.0 + Crack.zip
c:\windows\system32\drivers\Ndisprot.sys
c:\windows\system32\cont_adsoftinc-remove.exe
c:\program files\ppcbooster
c:\windows\vtj708346.exe
c:\windows\system32\wuznmkkssiywqzje.exe
c:\windows\nohh06760.exe
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
Tu dois oublier de mettre les switch 
Avant de réessayer, fais-moi un copier/coller de ce que tu mets dans zone "past fix here" de OTM3. Ne retente pas la manip' ! Fais-moi juste un copier/coller de ce que tu t'apprête à mettre, que je comprenne et te corrige.
Re,
La dernière fois, j'ai mis ça. Question bête : c'est quoi les switch ?
rocesses
explorer.exe
ppcb_32.exe
:services
Ndisprot
:reg
:files
c:\windows\system32\vqfwoayfgmcgcqokr.dll
c:\windows\system32\nsp10.dll
c:\program files\p2pmax
c:\program files\ppcbooster
C:\DOCUME~1\mallory\Mes documents\LimeWire\Incomplete\T-3494367-Football Manager 2009 + Patch 9.1.0 + Crack.zip
c:\windows\system32\drivers\Ndisprot.sys
c:\windows\system32\cont_adsoftinc-remove.exe
c:\program files\ppcbooster
c:\windows\vtj708346.exe
c:\windows\system32\wuznmkkssiywqzje.exe
c:\windows\nohh06760.exe
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
Bizarre, tu peux réessayer une dernière fois ?
On fera autrement sinon.
Re,
! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) !
- Télécharge ComboFix (sUBs) sur ton Bureau.
- Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
- Il va te demander d'installer la console de récupération : accepte.
- Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.
AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer
Re,
Sélectionne l'intégralité du cadre ci-dessous :
http://www.infos-du-net.com/forum/283934-11-lancement-appli-pubs-internet#bas
|
- Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Enregistre le sous sur ton bureau sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :
- Cela va relancer Combofix.
- ComboFix créera ces fichiers sur ton Bureau :
- Un fichier zippé nommé Submit [Date Time].zip
- Un second fichier nommé - CF-Submit.htm
- ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
- Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
- Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
- Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
- Clique sur le bouton "Browse"("Parcourir" ) et navigue vers le fichier
Submit [Date Time].zip qui est sur ton Bureau.
- Clique sur le fichier afin de le sélectionner.
- Soumets le fichier en cliquant "OK"
- Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
Re,
Les fichiers néfastes ont bien été supprimés
Rends-toi sur cette page : http://www.bleepingcomputer.com/su [...] ?channel=4 et suis les instructions pour uploader le fichier [4]-Submit_<date and time>.zip qui se situe ici > C:\Qoobox\Quarantine folder.
Une fois cela fait, reviens me le dire.
Merci.
Merci, cela permet aux développeurs des outils que nous utilisons de les maintenir à jour, et donc efficaces.
Poste un nouveau rapport DDS.txt, et poste-moi le fichier attach.txt que je t'avais demandé de mettre de côté. Ensuite :
1) Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
AIDE : Tuto en images sur MBAM
2) ~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://www.kaspersky.com/kos/eng/p [...] bscan.html
- Clique sur Accept
- Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
- clique une nouvelle fois sur "Accept"
- Les bases de mises à jour vont s'installer, patiente un moment
- Clique sur Next.
- Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. Et poste-moi le rapport que tu obtiens.
Comment va le PC ? Toujours des problèmes ?
Message édité par Egwene le 08-12-2008 à 23:22:31
Re,
Fais ce scan alors
Fais un scan en linge avec BitDefender, avec internet explorer ! Sauvegarde tes musiques et photos, il arrive que BitDefender les supprime
http://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
Tutorial en image : http://forum.pcastuces.com/sujet.asp?f=25&s=31584
Poste-moi le rapport en entier
Re,
Non ça ne craint pas, ce sont toutes des zones de quarantaine
Poste-moi le fichier attach.txt que je t'avais demandé de mettre de côté.
Comment va le PC ? Toujours des problèmes ?
Re,
Un truc à vérifier.
Télécharge Navilog (de Il-Mafioso)
Enregistre-le sur ton Bureau.
Installe-le en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)
Une fois l'installation terminée, fais un clic droit sur le raccourci navilog1 puis choisis "Exécuter en tant qu'administrateur". ( Pour Vista)
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2,3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.
Le rapport se trouve ici :C:\fixnavi.txt
Re,
Double clique sur le raccourci de navilog1.
Option 2 puis valide. (entrée)
Laisse toi guider.
Ton ordinateur va redémarrer, sinon fais le manuellement.
Ton bureau va disparaître.
Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"
Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau
Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
Montorgueil ; VIP
~~> Supprime-les si présents ! (pas les autres) <~~
Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Ainsi qu'un nouveau rapport Hijackthis.
+++++++++++
Les programmes suivants installent cette infection :
* Favorit
* Go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* sudoplanet
* Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
* Sur le site www.games-desktop.com (Ne pas aller dessus!)
Re,
Désinstalle via Ajout/Suppression de Programmes (si présents) :
- Adobe Reader 8.1.2 - Français
- Java(TM) 6 Update 2
- Java(TM) 6 Update 5
- Java(TM) SE Runtime Environment 6 Update 1
- LimeWire 4.18.6
- Viewpoint Media Player
Je te conseille de désinstaller et de supprimer tous tes logiciels de p2p : 50% de ce que tu télécharges via p2p est piégé. Le p2p est le premier vecteur d'infection de nos jours.
Plus d'informations disponibles en cliquant sur le lien suivant : Cracks / P2P
Tu es en train d'utiliser une vieille version de Adobe Acrobat Reader : cela peut constituer une faille de sécurité, c'est-à-dire une brèche dans ton système qu'un pirate pourrait exploiter. Tu peux le mettre à jour ici :
http://www.adobe.com/products/acrobat/readstep2.html
Pour mettre à jour java, télécharge ici la dernière version, 6.11 : http://www.java.com/fr/download/wi [...] ava.com:80
Comment va le PC ?
Sécurité / Prévention
Répondre à Egwene
