[Résolu] Problème de Spyware générant des popup

Salut à vous, lecteur(s).

J'ai depuis peu (2 jours) un problème de Spyware / Virus / Trojan ; je ne sais pas en fait. Tout ce que je sais, c'est que j'ai des pop-up qui s'ouvrent régulièrement sous Explorer (Firefox est pourtant mon navigateur par défaut) ; pour des sites comme la Redoute ou les 3 Suisses.

Est-ce que quelqu'un ici aurait l'amabilité de m'expliquer comment identifier les dits "trucs" indésirables et comment les virer de mon PC ?
Pour info, j'ai Antivir et Spybot S&D installés et tous deux à jour ; j'imagine donc qu'il s'agit de virus / spywares / trojan (rayez la mention inutile) plutôt récents.

D'avance merci, et bonne soirée !
Raphaël

Raphaël
Pour voir cela:

Télécharges RSIT (de random/random) sur le bureau ici :

http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l’analyse .

Les rapports sont dans le dossier ici C:\rsit
a+

Merci !

Alors, contenu du log.txt :

Logs

D'avance merci ; j'attends la suite !
Raphaël

tartinette.raf

-1)
Commence par désactiver ton UAC:

http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

-2)
Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :

http://siri.urz.free.fr/Fix/SmitfraudFix.exe
ou http://siri.geekstogo.com/SmitfraudFix.exe

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 5 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

-3)
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
http://eric.71.mespages.googlepages.com/ToolBarSD.exe

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 2 (Suppression).
Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

a+

Alut ! Merci de ta réponse et désolé que la mienne soit si tardive ; j'avais abandonné mon pc pour le week-end !

Alors,

==> UAC désactivé (il y était déjà à priori)

==> Le rapport demandé :

Rapport

Ca à l'air mieux déjà ? (pendant la génération du second rapport, j'ai eu 12000 pop-up qui se sont ouverts...)
Merci

Raphaël

Tres bien....

Fais maintenant un scan avec cet antispyware :
Telecharges malwarebytes + tutoriel :

-> http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Tu l´installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "oui".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.
a+

Navré ; j'ai bien essayé mais je peux l'installer, pas le lancer. Sitot que je tente de le lancer j'obtiens un "l'application a cessé de fonctionner etc."

Comment se fait-il ? Se peut-il que ce soit les cochonneries infectant le pc elles-même qui provoquent ça ?

Raphaël

Très certainement...hélas !

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

OK ; je confirme que j'ai affaire à une bonne vacherie. Je te laisse deviner : impossible de lancer combofix ; même arrêt instantané dès que j'essaye de l'exécuter.

Je viens pas ailleurs de me rendre compte que mon processus de surveillance Antivir ne se lançait plus au démarrage de la machine...

Ca commence a avoir l'air désespère là ou point trop encore ?
Raphaël

J'ai oublié de te préciser : j'ai aussi tenté la manœuvre en mode sans échec ; mais j'ai pas rencontré davantage de succès

Merci en tout cas !
Raphaël

raphael

Télécharge FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe

! Déconnecte toi et ferme toutes applications en cours !

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

? Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

a+

Merci de m'aider à persévérer !

Alors, voilà le rapport demandé :

Rapport

Raphaël

Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d avoir été infectés sans les ouvrir


Double clic sur le raccourci FindyKill sur ton bureau

Au menu principal,choisis l'option 2 (Suppression)


/! Laisses travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

ensuite post le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

a+

Nettoyage effectué !

Rapport

Raphaël

Raphaël

Désactives ton UAC (elle est active maintenant):
http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

ENSUITE:

Relances Combofix ainsi:
==> Fais un clic droit sur l'icone COMBOFIX et choisis:
"Exécuter en tant qu'administrateur"

a+

J'ai désactivé l'UAC ; mais je ne parviens toujours pas à exécuter Combofix.

J'ai tenté de l'extraire comme une archive avec Winrar et d'exécuter directement le fichier c.bat ; il dit que Combofix va démarrer, ferme la fenêtre de commande mais rien ne se passe après.

Raphaël

Finalement j'ai "trouvé" une solution en fouillant un peu sur le net : en changeant simplement le nom de l'executable ComboFix.exe en "autrechose.exe" ça a fonctionné. Voici le rapport :

Rapport

Raphaël

raphael

Renomme Combofix en "raphael-exe" comme indiqué sur
ce tuto:
http://www.bibou0007.com/outils-specifiques-f78/tutorial-pour-renommer-combof(...)

a+

Ah ben voilà oui, donc c'est bon c'est fait

Raphaël

:hello:Raphaël

Ok j'attends le rapport...

a+

Il est juste au dessus ; dans mon post de 12h41.

Je n'ai toujours pas le processus Antivir qui se lance au démarrage ; je présume donc qu'on n'y est encore pas, mais on progresse !
Merci !

Raphaël

OUPSSSS..!!!!

Scuses...j'avais pas vu...!!!
Essayes maintenant de relancer Malwarebytes...
Si toutefois ça ne marche pas ==> renomme le.

Pour Antivir : je pense qu'il faudra désinstaller puis réintaller...

a+

Pas de souci

Ok cette fois MalwareBytes fonctionne (même pas besoin de le renommer) ; il n'a rien trouvé à supprimer. Voici le rapport :

Rapport


Raphaël

Raphaël

Donnes des nouvelles du pc stp...

a+

Tu as vu mon dernier message ?

J'ai exécuté MalwareBytes et le scan n'a trouvé aucun élément indésirable. Je t'ai posté le rapport 2 messages plus haut.

Je viens de finir de réinstaller Antivir et le processus de protection semble fonctionner ; je n'ai plus eu de pop-up depuis le dernier redémarrage.

Tu penses que c'est bon ? Veux tu que j'exécute un dernier HiJackThis ou consorts pour être sur ?

Raphaël

Ok un scan Hijack pour vérif...

a+

D'acc ! Voilà le log HiJackThis :

Log

Raphaël

Raphaël

- Reprends Hijack et choisis cette fois "DO A SYSTEM SCAN ONLY"
et coches les lignes suivantes:
Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O20 - Winlogon Notify: FastAccess - C:\Program Files\Sensible Vision\Fast Access\FALogNot.dll
O23 - Service: FAService - Sensible Vision - C:\Program Files\Sensible Vision\Fast Access\FAService.exe

Appuies sur FIXCHECKED
==> Redémarres le pc...


ENSUITE:


Pour désinstaller les outils utilisés:

Telecharge ToolsCleaner2
--> http://pc-system.fr/TC/ToolsCleaner2.exe
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt


puis

---> Télécharges et installes CCleaner (N'installe pas la Yahoo Toolbar) :

http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs(...)

* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
* Décoche la case plus vieux que 48 h

IMPORTANT:

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
XP:
http://www.tayo.fr/desactiver-restauration-systeme-sur-windows-xp-tutoriel.ph(...)
VISTA:
http://www.tayo.fr/desactiver-restauration-windows-vista-tutoriel.php

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
http://www.vulgarisation-informatique.com/creer-point-restauration.php

a+

Voici le rapport de ToolsCleaner2 :

Rapport

Je m'occupe de CCleaner et du point de resto pendant ce temps là.
Raphaël

Ok ; fini le nettoyage CCleaner et la restauration système.
Penses-tu que ce soit bon cette fois ?

Un grand merci à toi ! Définitivement le meilleur forum pour ce genre de problématique chez O1net ; c'est super sympa de ta part et j'essaierai de pas revenir trop vite embêter mon monde ici malgré tout

Raphaël

Raphaël



OUI...

Bonne fin de jounée,et bons surfs....

Pour mettre le sujet en "RESOLU"
Remonte a ton tout premier message
clic sur
Et en face du titre marque (RESOLU)

a+

Un grand merci à toi !
Bonne fin de journée à toi aussi ; je m'occupe d'éditer le titre et de virer les logs des différents outils qui sont plein de trucs persos !

Raphaël