[Résolu] Une nouvelle saleté ?

Salut,

J'ai cette page

qui vient depuis quelques temps prendre place dans les onglets actifs en demandant de faire la mise à jour du plu-gin de lecture vidéo tout en ouvrant la boîte de téléchargement d'un truc...
Flash player est bien à jour et je me débarrasse assez facilement de cette saleté, mais je pense que c'est pas très catholique, qu'en pensez-vous, vous ?

Hello,
ouais regarde l'adresse de la page, elle n'est pas très clair. et quand on cherche newallsoft sur le net on trouve ca et ca
Tu l'as eu la première fois sur quel genre de site? streaming? genealogie? réseau social?
Elle revient peu importe le site sur lequel tu va? ou c'est continuellement sur le même?

Vide le cache de firefox :
Menu Historique/supprimer l'historique récent/coche uniquement le cache/ sélectionne comme période TOUT et clic sur Effacer maintenant

Puis pour voir, fais un scan zhpdiag complet :
Télécharger ZHPDiag sur le bureau : http://www.nicolascoolman.fr/download/zhpdiag/
Double-cliquer sur ZHPDiag.exe puis suivre les étapes de l'installation.
L'installation terminée, 2 icônes sont créées sur le bureau (ZHPDiag et ZHPFix).

Fermer les programmes en cours le temps de l'execution de ZHPDiag
Lancer ZHPDiag.exe (sous Vista/7/8, clic droit/exécuter en tant qu'admin)
Cliquer sur le bouton Complet
Pour ne pas ralentir l'analyse, éviter de se servir du pc pendant le scan.
Si le programme demande d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Sinon, Pour XP voir dans le dossier : C:\Documents and Settings\....\Local Settings\Application Data\ZHP
Pour Vista ou supérieur voir : C:\Users\....\AppData\Roaming\ZHP
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Et au cas ou zhpdiag ne listerait pas toutes les extensions, poste la liste :
Menu Outils/modules complémentaires
Donne la liste des onglets Extensions et Plugins

Ok, j'ai vidé le cache.
Oui c'est un site de streaming qui envoie ça.

La première fois c'était sur un site de ciné, je crois, mais là je regardais du sport.

Si tu veux bien on fera le reste demain ?...

pas de soucis, c'est toi qui fais les analyses, donc c'est quand tu auras le temps

Hello,

Ah oui... J' ai regardé tes liens "ça", c'est impressionnant, même si je ne sais pas ce qu'est newallsoft. ^^
La prochaine fois, il vaudra mieux directement mettre le lien de la page incriminée alors, plutôt qu'une capture d'écran, c'est costaud de l'avoir retrouvée comme ça   .

Voici le ZHPDiag .

Sinon il y a 6 extensions Firefox en fonction.

Je ne sais pas pourquoi, mais il reste dans le contenu des dossiers des traces de LogmeIn et quelque part encore du Mc Afee, et aussi  dans le scan additionnel des traces de Azureus, c'est ballot.

regarde ta capture, dans les conditions d'utilisation, il est écrit que c'est fait par newallsoft d'où la recherche

maintenant fait ca :
Télécharger RogueKiller sur le bureau.
Pour windows 32 bits : http://www.adlice.com/softs/roguekiller/RogueKiller.exe
ou pour windows 64 bits : http://www.adlice.com/softs/roguekiller/RogueKillerX64.exe
Fermer toutes les applications en cours
Lancer RogueKiller.exe
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
Laisser le prescan se faire et accepter la licence pour permettre l'installation du programme
Cliquer sur le bouton Scan
Lorsque le scan est fini, cliquer sur Rapport pour l'ouvrir et l'enregistrer.
L'héberger sur http://www.cjoint.com et poster le lien.

/!\ Ne pas fermer Roguekiller après le scan, attendre les instructions pour la Suppression

Et regarde ce que contient ce dossier : C:\Users\Raoul\AppData\Local\freeuser
Si il contient un ficheir .exe ou .dll, envoies le sur virustotal et donne le lien

Voici le Rapport RK

...zut j'ai fermé RK.

Le dossier sur C c'est le cache d'un logiciel de streaming radio qui ne contient que des petits fichiers ".d" classés dans des dossiers nommés de 0 à F.

s'il a été fermé, il faut refaire le scan
ensuite coche tout (onglet registre) et clic sur Suppression
Poste le rapport qui apparaitra (s'il n'apparait pas, clic sur le bouton rapport pour l'ouvrir et enregistre le sur le bureau)

Sous l'onglet navigateur Web il y a pleins de trucs, j'y touche pas ?

non c'est normal, il liste toute les extensions pour t'indiquer si il y en a qui sont nocives. Normalement, puisque rien n'est sur le rapport, toutes les lignes doivent etre vertes.
Ne coche que ce qui est dans l'onglet registre

Voici le Rapport RK_DEL

A part ca le pc semble sain, tu peux désinstaller roguekiller et zhpdiag

Juste une petite chose qui me titille :
Dans le menu démarrer, tape regedit.exe
clic droit sur le résultat qui apparaitra/executer en tant qu'admin
dans l'éditeur de registre, ouvre les dossiers HKEY_Current_User puis le dossier Software
Dans le dossier software, regarde si tu trouve un dossier nommé 로컬 응용 프로그램 마법사에서 생성된 응용 프로그램

Si oui, sélectionne le dossier et va dans le menu fichier/exporter
vérifie dans la fenetre d'enregistrement que :
- branche séléctionnée soit coché en bas
- le nom de la branche sélectionnée soit bien HKEY_CURRENT_USER\Software\로컬 응용 프로그램 마법사에서 생성된 응용 프로그램

Donne un nom a la sauvegarde, et enregistre sur le bureau
héberge ensuite le fichier sur cjoint et donne moi le lien.
Si cjoint refuse le fichier, renomme le en remplacant l'extension .reg par .txt

C'est la bouffe now ^^

bon app ^^
a part cette clé de registre bizarre, le pc est propre donc ca vient du site. J'ai vu que tu avais adblock et noscript, ils sont activé sur le site en question? Tu n'as pas autorisé un script ou désactivé adblock sur certaines pages?

Après quelques tests, ni blockulicious, ni ghostery, ni drweb ne bloquent cette page (c'est bien une pub sur le site et non sur le pc), et même le fichier hosts ne filtre pas l'adresse. Je vais voir si je trouve quelque chose d'efficace

la protection web d'avast empêche la connexion, c'est donc une page d'erreur qui s'ouvre a la place de la pub. Tu peux peut-être paramétrer antivir pour qu'il la bloque aussi. Par contre elle s'ouvre effectivement a la place de la page originale, mais si tu revient en arrière, tu peut accéder au site sans que la page revienne apparemment (en tout cas le temps de la session).

Hello Casper,

Voici le lien demandé: branche étrange

Dans l'état actuel de mes réglages - Adblock désactivé sur le site + Ghostery en fonction partout et pour tout -, quand je regarde une page, en cliquant sur les croix qui ont des liens actifs, ,s'il s'agit d'un salve de fenêtres de pub: Ghostery bloque tous les contenus.

Si la fameuse page apparait durant le streaming c'est foutu, même en revenant en arrière elle réapparaîtra toujours.
Il faut alors prendre un onglet neuf, y coller l'url en question, ensuite en croisant les doigts il se peut que ça se passe normalement durant toute la diffusion...

ok our la clé de registre, rien a signaler.

Il faudrait contacter l'administrateur du site pour voir si il peut faire quelque chose pour retirer au moins cette pub qui, en plus d'être gênante, propose le téléchargement d'un programme qui ne sert à rien.

Sinon, tu peux essayer d'autres sites quine proposent pas de pub, ou pas de pubs gênantes (ou qui ne demandent pas la désactivation de adblock)

casper a écrit:

ok our la clé de registre, rien a signaler.

 à quoi correspond cette clé ?

Quelle différence entre les malveillants retirés par RK et ceux qui le sont par adwcleaner par exemple, s.t.p ?

Arthy a écrit:

Je ne sais pas pourquoi, mais il reste dans le contenu des dossiers des traces de LogmeIn et quelque part encore du Mc Afee, et aussi  dans le scan additionnel des traces de Azureus, c'est ballot.

C'était d'après ZHPDiag, on ne peut rien faire pour ça ?

la clé correspond a un logiciel de synchronisation installé. Je ne sais pas lequel exactement, ca peut être un logiciel de transfert entre pc et téléphone par exemple.

la différence entre roguekiller et adwcleaner est simple : adwcleaner s'occupe essentiellement des programmes publicitaires (adwares), donc les programmes qui affichent de la pub, collectent des données sur les habitudes de navigation, recherche etc...
Roguekiller est plutot axé sur les faux logiciels, que ce soit des programmes bidons pour optimiser le pc, de faux antivirus etc... et il permet aussi la détection de certains rootkit. Il peut aussi permettre de détecter quand un processus malicieux se cache derrière un processus svchost ou explorer, restaurer un MBR infecté, nettoyer le fichier hosts ou supprimer un proxy.

pour les traces de logmein, mcafee et azureus on va voir ca mais avant, tu te sert de norton online backup?
l'UAC (le contrôle des comptes) est désactivé volontairement sur ton pc?

casper a écrit:

l'UAC (le contrôle des comptes) est désactivé volontairement sur ton pc?

Quelle drôle de question, bien sûr que non, elle est même curseur en haut.

casper a écrit:

tu te sert de norton online backup?

...sais même pas ce que c'est.^^

ok ^^
Pour nettoyer :
Ouvrir ce lien et copier tout le texte qu'il contient (CTRL+A puis CTRL+C) : http://cjoint.com/data3/3HlxLyTclX0_zhpfix.txt
Désactiver l'antivirus le temps de l'utilisation de ZHPFix
Fermer tous les programmes en cours d'utilisation
Double-cliquer sur l'icône ZHPFix sur le bureau.
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Cliquer sur Importer
/!\ S'assurer que les lignes collées dans ZHPFix sont identiques au script fourni
Cliquer sur GO en bas à gauche pour lancer le nettoyage.
Confirmer la suppression, et le vidage de la corbeille.
/!\ Si des fichiers importants se trouvent dans la corbeille, les enlever avant de confirmer le nettoyage, ou refuser le nettoyage de la corbeille.
Si Windows lance la désinstallation de certains programmes, faire la désinstallation jusqu'au bout.
Le bureau disparaitra peut-être et certains programmes seront fermés, c'est normal.
Note : un redémarrage sera peut-être nécessaire, si ZHPFix le demande, accepter.
Héberger le rapport ZHPFixReport.txt et poster le lien dans la prochaine réponse.
S'il ne s'ouvre pas automatiquement, il est disponible sur le bureau.
Sinon, Pour XP voir dans le dossier : C:\Documents and Settings\....\Local Settings\Application Data\ZHP\ZHPFix[R1].txt
Pour Vista ou supérieur voir : C:\Users\....\AppData\Roaming\ZHP\ZHPFix[R1].txt ou C:\Users\...\AppData\Local\ZHPFixReport.txt  (les ... correspondent au nom de la session utilisée)

Note : il est possible que suite a l'utilisation de ZHPFix, les icônes de la barre de tâche ne s'affichent plus, une simple fermeture de la session règle le problème.

Ensuite verifie ceci :
ouvre le menu démarrer
dans la recherche tap : regedit.exe
clic droit /executer en tant qu'admin sur le resultat qui apparaitra
dans l'editeur de registre, ouvre le dossier HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

verifie que tu as bien 1 dans la colonne Données pour les lignes suivantes :
EnableLUA
EnableUIADesktopToggle
PromptOnSecureDesktop

Si ca n'est pas le cas, double clic sur les lignes, et change la donnée pour mettre 1

Voici le ZhpFixReport.

Pour les données du regedit, il n'y avait que le premier de bien.

normalement il ne devrait plus y avoir de traces des programmes nommé précédemment, sauf erreur de suppression de zhpfix (les éléments qui sont sur le script et qu'il ne cite pas sur le rapport sont des éléments qu'ils n'a pas trouvé donc normalement déjà supprimés)

Ok c'est super alors, merci casper.
...voilà l'ordi réglé comme une F1. ^^

casper a écrit:

verifie que tu as bien 1 dans la colonne Données pour les lignes suivantes :
EnableLUA
EnableUIADesktopToggle
PromptOnSecureDesktop

 à quoi correspondent ces changements ?

ce sont des réglages pour le contrôle des comptes : http://technet.microsoft.com/fr-fr/library/dd835564%28v=ws.10%29.aspx
et pour les valeurs :
0 désactive la fonction
1 active la fonction
Les chiffres différents, correspondent à des réglages plus spécifiques que la simple activation ou désactivation (indiqués en bas de page)

 
Merci beaucoup, c'est bien plus clair comme ça...  

Nb. Je ne savais pas que sur ce forum vous cherchiez à pousser les membres au suicide. Je ne poserez donc désormais plus que des questions dont je connais déjà la réponse, voilà !!!