Navigateur web infesté de publicités [Résolu]

[r@in | b0w]

Coucou tout le monde.

J'ai récupéré le PC d'une amie et, entre 3 clients, je regarde le souk.

Infection exceptionnelle avec bannières de publicités pour télécharger antivirus et autres outils de désinfection à chaque navigation. L'infection rajoute dans les résultats Google des lignes en plus (une dizaine) qui doivent conduire vers des cochonneries. Un PC zombie ?

J'ai passé Mbam qui a trouvé 200+ infections (impossible d'attacher le fichier car extension en XML et, si je le convertis en TXT, refus d'up : identifié comme un éventuel vecteur d'attaque).

Ensuite, j'ai installé un AV, Avast (si si, y'avait rien avant on dirait...) :'(

Voici le rapport ODT

OTL.Txt

, j'ai l'impression avant Avast et MBAM que l'infection n'est plus installée mais j'ai toujours des soucis pour installer par exemple l'add-on AdBlock sur Chrome.

C'est grave docteur ?

Merci en tout cas

[Pac428]

c'est quand-même terrible ...

dès qu'on te passe un PC, il est plein comme un œuf ^^

Enfin bon, content de te voir passer R@in | b0w

++

[r@in | b0w]

HAHA, si tu savais.

Sous prétexte que tu bosses dans le web, tu dois savoir installer une imprimante, désinfecter un ordinateur et connaître tous les OS mobiles...

Difficile de dire non quand des amis te demandent un coup de main... Hum

[HexCrunch]

Hello,

Ouh la la, quel bazar

Je prends en charge ton sujet.

Tu peux m'indiquer:

L'OS
Si tu possèdes un support de restauration
Et tu peux m'uploader le fichier de MBAM sur CJoint, ou en extension ZIP... ?


Je regarde tes rapports, tu m'indiques ce que j'ai demandé et on commence la désinfection.
++

[r@in | b0w]

Hello Wahib.

Alors OS Win7 édition familiale.

Support de restauration inconnu mais OSEF (ne t'inquiète pas).

Pour le rapport MBAM, voici

[HexCrunch]

Hola.

Le pc a quelques infections ici et là, MBAM a fait du bon boulot je dirais. Je suspecte une infection plus au moins subtile.
Fais ceci:

Fix TDSSKiller:

• Télécharge TDSS Killer (de Kaspersky) sur ton Bureau.
  
• Lance TDSS, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Clique sur Change parameters
• Coche Loaded modules
• Clique sur Ok
• Clique sur Reboot now
  
  Note : après le redémarrage
  
  
• Un message pour exécuter l'outil va apparaître, clique sur Oui
• Clique sur Change paramètres
• Coche les cases suivante
  
  • Verify file digital signatures
  • Detect TDLFS file system
• Clique sur Ok
• Clique sur Start scan
  
  ~~ Tutoriel en image ~~
  
  
• Si aucune menace n'est détectée :
  
  • Dit le moi simplement dans ta réponse.
• Si des menaces sont détectées :
  
  • Vérifie que les options suivantes sont bien appliqués
  • Si TDSS.tdl2 est détecté, l'option par défaut est delete
  • Si TDSS.tdl3 est détecté, l'option par défaut est Cure
  • Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
  • Si Suspicious object est indiqué, l'option par défaut est Skip
  • Puis, clique sur Reboot now.
• Une fois le scan terminé rends toi dans ton disque dur (en général C:\...), le fichier TDSSKiller.¤¤¤¤ log.txt à été créé.
  
• Héberge le rapport TDSSKiller.¤¤¤¤ log.txt sur , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Fix OTL:

• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
• Colle les lignes copier au ci dessus dans la partie inférieure d'OTL "Personnalisation"
  

  Code: Tout sélectionner

  IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {80c554b9-c7f8-4a21-9471-06d606da78a2}
IE - HKLM\..\SearchScopes,DefaultScope = {80c554b9-c7f8-4a21-9471-06d606da78a2}
IE - HKU\S-1-5-21-2194920797-2633709166-2513754232-1000\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-2194920797-2633709166-2513754232-1000\..\SearchScopes\{FEC55ACD-5DDC-434D-AEC5-6CC79DA61C2D}: "URL" http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=349
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2010/04/12 22:39:13 | 000,131,472 | ---- | C] () -- C:\ProgramData\FullRemove.exe
[2014/06/19 17:16:21 | 000,113,264 | ---- | C] () -- C:\Windows\FixUVC.exe
2014/09/30 11:15:46 | 000,000,128 | ---- | C] () -- C:\Users\Acer\AppData\Roaming\WB.CFG
[2014/10/10 07:40:16 | 000,000,010 | ---- | C] () -- C:\Users\Acer\AppData\Local\DSI.DAT
[2015/05/11 11:43:41 | 000,000,004 | ---- | C] () -- C:\Users\Acer\AppData\Roaming\appdataFr2.bin
[2014/06/20 09:18:58 | 000,085,616 | ---- | M] () -- C:\Users\Acer\AppData\Local\GDIPFONTCACHEV1.DAT
@Alternate Data Stream - 64 bytes -> C:\Users\Acer\Desktop\OTL.exe:$CmdTcID
@Alternate Data Stream - 26 bytes -> C:\Users\Acer\Desktop\OTL.exe:$CmdZnID
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:4D066AD2

  
  
• Clique sur Correction
  
  
  
  
• OTL peut te demander de redémarrer, fais le.
• Une fois le scan terminé 1 rapport va s'ouvrir ¤¤¤¤¤¤¤¤¤¤¤.log.
• Copie et colle le contenu du rapport sur le forum.
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Fix JRT:

• Télécharge Junkware Removal Tool (de thisisu) sur ton bureau.
• Lance Junkware Removal Tool, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Appuie sur n'importe quelle touche.
  
  
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier JRT.txt à été créé.
  
• Héberge le rapport JRT.txt surSosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Fix AdwCleaner:

• Télécharge AdwCleaner (de Xplode) sur ton Bureau !
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista, sinon double-clique pour XP
  
  1. Choisis l'option Scanner
  2. Choisis l'option Nettoyer
• Accepte l'avertissement en cliquant sur OK
  
  
  
• Accepte les avertissements/informations en cliquant sur OK
• Le programme va redémarrer ton PC,
• Au redémarrage un rapport s'affiche, enregistre le sur ton bureau,
• Héberge le rapport AdwCleaner[S0].txt.

Note : Une copie du rapport ce trouve à  la racine de ton disque dur : C:\AdwCleaner\AdwCleaner[S0].txt


___________________________

Fais moi à la fin un nouveau contrôle OTL.
Sont attendus les rapports:

• MBAM
• TDSSKiller
• OTL Fix
• JRT
• AdwCleaner
• Le contrôle OTL

Fais moi signe en cas de problèmes.

A+

[H3bus]

Haha, sympa de voir r|b repasser ici, de l'autre coté de la barrière cette fois ci. Bon courage pour la désinfection...

[r@in | b0w]

Haha, sympa de voir r|b repasser ici, de l'autre coté de la barrière cette fois ci. Bon courage pour la désinfection...

A chaque fois que je repasse, c'est pour "aider" les autres et comme je suis totalement out niveau désinfection, je fais le noob.

Je t'avoue que c'est la première fois que j'installe autant d'outils pour désinfecter

[r@in | b0w]

On est reparti !

Le pc a quelques infections ici et là, MBAM a fait du bon boulot je dirais. Je suspecte une infection plus au moins subtile.

J'aime pas les infections subtiles

Alors, dans l'ordre :

1. TDSSKiller : no threats found => COOL !
2. OTL Fix: des erreurs =>
   OTL Fix.log
3. JRT => En ligne ou ici
   JRT.txt
4. ADW Cleaner : pas mal de cochonneries trouvées =>
   AdwCleaner.txt
5. OTL : voici voilà =>
   OTL Final.Txt

C'est bon docteur ? Merci

[HexCrunch]

Hello,
Désolé pour le retard.
Je te poste la suite vers midi

[r@in | b0w]

Coucou

Désolé pour le retard.

Pas de soucis, j'ai été sufissamment longtemps sur ce forum pour savoir qu'il y a une vie à côté

Je te poste la suite vers midi

Ah mince, moi qui espérait que ce soit fini :(

[HexCrunch]

Bonjour,

Bon, qu'on a fini ou non, ça dépend du comportement du PC.
Y a t'il un progrès concernant les symptômes initiaux ?
Ces publicités sont elles globales ou sur un navigateur précis ?


Tu m'as toujours pas donné le rapport MBAM.

Pourquoi est-ce que je demande le rapport MBAM ?

L'inconvénient des outils à large spectre c'est qu'en supprimant les menaces qu'ils ont trouvés, ils suppriment une partie des traces, y compris des pistes potentielles sur ou l'infection se cache exactement. En supprimant ces traces et en laissant des autres ça serait plus difficile et la désinfection serait peut-être plus longue si on ne sait pas ce que MBAM a supprimé.

Fais ceci:

• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
• Colle les lignes copier au ci dessus dans la partie inférieure d'OTL "Personnalisation"
  

  Code: Tout sélectionner

  :OTL
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {80c554b9-c7f8-4a21-9471-06d606da78a2}
IE - HKLM\..\SearchScopes,DefaultScope = {80c554b9-c7f8-4a21-9471-06d606da78a2}
IE - HKU\S-1-5-21-2194920797-2633709166-2513754232-1000\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-2194920797-2633709166-2513754232-1000\..\SearchScopes\{FEC55ACD-5DDC-434D-AEC5-6CC79DA61C2D}: "URL" http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=349
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2010/04/12 22:39:13 | 000,131,472 | ---- | C] () -- C:\ProgramData\FullRemove.exe
[2014/06/19 17:16:21 | 000,113,264 | ---- | C] () -- C:\Windows\FixUVC.exe
2014/09/30 11:15:46 | 000,000,128 | ---- | C] () -- C:\Users\Acer\AppData\Roaming\WB.CFG
[2014/10/10 07:40:16 | 000,000,010 | ---- | C] () -- C:\Users\Acer\AppData\Local\DSI.DAT
[2015/05/11 11:43:41 | 000,000,004 | ---- | C] () -- C:\Users\Acer\AppData\Roaming\appdataFr2.bin
[2014/06/20 09:18:58 | 000,085,616 | ---- | M] () -- C:\Users\Acer\AppData\Local\GDIPFONTCACHEV1.DAT
@Alternate Data Stream - 64 bytes -> C:\Users\Acer\Desktop\OTL.exe:$CmdTcID
@Alternate Data Stream - 26 bytes -> C:\Users\Acer\Desktop\OTL.exe:$CmdZnID
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:4D066AD2

:commands
[emptytemp]
[emptyflash]
[proxyraz]


  
  
• Clique sur Correction
  
  
  
  
• OTL peut te demander de redémarrer, fais le.
• Une fois le scan terminé 1 rapport va s'ouvrir ¤¤¤¤¤¤¤¤¤¤¤.log.
• Copie et colle le contenu du rapport sur le forum.
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

[r@in | b0w]

Re.

Tu m'as toujours pas donné le rapport MBAM.

Le 1er rapport est dans mon deuxième post.

Y a t'il un progrès concernant les symptômes initiaux ?
Ces publicités sont elles globales ou sur un navigateur précis ?

Il a l'air d'aller mieux, plus de fausses annonces Google AdWords en tout cas.

Je n'arrive toujours pas à installer AdBlock sur Chrome, sans doute un reste de l'infection.

Une erreur s'est produite. Network failed.

Je désinstalle carrément ?

OTL a planté en cours de nettoyage et j'ai du reboot le PC à la sauvage.

Voici le nouveau scan OTL, sachant que MBAM ne trouve rien =>

05132015_160333.log

Stay tuned

[HexCrunch]

Très bien, on avance:

Pas mal de programmes publicitaires sont installés, désinstalle via le panneau de configuration les programmes suivants: (si tu ne trouves pas ou il y a un erreur, passe au suivant et fais moi signe)

• AdvanceElite
• Pay By Ads
• KeepMySearch
• Astromenda
• ChampionDeals
• PrinceCoupon
• Interenet Optimizer
• SoftCooup
• SaferWeb
• saver box

MBAM a trouvé plein de bazar:
Fais ceci:

• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
• Colle les lignes copier au ci dessus dans la partie inférieure d'OTL "Personnalisation"
  

  Code: Tout sélectionner

  :files
C:\Users\Acer\AppData\Local\Pay-By-Ads\
C:\Program Files (x86)\AdvanceElite\
C:\Program Files (x86)\WSE_Astromenda\
C:\ProgramData\ChampionDeals
C:\ProgramData\PrinceCoupon
C:\ProgramData\GetDiscountApp
C:\ProgramData\Interenet Optimizer
C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b
C:\ProgramData\SoftCooup\
C:\ProgramData\saferweb\
C:\ProgramData\saver box\
C:\ProgramData\SoftCooup\

:Commands
[emptytemp]
[emptyflash]


  
  
• Clique sur Correction
  
  
  
  
• OTL peut te demander de redémarrer, fais le.
• Une fois le scan terminé 1 rapport va s'ouvrir ¤¤¤¤¤¤¤¤¤¤¤.log.
• Copie et colle le contenu du rapport sur le forum.
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Ensuite:
Chrome présentent certains problèmes, on va procéder ainsi:

• Télécharge l'outil de suppression de logiciels malveillants de Google Ici
• Une fois téléchargé, tu l'exécutes et tu acceptes sur le dialogue qui apparaîtra. Tu laisses l'outil travailler qui va supprimer le reste des pub du navigateur.
• Il se peut que l'outil demande une réinitialisation du navigateur. Sauvegarde tes marque-pages si tu le souhaites et valide l'opération.

Voilà, plus de publicités ne devront se manifester.

Tu me tiens au courant de ce qui se passe. Si tout va bien on finalise la procédure.

A+, Wahib

[r@in | b0w]

Re.

Aucun des tes "programmes" n'a été trouvé sur le gestionnaire de programmes.

Rapport OTL final ? =>

05132015_180242.log

J'ai passé le tool Google et il m'a dit ne rien avoir trouvé. Il a quand même voulu nettoyer le navigateur.

J'ai vu au redémarrage qu'il y avait un WorldWide Coupon que j'ai supprimé (l'extension était désactivée).

D'ailleurs, Avast m'a trouvé ceci quand Chrome s'est lancé =>

Et sinon, j'ai réussi à installer AdBlock sans erreur cette fois.