Page web qui s'ouvre toute seuleRésolu/Fermé

Question

Bonjour, 
j'ai actuellement un probleme avec des pages web qui s'ouvrent toutes seules sur mon pc.
Il s'agit surement d'un malware bien incrusté.

Il s'agit d'une page qui s'ouvre parfois sous chrome (mon navigateur par défaut) ou parfois sous IE 8.
Généralement c'est une page avec le moteur de recherche lo.st. Parfois c'est une pub pour telecharger le jeux doodle jump sur mobile, parfois d'autres.
https://www.casimages.com/i/11042707441259517.jpg.html

En effet, j'ai d'abord formaté mon pc pour le remettre tel qu'il était quand je l'ai achété
(sony vaio windows 7 acheté il y a 4 mois).
Mais meme apres ca la page web s'ouvre encore.

J'ai lancé un scan minutieux mc affee (pré-installé sur mon pc) -> 2 pauvres cookies détectés.
https://www.casimages.com/i/110427074033322117.png.html]

Ensuite j'ai téléchargé Malwarebytes' Anti-Malware, après la 1ere analyse rapide -> 9 fichiers dangereux (trojan eorezo qu''il m'a mi en quarantaine)
https://www.casimages.com/i/110427074737358360.png.html]

Mais même après ca rien a changé j'ai toujours cette page qui s'ouvre.

J'ai désinstallé mc affee et pris avast free antivirus.
Scan minutieux, scan au démarrage -> rien d'anormal !
https://www.casimages.com/i/110427074924451540.png.html]


Voila j'aimerais vraiment éradiqué ce problème. Car j'ai bien l'impression que ca s'empire (fréquence d'apparition qui augmente...)

Merci








Configuration: Windows 7 / Safari 534.16

Toxic78 · Answer

Bonjour, juste comme ça sur tes screen on voir µTorrent... Donc si tu télécharge ne t'étonne pas d'être infecté.

* Télécharge AD-Remover (de la TeamXscript) sur ton Bureau. <--- Clique sur AD-Remover pour le télécharger
* Ou là http://www.teamxscript.org/adremoverTelechargement.html
Déconnecte toi et ferme toutes les applications en cours
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur Nettoyer
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

stefleur · Answer

Merci toxic pour ton aide
voila le rapport de ton logiciel


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:28:48 le 27/04/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Steven@STEVEN-VAIO (Sony Corporation VPCEB3E1E) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\Steven\AppData\Roaming\Agence-Exclusive
Dossier supprimé: C:\Users\Steven\AppData\Local\Agence-Exclusive
Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Agence-Exclusive
Dossier supprimé: C:\Program Files (x86)\Agence-Exclusive
Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PCTuto
Dossier supprimé: C:\Program Files (x86)\PCTuto

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto


============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [10.0.648.205] ****

Extension\icmlaeflemplmjndnaapfdbbnpncnbda (C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx) (?)

-- C:\Users\Steven\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google (d\u00E9faut)" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.fr/ig
Preferences - homepage_is_newtabpage: false

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{5D454C52-0637-4437-B42F-FADB65F68CC0} - "Shopping.com" (hxxp://fr.shopping.com/?linkin_id=8056351)
HKCU_SearchScopes\{D63CD83D-D93A-4ADF-B761-FDAF5620C48E} - "Zinio" (hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices)
HKCU_SearchScopes\{FDEC9132-8B40-4378-B346-8A4FA87E9BD3} - "eBay" (hxxp://rover.ebay.com/rover/1/709-42536-16445-17/4?satitle={searchTerms})
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{64DA00B7-88FE-49a8-8515-68A5C8C305DB} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A39C536A-A41F-492f-B784-08D5A6DCF091} - c:\Program Files (x86)\Evernote\Evernote3.5\Evernote.exe (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{E6856B61-272B-4e4f-AADE-1D73054BCAD1} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{ED4ABFF1-2CA0-4476-98EB-E9208D434752} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{F3CD2902-C553-4d6a-B139-934BED1FAADF} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{F7897EF1-FE28-4f1a-9615-E45744D29F15} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_Extensions\{E0B8C461-F8FB-49b4-8373-FE32E92528A6} - "Add to Evernote" (c:\Program Files (x86)\Evernote\Evernote3.5\enbar.dll,1001)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 21 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/04/2011 14:30:06 (4578 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 27/04/2011 14:18:10 (4537 Octet(s)) 

Fin à: 14:32:00, 27/04/2011 
 
============== E.O.F ==============

Toxic78 · Answer

Re, on va analyser ton pc.

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

* Rends toi sur pjjoint.malekal.com
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
* Clique sur le bouton Envoyer
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/index.php*********) Copie le lien dans ta prochaine réponse.

stefleur · Answer

voila j'ai installé ZHP et fais ce que tu as dis à la lettre.
Juste quand je lance ZHP diag il y a avast qui s'est excité et a voulu lancé le prog dans sa Sandbox car il dit que c un prog à risque.



http://www.cijoint.fr/cjlink.php?file=cj201104/cijpoA5QuY.txt

Ps: est ce que tu peux m'expliquer ce qu'il en est ? Que dit le 1er rapport que je t'ai posté, celui de AD-remover?
Que dit celui-ci, celui de ZHP ?

merci

Toxic78 · Answer

Le premier rapport(Ad-remover) montre juste quelle toolbar néfaste à la navigation.  
Le deuxième rapport(Zhpdiag) montre un p'tit spyware.  

    Lance ZHPFix et colle ses lignes.  

  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO  

Et clique sur nettoyer. ;)

stefleur · Answer

voila le rapport de ZHP Fix apres avoir collé tes 2 lignes
http://www.cijoint.fr/cjlink.php?file=cj201104/cij14U0Vkj.txt

merci.

Ps: J'en ai bientot fini avec le foutu malware la ? Est ce que tu peux me donner son nom?

Toxic78 · Answer

Ta encore les pubs?

* Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
* Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur)
* Clique sur Start Scan

* # Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
* # Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
* # Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
* # Si Suspicious file est indiqué, laisse l'option cochée sur Skip

? A la fin clique sur Reboot Now
? Le PC va redémarrer, et un rapport va s'ouvrir
? Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt)

Page web qui s'ouvre toute seule

7 réponses

Discussions similaires

Newsletters