Security-X

Forum Security-X => Désinfections => Discussion démarrée par: dagmey le janvier 05, 2015, 09:04:14

Titre: pubs & pages [ RESOLU]
Posté par: dagmey le janvier 05, 2015, 09:04:14
bonjour
malgré adblock ,je suis envahi de pub,des pages qui s'ouvrent les unes derrière les autres sans rien demander
mon système est Windows 7 en 64 bits
merci
Titre: Re : pubs & pages
Posté par: hyunkel30 le janvier 05, 2015, 18:57:05
Bonsoir,

Ce ne sont pas des pubs qu'un bloqueur peut empêcher, ce sont des adwares, logiciels publicitaires installés "volontairement" car les utilisateurs de ce pc ne sont pas assez vigilants et ne décochent pas les sponsors proposés lors de l'installation de certains programmes "gratuits"

à faire pour préparer le nettoyage :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)

Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Poste les deux rapports générés.

Titre: Re : pubs & pages
Posté par: dagmey le janvier 05, 2015, 21:45:10
bonsoir
voici en principe le rapport
http://up.security-x.fr/file.php?h=R6a1c3b17f542356bb628bfa4c40daba9
http://up.security-x.fr/file.php?h=R78f3462334edd88271245f5e555f6046

Titre: Re : pubs & pages
Posté par: hyunkel30 le janvier 06, 2015, 15:01:08
Re,

à suivre :


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 31
- Java 7 Update 7 (versions obsolètes et vulnérables tu possèdes une plus récente)

- Game Master 2.1 Toolbar (barre d'outil sponsorisée par un adware)
- FileConverter 1.5 Toolbar (idem)
- Shopping Helper Smartbar Engine (adware)
- WebAdSystem (idem)



Code: [Sélectionner]
start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_fr_351] => [X]
HKU\S-1-5-21-1814201530-556698652-2204207854-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1814201530-556698652-2204207854-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50386;https=127.0.0.1:50386
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418553467&from=nsbfr&uid=ST9500325AS_6VEG4YABXXXX6VEG4YAB
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418553467&from=nsbfr&uid=ST9500325AS_6VEG4YABXXXX6VEG4YAB
HKU\S-1-5-21-1814201530-556698652-2204207854-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418553467&from=nsbfr&uid=ST9500325AS_6VEG4YABXXXX6VEG4YAB&q={searchTerms}
HKU\S-1-5-21-1814201530-556698652-2204207854-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418553467&from=nsbfr&uid=ST9500325AS_6VEG4YABXXXX6VEG4YAB
HKU\S-1-5-21-1814201530-556698652-2204207854-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418553467&from=nsbfr&uid=ST9500325AS_6VEG4YABXXXX6VEG4YAB&q={searchTerms}
SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://Vosteran.com/results.php?f=4&q={searchTerms}&a=vst_tele_14_51_ie&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyDtCyC0F0F0CtB0E0FtC0EtN0D0Tzu0StCtDzztAtN1L2XzutAtFyCtFtCtDtFyBtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EyByBtCyEyBtAtGyEyE0F0EtGtAyDtAyCtG0C0B0EtBtGyDyB0BzyyD0BzztCyC0B0B0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDzzyCzyyEtD0BtCtG0F0Ezy0AtGyEtC0CzztGzytCtBtAtGzztC0DtDyByB0AtD0F0AtA0A2Q&cr=935379769&ir=
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
SearchScopes: HKU\S-1-5-21-1814201530-556698652-2204207854-1000 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO-x32: Game Master 2.1 Toolbar -> {22dfbf5b-a7cd-4b25-9471-3dc68c71855f} -> C:\Program Files (x86)\Game_Master_2.1\prxtbGame.dll (Conduit Ltd.)
BHO-x32: FileConverter 1.5 Toolbar -> {cfcb809c-3a22-4616-a916-6c007bd9d920} -> C:\Program Files (x86)\FileConverter_1.5\prxtbFile.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - Game Master 2.1 Toolbar - {22dfbf5b-a7cd-4b25-9471-3dc68c71855f} - C:\Program Files (x86)\Game_Master_2.1\prxtbGame.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - FileConverter 1.5 Toolbar - {cfcb809c-3a22-4616-a916-6c007bd9d920} - C:\Program Files (x86)\FileConverter_1.5\prxtbFile.dll (Conduit Ltd.)
Hosts: 54.225.95.126 fhajokkdlhllmgenmniigcnlefjakobn
Tcpip\..\Interfaces\{02CE46C6-391C-451A-94A5-8B667000EE43}: [NameServer] 31.168.224.100,5.135.12.56
Tcpip\..\Interfaces\{23FEAC58-1898-4542-AFC4-B0CF48E7EFB6}: [NameServer] 31.168.224.100,5.135.12.56
CHR HomePage: Default -> hxxp://www.searchqu.com
CHR StartupUrls: Default -> "hxxp://www.searchqu.com", "hxxp://search.babylon.com/?affID=115313&tt=120912_cpc_3812_5&babsrc=HP_ss&mntrId=3eca6d4c0000000000000022431ece47", "hxxp://www.qvo6.com/?utm_source=b&utm_medium=gfl&utm_campaign=eXQ&utm_content=hp&from=gfl&uid=395049983_2101041_3ECA6D4C&ts=1381165124", "hxxp://www.google.com", "hxxp://r.orange.fr/r/Ohome_portail?ref=O_OI_defaultPage_CH", "hxxp://www.istartsurf.com/?type=hp&ts=1410452309&from=smt&uid=IC25N060ATMR04-0_MRA301KJH3YTLHH3YTLHX", "hxxp://www.istartsurf.com/?type=hp&ts=1410452432&from=smt&uid=IC25N060ATMR04-0_MRA301KJH3YTLHH3YTLHX", "about:newtab?source=home", "hxxp://search.certified-toolbar.com?si=77302&st=home&tid=18195&ver=5.7&ts=1410453214750&tguid=77302-18195-1410453214750-A1282F2A2B57D7385B24BD9CC425CCC2", "hxxp://www.google.fr/"
CHR Extension: (bjgfdlplhmndoonmofmflcbiohgbkifn) - C:\Users\Paul\AppData\Local\Google\Chrome\User Data\Default\Extensions\bjgfdlplhmndoonmofmflcbiohgbkifn [2015-01-01]
CHR Extension: (Лев) - C:\Users\Paul\AppData\Local\Google\Chrome\User Data\Default\Extensions\cahldieiadhbgbnknbhiedbpaeahmkfa [2015-01-03]
CHR Extension: (cgbhdenfmgbagncdmgbholejjpmmiank) - C:\Users\Paul\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgbhdenfmgbagncdmgbholejjpmmiank [2015-01-02]
CHR Extension: (cpofbbgoaeoiiagmlfkkipjmggkedgic) - C:\Users\Paul\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpofbbgoaeoiiagmlfkkipjmggkedgic [2015-01-02]
CHR Extension: (jobehlihkogkaopjdeomandehpjiljjn) - C:\Users\Paul\AppData\Local\Google\Chrome\User Data\Default\Extensions\jobehlihkogkaopjdeomandehpjiljjn [2015-01-02]
CHR Extension: (mhgknbehalhkedjgfhiaindklahhkccc) - C:\Users\Paul\AppData\Local\Google\Chrome\User Data\Default\Extensions\mhgknbehalhkedjgfhiaindklahhkccc [2015-01-02]
2015-01-02 23:17 - 2015-01-02 23:17 - 00526864 _____ () C:\Users\Paul\Downloads\web_of_trust_wot-20131118-fx (5).xpi
2015-01-02 23:17 - 2015-01-02 23:17 - 00526864 _____ () C:\Users\Paul\Downloads\web_of_trust_wot-20131118-fx (4).xpi
2015-01-02 23:16 - 2015-01-02 23:16 - 00526864 _____ () C:\Users\Paul\Downloads\web_of_trust_wot-20131118-fx (3).xpi
2015-01-02 23:03 - 2015-01-02 23:03 - 00526864 _____ () C:\Users\Paul\Downloads\web_of_trust_wot-20131118-fx (2).xpi
2015-01-02 23:02 - 2015-01-02 23:02 - 00526864 _____ () C:\Users\Paul\Downloads\web_of_trust_wot-20131118-fx (1).xpi
2015-01-02 14:58 - 2015-01-02 14:58 - 00003278 _____ () C:\Windows\System32\Tasks\fwJ0F9KJw43f2dd
2015-01-02 14:58 - 2015-01-02 14:58 - 00003238 _____ () C:\Windows\System32\Tasks\PWQPXk9SNXiPl0j
2015-01-02 14:58 - 2015-01-02 14:58 - 00000000 ____D () C:\Users\Paul\AppData\Roaming\w3w5WNr
2015-01-02 14:58 - 2015-01-02 14:58 - 00000000 ____D () C:\Users\Paul\AppData\Roaming\Genvy44
2014-12-17 23:51 - 2014-12-17 23:51 - 01996768 _____ (smart-saverplus) C:\Users\Paul\AppData\Roaming\ZQCCSEF.exe
2014-12-17 23:47 - 2014-12-17 23:47 - 01318880 _____ (Cinema HDV15.12) C:\Users\Paul\AppData\Roaming\WWJ.exe
2014-12-17 23:46 - 2014-12-17 23:46 - 01945568 _____ (Cinema HDV15.12) C:\Users\Paul\AppData\Roaming\BZLQPG.exe
2014-12-17 23:43 - 2014-12-17 23:43 - 00570623 _____ (Setup process) C:\Windows\SysWOW64\webplayer_uninstall.exe
2014-12-17 23:08 - 2014-12-17 23:08 - 01545696 _____ (end) C:\Users\Paul\AppData\Roaming\ZRT.exe
2014-12-17 23:07 - 2014-12-17 23:07 - 02031584 _____ (end) C:\Users\Paul\AppData\Roaming\PFHQ.exe
C:\Program Files (x86)\Game_Master_2.1
CustomCLSID: HKU\S-1-5-21-1814201530-556698652-2204207854-1000_Classes\CLSID\{939A0D04-0E07-48FE-A463-6623B70C3A96}\localserver32 -> "C:\Users\Paul\AppData\Local\Conduit\ValueApps\IE\64\ValueApps.exe" No File
54.225.95.126 fhajokkdlhllmgenmniigcnlefjakobn
Task: {1EF0B5ED-EDF5-4B8F-9E55-A02736915E54} - System32\Tasks\{3F037929-7932-496B-8F5F-B22CE7612166} => pcalua.exe -a C:\ProgramData\TVWizard\uninstall.exe -c /kb=y /ic=1 <==== ATTENTION
Task: {24ACD4E8-A68B-4008-813C-9A960CC1B218} - System32\Tasks\WIN-statsSystem => C:\Users\Paul\AppData\Local\Microsoft\WinU\~fiokyvz.exe [2014-10-01] ()
Task: {2A22634E-49EF-4E6A-BCC8-5BB742210306} - System32\Tasks\fwJ0F9KJw43f2dd => C:\Users\Paul\AppData\Roaming\w3w5WNr\pIbX795.exe [2015-01-02] ( )
Task: {2C6959D1-919E-4534-8A0E-EF6E93C903BF} - System32\Tasks\{518E0560-6AC2-4F69-9C35-385D5907EE3D} => pcalua.exe -a C:\ProgramData\Websteroids\uninstall.exe -c /kb=y /ic=2
Task: {50A9F0BE-69D3-4C79-87DD-EDFB5E3DDEDC} - System32\Tasks\PWQPXk9SNXiPl0j => C:\Users\Paul\AppData\Roaming\Genvy44\2DYFx6F.exe [2015-01-02] ( )
Task: {2C4EC0BF-FB2F-48BA-94D2-929913CC5625} - System32\Tasks\DoctorPC_Start => C:\Program Files (x86)\Doctor PC\DoctorPC.exe
Task: {5A2BB5A8-8465-485B-A72D-B09FBA8308A7} - System32\Tasks\DoctorPC_Popup => C:\Program Files (x86)\Doctor PC\Splash.exe
Task: {6FDEA261-8B8D-4E98-A0E6-CAC9DEB8718F} - System32\Tasks\{CE4EAA3A-FE26-48E8-BB02-33687C50C99C} => pcalua.exe -a C:\Users\Paul\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=ill
Task: {824FED1D-C35B-4C8F-8A18-A3A534D358E8} - System32\Tasks\WIN-GGfIfEGCfEGbGffIfCfEGC => C:\Users\Paul\AppData\Roaming\~wtkfadp.exe
Task: {A55D63AA-2B19-46BF-B3EB-8EA2399C12A3} - System32\Tasks\Jpr0hUCafbRRSUx => C:\Users\Paul\AppData\Roaming\DSXGpl3\5SCl4ye.exe [2014-11-23] ( )
Task: {F7AA4972-796F-4354-A4AC-585EB3471CAF} - System32\Tasks\WIN-statsAdmin => C:\Users\Paul\AppData\Local\Microsoft\WinU\~ykghoqi.exe [2014-08-06] () <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:3E7393FC
C:\Program Files (x86)\Iminent
C:\Users\Paul\AppData\Roaming\DSXGpl3
C:\Users\Paul\AppData\Roaming\~wtkfadp.exe
C:\Users\Paul\AppData\Roaming\webssearches
C:\Program Files (x86)\Doctor PC
C:\Users\Paul\AppData\Roaming\Genvy44
C:\ProgramData\Websteroids
C:\Users\Paul\AppData\Local\Microsoft\WinU
C:\Users\Paul\AppData\Roaming\w3w5WNr
C:\ProgramData\TVWizard
C:\Users\Paul\AppData\Local\Conduit
end/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\


Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.

Titre: Re : pubs & pages
Posté par: dagmey le janvier 06, 2015, 15:46:21
voici le rapport
http://up.security-x.fr/file.php?h=R85166f23a816e0cdbf904d36a6c19997
pour adwcleaner http://up.security-x.fr/file.php?h=Reef35c293870c47e5c2a2bb80bc786b7

je n"ai pu désinstaller que java TM 6 Update 31
Titre: Re : pubs & pages
Posté par: hyunkel30 le janvier 06, 2015, 19:40:50
Re,

Pas grave pour Java,

Pour continuer la procédure :

Relance Adwcleaner

Ferme toutes les applications en cours (notamment ton navigateur)/!\

Titre: Re : pubs & pages
Posté par: dagmey le janvier 06, 2015, 20:40:44
re
http://up.security-x.fr/file.php?h=Rfd68d4d8ef11419ef69ad058157acb6b
Titre: Re : pubs & pages
Posté par: hyunkel30 le janvier 07, 2015, 14:31:48
Re,

ok pour le rapport.

Comment se comporte le pc à présent ?
Y'a-t-il encore des soucis de pubs ?
Titre: Re : pubs & pages
Posté par: dagmey le janvier 07, 2015, 14:40:35
bonjour
à priori bien plus de mélange , plus de pub ,plus de déroulement de pages
y a t'il un logiciel qui empêche les adwardes
le PC est celuui de mon petit fils
merci
Titre: Re : pubs & pages
Posté par: hyunkel30 le janvier 07, 2015, 14:52:02
Re,

Pas vraiment, non, c'est un travail de vigilance, je vais te donner quelques liens à lire et un logiciel pour qu'il s'exerce :

Tout d'abord pour nettoyer les outils utilisés :

Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.

Titre: Re : pubs & pages
Posté par: dagmey le janvier 07, 2015, 15:35:50
re
http://up.security-x.fr/file.php?h=Ra6204452c5d3f3f6503dfff6ba7b5753 

merci d'avoir dépanné l'ordi de mon petit fils
à bientôt