Un malware impossible à liquider!

[Prospero8888]

Bonjour,

Alors, je cherche un as absolu de l'antivirussage. Car après l'aide des supports antivirus, après moulte logiciels anti-virus ou anti-malware, cette salop... incroyablement tenace et de "nationalité" chinoise (Je vis à Shanghai) est toujours là! Avast! (Je l'ai payant), d'ordinaire efficace, ne peut décidément rien pour moi.
Or tous mes browsers sont touchés, même Firefox!

Voici : une fenêtre s'affiche de manière aléatoire avec de la pub chinoise. Ce n'est pas une "fenêtre" en tant que telle, autant dire que toutes les options de filtrage anti-pop-up et Co ne servent à rien. Le malware affectionne notamment Google ou des sites de journaux français, de droite ou de gauche il s'en fout! Mais en fait il peut apparaître n'importe où! Ca fait 5 mois que j'ai ce problème, et j'ai tout essayé, je n'avais encore jamais vu ça!
Les CCleaner, Spybot, Malwarebytes, etc. sont totalement inefficaces, ils ne voient rien et me disent que mon ordi est totalement clean.

Mais si je m'adresse à vous, c'est que seul Firefox "réagit" à cette salop... Là ou IE laisse faire complètement, FF empêche l'affichage de la pub car j'ai comme module Noscript. MAIS le cadre, très gênant, est toujours là! Il s'agit donc bien d'un "truc" javascript malware!!! J'ignore si cette chose est DANS mon ordi, où si elle se loge "entre" l'ordi et le net, je n'y connais pas grand chose, mais je cherche désespérément celui ou celle qui me dira comment mettre fin à ça!!!!??

Je peux vous poster un log. Hijackthis, bien que ça n'a jamais servi à rien pour ceux qui ont tenté de m'aider sur d'autres forum. Je peux vous montrer une capture d'écran mais quand je clique sur l'icône pièce jointe au-dessus ici, rien ne se passe.

Voilà. En, espérant qu'il y ait un cador ici, ou juste un mec (ou fille!) astucieux!?

Merci d'avance!

[hackoofr]

vous pouvez exécuter ce vbscript en l'enregistrant sous ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution puis coller le résultat généré par ce dernier dans la réponse:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
'Les éléments à démarrage automatique + ListProcessCmdLine.vbs © Hackoo © 2011
Set fso = CreateObject("Scripting.FileSystemObject")
Set Ws = CreateObject("WScript.Shell")
Set ProcessEnv = Ws.Environment("Process")
NomMachine = ProcessEnv("COMPUTERNAME") 
NomUtilisateur = ProcessEnv("USERNAME") 
NomFichierLog="Liste_Processus.txt"
temp = Ws.ExpandEnvironmentStrings("%temp%")
PathNomFichierLog = temp & "\" & NomFichierLog
Set OutPut = fso.CreateTextFile(temp & "\" & NomFichierLog,2)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _ 
& strComputer & "\root\cimv2") 
Set colProcesses = objWMIService.ExecQuery ("Select * from Win32_Process")
count=0 
'Dim StartTime : StartTime = Timer
Call Infosys
OutPut.WriteLine String(14,"*")& "Liste des Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & String(14,"*")& vbNewline & String(143,"*")
For Each objProcess in colProcesses
ProcessName = objProcess.Name
ProcessID = objProcess.ProcessID
CommandLine = objProcess.CommandLine	
count=count+1
Texte = "Numéro PID = "& objProcess.ProcessID & VbNewLine & "Nom du Processus = " & objProcess.Name & VbNewLine &"Ligne de Commande = "& objProcess.CommandLine &_
VbNewLine & String(120,"*")
OutPut.WriteLine Texte
Next
 
OutPut.WriteLine  "Il y a "& Count &" Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & vbNewline
Call StartupCommand
'OutPut.WriteLine FormatNumber(Timer - StartTime, 0) & " seconds."
Function StartupCommand()
strComputer = "."
resultat=""
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colStartupCommands = objWMIService.ExecQuery ("Select * from Win32_StartupCommand")
 
For Each objStartupCommand in colStartupCommands
resultat=resultat & "Nom: " & objStartupCommand.Name & vbNewline
resultat=resultat & "Description: " & objStartupCommand.Description & vbNewline
resultat=resultat & "Emplacement: " & objStartupCommand.Location & vbNewline
resultat=resultat & "Commande: " & objStartupCommand.Command & vbNewline
resultat=resultat & "Utilisateur: " & objStartupCommand.User & vbNewline
resultat=resultat & String(120,"*") & vbNewline 
Next
OutPut.WriteLine String(50,"*") &" Les éléments à démarrage automatique "& String(50,"*")
OutPut.WriteLine resultat
end Function
 
Explorer(PathNomFichierLog)
 
Function Explorer(File)
    Set ws=CreateObject("wscript.shell")
    ws.run "Explorer "& File,0,True
end Function
 
Function InfoSys
strComputer = "."
strMessage=""
Set objWMIService = GetObject("winmgmts:"  & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colSettings = objWMIService.ExecQuery  ("Select * from Win32_ComputerSystem")
Set colSettings2 = objWMIService.ExecQuery ("Select * from Win32_BIOS")
Set colSettings3 = objWMIService.ExecQuery ("Select * from Win32_OperatingSystem")
For Each objBIOS in colSettings2 
      strMessage=strMessage & "BIOS " & objBIOS.Version & vbNewline & vbNewline
Next
For Each objComputer in colSettings 
      strMessage=strMessage & "Nom de l'ordinateur : " & objComputer.Name & vbNewline & "Fabriquant: " & objComputer.Manufacturer & vbNewline & "Modèle : " & objComputer.Model & vbNewline & vbNewline
 
Next
For Each objOperatingSystem in colSettings3
      strMessage=strMessage &  objOperatingSystem.Name & vbNewline
      strMessage=strMessage &  "Version " & objOperatingSystem.Version & vbNewline
      strMessage=strMessage &  "Service Pack " & objOperatingSystem.ServicePackMajorVersion & "." & objOperatingSystem.ServicePackMinorVersion &vbNewline
      strMessage=strMessage &  "Dossier de Windows: " & objOperatingSystem.WindowsDirectory &vbNewline
Next
OutPut.WriteLine strMessage
end Function

[JML19]

Bonjour

Essais en mode sans échec, supprimes le profil complétement dans le répertoire utilisateur et recrée un autre profil.

[Prospero8888]

Bonjour!

Merci pour cette aide rapide!

Malheureusement, je ne peux pas l'exécuter!

Je l'ai bien copié entièrement sur le Bloc-note, enregistré avec le nom et l'extension que tu as indiquée, mais si j'ouvre=exécute le fichier, j'ai droit à "Erreur de compilation Microsoft"!

Tu vois pourquoi???

Sinon, je viens de voir le post de JML19! Par "répertoire utilisateur", tu veux dire mon profil général pour tout mon notebook, celui que j'ai créé après l'avoir acheté??? Si c'est bien ça, tu penses qu'ainsi on brouille les pistes?

Merci encore à vous d'avance! :-)

[JML19]

Bonsoir

Oui le profil tu as fait lors de l'installation, pour voir si le problème est dans le profil ou dans windows.

[blue2]

salut,

Poster votre rapport Hijackthis.

Même si Hijackthis ne rapporte, coté navigateur, qui ce qui a trait à IExplorer.
Ça permettra d'abord, d'identifier l'infection en place.
Et à défaut d'un outil spécialisé déjà existant, susceptible de traiter cet Hijacker et/ou PUP ..?
Nous pourrons toujours, par la suite, élaborer une procédure pour purger vos autres navigateurs.