Bonsoir,

Je viens de voir mes pages d'accueil de Firefox remplacées par la page www.easysear.ch; de plus des pages s'ouvrent d'elles-mêmes (il s'agit évidemment de pub).

J'ai lancé AD-Remover mais sans résultat.

Que puis-je faire ?

Merci d'avance.

PS : Seul Firefox a l'air infecté, pas IE ni Chrome.

Bonjour et bienvenu sur le forum de PCA

Utilise l'outil suivant.

Télécharge OTL (de OldTimer) sur ton Bureau.

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

• Double-clique sur OTL pour le lancer.
  Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu’administrateur.
• Sélectionne l’option tous les utilisateurs.
• Dans la partie Personnalisation, copie/colle la liste suivante.
  
  

netsvcs
Drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s
%APPDATA%\*.
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT

• clique sur le bouton Analyse rapide

• Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt.
  Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Poste les sur le forum.

Pour cela, utilise le lien en bas de la page Inserer le rapport .

A+

Fichier joint : OTL.Txt

Fichier joint : Extras.Txt

Voici les fichiers demandés.

Merci d'avance

Re,

Pour ton problème de pubs, cela vient d'une infection qui s'appelle InstallPedia.
Elle a du migrée puisqu'elle actuellement bien détecté par les outils de désnfection.

Il me faudrait le vérifier.

------------------------------------

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier
http://www.virustotal.com/fr/

• Copier le chemin indiqué ci-dessous et le coller dans la zone à analyser

Chemin : C:\Program Files\Installer\lnetworker.exe

• Tu cliques ensuite sur envoyer le fichier.
• Après analyse et affichage des résultats, copie l'adresse de la page des résultats.

Indique moi le lien dans ta prochaine réponse.

Même manip avec C:\Windows\BackupIP\service.exe

A+

Voici dans l'ordre :

http://www.virustotal.com/file-scan/reanalysis.html?id=28f0105c7bfac49a29344be1bcb644ba4e969b4f6971965e25931c71be409e43-1292964084

http://www.virustotal.com/file-scan/reanalysis.html?id=9062cca6d1cbc80f3d119dd8aca73835d597f57e18002910a5d6bbb4886b88a6-1292964196

Re,

pas évident du tout.
J'ai eu le même post iil y a quelques jours et cela m'avait réservé quelques surprises.
On va y aller pas à pas.

Désinstalle Installer dans la liste des programmes.
Redémarre le PC.
Va sur le net et dis-moi si il y a une différence ( pubs ).
pour la page d'accueil, on verra ensuite mais n'as-tu pas la possibilité de la changer

A+

Bon, les pubs n'ont plus l'air de se pointer.

Par contre, j'ai beau remettre mes pages d'accueil, après redémarrage, elles ont disparu et sont remplacées par easysear.ch

Je suppose onc qu'une applic quelconque remplace mon fichier de préférences Firefox par le sien.

Si je ne découvre pas laquelle, j'aurai beau faire.

Merci pour tout.

Re,

Comme je te le disais, on va y aller molo.
Je pourrais sans doute supprimer différentes choses mais je préfère pour l'instant voir ce qui se passe étape par étape.

Cela sera du coup un peu plus long.

------------------------------------------------------

Relance OTL.

:OTL
PRC - [2010/12/20 11:59:49 | 000,007,168 | ---- | M] () -- C:\Program Files\Installer\lnetworker.exe
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.easysear.ch/
O2 - BHO: (no name) - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CEDDA62D-5FBE-4AB2-AE2E-5E069F444444} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [AuditVista] File not found
O4 - HKLM..\Run: [installer] C:\Program Files\Installer\lnetworker.exe ()

:Commands
[Emptytemp]
[Emptyflash]

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
Sauvegarde-le sur ton Bureau et poste-le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFilesRegarde suivant la date : 12262009_xxxxxxxx.log

A+

Voici le log après la "Carrection"

Fichier joint : Correction.txt

al.herman,

le problème de la page d'accueil doit être réglé ?

Poste le rapport d'OTL comme demandé.

A+

Minute j'arrive .....

Entretemps, problème pas résolu

Fichier joint : OTL_20101222_1705.Txt

Re,

FF - prefs.js..browser.startup.homepage: "www.easysear.ch/"

Easysear s'est mis dans les paramètres globaux de Firefox.
Tu dois cette fois-ci pouvoir la changer.

Ouvre Firefox --> Options --> général

---------------------------------------------------

fais la manip suivante.

• démarrer --> dans la zone de recherche , tape cmd

• dans la fenêtre MS-Dos ouverte, tape successivement ce qui suit et valide à chaque fois par entrée.

sc stop sdmBackupIP
sc config sdmBackupIP start=disabled

• Redémarre le PC puis reviens sur la discussion.
• Dis moi si tout est OK ( page de démarrage, pubs )

A+

YOUPIIIIIIIIIIIIEEEEEEE ça marche !!!!!!!

Juste pour info, je me cassais les dents sur les commandes dos (Not authorized) jusqu'à ce que je pense aller décocher "utiliser le contrôle des comptes utilisateurs".

+ il faut un espace entre "start=" et "disabled"

En tout cas un grand merci pour ta patience et ton implication et respect pour tes connaissances.

Compte sur moi pou te faire une pub d'enfer.

al.herman

Bonne chose pour le problème des pubs et de la page de démarrage.
Effectivement, il faut activer l'UAC sous Vista pour avoir les droits administrateur.

Merci

-------------------------------------------------------

Il faut terminer le nettoyage.
Si tu veux bien prendre un peu de temps.
Et puis, il faudra faire deux analyses pour vérifier que le PC est propre ( dont un logiciel qui te sera bien utile par la suite ).
Il y a pas d'urgence, à mon avis. On n'est pas à la minute près.

1/

• démarrer --> dans la zone de recherche , tape cmd

• dans la fenêtre MS-Dos ouverte, tape successivement ce qui suit et valide à chaque fois par entrée.

sc delete sdmBackupIP

2/

Relance OTL.

• Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

:OTL
[2010/11/30 10:50:32 | 000,000,000 | ---D | C] -- C:\Windows\BackupIP
[2010/11/30 10:50:31 | 000,000,000 | ---D | C] -- C:\Program Files\Installer
[2010/11/30 10:50:28 | 000,197,632 | ---- | C] (Dino Chiesa) -- C:\Windows\System32\Ionic.Zip.Reduced.dll

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler, le PC ne va pas redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
Sauvegarde-le sur ton Bureau et poste-le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12262009_xxxxxxxx.log

3/ Il reste deux dossiers sans doute liés à l'infection.
Je connais plus ou moins leur contenu mais il faudrait le vérifier.

Relance OTL.

• clique sur aucun
• Puis sous personnalisation , copie le texte suivant :

C:\Users\Alain\AppData\Local\assembly
C:\Users\Alain\AppData\Local\networker

• Clique ensuite sur Analyse.

L'analyse va à peine prendre quelques secondes.
Un rapport va s'ouvrir.
Poste le dans ta prochaine réponse.

A+

Fichier joint : 12222010_185926.txt

Fichier joint : OTL_20101222_1902.Txt

al.herman,

Oups, désolé,
pour la dernière manip, j'ai oublié une chose.
peux-tu recommencer avec le texte suivant ?

:\Users\Alain\AppData\Local\assembly\*.* /s
C:\Users\Alain\AppData\Local\networker\*.* /s

Fichier joint : OTL_20101222_1918.Txt

Je me suis permis d'ajouter le C début de la 1ère ligne

Re,

Je me suis permis d'ajouter le C début de la 1ère ligne

pour l'erreur et pour l'humour.

---------------------------------------------

1/ Bon, j'aimerais voir le contenu de 2 fichiers, user.config et __AssemblyInfo__.ini.
Ils se trouvent en :

C:\Users\Alain\AppData\Local\networker\Domain_2_Url_eyyeqgjj1gta0iw00blq4wjj2xfalg1x\1.0.0.0\user.config
C:\Users\Alain\AppData\Local\assembly\dl3\CKBM1W5V.295\152LM5NR.0YC\5c8287ca\008445cb_039fcb01\__AssemblyInfo__.ini

Le plus simple est de les zipper. cela évite de les copier/coller.

• fais un click droit sur ces fichiers

• Dans le menu contextuel, sélectionne l'option avec un Compresseur de données comme 7Zip, winrar
  Si tu n'en as pas, tu copieras les fichiers.

Poste moi ensuite ces deux fichiers à l'adresse suivante : vi29XnTa@hotmail.fr

2/ Une première analyse :

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam.php

• Tu l'installes. Choisis les options par défaut.
• A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter . Accepte.

• Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
• Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. Clique sur lancer l'examen.
• A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
• Si des infections sont trouvées, clique sur Supprimer la sélection.

Note : Dans certains cas, le logiciel demande de redémarrer l'ordinateur pour supprimer les fichiers. Accepte.

Tu postes le rapport dans ton prochain message .
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs . Il y est. Clique dessus et choisir ouvrir.

Le scan dure en moyenne 50 mn.

A+

Voici le rapport de MalwareBytes (rien détecté).

Maintenant, vu mon âge, il est temps d'aller faire dodo

Fichier joint : mbam-log-2010-12-22 (22-48-58).txt

al.herman

Merci pour l'envoi des fichiers.
Malwarebytes détecte l'ancienne version de cette infection, InstallPedia mais pas cette variante.
Je te demanderais ( je sais , je te demande beaucoup ) une dernière manip pour faire remonter vers les développeurs de mlawarebytes l'ensemble des fichiers que nous avons supprimé.

Merci d'avance.

--------------------------------------------------------------------------------

Relance OTL.

• Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

:Files
C:\Users\Alain\AppData\Local\assembly
C:\Users\Alain\AppData\Local\networker

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
Sauvegarde-le sur ton Bureau et poste-le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12262009_xxxxxxxx.log

-------------------------------------------------------------------------

Après le redémarrage, pourrais-tu faire compresser le dossier C:\_OTL\MovedFiles ?

Envoie moi ce fichier sur l'adresse que je t'ai indiqué ?

-------------------------------------------------------------------------

Effectue une dernière analyse, un scan en ligne avec ESET .
Tuto ( merci Morgane ) : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm

Poste le rapport.

A+

Fichier joint : 12232010_161343.txt

Al.herman,

merci. fichier bien reçu.

Fichier joint : log.txt

Voilà, je te souhaite une bonne analyse, un Joyeux Noël et mes meilleurs voeux pour 2011 .

Encore merci de ton aide aussi rapide qu'efficace.

Je reste bien entendu à ta disposition si tu souhaites encore que j'effectue quelque manip mais là, je pars demain matin pour un semaine de repos (mon épouse l'a bien méritée )

A bientôt et d'ici là, quoique tu fasses, fais-le bien.

al.herman

On termine.
Le PC est propre.

---------------------------------------

On va enlever les outils utilisés, à lexception de Malwarebytes que tu garderas. C'est un bon complément à un antivirus.

• Lance OTL et clique sur purge outils.
  Le PC va redémarrer pour supprimer l'outil et sa quarantaine.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Mets à jour ton PC et en particulier java et Adobe reader.

* Télécharge JavaRa de PaulMcLain et Fred De Vries.
http://javara.fr.malavida.com/mvdwn/5106-windows

• Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
• Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
• Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

• clique sur Recherche de mise à jour et c

• hoisis l'option Mettre à jour via jucheck.exe .
• Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
• Si oui, clique sur Installer puis suis les invites.

Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun .

- Suppression des anciennes versions :

• Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
• Suis les invites.
• Il te sera précisé de la suppression les versions trouvées et supprimées

# pour Adobe, désinstalle la version actuelle et mets à jour ce logiciel.
http://get.adobe.com/fr/reader/otherversions/

---------------------------------------------------------------------------------

Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.

Panneau de configuration choisis l'affichage classique :

• Système --> dans la liste des taches, à gauche, choisis propriétés du système
• sélectionner le disque c: puis choisis créer pour la création d'un point de restauration.

Suis les invites.

------------------------------------------------------------------------------------

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Projet antimalwares.

-------------------------------------------------------------------------------------

Bonne continuation à toi.
Bonnes vacances et bon repos.
J'en fais de même.

Prudence sur Internet.

Fichier joint : mbam-log-2011-01-08 (21-46-31).txt

J'avais déjà MBAM je fait des mises à jour et des analyse tout les jours il ne trouve jamais rien....

Ca a l'air réglé en tout cas j'attend quelques heures pour voir si je ne reçoit pas encore des pubs intempestives et après je crie victoire.

Quoi qu'il en soit MERCI