PUP.Optional.Superfish.A [Résolu]

[Val51]

Bonjour,
Il y a quelques jours que j'ai des pop-ups quand je visite des sites de e-commerce, j'ai donc utilisé les outils recommandés par le forum qui m'identifient Superfish. A cette occasion j'ai aussi remarqué que searchconduit que je croyais avoir éliminé il y a quelque mois est toujours planqué dans mon PC même si j'avais rétabli ma page d’accueil moteur de recherche etc.
J'ai utilisé AdwCleaner et MalwareByte qui repèrent le problème et indiquent qu'ils le corrigent mais mm après redémarrage le problème persiste. Au moment de la mise en quarantaine par MBAM, j'ai un message d'Avira m'indiquant qu'il bloque l'accès au registre par mesure de sécurité.
Je vous copie ci-dessous le journal d'AdwCleaner et celui de MBAM ainsi qu'un log HijackThis si cela peut aider un helper à me proposer une solution.

# AdwCleaner v3.213 - Rapport créé le 29/06/2014 à 01:00:15
# Mis à jour le 23/06/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Val - VAL-PC
# Exécuté depuis : C:\Users\Val\Downloads\adwcleaner_3.213.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Fichier Supprimé : C:\Users\Val\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage
Fichier Supprimé : C:\Users\Val\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage-journal

***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17126


-\\ Mozilla Firefox v29.0.1 (fr)

[ Fichier : C:\Users\Val\AppData\Roaming\Mozilla\Firefox\Profiles\0nqdos4n.default\prefs.js ]


-\\ Google Chrome v35.0.1916.153

[ Fichier : C:\Users\Val\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée [Search Provider] : hxxp://search.conduit.com/Results.aspx?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP177360F9-2C9E-4C8A-BF16-3427F804AADF&q={searchTerms}
Supprimée [Search Provider] : hxxp://www.softonic.fr/s/{searchTerms}
Supprimée [Search Provider] : hxxp://www.zerodeconduite.net/search_res.php?i ... earchTerms}
Supprimée [Search Provider] : hxxp://www.newscientist.com/search?query={sear ... earch=true
Supprimée [Search Provider] : hxxp://www.softonic.fr/s/{searchTerms}
Supprimée [Search Provider] : hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=414&sr=0&q={searchTerms}
Supprimée [Homepage] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP177360F9-2C9E-4C8A-BF16-3427F804AADF

*************************

AdwCleaner[R0].txt - [4967 octets] - [27/06/2014 15:09:03]
AdwCleaner[R1].txt - [1497 octets] - [28/06/2014 10:53:59]
AdwCleaner[R2].txt - [1599 octets] - [29/06/2014 00:57:36]
AdwCleaner[S0].txt - [5486 octets] - [27/06/2014 15:09:45]
AdwCleaner[S1].txt - [2212 octets] - [28/06/2014 10:56:03]
AdwCleaner[S2].txt - [2174 octets] - [29/06/2014 01:00:15]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [2234 octets] ##########

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 29/06/2014
Heure de l'examen: 15:44:24
Fichier journal: JournalMBAM1.txt
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.29.05
Base de données Rootkits: v2014.06.23.02
Licence: Essai
Protection contre les malveillants: Activé(e)
Protection contre les sites Web malveillants: Activé(e)
Self-protection: Activé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Val

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 298092
Temps écoulé: 8 min, 23 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 3
PUP.Optional.Superfish.A, C:\Users\Val\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage, , [95559edd4734cc6a241ac5f454ae6a96],
PUP.Optional.Superfish.A, C:\Users\Val\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal, , [5199b1ca12697fb7f34bd4e5d131b848],
PUP.Optional.Conduit.A, C:\Users\Val\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bon: (), Mauvais: ( "homepage": "http://search.conduit.com/?ctid=CT33149 ... 27F804AADF",), ,[2dbdd8a30e6d5bdb90c10dadcf35f20e]

Secteurs physiques: 0
(No malicious items detected)


(end)




Log HijackThis http://pjjoint.malekal.com/files.php?id ... 2i6h11l7e5

Merci d'avance

[angelique]

Tu dis toi meme la solution dans ta question > " j'ai un message d'Avira m'indiquant qu'il bloque l'accès au registre par mesure de sécurité."

[Val51]

Bonjour Angélique,
J'ai fait la manip en désactivant la protection temps réel d'Avira mais il me bloque toujours l'accès au registre; y a t-il quelque chose à configurer dans les paramètres ou un ordre à respecter (désactiver la protection puis scanner et corriger par MBAM?)

[angelique]

regarde dans les configurations d'antivir si y'a pas une case de protection registre, ça me fait marrer , ça empeche pas que les merdes s'installent, mais ça empeche de les enlever

[angelique]

un coup de google, c'est là apparamment :



> http://www.avira.com/fr/support-for-bus ... /kbid/1402

[Val51]

Bon, j'ai configuré comme indiqué ci-dessus, re AdwCleaner, re MBAM et j'ouvre Amazon.fr pour voir et toujours les pop-ups signés V9 similar prices...

[angelique]

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

[Val51]

Extensions Google Chrome
Adblock, DownloadHelper Google Docs ,Video Dowload Helper, StopExtensions from Injecting AdsBlockulicious. Ces deux dernières installées après avoir constaté le problème dont il est question dans ce post.

Extensions Firefox
Adblock Plus, CoLt, Download Youtube Videos, Download Helper, GreaseMonkey, NoScript, Slim Add-on Manager, Stylish, Trashmail, Vacuum Places, WOT, Xmarks. + 3 autres qui sont installées mais désactivées HP Smart Web Printing, RealDownloader et FastAccess WebLogin.

[angelique]

t'as adblock + Noscript sur Firefox , ça le fait pas avec Firefox ?

si oui:

1. Télécharge sur ton Bureau pas ailleurs FRST.EXE:
   
   
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
   
   

[Val51]

Re,

En fait, je n'utilisais pas FF dernièrement, je ne sais plus si les pop ups apparaissaient. Par contre, truc bizarre les pop-ups n'apparaissent plus sous Chrome.
J'ai refait un scan MBAM, il ne détecte plus que PUP.Optional. Conduit.A

J'ai fait le scan FRST malgré tout. Le rapport est là: http://pjjoint.malekal.com/files.php?id ... 1t8c15j6f7. J'ai copié/collé Addition.txt à la suite de l'autre.

[angelique]

Le rapport est OK.

Devait y avoir une régie de pubs non filtré par adblock sous ton chrome, qui a du être corrigée par le site, y'aurait fallu mettre Noscript ...

J'ai refait un scan MBAM, il ne détecte plus que PUP.Optional. Conduit.A

que des restes à mon avis, tout mettre en qurantaine.

[Val51]

tout mettre en quarantaine

C'est ce que j'ai fait à chaque scan mais il le redétecte à chaque fois...

[angelique]

ça concerne chrome , tu vas peut être pas m'aimer mais je suis anti-chrome ^^

Il est important de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer flash ( voir 3 - Le format SWF (Flash) et les risques liés à son utilisation - http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html - ), JavaScript, et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections ( - http://forum.malekal.com/les-exploits-s ... t3563.html - )!!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock : chrome://adblockplus/content/ui/firstRun.html



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/ : http://www.commentcamarche.net/faq/1567 ... -obeissant

Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/

[Val51]

Hello Angélique,

En effet, moi j'aime bien Chrome mais c'est vrai que l'aspect Big Brother de Google donne à réfléchir...
J'ai longtemps utilisé FF sécurisé avec les paramètres que tu recommandes mais j'avais opté pour Chrome car je le trouvais (à l'époque) plus simple au niveau interface et plus rapide niveau navigation. Noscript est très sécurisant mais le blocage est parfois assez agaçant...
Finalement, je vais peut être reprendre FF comme navigateur par défaut.
Merci en tout cas pour tous les conseils.
Je passe le topic en résolu.