Infection par des pubs

[arsenal2015]

Bonjour a tous,
je me retrouve dans une situation désespérée...
ca fait plusieurs jours que je suis infecté par je ne sais quoi qui m'ouvre des dizaines de pages de pubs, et ce, sur tous navigateurs (explorer,mozilla,chrome).
j'ai fait tous les scans possibles malwarebytes,ccleaner,roguekiller,spybot,hitman etc... mais aucun n'arrive a me debarasser de ce truc qui me colle comme un chewing gum ! j'en peux plus de ne pas trouver de soution :(

ma lueur d'espoir c'est que dans mon dernier scan hitpan a trouve 2 trucs suspects finalement : cmwf.sys et cmwr.sys. il explique que c'est typique des malwares et que ce sont des fichiers dans les drivers, invisibles pour la plupart des "nettoyeurs".

je suppose que vous avez besoin des rapports peut etre? je vous en supplie, dites moi quoi faire

[angelique]

• Faire Adwcleaner https://telecharger.malekal.com/download/adwcleaner/ , onglet scan puis ensuite suppression ... un redémarrage peut être demandé. , voir > , et poste le rapport.
  
  
  puis ensuite
• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
  Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
  (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[arsenal2015]

http://pjjoint.malekal.com/files.php?id ... i5p7e11v15

http://pjjoint.malekal.com/files.php?id ... w14z7k11y6


# AdwCleaner v4.106 - Rapport créé le 10/01/2015 à 14:44:26
# Mis à jour le 21/12/2014 par Xplode
# Database : 2015-01-03.1 [Live]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marge Simpson - MARGESIMPSON-PC
# Exécuté depuis : C:\Users\Marge Simpson\Desktop\SECURITY\adwcleaner_4.106.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17496


-\\ Mozilla Firefox v


-\\ Google Chrome v


-\\ Chromium v


*************************

AdwCleaner[R0].txt - [30565 octets] - [27/01/2014 22:31:39]
AdwCleaner[R1].txt - [17490 octets] - [07/01/2015 21:40:51]
AdwCleaner[R2].txt - [1144 octets] - [07/01/2015 23:48:06]
AdwCleaner[R3].txt - [2012 octets] - [08/01/2015 10:59:13]
AdwCleaner[R4].txt - [1386 octets] - [08/01/2015 11:04:06]
AdwCleaner[R5].txt - [4313 octets] - [08/01/2015 22:20:22]
AdwCleaner[R6].txt - [1586 octets] - [08/01/2015 22:28:54]
AdwCleaner[R7].txt - [1706 octets] - [09/01/2015 19:01:09]
AdwCleaner[R8].txt - [1820 octets] - [10/01/2015 14:42:02]
AdwCleaner[S0].txt - [28818 octets] - [27/01/2014 22:32:54]
AdwCleaner[S1].txt - [16351 octets] - [07/01/2015 21:46:46]
AdwCleaner[S2].txt - [1211 octets] - [07/01/2015 23:51:44]
AdwCleaner[S3].txt - [2085 octets] - [08/01/2015 11:01:56]
AdwCleaner[S4].txt - [1452 octets] - [08/01/2015 11:09:19]
AdwCleaner[S5].txt - [4423 octets] - [08/01/2015 22:26:30]
AdwCleaner[S6].txt - [1647 octets] - [08/01/2015 22:31:58]
AdwCleaner[S7].txt - [1767 octets] - [09/01/2015 19:02:45]
AdwCleaner[S8].txt - [1741 octets] - [10/01/2015 14:44:26]

########## EOF - C:\AdwCleaner\AdwCleaner[S8].txt - [1801 octets] ##########
# AdwCleaner v4.106 - Rapport créé le 13/01/2015 à 12:13:41
# Mis à jour le 21/12/2014 par Xplode
# Database : 2015-01-13.2 [Live]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marge Simpson - MARGESIMPSON-PC
# Exécuté depuis : C:\Users\Marge Simpson\Desktop\adwcleaner_4.106.exe
# Option : Nettoyer

***** [ Services ] *****

Service Supprimé : webinstrNHK
[#] Service Supprimé : cmwf
[#] Service Supprimé : cmwr

***** [ Fichiers / Dossiers ] *****

Fichier Supprimé : C:\Windows\System32\drivers\webinstrNHK.sys
Fichier Supprimé : C:\Windows\System32\drivers\cmwr.sys
Fichier Supprimé : C:\Windows\System32\drivers\cmwf.sys

***** [ Tâches planifiées ] *****

Tâche Supprimée : Update Service HitsBlender

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\ams1.ib.adnxs.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\ib.adnxs.com

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17496


-\\ Mozilla Firefox v34.0.5 (x86 fr)


-\\ Google Chrome v


-\\ Chromium v


*************************

AdwCleaner[R0].txt - [30565 octets] - [27/01/2014 22:31:39]
AdwCleaner[R1].txt - [17490 octets] - [07/01/2015 21:40:51]
AdwCleaner[R2].txt - [1144 octets] - [07/01/2015 23:48:06]
AdwCleaner[R3].txt - [2012 octets] - [08/01/2015 10:59:13]
AdwCleaner[R4].txt - [1386 octets] - [08/01/2015 11:04:06]
AdwCleaner[R5].txt - [4313 octets] - [08/01/2015 22:20:22]
AdwCleaner[R6].txt - [1586 octets] - [08/01/2015 22:28:54]
AdwCleaner[R7].txt - [3919 octets] - [09/01/2015 19:01:09]
AdwCleaner[R8].txt - [4198 octets] - [10/01/2015 14:42:02]
AdwCleaner[S0].txt - [28818 octets] - [27/01/2014 22:32:54]
AdwCleaner[S1].txt - [16351 octets] - [07/01/2015 21:46:46]
AdwCleaner[S2].txt - [1211 octets] - [07/01/2015 23:51:44]
AdwCleaner[S3].txt - [2085 octets] - [08/01/2015 11:01:56]
AdwCleaner[S4].txt - [1452 octets] - [08/01/2015 11:09:19]
AdwCleaner[S5].txt - [4423 octets] - [08/01/2015 22:26:30]
AdwCleaner[S6].txt - [1647 octets] - [08/01/2015 22:31:58]
AdwCleaner[S7].txt - [3983 octets] - [09/01/2015 19:02:45]
AdwCleaner[S8].txt - [4137 octets] - [10/01/2015 14:44:26]

########## EOF - C:\AdwCleaner\AdwCleaner[S8].txt - [4197 octets] ##########


voila tout ce que vous m'avez demandé, j'espere avoir tout bien fait !

j'apprecie infiniment votre aide

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  Task: {A6542998-447C-4828-A3BC-6DD9842CC28E} - System32\Tasks\SimpleFiles Installer Starter => C:\Users\MARGES~1\AppData\Local\Temp\SimpleFilesCeXeqPMFjJ.exe <==== ATTENTION
  Task: {A8D3E627-1963-4EFF-B175-6D661F80A507} - System32\Tasks\RVHKCSW => C:\ProgramData\489f1cd218ec4591b081a334a119122f\489f1cd218ec4591b081a334a119122f.exe
  C:\ProgramData\489f1cd218ec4591b081a334a119122f
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwf.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwr.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwf.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwr.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ColorMedia => ""="service"
  ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
  ProxyServer: [.DEFAULT] => http=127.0.0.1:60799;https=127.0.0.1:60799
  Toolbar: HKU\S-1-5-21-2601825434-2448616430-4196884066-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
  FF HKU\S-1-5-21-2601825434-2448616430-4196884066-1000\...\Firefox\Extensions: [{D5A69366-8C26-38E3-4585-A0947CF1C29B}] - C:\Program Files (x86)\ver2SpeeditUp\185.xpi
  FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
  2015-01-07 21:13 - 2015-01-07 21:13 - 00003800 _____ () C:\Windows\System32\Tasks\RVHKCSW
  2015-01-07 21:12 - 2015-01-07 20:54 - 00370688 _____ (CartCrunch Israel Ltd.) C:\Windows\system32\ColorMedia64.dll
  2015-01-07 21:12 - 2015-01-07 20:54 - 00324776 _____ (CartCrunch Israel Ltd.) C:\Windows\SysWOW64\ColorMedia.dll
  2015-01-07 21:11 - 2015-01-13 19:55 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\HitsBlender
  2015-01-07 21:09 - 2015-01-07 21:09 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_Kernel_webinstrNHK_01009.Wdf
  2015-01-07 21:08 - 2015-01-07 21:50 - 00003214 _____ () C:\Windows\System32\Tasks\SimpleFiles Installer Starter
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

[arsenal2015]

Merci de ton aide!

http://pjjoint.malekal.com/files.php?id ... 3j13u14j14

effectivement il m'a demande de redémarrer l'ordi !

[angelique]

ça doit être ok, je pense !

➫ supprime frst.exe, ses rapports et C:\FRST

➫ relance adwcleaner et clic desinstaller, l'outil étant regulierement MAJ, il ne convient pas de le garder.

[arsenal2015]

merci mille fois pour tes conseils, il semble en effet que la navigation soit redevenue normale!

d'apres toi, quel navigateur est le plus sur ? et quels programmes sont les plus efficaces/agressifs pour empêcher ce genre d'intrusion a l'avenir ?

[angelique]

Tu veux un surf sécurisé ! attarde toi sur:

➫ Il est important de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer flash ( voir 3 - Le format SWF (Flash) et les risques liés à son utilisation - http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html - ), JavaScript, et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections ( - http://forum.malekal.com/les-exploits-s ... t3563.html - )!!


Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock : chrome://adblockplus/content/ui/firstRun.html



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/ : http://www.commentcamarche.net/faq/1567 ... -obeissant

Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/


➮ Bloque la redirection , exemple > fake-player-t49065.html




= via about:config de firefox




La conséquence de protection :