> Tous les forums > Forum Sécurité
 Spyware avec pubs et ouverture de nouvelles pages du navigateurSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Ayora
  Posté le 25/12/2015 @ 11:43 
Aller en bas de la page 
Astucienne

Bonjour et joyeux Noël aux astuciens,

J'ai une infection de type adware que je n'arrive pas à virer avc MBAM ni l antivirus. Je surfe avec Chrome et des bloqueurs de publicités (Adblock et AdblockPlus).

Voici le rapport ZHPdiag en ligne, là :

http://textup.fr/149527PC

le message ne passe pas quand j'essaie de l'afficher en entier (trop long).

Un détail tout de même : MarineAquarium est un écran de veille et il est installé depuis plusieurs semaines sans m'occasionner de soucis. La dernière version, car avant j'avais la précédente, depuis plusieurs années. Il n'est pas même pas actif en ce moment car j'en ai mis un autre avec un paysage de Noël.

Avant de poster ma demande d'aide sur le forum j'ai passé MBAM qui a viré quelques trucs mais le problème est toujours là. J'écope en ce moment d'une page d'enquête PCastuces qui vient de s'ouvrir à côté de la mienne. Les pages de redirection me renvoient vers des sites de rogues ou imitent le site sur lequel je me trouve (avec une enquête bidon ou d'autres trucs à la noix). Il y a aussi de petites fenêtres de pub. Sinon j'ai aussi passé ZHPclean et Spywareterminator (le dernier n'a rien trouvé, le ZHPclean a viré quelques trucs). J'ai aussi passé Adwcleaner qui a éliminé aussi quelques bricoles. Mais le problèmes de redirection et de fenêtres pub persiste.

Attention aux mots en bleu dans le message apparus après redirection (scripts malicieux ?)

Merci aux helpers qui pourront se dévouer pour examiner ce rapport... conséquent , et me donner la marche à suivre pour virer les incrustées.

Merci à tous et bon Noël



Modifié par Ayora le 25/12/2015 11:52
Publicité
Ayora
 Posté le 25/12/2015 à 11:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

En fait la redirection se fait dans la page en cours et une nouvelle page avec message vide du forum s'ouvre (la page sur laquelle je me trouve est remplacée par du contenu douteux et c'est un nouvelle page à l'identique de la mienne qui s'ouvre). Je pensais que c'était l'inverse et que la page malicieuse s'ouvrait en avant de la mienne.

Et il y a des mots surlignés de bleu dans le texte (liens multimédias additionnés de scripts ?). Le lien pour le texte du log est bon mais attention aux noms de logiciels en bleu (scripts malicieux hérités de la page après être revenu en arrière ?)

Vicieux ce truc !

Ayora
 Posté le 25/12/2015 à 11:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Pierre95
 Posté le 25/12/2015 à 12:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour et bon Noël Ayora,

Si tu veux qu'un helper t'aide, tu dois désinstaller ton programme de P2P via panneau de config Windows

Logiciel: µTorrent - (.BitTorrent Inc..)

et refaire après un nouveau rapport ZHPDiag

Les réseaux P2P ne sont pas les bienvenus car vecteurs d'infections.

Les helpers s' interdisent de faire des désinfections sur des PC contenant du P2P (utorrent et BitTorrent, Vuze, Azuréus, etc..)

De la lecture:

http://sebsauvage.net/comprendre/p2p/" href="http://sebsauvage.net/comprendre/p2p/">http://sebsauvage.net/comprendre/p2p/

http://forum.malekal.com/les-dangers-peer-peer-emule-etc-t3208.html

http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

Ayora
 Posté le 25/12/2015 à 12:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Ayora
 Posté le 25/12/2015 à 12:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bon je désinstalle microtorrent et je refais ZHP diag (en fait je l'utilise très peu) - sinon je connais les dangers de ces logiciels et je fais attention :D

Ayora
 Posté le 25/12/2015 à 12:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

nouveau rapport ZHPdiag :

http://www.cjoint.com/c/ELzl2SejV31

Ayora
 Posté le 25/12/2015 à 13:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

J'ai oublié de mentionner malwarebyte anti-exploit installé depuis environ 15 jours. il protège peut-être la navigation internet mais ne m'a pas empêchée de récupérer cette crasse... Sachant qu'en général je surfe prudemment, ne clique pas n'importe où, scanne tout ce que je télécharge avec AV et MBAM. Lorsque j'ai choppé cette infection j'étais sur le site de l'IRSN avec FB ouvert à côté mais inactif (trop occupée ailleurs pour regarder le fil ou ouvrir des liens), et un jeu FB (Castle Age) inactif aussi.



Modifié par Ayora le 25/12/2015 13:24
liza33
 Posté le 25/12/2015 à 13:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Ayora,

image Je m'appelle Joseph, je vais t'assister mais on va fixer quelques règles avant de mener cette désinfection.

  • Si tu as ouvert un sujet sur un autre forum, tu le fermes et tu continues ici ou l'inverse.
  • Si tu as des cracks ou des keygens, tu les supprimes.
  • Si tu as un windows illégal, je ne désinfecte pas.
  • Si tu as windows XP ou une version antérieure, merci de me le dire. En effet, ces versions de windows ne sont plus mises à jour. Cela signifie qu'elles ne sont plus fiables, et une désinfection n'a pas de sens, car le risque de ré-infection ultérieure est très élevé. Il faut alors acheter une version plus récente de windows si le pc n'est pas trop ancien ou alors migrer vers une distribution Linux.
  • Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.


La désinfection comprend :

  • Un pré-nettoyage, un rapport pour établir un diagnostic
  • Le recours à d'autres outils si nécessaire
  • Un nettoyage par script au besoin
  • La suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...

  • Si tu as des questions, n'hésite pas à les poser.
  • Ne cherche pas à aller trop vite et lis bien toutes les indications et commentaires de cette procédure.


image Tu vas passer ZHPCleaner

  • Désactive ton antivirus le temps du téléchargement et de l'utilisation.
  • Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau.
  • Ferme ton navigateur
  • Fais un double clique sur l'icône pour le lancer
    Note : Clique droit sur l'icône puis Exécuter en tant qu'administrateur sous Windows Vista, Seven et Windows 8
  • Accepte les conditions d'utilisation
  • Clique sur Scanner

    Note : Durant le scan, si l'outil te demande Avez-vous installé ce proxy ? et que tu n'en as pas installé, clique sur Non ou Voulez-vous remplacer la page d'accueil ?, clique sur Oui

    image
  • Tu trouveras le rapport sur le bureau, héberge le sur Cjoint et poste le lien fourni ici



N'oublie pas de réactiver ton antivirus.


Publicité
Ayora
 Posté le 25/12/2015 à 13:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Ok merci Joseph - j'ai Windows 7 familial (légal) avec Windowsupdate à jour (les dernières datent du 12/12/2015) - pas de cracks ni de keygens ou autres du genre - je commence la procédure avec ZHPcleaner

Ayora
 Posté le 25/12/2015 à 14:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Rapport ZHPCleaner :

http://www.cjoint.com/c/ELznHZGi2o1



Modifié par Ayora le 25/12/2015 14:37
liza33
 Posté le 25/12/2015 à 14:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

C'est OK pour le rapport

Maintenant tu vas nettoyer ce que ZHPCleaner à trouvé

  • Relance ZHPCleaner
  • Désactive ton antivirus le temps de l'utilisation.
  • Clique sur Scanner puis ensuite tu clique sur Nettoyer

    image
  • Un clic sur le bouton Nettoyer permet d’accéder à l'interface de réparation si l'utilisateur le souhaite (message d'acceptation).

    image
  • Là trois boutons sont disponibles,

    - Le bouton Décocher permet de décocher toutes les lignes d'une fenêtre,
    - Le bouton Valider permet de valider la fenêtre qui a subi des décoches de lignes. Le compteur de détection de l'onglet est décrémenté du nombre de lignes décochées.
    - Le bouton Nettoyer permet de lancer le nettoyage.

    Note: Durant le nettoyage, si l'outil te demande Avez-vous installé ce proxy ? et que tu n'en as pas installé, clique sur Non ou Voulez-vous remplacer la page d'accueil ?, clique sur Oui
  • Tu trouveras le rapport sur le bureau, héberge le sur Cjoint et poste le lien fourni ici



N'oublie pas de réactiver ton antivirus.


image Tu vas passer AdwCleaner

  • Télécharge AdwCleaner (d'Xplode) sur ton bureau
  • Lance-le en cliquant sur l'icône sur ton bureau image.Pour Vista et Seven, clic droit et Executer en tant qu'administrateur.
  • Dans cette fenêtre, clique sur J'accepte

    image
  • Clique sur Scanner et patiente le temps du scan

    image
  • Une fois le scan fini, poste le contenu du rapport.
  • Le rapport est également sauvegardé sous C:\AdwCleaner\AdwCleaner[S1].txt




Ayora
 Posté le 25/12/2015 à 15:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Ok - je laisse les lignes Serenscreen (mon écran de veille) en les décochant ou je vire tout ?

liza33
 Posté le 25/12/2015 à 16:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ayora a écrit :

Ok - je laisse les lignes Serenscreen (mon écran de veille) en les décochant ou je vire tout ?

Si c'est ton écran de veille tu peut le décocher pour le garder

Ayora
 Posté le 25/12/2015 à 16:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Log après désinfection :

http://www.cjoint.com/c/ELzpMhLZQJ1

Maintenant Adwcleaner...

Ayora
 Posté le 25/12/2015 à 17:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

liza33
 Posté le 25/12/2015 à 17:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

C'est parfait pour les deux rapports

  • Relance AdwCleaner en cliquant sur l'icône sur ton bureau image.Pour Vista et Seven, clic droit et Executer en tant qu'administrateur.
  • Clique sur Scanner puis patiente le temps du scan.

    image
  • Une fois le scan fini, clique sur Nettoyer.

    image
  • Le PC sera redémarré automatiquement et le rapport apparaîtra à la fin du redémarrage : poste son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner\AdwCleaner[C1].txt

image Tu vas passer Malwarebytes

  • Télécharge Malwarebytes
  • Procède à l'installation de celui çi
  • A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium".
  • La case Exécuter Malwarebytes Anti-Malware reste cochée.

    image
  • Clique sur Mettre à jour (à droite, au centre)

    image
  • Clique sur Paramétres et configure le comme sur l'image

    image
  • Clique sur Examen (en haut)

    image
  • Sélectionne Examen "Menaces"
  • Clique sur Lancer l'examen
  • Une fois le scan terminé, si des menaces ont été trouvé, clique sur Supprimer la sélection, tout sera mis en Quarantaine.

    image
  • Si un message demande de redémarrer le PC pour terminer la suppression, accepte
  • Le rapport est disponible dans Historique > Journaux de l'application

    image

    image
  • Renomme le en MBAM.txt
  • Enregistre le rapport sur le bureau, heberge le sur Cjoint (diffusion : Privée et durée : 21 jours) et poste le lien fourni ici









Modifié par liza33 le 25/12/2015 17:46
Publicité
Ayora
 Posté le 25/12/2015 à 19:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

ok - nettoyage Adwcleaner lancé

Ayora
 Posté le 25/12/2015 à 19:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Me voici de retour, prête à continuer la dératis. Par contre je décoche Serenecreen - et Stumbleupon,qui est une extension de Firefox - remarque je peux l'enlever je l'utilise pas ou très peu- tant pis pour celle-là

https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&uact=8&ved=0ahUKEwjvkpe6z_fJAhVH1BoKHXfNBC8QFggxMAI&url=https%3A%2F%2Ffr.wikipedia.org%2Fwiki%2FStumbleUpon&usg=AFQjCNFKa34V0ObTgIhktHF-SegWxM6dnw

"StumbleUpon est un système de recommandation gratuit permettant de découvrir des page web en fonction de vos intérêts, de vos habitudes de navigation et des commentaires des autres utilisateurs. Cette nouvelle façon de parcourir le web permet de découvrir de nombreux sites et contenus que vous n'auriez jamais rencontrés avec une navigation traditionnelle."

§6 "

Malwares[modifier | modifier le code]

PERSONNE N'A POUR L'INSTANT DÉCOUVERT DElogiciel malveillant (logiciel espion, publiciel, etc.) dans cette simple extension."

remarquez que ça ne prouve rien :D je suis peut-être la 1ère.... un tel système est idéal pour un concepteur de scripts malicieux et perniciels (outil de propagation tout trouvé)



Modifié par Ayora le 25/12/2015 19:25
Ayora
 Posté le 25/12/2015 à 19:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Donc j'ai tout viré sauf les éléments Serenescreen - MBAM est en train de faire l'analyse "menaces" configuré comme demandé - dès que j'ai le rapport je vous le poste



Modifié par Ayora le 25/12/2015 19:40
liza33
 Posté le 25/12/2015 à 20:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu n'oublieras pas de poster le rapport AdwCleaner pour le nettoyage

Ayora
 Posté le 25/12/2015 à 20:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Log Adwcleaner : http://www.cjoint.com/c/ELztu2ny3f1

Le scan MBAM est encore en cours, mais déjà 10 menaces PUP.Optional Open.Candy détectées



Modifié par Ayora le 25/12/2015 20:24
Ayora
 Posté le 25/12/2015 à 20:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Voilà pour MBAM : http://www.cjoint.com/c/ELztXQmFI41

nettoyage fait

C'est normal de ne pouvoir lancer MBAM qu'en mode admin ? autrement rien ne se passe.

Sinon j'ai omis de mentionner qu'au début de l'infection lors de la redirection j'avais droit à l'énoncé vocal du texte malicieux en plus de la redirection elle même - après les 1ers nettoyage restent les petites fenêtres publicitaires et quelques redirections mais plus de vocalisation



Modifié par Ayora le 25/12/2015 21:04
Ayora
 Posté le 25/12/2015 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

PUP.OPEN.CANDY semble être un maliciel qu'on récupère par inattention en installant des freewares en négligeant les offres souvent inséres dans le package - je fais pourtant gaffe à bien tout décocher lors des étapes d'installation - le dernier logiciel que j'aie installé - ou mis à jour avant cette infection est CCleaner... en milieu de semaine dernière - et j'avais bien veillé à ne rien laisser coché lors des étapes d'installation

non en fait il y a aussi quelques écran de veille installés le 21/12 dont celui actif en ce moment sur mon PC - mais deux jours d'écart entre leur installation et le déclenchement de mes ennuis (mercredi soir) - peut-il y avoir un effet retard c'est à dire que le malware ne s'activerait pas tout de suite, et ce même si son logiciel injecteur est inactif (non sélectionné) ?? Ce sont des écrans de Noel, à priori donc des freewares pouvant servir de vecteur pour ce genre de chose - mais j'avais bien tout décoché au niveau des offres insérées dans les packages.

Peut-on se faire infecter en visitant un site officiel et même institutionnel ? J'étais sur la médiathèque de l'IRSN où j'avais des trucs du boulot à faire quand les 1ers pops-up et redirections avec annonce vocale ont commencé à se produire - un comble ! on passe par du https et il faut bien s'authentifier avant d'accéder...



Modifié par Ayora le 25/12/2015 21:27
Ayora
 Posté le 25/12/2015 à 21:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Ayora
 Posté le 25/12/2015 à 21:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

ah retour de la pub version sonore, quelque gros mots de ma part ont-ils énervé q'1 ???

pas possible qu'un espion industriel soit en train de mater et écouter ce que je fais lol - mais ça devient inquiétant cette histoire... au fait rien ingéré de particulier même pas abusé de spiritueux en cette période de Noël - si le site institutionnel est compromis je vais le signaler quitte à risquer de me décrédibiliser auprès de mes pairs - ça pourrait s'avérer du sérieux....

Par contre pour la désinfection ça risque de ne pas aider si c'est un truc encore non répertorié que j'ai sur la bécane : si c'est pas connu des éditeurs de logiciels antimalware peu de chances qu'il y ait des signatures AV et des outils capables d'en venir à bout :( sauf peut-être les logiciels dotés de moteur de scan heuristique - j'attends vos conseils - on va suivre la procédure de désinfection - si ça marche pas et qu'on épuise la panoplie d'outils disponibles, pourrez-vous me recommander un site ou un expert qui pourrait aider ou me mettre en contact direct avec un éditeur d'AV ? tesgaz ? malekalmorte ? ipl001 si ils sont toujours là ?

Les virus mentionnés dans les articles mis en lien sont des vers - si c'est un truc de ce genre que j'ai récupéré on joue dans la catégorie supérieure là c'est plus du spyware... je verrai bien une injection de code malicieux via une ou plusieurs pages du site aussi - j'ai noscript sur Firefox mais pas Chrome. J'ai surfé sur le site IRSN - gros acteur du nucléaire français (par lien d'accès direct à la médiathèque) et téléchargé des photos après les avoir mises dans le panier de sélection - je n'ai pas téléchargé de logiciel ni accédé à d'autres infrastructures informatiques internes à cet organismes. Et j'ai eu le tort de collecter ces photos de mon ordi personnel.



Modifié par Ayora le 25/12/2015 23:41
Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Ouverture de nouvelles pages sous firefox
Problème à l'ouverture d'internet avec un spyware
Ouverture des pages trop lente.
probleme avec yahoo msn pub ouverture page non désirée.
ouverture intempestives de pages suite maj flash player et beug internet
kaspersky bloque l'ouverture des pages web
contamination avec fenêtre pop up et ouverture des sites malveillants
plusieurs pages google chrome à l'ouverture !
Extensions de navigateur pour l'analyse des pages : trafficlight...
Ouverture intempestive de page web avec firefox
Plus de sujets relatifs à Spyware avec pubs et ouverture de nouvelles pages du navigateur
 > Tous les forums > Forum Sécurité