[Résolu] Ouverture hxxp://ads00-atmgroup.rhcloud.com

[kafarel]

Bonjour,

A l'ouverture d'une session Windows 8.1 mon navigateur MAXTHON s'ouvre tout seul :

https://ads01-atmgroup.rhcloud.com/ads.php

Puis j'ai un lien publicitaire m'annonçant une infection bla-bla-bla, un téléphone ect..

J"ai tout essayé en démarrage sans échec :

CCleaner
AVAST
Malwarebytes
adwcleaner
ZHPCleaner
AdBlock Master

Sans rien changer

Je ne sais pas utilser
ZHPDiag
ZHPFix
FRST64
ni hjactruc

J"ai réussi à bloquer avec Malwarebytes

PouveZ m'aider SVP

[Malekal_morte]

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[kafarel]

Bonjour,

Merci,trop content d'avoir de l'aide...

J'ai suivi le conseil de lecture, des traces ads et ads01 sont présentes.

J'ai compris en voyant la source System32\Drivers\etc\etc\host

Mea culpa...je ne touche rien sans les consignes.

Voici les liens des fichiers.

http://pjjoint.malekal.com/files.php?id ... 8u6b5n7f12

http://pjjoint.malekal.com/files.php?id ... 10s158r8v9

http://pjjoint.malekal.com/files.php?id ... z9x11y9n14

[Malekal_morte]

3 antivirus installés, ça doit ramer sec...

AV: McAfee VirusScan Enterprise (Disabled - Out of date) {ADA629C7-7F48-5689-624A-3B76997E0892}
AV: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AV: Bitdefender Antivirus (Enabled - Up to date) {3FB17364-4FCC-0FA7-6BBF-973897395371}

Désinstalle aussi ces programmes, ça sert à rien :
AdBlock Master
AVG PC TuneUp
AVG Zen

~~

Envoie ces deux fichiers l'un après l'autre sur http://upload.malekal.com
C:\WINDOWS\AdBlock.exe
C:\WINDOWS\systwin.exe

puis :



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [https://www.malekal.com/tutorial-farbar ... -frst/#fix]note explicative avec des captures d'écran].

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [AdBlock] => "AdBlock.exe"
HKLM-x32\...\RunOnce: [systwin] => "systwin.exe"
2016-05-08 21:03 - 2016-05-08 21:03 - 00000000 ____D C:\Users\Rafael PULIDO\AppData\Roaming\LavasoftStatistics
2016-05-08 21:02 - 2016-05-08 21:02 - 00000000 ____D C:\Program Files\Common Files\Lavasoft
2016-05-08 20:58 - 2016-05-08 20:58 - 00000000 ____D C:\ProgramData\Lavasoft
2016-05-07 23:25 - 2016-05-07 23:25 - 00000000 ____D C:\Users\Rafael PULIDO\AppData\Roaming\MCorp
2016-05-07 22:46 - 2016-05-07 00:14 - 00303226 _____ ( ) C:\WINDOWS\AdBlock.exe
2016-05-07 22:45 - 2016-05-07 22:46 - 00000000 ____D C:\Users\Rafael PULIDO\AppData\Roaming\efo
2016-05-07 22:45 - 2016-05-07 13:33 - 00305980 _____ ( ) C:\WINDOWS\systwin.exe
2016-05-03 11:46 - 2016-03-29 22:37 - 00000000 ____D C:\Users\Rafael PULIDO\AppData\Roaming\6FE87521-F67D-4D45-9D63-B3E4979A312F
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire (<ital> pas obligatoire </ital>)
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[kafarel]

Le problème est corrigé...
Merci
Merci beaucoup.

Voici le lien du fichier :
http://pjjoint.malekal.com/files.php?id ... 7e612q10b8

impossible de désinstaller les deux antivirus à l'essai date dépassée.
j'utilise Revo uninstaller Pro pourtant...

- McAfee VirusScan Enterprise (Disabled - Out of date) {ADA629C7-7F48-5689-624A-3B76997E0892}
- Bitdefender Antivirus (Enabled - Up to date) {3FB17364-4FCC-0FA7-6BBF-973897395371}

Pour les deux exe :
C:\WINDOWS\AdBlock.exe.
C:\WINDOWS\systwin.exe

Impossible de les joindre à [url]http://upload.malekal.com/[url]

[Malekal_morte]

Je confirme Adblock.exe ouvre bien les pages que tu mentionnes : hxxp://ads00-atmgroup.rhcloud.com/piwik.php

[dvn_26]

Bonjour, je viens de lire votre discussion, j'ai exactement le même problème avec ads01-atmgroup.rhcloud.com/ads.php. qui s'ouvre à chaque fois que je démarre Windows. Egalement comme kafarel, ZHP, Adw, etc... ne règlent rien

Est-ce possible d'avoir un peu d'aide sur ce problème ?

Mes 3 fichiers de FRST : http://pjjoint.malekal.com/files.php?id ... 10o12s5l12 (Shortcut.txt)

http://pjjoint.malekal.com/files.php?id ... k7u14c5r11 (Addition.txt)

http://pjjoint.malekal.com/files.php?id ... k14g8f5f10 (FRST.txt)

Merci d'avance !
Cordialement.

[Malekal_morte]

Salut,

Désinstalle Emsisoft, tu as déjà Malwarebytes, c'est suffisant.
Supprime JRT. Pas efficace.
Tu as suivi une procédure donnée sur un site qui est inefficace.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [AdBlock] => "AdBlock.exe"
2016-05-14 03:41 - 2016-05-14 03:41 - 00000000 ____D C:\Users\Devon\AppData\Roaming\MCorp
2016-05-14 03:26 - 2016-05-14 03:26 - 00000290 __RSH C:\Users\Devon\ntuser.pol
2016-05-14 03:24 - 2016-05-14 03:24 - 00000000 ____D C:\WINDOWS\system32\kodl
2016-05-14 03:10 - 2016-05-14 03:27 - 00187904 _____ C:\WINDOWS\rsrcs.dll
2016-05-14 03:07 - 2016-05-14 03:07 - 00000000 ____D C:\Program Files (x86)\Cluudomclwuse
2016-05-14 03:07 - 2016-05-12 19:22 - 00305975 _____ ( ) C:\WINDOWS\systwin.exe
2016-05-14 03:07 - 2016-05-12 19:19 - 00303218 _____ ( ) C:\WINDOWS\AdBlock.exe
2016-05-14 03:04 - 2016-05-14 20:57 - 00000000 ____D C:\Users\Devon\AppData\Roaming\Vudnu
2016-05-14 03:04 - 2016-05-14 03:04 - 00000000 ____D C:\Users\Devon\AppData\Local\Tempfolder
2016-05-14 03:04 - 2016-05-14 02:59 - 00001045 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2016-05-14 02:59 - 2016-05-14 12:43 - 00000000 ____D C:\ProgramData\Torrent_Search_PED
2016-05-14 02:59 - 2016-05-14 02:59 - 00000000 ____D C:\ProgramData\InstallChecker
2016-05-14 03:07 - 2016-05-14 03:07 - 00000000 ____D C:\Program Files (x86)\Cluudomclwuse
2016-05-14 03:07 - 2016-05-12 19:22 - 00305975 _____ ( ) C:\WINDOWS\systwin.exe
2016-05-14 03:07 - 2016-05-12 19:19 - 00303218 _____ ( ) C:\WINDOWS\AdBlock.exe
2016-05-14 03:04 - 2016-05-14 20:57 - 00000000 ____D C:\Users\Devon\AppData\Roaming\Vudnu
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[dvn_26]

Salut,
Voici le fichier fixlog.txt

http://pjjoint.malekal.com/files.php?id ... 7j12c11t11

Et donc c'est le programme AdBlock qui cause tout ces ennuis ??

Merci, merci beaucoup pour ton aide en tous cas !

[Malekal_morte]

Non c'est un fichier qui porte juste le nom, pour semer la confiance.
Ca donne quoi ?