Virus + popup + ordi lent + session bloquée ...

[LackOfChance]

(je me suis trompée d'endroit pour poster ce sujet, je le re poste ici en espérant que ce soit bien sa place ... )

Bonjour à tous,

Alors premièrement je tiens a dire que je me suis déjà promenée sur le site et j'ai vu un sujet similaire (pop up + envoi de pièces jointes impossibles ) et j'ai décidé de suivre les conseils qui avaient été donné a cette personne pour éviter de créer une nouvelle discussion .. j'ai suivi tout ça (scan malwarebytes, adcleaner, hijack ... bref la totale)
cependant j'ai refait par la suite un scan malwarebyte qui m'a retrouver des infections et mon ordinateur a toujours les mêmes problèmes.
mon ordinateur : samsung R60 plus - windows vista
mes problèmes : pub pop up pour sites x, envoi de pièces jointes et accès aux mails difficiles, soulignage et lien crée sur des sites la ou il ne devrait pas y en avoir,ordinateur lent, il fait des choses tout seul (fermeture de fenêtre, téléchargement ..) j'ai même une session ( que j'ai supprime ) qui s’était bloquée en disant : échec de l'ouverture de session par le service Service de profil utilisateur . Impossible de charger le profil de l'utilisateur.

Alors que faire quelqu'un peut-il m'aider ?

[SkyTech]

Bonjour,

Pour voir :


* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

PS : Si le rapport est trop long pour être poster sur un message, tu peux utiliser un hébergeur : http://pjjoint.malekal.com/index.php?lang=fr

[LackOfChance]

rapport OTL au lien suivant :
http://pjjoint.malekal.com/files.php?id ... j10h7o1013

[SkyTech]

Re,

Désinstalle McAfee Security Scan via Programmes & fonctionnalités du Panneau de configuration.

Ce logiciel est installé lors des mises à jour d'Abode, il n'est pourtant pas très utile, mieux vaut le décocher :



Pour les pubs même constat :

Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel par éditeurs.
L'éditeur touche de l'argent à chaque installation réussie de ces additionnels tiers (un genre de sponsoring).
Seulement certains éditeurs, abusent, pour gagner plus d'argent, ils redistribuent des logiciels libres développés par des bénévoles en y ajoutant ces logiciels additionnels.
Des pubs trompeuses peuvent aussi être utilisés pour faire installer ces logiciels.

Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non essentiels concourent à ralentir considérablement l'ordinateur (peux aussi faire planter les navigateurs WEB).
Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités).

Tu as la même chose avec les barres d'outils :
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Lire :
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

---

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (TOUT SELECTIONNER avant) et clic Correction, un rapport apparraitra suite à l’operation que tu conserveras sur clé usb par exemple afin d’en coller le resultat:

Code : Tout sélectionner

:OTL
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
DRV - (ASPI32) --  File not found
IE - HKCU\..\SearchScopes\{6F4B1FFB-36F5-45E0-B528-680379EECDC8}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3285358&CUI=UN11464265286975231&UM=2
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\ProgramData\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
File not found (No name found) -- C:\PROGRAMDATA\AVG SECURE SEARCH\FIREFOXEXT\17.1.2.1
File not found (No name found) -- C:\USERS\QUEEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\94QLPW8O.DEFAULT\EXTENSIONS\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
File not found (No name found) -- C:\USERS\QUEEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\94QLPW8O.DEFAULT\EXTENSIONS\{F531B93A-B50B-4FF1-8288-404C881AC4DA}
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgmmkjgcbdhnaeaeopppehfpplaedcgi\2.19\
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlgooafpgmkhabnlbokochhkildcfohc\1.0\
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
CHR - Extension: No name found = C:\Users\Queen\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkdhflbgiloabcdgpcojldlglkfmddpc\1.0\
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No CLSID value found.
O4 - HKLM..\Run: [Updater] C:\ProgramData\Updater\updater.exe (Updater)
O4 - HKLM..\RunOnce: [SpUninstallCleanUp] REG delete HKEY_CURRENT_USER\Software\SearchProtect /f File not found
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil32_11_9_900_117_Plugin.exe -update plugin File not found
O4 - HKCU..\RunOnce: [Report] \AdwCleaner\AdwCleaner[S0].txt ()
O4 - HKCU..\RunOnce: [SpUninstallDeleteDir] rmdir /s /q "C:\Users\Queen\AppData\Roaming\SearchProtect" File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2013/12/06 18:18:35 | 000,000,000 | ---D | C] -- C:\ProgramData\TubeDimmer
[2013/12/06 11:54:03 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013/12/01 20:11:26 | 000,000,000 | ---D | C] -- C:\Program Files\SearchNewTab
[2013/12/01 20:10:42 | 000,000,000 | ---D | C] -- C:\Program Files\Sk-Enhancer
[2013/12/01 20:08:15 | 000,000,000 | ---D | C] -- C:\ProgramData\516db5d898694a8
[2013/11/19 23:44:35 | 000,000,000 | ---D | C] -- C:\Program Files\VideoLAN
[2013/11/19 23:43:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Updater
[2013/11/19 23:43:31 | 000,000,000 | ---D | C] -- C:\ProgramData\RHelpers
[2013/11/19 23:43:22 | 000,000,000 | ---D | C] -- C:\Users\Queen\AppData\Local\Software
[2013/11/19 23:42:57 | 000,000,000 | ---D | C] -- C:\Users\Queen\AppData\Local\TNT2
[2013/12/07 09:53:14 | 000,001,048 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013/12/07 09:52:55 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
[2013/12/06 17:01:04 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/09/25 18:54:03 | 000,000,000 | ---D | M] -- C:\Users\Queen\AppData\Roaming\TuneUp Software
[20 C:\Users\Queen\AppData\Local\Temp\*.tmp files -> C:\Users\Queen\AppData\Local\Temp\*.tmp -> ]
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:88050731
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"*Restore"=-
"*WerKernelReporting"=-
"Application Restart #3"=-
:commands
[purity]
[emptytemp]
[emptyflash]

* redemarre le pc sous windows et poste le rapport ici

[LackOfChance]

Je ne sais pas si j'ai fait une erreur (surement vu que j’étais censée avoir un rapport à mettre ici) mais je n'ai pas vu de rapport a la suite de la "correction" et j'ai redémarre l'ordinateur donc sans avoir pu enregistrer de rapport ... Est-ce grave ? ou peut-on récupérer le rapport quelque part ?
En tout cas jusqu’à présent merci pour l'aide et je ferais plus attention au ajout lors de téléchargement, il est vrai que je passe souvent rapidement ces étapes la sans trop m'attarder et je pense que je rate les installations "cachées" en plus.

[SkyTech]

Bonjour,

Regarde si tu as le rapport dans C:\_OTL

Après si tu n'as plus de popups c'est que la correction a dû réussir.

[LackOfChance]

Je pense que c'est ce rapport ci : http://pjjoint.malekal.com/files.php?id ... 0l10z9i9x8

par contre en cherchant dans c:/_OTL je me suis rendu compte que dans c:/ j'avais un dossier avec un nom bizarre : 5ada1560591751df48bf60. et d'autres avec ds noms plus normaux mais je ne sais pas trop ce que c'est ...

[SkyTech]

Relance OTL et clic sur Purge outil.

par contre en cherchant dans c:/_OTL je me suis rendu compte que dans c:/ j'avais un dossier avec un nom bizarre : 5ada1560591751df48bf60. et d'autres avec ds noms plus normaux mais je ne sais pas trop ce que c'est ...

Celui-là est un dossier temporaire de mise à jour Windows, tu peux le supprimer.

Comment se comporte le PC ?

[LackOfChance]

J'ai des mini pubs qui apparaissent dans des carrés sur le côté et je n'arrive toujours pas a bien accéder à mes mails j'ai le message suivant : "Un script sur cette page est peut-être occupé ou ne répond plus. Vous pouvez arrêter le script maintenant ou attendre pour voir si le script se terminera.

Script : https://a.gfx.ms/fullex_h7pOTHUGBVjPXmuArXyP9Q2.js:2"

opération purge sur OTL faite.

[LackOfChance]

je n'arrive pas à supprimer le dossier au nom composé de chiffres et de lettres

[SkyTech]

Re,

Du coup re-télécharge OTL et relance-le avec ce script de correction :

Code : Tout sélectionner

:OTL
[2013/06/19 20:02:38 | 000,204,344 | ---- | M] () (No name found) -- C:\Users\Queen\AppData\Roaming\Mozilla\Firefox\Profiles\94qlpw8o.default\extensions\[email protected]

Poste le rapport.

je n'arrive pas à supprimer le dossier au nom composé de chiffres et de lettres

La mise à jour est peut-être en cours d'installation du coup.

[LackOfChance]

Voici le rapport :
========== OTL ==========
C:\Users\Queen\AppData\Roaming\Mozilla\Firefox\Profiles\94qlpw8o.default\extensions\[email protected] moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 12092013_181546

[SkyTech]

Bonsoir,

Pour s'assure que je n'est rien oublié, tu peux utiliser ce logiciel et poster le rapport : http://forum.malekal.com/junkware-removal-t44381.html

[LackOfChance]

bonsoir,

voila le rapport :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.8 (11.05.2013:1)
OS: Windows Vista (TM) Home Premium x86
Ran by Queen on 10/12/2013 at 22:42:59,54
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10/12/2013 at 22:43:00,14
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[SkyTech]

Bonsoir,

Quand est-il des pubs & co ?