Fenetre pub qui s'ouvre sous firefoxFermé

Question

Bonjour, 

J'ai un fenêtre publicitaire qui s'ouvre régulièrement sur firefox. L'adresse du site est http://c.ads-X-host.com où X est un chiffre de 1 à 6.
J'ai analysé mon ordi avec Malwarebytes' qui ne trouve rien d'anormal.
J'ai un peu chercher sur le forum et j'ai trouvé quelqu'un qui avait le même problème que moi et on lui a conseillé d'installer ZHPDiag et de publier le rapport.
Puis-je également vous envoyer mon rapport svp?
Merci de votre aide

Jérémy


Configuration: Windows 7 / Firefox 3.6.13

Utilisateur anonyme · Answer

Bonsoir

* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://www.teamxscript.org/adremoverTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


@+

djai6 · Answer

Merci pour ton aide. Voilà ce que tu m'as demandé :


======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:16:28 le 15/12/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X86) 
Jérèm'@PC-JÉRÈM (Hewlett-Packard HP Pavilion dv9000 (GH848EA#UUG)) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\Jérèm'\AppData\Roaming\Mozilla\FireFox\Profiles\2x4rd4g2.default\Prefs.js --
browser.download.lastDir, C:\Users\Jérèm'\Downloads
browser.search.defaultenginename, Google
browser.startup.homepage, hxxp://www.google.be/
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\zfkkup0h.default\Prefs.js --
browser.startup.homepage, hxxp://www.google.be/
browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 15/12/2010 (2441 Octet(s)) 

Fin à: 20:18:26, 15/12/2010 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re

Quoi de neuf?

As tu encore des soucis?

@+

djai6 · Answer

Oui la pub s'ouvre toujours, elle vient de s'ouvrir il y a 2 minutes. Tu as reçu le rapport? J'ai l'impression que c'est un processus appelé lnetworker.exe qui est à l'origine de cela et dans mes programmes (Program files) j'ai un dossier nommé Installer avec dedans cette application mais aussi networker.exe, ionic.zip.reduced.dll et utils.dll
C'est cela tu penses?

Utilisateur anonyme · Answer

Re

Employons la manière forte:

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

djai6 · Answer

Voilà je viens de scanner avec combofix et voici le rapport :

ComboFix 10-12-15.04 - Jérèm' 15/12/2010  22:04:23.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium   6.1.7600.0.1252.33.1036.18.2558.1750 [GMT 1:00]
Lancé depuis: c:\users\Jérèm'\Desktop\asdehi.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-15 au 2010-12-15  ))))))))))))))))))))))))))))))))))))
.

2010-12-15 19:16 . 2010-12-15 19:16	--------	d-----w-	c:\program files\Ad-Remover
2010-12-15 18:07 . 2010-12-15 18:09	--------	d-----w-	c:\program files\ZHPDiag
2010-12-15 17:58 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-15 17:58 . 2010-12-15 17:58	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-12-15 17:58 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-15 00:47 . 2010-12-15 01:55	--------	d-----w-	c:\users\Jérèm'\AppData\Roaming\gtk-2.0
2010-12-15 00:47 . 2010-12-15 00:47	--------	d-----w-	c:\users\Jérèm'\.thumbnails
2010-12-15 00:44 . 2010-12-15 02:16	--------	d-----w-	c:\users\Jérèm'\.gimp-2.6
2010-12-15 00:43 . 2010-12-15 00:43	--------	d-----w-	c:\program files\GIMP-2.0
2010-12-14 10:19 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{37783B91-E744-42C8-9E9E-572AAB0B7499}\mpengine.dll
2010-12-13 18:15 . 2010-12-13 18:30	--------	d-----w-	c:\users\Jérèm'\AppData\Roaming\IObit
2010-12-12 16:57 . 2010-12-12 16:57	--------	d-----w-	c:\users\Jérèm'\AppData\Roaming\Malwarebytes
2010-12-12 16:57 . 2010-12-12 16:57	--------	d-----w-	c:\programdata\Malwarebytes
2010-12-12 15:05 . 2010-12-13 18:55	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-12-02 22:12 . 2010-12-02 22:12	--------	d-----w-	c:\users\Jérèm'\AppData\Local
etworker
2010-12-02 22:12 . 2010-12-02 22:12	--------	d-----w-	c:\users\Jérèm'\AppData\Local\assembly
2010-12-02 22:09 . 2010-12-02 22:23	--------	d-----w-	c:\program files\Installer
2010-12-02 22:09 . 2010-12-02 22:09	--------	d-----w-	c:\windows\BackupIP
2010-12-02 22:09 . 2010-11-25 17:24	11264	------w-	c:\windows\system32\Utils.dll
2010-12-02 22:09 . 2010-01-20 23:58	197632	------w-	c:\windows\system32\Ionic.Zip.Reduced.dll
2010-12-01 16:57 . 2010-12-01 16:57	--------	d-----w-	c:\program files\Common Files\Adobe
2010-12-01 16:55 . 2010-12-01 16:55	--------	d-----w-	c:\programdata\McAfee
2010-11-26 21:55 . 2010-11-26 21:55	--------	d-----w-	c:\users\Invité\AppData\Local\WMTools Downloaded Files
2010-11-24 09:33 . 2010-10-19 08:10	7680	----a-w-	c:\program files\Internet Explorer\iecompat.dll
2010-11-22 16:55 . 2010-12-12 20:17	--------	d-----w-	c:\windows\Msagent
2010-11-20 19:50 . 2010-11-20 19:51	--------	d-----w-	c:\users\Invité\AppData\Roaming\BatteryBar

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2010-03-12 19:55	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-22 22:47 . 2010-09-22 22:47	49016	----a-w-	c:\windows\system32\sirenacm.dll
2010-09-22 22:32 . 2010-09-22 22:32	301936	----a-w-	c:\windows\WLXPGSS.SCR
2010-09-22 22:21 . 2010-10-21 09:19	39272	----a-w-	c:\windows\system32\drivers\fssfltr.sys
2010-09-21 12:03 . 2010-09-21 12:03	208768	----a-w-	c:\windows\system32\LIVESSP.DLL
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-03-12 39408]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"ShowBatteryBar"="c:\program files\BatteryBar\ShowBatteryBar.exe" [2009-05-28 90624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-06 13605408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-06 92704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"PrintDisp"="c:\windows\system32\PrintDisp.exe" [2010-07-23 975360]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"installer"="c:\program files\Installer\lnetworker.exe" [2010-12-15 7168]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hercules DJ Series]
2010-02-03 03:11	918824	----a-w-	c:\program files\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-02-15 17:07	141608	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17	421888	----a-w-	c:\program files\QuickTime\QTTask.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-12 135664]
R2 HerculesDJControlMP3;Hercules DJ Control MP3;c:\program files\Hercules\Audio\DJ Console Series\HerculesDJControlMP3.EXE [2007-11-21 17408]
R3 Bulk;HDJBulk;c:\windows\system32\Drivers\HDJBulk.sys [2010-05-06 135168]
R3 HDJAsioK;HDJAsioK;c:\windows\system32\Drivers\HDJAsioK.sys [2010-05-06 185344]
R3 HDJMidi;Hercules DJ Console Rmx MIDI;c:\windows\system32\DRIVERS\HDJMidi.sys [2010-05-06 141312]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-26 1343400]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 Printer Control;Printer Control;c:\windows\system32\PrintCtrl.exe [2009-10-28 65536]
S2 sdmBackupIP;Backup IP Network;c:\windows\BackupIP\service.exe [2010-11-25 8192]
S3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS
etw5v32.sys [2009-07-13 4231168]
S3 R5U870FLx86;R5U870 UVC Lower Filter  ;c:\windows\system32\Drivers\R5U870FLx86.sys [2006-12-18 73472]
S3 R5U870FUx86;R5U870 UVC Upper Filter  ;c:\windows\system32\Drivers\R5U870FUx86.sys [2006-12-18 43904]

.
Contenu du dossier 'Tâches planifiées'

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-12 19:58]

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-12 19:58]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Jérèm'\AppData\Roaming\Mozilla\Firefox\Profiles\2x4rd4g2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2010-12-15  22:13:23
ComboFix-quarantined-files.txt  2010-12-15 21:13

Avant-CF: 420.795.432.960 octets libres
Après-CF: 420.479.856.640 octets libres

- - End Of File - - 0F78FB5C70AB1897DF3BE518605609D4

Utilisateur anonyme · Answer

Bonjour  

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur 
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|  
                -----------------------------------------------------------------------------------------------  

Toujours avec toutes les protections désactivées, fais ceci :  

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)  
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :  

                                       ----------------------------------------------------------  

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"installer"=-      


File:: 
c:\windows\BackupIP\service.exe 

Folder::  
c:\program files\Installer     

Services:: 
Backup IP Network 
 

                              ----------------------------------------------------------------- 

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt  
* Quitte le Bloc Notes  

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US  
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt 



@+  

---------Contributeur Sécurité---------  
On a tous été un jour débutant dans quelque chose.  
Mais le savoir est la récompense de l'assiduité.

Fenetre pub qui s'ouvre sous firefox

7 réponses

Discussions similaires

Newsletters