Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1750 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Avalanche de pubs

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Avalanche de pubs

n°3274522
Phenix21
Posté le 29-05-2017 à 21:29:00  profilanswer
 

Bonjour à tous ! et particulièrement à toi monk ;)
 
J'ai le PC d'une collègue qui est vérolé, avec affichage d'une page de pub intempestive toutes les 30s... Du coup le PC est inutilisable !  
Malgré Maleware + adwcleaner, impossible de s'en débarasser.
 
Pourriez vous m'aider SVP ?
 
Ci joint les logs :
- adwcleaner :  http://www.cjoint.com/c/GEDtAcr4dOq
- maleware : http://www.cjoint.com/c/GEDtAGSWurq
- zhp diag : http://www.cjoint.com/c/GEDtA6J7z0q
- farbar : http://www.cjoint.com/c/GEDtBq55JKq
 
ZHP a trouvé çà : Adware.CrossRider, Adware.Wizzcaster, Adware.SpeeDownloader, et 2-3 autres trucs
 
Merci d'avance !

mood
Publicité
Posté le 29-05-2017 à 21:29:00  profilanswer
 

n°3274527
nnwldx
Posté le 29-05-2017 à 22:21:19  profilanswer
 

il devrait y avoir Monk qui devrait passer pour t'aider.
Le PC semble bien contaminé avec tout ce qui se lance au démarrage.
Le service Tower Photograph (gemeloki) me semble louche.

n°3274530
Phenix21
Posté le 29-05-2017 à 23:02:49  profilanswer
 

Le pire dans l'histoire, c'est que le PC en question tourne bien mieux depuis la première vague de nettoyage !

 

La fille de ma collègue a voulu télécharger des émoticônes, elle a du télécharger le mauvais fichier :D

n°3274536
AmigaOnly
Posté le 30-05-2017 à 00:10:02  profilanswer
 

Phenix21 a écrit :

Le pire dans l'histoire, c'est que le PC en question tourne bien mieux depuis la première vague de nettoyage !

 

La fille de ma collègue a voulu télécharger des émoticônes, elle a du télécharger le mauvais fichier :D

 

Pas forcément..

 

Le nom du programme m'échappe, mais il y a une surcouche d'émoticones qui existe depuis des années et souvent vantée,  et qui est vérolée avec des PUPS. A proscrire


Message édité par AmigaOnly le 30-05-2017 à 00:10:38

---------------
Only Amiga is... Heu.. was possible :-)
n°3274542
monk521
Posté le 30-05-2017 à 08:33:33  profilanswer
 

Salut,
 
Le PC est sévèrement vérolé ! Utiliser ce qui suit dans un premier temps.
 
 
 
 
==> ZHPFix
 
 

  • Télécharger et installer le programme ZHPFix


  • Puis, à partir du bureau, lancer le programme en faisant un clic droit de la souris sur son icône (une seringue) et en choisissant "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8/10).


    http://nsa37.casimages.com/img/2015/09/09/150909085308731908.png
 
 
     Attention, le script qui suit a été écrit spécifiquement pour l'ordinateur de Phenix21, il n'est pas
      transposable sur un autre ordinateur.

 
 
     Le temps de téléchargement du script a été volontairement limité à 4 jours.
 


 

  • Retourner sur ZHPFix et cliquer sur IMPORTER.


     http://nsa38.casimages.com/img/2015/08/27/150827105106541726.png
 
 

  • Dans la plupart des cas, le script se colle automatiquement dans la zone de script.
  • Dans le cas contraire, faire un clic droit de la souris dans la fenêtre de ZHPFix et choisir Coller.
  • Cliquer sur Go.


     http://nsa38.casimages.com/img/2015/08/27/150827105424673503.png
 
 

  • A la demande, confirmer le nettoyage des données en cliquant sur OUI.


     http://nsa37.casimages.com/img/2015/08/27/150827105943933081.png
 
 

  • Patienter le temps du traitement (le traitement peut être long suivant la quantité de données à supprimer).
  • ZHPFix va demander si vous souhaiter vider ta corbeille, accepter.  


     http://nsa38.casimages.com/img/2015/08/27/150827105847975433.png
 
 

  • Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau.  


        Note: le rapport se trouve aussi à cet emplacement,  
                Disque local C:\Utilisateurs\mon nom\AppData\Roaming\ZHP\ZHPFix[R1].txt

 

  • Fermer ZHPFix et redémarrer l'ordinateur (s'il ne redémarre pas de lui-même).


 

  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

n°3274543
leroimerli​nbis
Posté le 30-05-2017 à 08:37:46  profilanswer
 

Phenix21 a écrit :

Le pire dans l'histoire, c'est que le PC en question tourne bien mieux depuis la première vague de nettoyage !
 
La fille de ma collègue a voulu télécharger des émoticônes, elle a du télécharger le mauvais fichier :D


 
le problème, c'est que si elle continue de cette façon sans rien changer, windows sera infecté tous les 15 jours.

n°3274544
monk521
Posté le 30-05-2017 à 08:43:14  profilanswer
 

leroimerlinbis a écrit :


 
le problème, c'est que si elle continue de cette façon sans rien changer, windows sera infecté tous les 15 jours.


J'ai oubliè de le dire justement. Je mettrai à la fin de la désinfection quelques conseils qu'il faudrait vraiment lire.

n°3274557
nex84
Dura lex, sed lex
Posté le 30-05-2017 à 10:01:25  profilanswer
 

monk521 a écrit :


J'ai oubliè de le dire justement. Je mettrai à la fin de la désinfection quelques conseils qu'il faudrait vraiment lire suivre.


corrigé
 [:moundir]


Message édité par nex84 le 30-05-2017 à 10:01:38

---------------
Come to the Dark Side, we have cookies.
n°3274559
Phenix21
Posté le 30-05-2017 à 10:02:33  profilanswer
 

Merci Monk, je lance la désinfection des que possible

 

La collègue a ce pc depuis 2 ans, c'est la première fois qu'il est vérolé. Et je crois que sa fille a compris, ça fait 1 mois qu'elle n'a plus l'ordi

n°3274564
leroimerli​nbis
Posté le 30-05-2017 à 10:14:06  profilanswer
 

Phenix21 a écrit :

Merci Monk, je lance la désinfection des que possible
 
La collègue a ce pc depuis 2 ans, c'est la première fois qu'il est vérolé. Et je crois que sa fille a compris, ça fait 1 mois qu'elle n'a plus l'ordi


 
c'est pas une solution non plus.
il vaudrait mieux que quelqu'un lui apprenne les bases pour utiliser correctement windows sans choper de merdes

mood
Publicité
Posté le 30-05-2017 à 10:14:06  profilanswer
 

n°3274865
Phenix21
Posté le 01-06-2017 à 21:56:04  profilanswer
 

Bonsoir à tous !
 
Désinfection lancée, même s'il a fallu lancer 2 fois le script. J'attends le redémarrage du PC
Ci joint le lien du rapport : http://www.cjoint.com/c/GFbt1x7Fkgq
 
PS : pourquoi 7zip est supprimé du démarrage ?  
SUPPRIMÉ Redémarrage:** C:\Program Files\7-Zip
 
 
Edit : eh m...., des pubs IE sont réapparues...
 
Edit2 : les nouveaux logs de scan :
- ZHP : http://www.cjoint.com/c/GFbutKmzc0q
- FRST :  http://www.cjoint.com/c/GFbut5TXeRq
- Addition : http://www.cjoint.com/c/GFbuuoeK65q
 
Merci !

Message cité 1 fois
Message édité par Phenix21 le 01-06-2017 à 22:20:23
n°3274867
nnwldx
Posté le 01-06-2017 à 22:49:07  profilanswer
 

ca doit être le processus NwhUekPvdK.exe qui se lance au démarrage qui doit te mettre la misère.

n°3274871
Phenix21
Posté le 01-06-2017 à 23:04:10  profilanswer
 

Bizarre, google ne connait même pas ce processus !

n°3274873
nnwldx
Posté le 01-06-2017 à 23:09:59  profilanswer
 

C'est un nom aléatoire pour être plus difficilement détectable.

n°3274936
monk521
Posté le 02-06-2017 à 12:05:04  profilanswer
 

Phenix21 a écrit :


PS : pourquoi 7zip est supprimé du démarrage ?  
SUPPRIMÉ Redémarrage:** C:\Program Files\7-Zip


Il y a tellement d'infections que je l'ai supprimé par mégarde. Tu peux le réinstaller.
 
 
 
On continue le nettoyage...
 
 
Tout d'abord, désinstaller ce programme : Adblocker, c'est un adware.
 
Puis, utiliser le script suivant :
 
 
==> FRST Correction :
 
 

  • Appuyer sur les touches du clavier Windows et r.
  • Dans la fenêtre, écrire: notepad (voir image ci-dessous).
  • Cliquer sur OK.


       http://nsa38.casimages.com/img/2015/08/27/150827070811374213.png
 
 

  • Le bloc-notes s'ouvre.  


 

  • Copier maintenant toutes les lignes en gras ci-dessous:


    Note: pour copier toutes les lignes, griser de haut en bas toutes les lignes en restant appuyer sur le  
            clic gauche de la souris. Puis faire un clic droit de la souris et choisir
Copier.
 
 

CloseProcesses:
CreateRestorePoint:
EmptyTemp:
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [CJQMSIQ03BVTC14] => "C:\Program Files\YSN7N6FUD8\YSN7N6FUD.exe"
C:\Program Files\YSN7N6FUD8
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [S0HZAJY9EQSJSKU] => "C:\Program Files\KPAP9YO0IU\KPAP9YO0I.exe"
C:\Program Files\KPAP9YO0IU
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [EI8LE7G7ID3BJQW] => "C:\Program Files\CWRMJZLN77\3SAAR5KSV.exe"
C:\Program Files\CWRMJZLN77
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [PM32HF3Y49BE905] => "C:\Program Files\LZZXZ5HTOB\082OUJLOS.exe"
C:\Program Files\LZZXZ5HTOB
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [MJKEIA870WV9E60] => "C:\Program Files\H4524Y3E57\H4524Y3E5.exe"
C:\Program Files\H4524Y3E57
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [JAJMEYZ3HP2ACH1] => "C:\Program Files\2ABAZAWLGO\2ABAZAWLG.exe"
C:\Program Files\2ABAZAWLGO
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [SC6G65S3E28DZVV] => "C:\Program Files\04J66ZH7M0\04J66ZH7M.exe"
C:\Program Files\04J66ZH7M0
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [FP45E1USEN3QQ97] => "C:\Program Files\FPVA5RH7T9\FPVA5RH7T.exe"
C:\Program Files\FPVA5RH7T9
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [78K2ME30M2SFF4U] => "C:\Program Files\V954MBARBT\V954MBARB.exe"
C:\Program Files\V954MBARBT
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [FZ6MUQ3GP9443DS] => "C:\Program Files\U2ULYTXP3X\U2ULYTXP3.exe"
C:\Program Files\U2ULYTXP3X
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [UPN365EXX171R6W] => "C:\Program Files\WQS8PETOZP\9FZNXDZPZ.exe"
C:\Program Files\WQS8PETOZP
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [2NRM7NKK5TD14DK] => "C:\Program Files\RFFWDZO724\IBXJL5MCQ.exe"
C:\Program Files\RFFWDZO724
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [5XPJMV8J0TKQN2R] => "C:\Program Files\GF378GR8LS\07Y8GJTTE.exe"
C:\Program Files\GF378GR8LS
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [97OH14WHVURG5SX] => "C:\Program Files\8DYBJ9418M\8DYBJ9418.exe"
C:\Program Files\8DYBJ9418M
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [O5J29B7XS0IFUHW] => "C:\Program Files\6B3PRUSOO8\6B3PRUSOO.exe"
C:\Program Files\6B3PRUSOO8
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [36GP11HXECZ0QJ6] => "C:\Program Files\198X0TBNYE\VNP4SX16T.exe"
C:\Program Files\198X0TBNYE
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [TJV5V0ZH98FTEEM] => "C:\Program Files\TNWTK6S452\TNWTK6S45.exe"
C:\Program Files\TNWTK6S452
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [NwhUekPvdK.exe] => C:\Program Files\InstallShield Installation Information\2X3T25AHM5BFYEO0T4P26MX9O0QAMCCTDU6Y1QRHS4PQO6JFSWDTJMSPA4EBOA5\NwhUekPvdK.exe [519168 2017-04-26] (bhim)
HKLM\...\Providers\hgsamczs: C:\Program Files\Aritey Schedule\local32spl.dll [282624 2017-04-19] ()
2017-06-01 21:50 - 2017-04-19 21:20 - 00000000 ____D C:\Program Files\Aritey Schedule
ShellExecuteHooks: Pas de nom - {6AECE236-233F-11E7-8797-64006A5CFC23} - C:\Program Files\Lsitanafach\Chikoiedplunpy.dll -> Pas de fichier
C:\Program Files\Lsitanafach
FF Extension: (Disable Prefetch) - C:\Users\Elodie\AppData\Roaming\Mozilla\Firefox\Profiles\ro3tdvdr.default\features\{aa5ba61f-8b80-405f-8fda-fde3129605ad}\disable-prefetch@mozilla.org.xpi [2017-04-05]
FF SearchPlugin: C:\Users\Elodie\AppData\Roaming\Mozilla\Firefox\Profiles\ro3tdvdr.default\searchplugins\dj5tfawq.xml [2017-04-19]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\161088437.js [2017-04-19]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2016-03-14]
FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\firefox.js [2017-04-19]
FF ExtraCheck: C:\Program Files\mozilla firefox\161088437.cfg [2017-04-19]
CHR DefaultSearchKeyword: Default -> yahoo.com
CHR DefaultSearchURL: Default -> hxxp://searche-engine.ru/?ref=mgykk&q={searchTerms}&subId=cmi_chrome
OPR Extension: (Pas de nom) - C:\Users\Elodie\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-04-19]
R1 cryptfd; C:\WINDOWS\System32\drivers\cryptfd.sys [176552 2017-03-03]
C:\WINDOWS\System32\drivers\cryptfd.sys
R0 flowhlp; C:\WINDOWS\System32\drivers\flowhlp.dat
C:\WINDOWS\System32\drivers\flowhlp.dat
R1 NetUtils2016; C:\WINDOWS\system32\drivers\NetUtils2016.sys
C:\WINDOWS\system32\drivers\NetUtils2016.sys
2017-05-29 10:30 - 2017-06-01 21:57 - 00514488 _____ C:\WINDOWS\system32\NetUtils2016.dll
2017-05-29 01:31 - 2017-05-29 01:33 - 00000000 ____D C:\Users\TEMP
2017-05-28 11:27 - 2017-05-05 23:23 - 00797672 _____ (????????????) C:\Users\Elodie\AppData\Local\FlowSprit.dll
2017-05-28 11:27 - 2017-05-05 23:23 - 00516072 _____ (????????????) C:\Users\Elodie\AppData\Local\uninst.tmp
2017-05-05 23:23 - 2017-05-05 23:23 - 00134248 _____ C:\WINDOWS\system32\Drivers\flowhlp.dat
2017-05-28 10:42 - 2017-04-19 22:28 - 00000000 ____D C:\Program Files\Lerjudom
2017-05-05 23:14 - 2017-04-22 12:25 - 00000000 ____D C:\Program Files\lll
2017-04-21 21:16 - 2017-04-21 21:16 - 0000000 _____ () C:\Users\Elodie\AppData\Local\{53E51C64-DC0F-4832-887F-282720191F64}
Task: {4CF1A98A-E93C-4800-A6B7-CC8E2CC8BC9D} - System32\Tasks\{8F0EBAB6-2064-8F29-B0A4-59D1C6B0FD2E} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\fcf62f8b\cde826e2.dll"
C:\PROGRA~2\fcf62f8b
Folder: C:\Users\TEMP

 
 

  • Retourner dans le bloc-notes ouvert et au milieu de la page, faire un clic de la souris et choisir Coller (toutes les lignes vont s'inscrire).  


  • Dans l'entête du bloc-notes, cliquer sur Fichier, puis Enregistrer sous ... et selectionner Bureau.  

        Dans la case Nom du fichier, écrire fixlist et cliquer sur Enregistrer.  
 
 

  • Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".


  • Cliquer sur Corriger


     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
    http://nsa37.casimages.com/img/2015/08/27/150827070424411616.png
 
 

  • Une fois le PC redémarré, un rapport Fixlog.txt a été créé sur le Bureau.


  • Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.


Message édité par monk521 le 02-06-2017 à 16:13:17
n°3275015
Phenix21
Posté le 03-06-2017 à 08:57:46  profilanswer
 

Salut Monk !
 
Le rapport : http://www.cjoint.com/c/GFdgUpLtItq
Ca a l'air pas mal du tout, il n'y a plus de pub qui s'affichent après 10 min, merci beaucoup !

n°3275030
monk521
Posté le 03-06-2017 à 11:35:57  profilanswer
 

Ça devrait aller oui. Il ne reste plus qu'à prodiguer quelques conseils essentiels (fais passer le message). ;)  
 
 
 
 
==> Quelques conseils :    
 
 

  • Ne télécharger pas de programmes sur des sites douteux ou sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft. Ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers, rogues).  


  • Préférer les téléchargements chez l'éditeur du programme (le site officiel).  


  • Lors de l'installation d'un programme, lire attentivement ce qui est proposé, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles, ou cliquer sur Skip (Passer).


  • Filtrer les publicités malicieuses (malvertising) qui peuvent installer des malwares à l'aide du programme Adblock Plus.  


        Pour chaque navigateur internet concerné, copier l'adresse du lien qui se trouve ci-dessous (en faisant un
        clic droit de la souris + copier l'adresse du lien), puis ouvrir le navigateur et coller le lien dans la barre
        d'adresse (clic droit + coller). Installer ensuite Adblock Plus.

 
         - pour Edge
         - pour Internet Explorer
         - pour Mozilla
         - pour Google Chrome  
         - pour Opéra
 

  • Attention aux fausses mises à jour, plugins et faux codecs qui sont proposés notamment sur des sites de jeux, de streaming ou de charmes, vous n'avez pas besoin d'installer ces programmes.


  • Au niveau des mails et des réseaux sociaux, soyez prudent, n'ouvrez pas des pièces jointes et ne cliquer pas sur des liens dont le contenu des messages ou l'expéditeur est douteux. Attention également à certains mails que l'on appelle phishing, ceux-ci vont vous rediriger vers des sites imités (vérifier l'adresse Url de ces sites).  

 

  • Cracks: refuser de télécharger et d'utiliser illégalement des œuvres protégés par un copyright (non libre de droits). En plus d’être passible de sanctions vis-à-vis de la loi (Hadopi), ces œuvres piratées en provenance du réseau du P2P, du Direct Down Load ou par tout autre biais sont la source des infections les plus graves.


  • Scanner (analyser) régulièrement son PC avec son antivirus résident et vérifier que la base de signatures virales est à jour afin de détecter les derniers malwares présents sur le net.  


  • Sauvegarder sur un disque dur externe vos données personnelles (documents, images, vidéo, musiques) au cas où une panne sérieuse arriverait et empêcherait le PC de redémarrer, ou qu'un malware supprime ou crypte de façon irréversible ces données (sauvegarder sur un disque dur externe non connecté en permanence au PC).


  • Renforcer la sécurité face aux ranso-cryptowares en utilisant le programme Marmiton de Malekal (cliquer sur Modifier pour désactiver Windows Script Host).


 
 :hello:  

n°3275079
Phenix21
Posté le 03-06-2017 à 22:27:42  profilanswer
 

Merci beaucoup à tous !
Et message transmis pour les conseils


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Avalanche de pubs

 

Sujets relatifs
Pubs qui s'affiche continuellementouverture des pubs a tout va
Portable infecté - pubs intempestives et lenteursJ'ai des pubs qui apparaisses sur steam
Pubs sur steamproblème de pubs intempestives
pubs sur l'appmication steamoffert4U des pubs sans cesses
Ordi plein de pubs :-Besoin d'aide pour pubs chrome
Plus de sujets relatifs à : Avalanche de pubs



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR