Page de pub internet s'ouvrant toute seule => Virus ? [ Résolu ]

Bonjour,

Il existe OTL qui donne des rapports plus complets qu'HijackThis :

Télécharge OTL (par OldTimer) sur ton Bureau.

Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.

Coche également les cases à côté de Recherche Lop et Recherche Purity.

Enfin, clique sur le bouton Analyse. Le scan ne prend pas beaucoup de temps.

Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.

Pour me transmettre les rapports :

Clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.

Clique sur Ouvrir.

Clique sur Cliquez ici pour déposer le fichier.

Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.

Copie-colle ce lien dans ta réponse.

Merci de l'aide !

Voici les rapports :

- OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201101/cijy2Pkz...

- Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201101/cijkxXbS...

Il y a des infections.

Télécharge et installe Malwarebytes' Anti-Malware.

Une fois le programme installé, lance-le.

Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour.

La mise à jour terminée, rends-toi dans l'onglet Recherche.

Sélectionne Exécuter un examen rapide.

Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme ton navigateur.

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (laisse coché) et clique sur Supprimer la sélection.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

C'est fait, par contre lorsque je devais supprimer la sélection, certaines n'étaient pas cochées ( 2 ou 3 ), j'ai donc laissé tel que c'était.

Voici le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5437

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01/01/2011 18:25:05
mbam-log-2011-01-01 (18-25-05).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 142324
Temps écoulé: 7 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
c:\WINDOWS\Isakaa.exe (Trojan.FraudPack.Gen) -> 2936 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.
c:\WINDOWS\system32\sshnas21.dll (Trojan.FraudPack.Gen) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa (PUP.Wpakill) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WHMDNR9LKK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FraudPack.Gen) -> Value: JP595IR86O -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\antiwpa.dll (PUP.Wpakill) -> Not selected for removal.
c:\WINDOWS\system32\sshnas21.dll (Trojan.FraudPack.Gen) -> Delete on reboot.
c:\WINDOWS\Isakaa.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Documents and Settings\Utilisateur\Local Settings\Temp\Ir2.exe (Trojan.FraudPack.Gen) -> Delete on reboot.
c:\Documents and Settings\Utilisateur\Local Settings\Temp\Ir1.exe (Trojan.FraudPack.Gen) -> Delete on reboot.
c:\documents and settings\utilisateur\local settings\Temp\sshnas21.dll (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\Ir0.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\Ir3.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\Ir4.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\Ir5.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\Ir6.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\Irz.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Relance Malwarebytes' Anti-Malware, va dans Quarantaine et supprime tout.

Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

:OTL
O4 - HKLM..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe File not found

:commands
[emptytemp]

Puis clique sur le bouton Correction en haut de la fenêtre.

Laisse le programme travailler, redémarre une fois le fix terminé.

Poste le rapport qui s'affichera après redémarrage.

Voici le rapport :

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DaemonTools_WhenUSave_Installer deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Utilisateur
->Temp folder emptied: 1368569410 bytes
->Temporary Internet Files folder emptied: 76295060 bytes
->Java cache emptied: 788914 bytes
->FireFox cache emptied: 65512710 bytes
->Flash cache emptied: 1846 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2362083 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1570990 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34313 bytes
RecycleBin emptied: 5193608 bytes

Total Files Cleaned = 1 450,00 mb


OTL by OldTimer - Version 3.2.20.0 log created on 01012011_183938

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_f4.dat moved successfully.

Registry entries deleted on Reboot...

Plus de souci ?

Non, plus aucuns !

Je te remercie infiniment pour ton aide !

1/

Télécharge DelFix sur ton Bureau.

Lance DelFix puis clique sur le bouton Suppression.

Poste le rapport (C:\DelFixSuppr.txt).

Supprime DelFix.

2/

Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).

Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....

Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


==Problème résolu ?==

--> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :

Clique, dans ton premier message, sur le bouton Editer .

Ajoute la mention [Résolu] devant le titre.

Clique ensuite sur Valider votre message.


 

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.9 - Rapport créé le 02/01/2011 à 13:48
# Mis à jour le 19/12/10 à 16h40 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Utilisateur - xxx (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Utilisateur\Mes documents\Downloads\Programs\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL

~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\OldTimer Tools

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [740 octets] ##########