Résolu firefox s'ouvre tout seul et ouvre des onglets tout seul...HELP PLEASE !!!

[Antony38]

Salut à tous et à toutes,
voilà j'ai un soucis depuis hier , comme indiqué dan le titre firefox s'ouvre tout seul et ouvre des onglets tout seul lorsque je suis déjà en train de naviguer.
Je suis sous windows 7 et j'utilise avira

J'ai suivi pas mal de procédures vues à droite et à gauche et ici notamment, pour résumer:
-j'ai installé adw cleaner fait un (voir 2 ou 3 voir 10....) scan et fait un nettoyage
-idem avec ccleaner
-idem avec ZHPcleaner
-j'ai démarrer windows en mode sans échec et effectué un scan complet avec avira ,puis rebelote une fois l'ordi redémarrer en mode normal
mais rien à faire, le problème persiste
Merci d'avance aux personnes qui pourront me filer un coup de main
Edit: j'ai également utilisé eset online

 

[hyunkel30]

Bonsoir,

Infection par adwares, logiciels publicitaires installés "volontairement", car les utilisateurs de ce pc ne sont pas assez vigilants, et ne décochent pas les sponsors proposés avec l'installation de certains programmes "gratuits".

à faire pour un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• ■ Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  ■Clique sur le bouton Analyser.
  ■L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  ■A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).

Poste les deux rapports générés.

■Pour les rapports, merci d'utiliser

Vous devez être connecté pour voir les liens.

: dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Vous devez être connecté pour voir les liens.

 

[Antony38]

Trop cool merci pour la prise en charge
FRST

Vous devez être connecté pour voir les liens.

Addition

Vous devez être connecté pour voir les liens.

Edit 9h26: Le problème semble résolu, le scan m'as permis de voir à quelle heure j'ai été infecté et de retrouver le chemin d'accès dufichier qui posait problème , c'est cette ligne qui était en cause :
2017-02-12 13:56 - 2017-02-12 13:56 - 00003602 _____ C:\Windows\System32\Tasks\httpgametoppagesorgwidsm
J'ai remonté le chemin d'accès et j'ai supprimé le fichier en question , est-ce qu'il faut que je relance un adwcleaner ou autre ?

 

[hyunkel30]

Re,

Laisse-moi te prendre ne charge jusqu'au bout s'il te plait
Je t'indiquerai les marches à suivre, et lorsque cela sera terminé.

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- McAfee Security Scan Plus (inutile, installé en sponsor)


~~~~~~~~~~~~~~~~~~~~~~~~~~


2)

• ■Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  ■Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  [fixed]start
  CreateRestorePoint:
  CloseProcesses:
  Task: {B6040E36-F6D5-44FD-9F95-15936404853A} - System32\Tasks\httpgametoppagesorgwidsm => Firefox.exe hxxp://gametoppages.org/widsm
  Shortcut: C:\Users\Tony\Desktop\Tor Browser\St?rt T?r ?rows?r.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.xoferif.bat (Pas de fichier) <===== Cyrillic
  Shortcut: C:\Users\Tony\Desktop\JEUX\Qu?k? 4.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.rehcnual.xtg.4ekauq.bat (Pas de fichier) <===== Cyrillic
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Int?rnet Ex?lorer.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.erolpxei.bat (Pas de fichier) <===== Cyrillic
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Int?rnet Expl?r?r (No ?dd-ons).lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.erolpxei.bat (Pas de fichier) <===== Cyrillic
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\L?unch Int?rnet E?pl?r?r Browser.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.erolpxei.bat (Pas de fichier) <===== Cyrillic
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\St?rt T?r ?rowser.lnk -> C:\Users\Tony\Desktop\Tor Browser\Browser\firefox.exe (Mozilla Corporation) <===== Cyrillic
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\??zill? Fir?f?x.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.xoferif.bat (Pas de fichier) <===== Cyrillic
  Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\??zill? Firefox.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.xoferif.bat (Pas de fichier) <===== Cyrillic
  C:\Users\Tony\AppData\Roaming\Browsers
  AlternateDataStreams: C:\ProgramData\TEMP:4A8EB1C4 [364]
  AlternateDataStreams: C:\ProgramData\TEMP:87A3A233 [179]
  AlternateDataStreams: C:\ProgramData\TEMP:8E5EA40F [384]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-11-04]
  FF Extension: (Java Console) - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2016-10-20] [non signé]
  FF Extension: (Java Console) - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2016-10-20] [non signé]
  FF Plugin HKU\.DEFAULT: @hola.org/FlashPlayer -> C:\Users\Tony\AppData\Local\Hola\firefox_hola\app\flash\NPSWF32_18_0_0_232.dll [Pas de fichier]
  FF Plugin HKU\.DEFAULT: @hola.org/vlc -> C:\Users\Tony\AppData\Local\Hola\firefox_hola\app\vlc\npvlc.dll [Pas de fichier]
  CHR HKLM-x32\...\Chrome\Extension: [jplinpmadfkdgipabgcdchbdikologlh] - C:\Program Files (x86)\1ClickDownload\1click12.crx <non trouvé(e)>
  C:\Program Files (x86)\1ClickDownload
  EmptyTemp:
  end[/fixed]
  
  ■Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  ■Ferme toutes les applications, y compris ton navigateur
  ■Double-clique sur FRST.exe
  ■Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  
  Vous devez être connecté pour voir les images.
  
  ■ Le pc va demander à redémarrer, accepte.
  ■L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

 

[Antony38]

Re,
merci vraiment , j'accepte avec plaisir d'être pris en charge jusqu'au bout
McAfee est désinstallé
rapport fixlog:

Vous devez être connecté pour voir les liens.

 

[hyunkel30]

Re,

Peux-tu me faire ceci pour vérifier quelque chose s'il te plait :

Relance FRST :

• ■ Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  ■Coche l'option Addition.txt en bas de la fenêtre.
  ■Clique sur le bouton Analyser.
  ■L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.

Poste les deux rapports générés.
a
■Pour les rapports, merci d'utiliser

Vous devez être connecté pour voir les liens.

: dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Vous devez être connecté pour voir les liens.

 

[Antony38]

Re,
l'option addition.txt en bas de la fenêtre été déjà cochée

FRST

Vous devez être connecté pour voir les liens.

Addition

Vous devez être connecté pour voir les liens.

 

[hyunkel30]

Re,

Peux-tu me confirmer, ou pas, la présence sur ton bureau de raccourci de lancement avec une écriture comportant des caractères spéciaux ?

Genre St?rt T?r ?rows?r (ou les "?" sont des caractères spéciaux)

 

[Antony38]

Re,
je n'ai pas de raccourcis ou autre avec des caractères spéciaux, enfin du moins c'est écrit normalement
genre Start Tor Browser tel quel , après pour ce fichier en particulier je n'ai probablement pas la dernière mise à jour
du coup est-ce que ça peut jouer ,je sais pas ....

 

[hyunkel30]

Re,

Tes raccourcis semblent infectés néanmoins ...

Peux-tu relancer FRST et juste cocher "shortcut"/"raccourcis" en bas
Puis me fournir le rapport shorcut/raccourci dans ta prochaine réponse (en l'hébergeant comme tu fait jusqu'à maintenant)

 

[Antony38]

re,
rapport shortcut :

Vous devez être connecté pour voir les liens.

Bizarrement avira a scanné l'application quand je l'aie lancée , c'est la première fois que ça fait ça....
Peut-être que mon antivirus fonctionne vraiment pour le coup
Sinon j'ai une question ,j'ai lu dans un autre sujet qu'il ne faut pas que 2 firewalls soit actifs en même temps, ça vaut aussi pour mon cas ?
Parce-que je crois que celui de windows est activé ainsi que celui de avira....

Edit: effectivement les deux sont activés

 

[hyunkel30]

Re,

Tu n'as pas de parefeu avec ce produit Antivir, c'est l'antivirus seul
Il doit juste t'indiquer que le parefeu système Windows est opérationnel je pense

à faire s'il te plait :

• ■Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  ■Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  [fixed]start
  CreateRestorePoint:
  CloseProcesses:
  Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firefox.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.xoferif.bat (Pas de fichier)
  Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake 4\Quаkе 4.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.rehcnual.xtg.4ekauq.bat (Pas de fichier)
  Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Packard Bell - Security & Support\Сontаct.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.erolpxei.bat (Pas de fichier)
  Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Call of Cthulhu DCoTE\Рrоgrammе dе lancemеnt dе DСoTE.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.rehcnualetocdcoc.bat (Pas de fichier)
  Shortcut: C:\Users\Tony\Desktop\Tor Browser\St?rt T?r ?rows?r.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.xoferif.bat (Pas de fichier)
  Shortcut: C:\Users\Tony\Desktop\JEUX\Qu?k? 4.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.rehcnual.xtg.4ekauq.bat (Pas de fichier)
  Shortcut: C:\Users\Tony\Desktop\AVIRA\McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.469\McUICnt.exe (Pas de fichier)
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Int?rnet Ex?lorer.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.erolpxei.bat (Pas de fichier)
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\L?unch Int?rnet E?pl?r?r Browser.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.erolpxei.bat (Pas de fichier)
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\St?rt T?r ?rowser.lnk -> C:\Users\Tony\Desktop\Tor Browser\Browser\firefox.exe (Mozilla Corporation)
  Shortcut: C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\??zill? Fir?f?x.lnk -> C:\Users\Tony\AppData\Roaming\Browsers\exe.xoferif.bat (Pas de fichier)
  end[/fixed]
  
  ■Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  ■Ferme toutes les applications, y compris ton navigateur
  ■Double-clique sur FRST.exe
  ■Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  
  Vous devez être connecté pour voir les images.
  
  ■ Le pc va demander à redémarrer, accepte.
  ■L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

 

[Antony38]

Re,
ouais effectivement c'est windows seulement , tu me conseilles un autre pare-feu ?
j'ai un message d'erreur qui apparait quand je tente d’enregistrer le fichier du bloc note :

C:\Users\Tony\Desktop\fixlist.txt
Ce fichier contient des caractères au format Unicode qui seront perdues
si vous l'enregistrez comme un fichier texte au format ANSI. Pour
conserver les informations Unicode, cliquez sur Annulez ci-dessous puis
sélectionnez une des options Unicode à partir de la liste déroulante
Encodage, voulez-vous continuer ?

 

[hyunkel30]

Re,

ouais effectivement c'est windows seulement , tu me conseilles un autre pare-feu ?

Non, cela suffit très bien pour une utilisation classique

j'ai un message d'erreur qui apparait quand je tente d’enregistrer le fichier du bloc note :

Ah oui, normal, pardon
Tu enregistres le bloc-note (fichier -> enregistrer-sous) en choisissant en bas, en face d'Encodage", avec le menu déroulant :
UTF-8

 

[Antony38]

Cool, encore merci pour les conseils et la prise en charge
rapport fixlog:https://up.security-x.fr/file.php?h=Rdf1acce42f1ccd6b219fe49b36d2efb5

 

[hyunkel30]

Re,

Mhmhm ces caractères spéciaux sont chiants à traiter lol

Tu pourrais copier-coller ceci dans ton encart de recherche :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs

Dans la fenêtre qui s'ouvre, dis-moi si tu vois un fichier qui ressemble à ça :
�оzillа Firefox.lnk

 

[Antony38]

Re,
j'ai aucune idée de comment accéder à ce dossier...
Quand je tape ça dans le menu démarrer ,rien
idem pour la recherche depuis ordinateur>C:
et même en recherchant manuellement, je n'arrive pas à trouver ProgrammeData>microsoft etc...
Par contre mon disque dur est fractionné et D: s'appelle Data ,
mais là dedans j'ai rien à part des fichiers que j'ai stockés là pour faire de la place sur C:

 

[hyunkel30]

Re,

Non, normalement le chemin que je t'indique existe bien, le rapport me le fournit

Et il m'ouvre bien le dossier sur mon système Windows 7, si je colle ce chemin directement dans la recherche du menu démarrer, puis appuie sur "entrée"
Tu es certain que tu effectues cela convenablement ?

Que tu ne le trouves pas, c'est normal en soit, l'un de ces dossier a un attribut "caché", donc faudrait modifier les options, mais c'est aussi pour cela que je te le fait faire par la fonction de recherche, qui évite cela.

Bon soyons clair, en soit c'est pas très grave, car les cibles de ces raccourcis infectés que je veux supprimer n'existe plus, mais cela peut laisser des erreurs, j'aimerais les nettoyer, et les caractères spéciaux m'empêchent de faire un script correct ...

 

[Antony38]

Re,
houlà je suis vraiment à la ramasse désolé, effectivement quand j'appuie sur entrée il y a bien une fenêtre qui s'ouvre
Du coup pas de fichiers avec un des caractères bizarres mais j'ai un fichier mozilla firefox dont l’icône n'est pas "conforme" genre comme celui entouré en rouge sur la capture d'écran

Vous devez être connecté pour voir les liens.

D’ailleurs quand je clique dessus ,ce message apparait :
L'élément "exe.xoverif.bat" auquel ce raccourci renvoie a été
modifié ou déplacé si bien qu'il ne fonctionne plus correctement.
Voulez-vous supprimer ce raccourci ?

 

[hyunkel30]

Re,

Parfait, tu l'as trouvé

Oui, supprime, et fais cela ensuite (en collant le chemin puis cherchant les icones "cassée" pour les suivant) :

Dans :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake 4
Les raccourcis cassé ou pointant vers exe.rehcnual.xtg.4ekauq.bat :
- Quаkе 4.lnk

Dans :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Packard Bell - Security & Support
Les raccourcis cassé ou pointant vers exe.erolpxei.bat :
- Сontаct.lnk

Dans :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Call of Cthulhu DCoTE
Les raccourcis cassé ou pointant vers exe.rehcnualetocdcoc.bat :
- Рrоgrammе dе lancemеnt dе DСoTE.lnk

Dans :
C:\Users\Tony\Desktop\Tor Browser
Les raccourcis cassé ou pointant vers exe.xoferif.bat :
- St?rt T?r ?rows?r.lnk

Dans :
C:\Users\Tony\Desktop\JEUX
Les raccourcis cassé ou pointant vers exe.rehcnual.xtg.4ekauq.bat :
- Qu?k? 4.lnk

Dans :
C:\Users\Tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Les raccourcis cassé ou pointant vers exe.erolpxei.bat :
- Int?rnet Ex?lorer.lnk

Dans :
C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
Les raccourcis cassé ou pointant vers exe.erolpxei.bat :
- L?unch Int?rnet E?pl?r?r Browser.lnk

Dans :
C:\Users\Tony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
Les raccourcis cassé ou pointant vers exe.xoferif.bat :
- ??zill? Fir?f?x.lnk

############

Une fois cela effectué, refait un rapport "Shortcuts" avec FRST et poste-le moi s'il te plait.