Extensions Chrome Mail.Ru [Résolu]

SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention - 10 juin 2017 à 12:41 - Dernière réponse : Malekal_morte- 143417 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention
- 10 juin 2017 à 17:48
Bonjour, J'utilise Chrome depuis longtemps mais il y a quelque jours mon ordi s'est infecté par un virus russe. Quand je vais dans mes extensions chrome je ne vois rien d'anormal: Adblock Plus/ Adblock pour YouTube etc.... Mais quand je vais dans mes extensions chrome a partir de mon antivirus (Iobit Advanced Systeme Care) je vois 3 extension en plus: Recherche Mail.ru / Page par défaut mail.ru / + un autre truc mail.ru
Ces extensions sont écrient en russe mais je l'ai avaient traduit car je connait le russe ;)
Donc quand je les désinstallent l'antivirus dit de désactiver Chrome Sync, c'est ce que j'ai fait. Apres désinstallation, je redémarre Chrome mais ces extension reviennent

J'ai déjà analyser mon ordi plusieurs fois mais rien trouvé
Voila quelque Screenshots:
http://hpics.li/f2f9649
http://hpics.li/baabff5

Merci pour toute réponse rapide et complète si possible ;)
Afficher la suite 

11 réponses

Répondre au sujet
Malekal_morte- 143417 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention - 10 juin 2017 à 12:44
+1
Utile
6
Salut,

Commence par désinstaller tous les programmes IOBit.
Strictement inutiles, ça se met au démarrage de Windows et le ralentit.

Ensuite :

Suis le tutoriel AdwCleaner d'Xplode
  • Télécharge le sur ton Bureau ou dans ton dossier des téléchargements,
  • Lance "AdwCleaner" puis clique sur [Scanner],
  • L'analyse va durer plusieurs minutes, patiente,
  • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer],
  • Une fois le nettoyage terminé, un rapport va s'ouvrir,
  • Copie/colle le contenu du rapport dans tca prochaine réponse.


Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
(ne pas utiliser zoek et faire une réinitialisation manuelle)

3°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Cette réponse vous a-t-elle aidé ?  
Malekal_morte- 143417 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention > SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention - 10 juin 2017 à 13:01
Les programmes IObit se servent à rien à part encombrer Windows.
Au mieux il ralentisse Windows car ils se mettent au démarrage.
Au pire, tu vas flinguer Windows avec tous ces nettoyages.

Réinitialise les navigateurs et passe FRST.
Du coup les détections AdwCleaner ne doivent être que des entrées dans les fichiers de conf de ton navigateur WEB.
Tu peux fournir le rapport ?
SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention > Malekal_morte- 143417 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention - 10 juin 2017 à 13:14
Voici le raport Adwcleaner:



# AdwCleaner v6.047 - Rapport créé le 10/06/2017 à 13:04:38
# Mis à jour le 19/05/2017 par Malwarebytes
# Base de données : 2017-06-10.1 [Serveur]
# Système d'exploitation : Windows 10 Home (X64)
# Nom d'utilisateur : tazou - LAPTOP-516LTVA1
# Exécuté depuis : C:\Users\tazou\Desktop\adwcleaner_6.047.exe
# Mode: Nettoyage
# Support : https://www.malwarebytes.com/support
          • [ Services ] *****


[-] Service supprimé: swdumon
[-] Service supprimé: AdvancedSystemCareService10
          • [ Dossiers ] *****


[-] Dossier supprimé: C:\Users\tazou\AppData\Local\slimware utilities inc
[-] Dossier supprimé: C:\Users\tazou\AppData\Local\YSearchUtil
[#] Dossier supprimé au redémarrage: C:\Users\tazou\AppData\Local\SlimWare Utilities Inc
[-] Dossier supprimé: C:\Users\tazou\AppData\LocalLow\IObit\Advanced SystemCare
[-] Dossier supprimé: C:\Users\tazou\AppData\Roaming\IObit\Advanced SystemCare
[-] Dossier supprimé: C:\Program Files\ByteFence
[-] Dossier supprimé: C:\ProgramData\ByteFence
[-] Dossier supprimé: C:\ProgramData\IObit\ASCDownloader
[-] Dossier supprimé: C:\ProgramData\IObit\Advanced SystemCare
[#] Dossier supprimé au redémarrage: C:\ProgramData\Application Data\ByteFence
[#] Dossier supprimé au redémarrage: C:\ProgramData\Application Data\IObit\ASCDownloader
[#] Dossier supprimé au redémarrage: C:\ProgramData\Application Data\IObit\Advanced SystemCare
[-] Dossier supprimé: C:\Users\Public\Documents\Downloaded Installers
[-] Dossier supprimé: C:\Program Files (x86)\IObit\Advanced SystemCare
[-] Dossier supprimé: C:\Program Files (x86)\Common Files\IObit\Advanced SystemCare
[-] Dossier supprimé: C:\WINDOWS\SysWOW64\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare
[-] Dossier supprimé: C:\WINDOWS\SysWOW64\config\systemprofile\AppData\Local\YSearchUtil
[-] Dossier supprimé: C:\WINDOWS\SysWOW64\config\systemprofile\AppData\LocalLow\IObit\Advanced SystemCare
[-] Dossier supprimé: C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\bbmegnmpleoagolcnjnejdacakedpcgd
[-] Dossier supprimé: C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1\Local Extension Settings\bbmegnmpleoagolcnjnejdacakedpcgd
          • [ Fichiers ] *****


[-] Fichier supprimé: C:\Users\tazou\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
[#] Fichier supprimé: C:\Users\tazou\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MAIL.RU.LNK
[-] Fichier supprimé: C:\Users\tazou\Favorites\Mail.Ru.url
[-] Fichier supprimé: C:\Users\tazou\Favorites\Mail.Ru Агент - используй для общения!.url
[-] Fichier supprimé: C:\WINDOWS\SysNative\drivers\swdumon.sys
[-] Fichier supprimé: C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\hxxp_st.chatango.com_0.localstorage
          • [ DLL ] *****
          • [ WMI ] *****
          • [ Raccourcis ] *****


[!] Raccourci non supprimé: C:\Users\tazou\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
          • [ Tâches planifiées ] *****


[-] Tâche supprimée: Driver Booster Scheduler
          • [ Registre ] *****


[-] Clé supprimée: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\ByteFenceService
[#] Clé supprimée au redémarrage: [x64] HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\ByteFenceService
[-] Clé supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\Classes\Zona
[#] Clé supprimée au redémarrage: HKCU\Software\Classes\Zona
[-] Clé supprimée: HKLM\SOFTWARE\Classes\.zona
[-] Clé supprimée: HKLM\SOFTWARE\Classes\ASCExtMenu.CExtMenu
[-] Clé supprimée: HKLM\SOFTWARE\Classes\ASCExtMenu.CExtMenu.1
[-] Clé supprimée: HKLM\SOFTWARE\Classes\Zona
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\Classes\Zona
[#] Clé supprimée au redémarrage: [x64] HKLM\SOFTWARE\Classes\.zona
[#] Clé supprimée au redémarrage: [x64] HKLM\SOFTWARE\Classes\ASCExtMenu.CExtMenu
[#] Clé supprimée au redémarrage: [x64] HKLM\SOFTWARE\Classes\ASCExtMenu.CExtMenu.1
[#] Clé supprimée au redémarrage: [x64] HKLM\SOFTWARE\Classes\Zona
[-] Clé supprimée: HKLM\SOFTWARE\Classes\CLSID\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
[-] Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
[-] Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
[-] Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
[-] Clé supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\ByteFence
[-] Clé supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\PRODUCTSETUP
[-] Clé supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\SlimWare Utilities Inc
[-] Clé supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\csastats
[-] Clé supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\AppDataLow\Software\Mail.Ru
[#] Clé supprimée au redémarrage: HKCU\Software\ByteFence
[#] Clé supprimée au redémarrage: HKCU\Software\PRODUCTSETUP
[#] Clé supprimée au redémarrage: HKCU\Software\SlimWare Utilities Inc
[#] Clé supprimée au redémarrage: HKCU\Software\csastats
[#] Clé supprimée au redémarrage: HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Clé supprimée: HKLM\SOFTWARE\ByteFence
[-] Clé supprimée: HKLM\SOFTWARE\SlimWare Utilities Inc
[-] Clé supprimée: HKLM\SOFTWARE\IOBIT\ASC
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\ByteFence
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\PRODUCTSETUP
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\SlimWare Utilities Inc
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\csastats
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Clé supprimée: [x64] HKLM\SOFTWARE\ByteFence
[-] Clé supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\Microsoft\Internet Explorer\SearchScopes\{26080cad-4adc-49ac-8c63-eda16e595cbd}
[#] Clé supprimée au redémarrage: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{26080cad-4adc-49ac-8c63-eda16e595cbd}
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{26080cad-4adc-49ac-8c63-eda16e595cbd}
[-] Valeur supprimée: HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [Advanced SystemCare 10]
[-] Clé supprimée: HKLM\SOFTWARE\Classes\Directory\shell\ByteFence Folder Scan
[-] Clé supprimée: HKLM\SOFTWARE\Classes\*\shell\ByteFence File Scan
[-] Clé supprimée: HKLM\SOFTWARE\CLASSES\DIRECTORY\SHELLEX\CONTEXTMENUHANDLERS\Advanced SystemCare
[-] Clé supprimée: HKLM\SOFTWARE\CLASSES\DRIVE\SHELLEX\CONTEXTMENUHANDLERS\Advanced SystemCare
[-] Clé supprimée: HKLM\SOFTWARE\CLASSES\LNKFILE\SHELLEX\CONTEXTMENUHANDLERS\Advanced SystemCare
[-] Clé supprimée: HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.ascplugin.protect
[-] Clé supprimée: HKCU\Software\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
[-] Clé supprimée: HKCU\Software\Google\Chrome\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\Google\Chrome\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd
[-] Clé supprimée: HKCU\Software\Google\Chrome\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\Google\Chrome\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof
          • [ Navigateurs ] *****


[-] [C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1] [extension] Supprimé: bbmegnmpleoagolcnjnejdacakedpcgd
[-] [C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1] [extension] Supprimé: ccfifbojenkenpkmnbnndeadpfdiffof
[-] [C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1] [extension] Supprimé: oelpkepjlgmehajehfeicfbjdiobdkfj
[-] [C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1] [extension] Supprimé: ojlcebdkbpjdpiligkdbbkdkfjmchbfd
[-] [C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1] [homepage] Supprimé: hxxp://search.iminent.com/?appId=39A52B24-E988-48C0-B12D-D40A6E51B4F2


:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés


C:\AdwCleaner\AdwCleaner[C0].txt - [8591 octets] - [15/02/2017 12:59:36]
C:\AdwCleaner\AdwCleaner[C2].txt - [8701 octets] - [10/06/2017 13:04:38]
C:\AdwCleaner\AdwCleaner[S0].txt - [8211 octets] - [15/02/2017 12:52:41]
C:\AdwCleaner\AdwCleaner[S1].txt - [8584 octets] - [10/06/2017 12:54:10]

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [8923 octets] ##########
Malekal_morte- 143417 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention > SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention - 10 juin 2017 à 13:16
ha ben en plus AdwCleaner vire les programmes IOBit \o/
SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention - 10 juin 2017 à 13:22
Pendant que FRST analyse mon pc, est-ce normal que pendant le redémarrage de mon pc il a planté ?
Commenter la réponse de Malekal_morte-
Malekal_morte- 143417 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention - 10 juin 2017 à 13:39
+1
Utile
3
Dans les suppressions de AdwCleaner
[-] Dossier supprimé: C:\Program Files\ByteFence
[-] Dossier supprimé: C:\ProgramData\ByteFence
+ Yahoo!


Tut'es fait avoir par un installeur InstallCore, à lire : PUA/InstallCore

Pour Mail.Ru, c'est par des vidéos piégés Youtube avec des cracks.

~~


Tu as un compte Chrome synchronisé ?

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
2017-05-24 12:54 - 2017-05-24 12:54 - 00000000 ____D C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
2017-05-24 12:54 - 2017-05-24 12:54 - 00000000 ____D C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA}
CHR Extension: (Разблокировать ВК - доступ Вконтакте, ОК) - C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\coahpcpgfnnaddeelpphpifmgfobflog [2017-06-08]
CHR DefaultSearchURL: Profile 1 -> hxxps://fr.search.yahoo.com/search?p={searchTerms}&fr=yset_chr_syc_oracle&type=default
CHR DefaultSearchKeyword: Profile 1 -> Yahoo
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

Cette réponse vous a-t-elle aidé ?  
SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention - 10 juin 2017 à 14:05
Rapport Fixlog.txt
Remarque, apres redemarrage chrome a afficher cette notification:
"Installer l'extension Yahoo", j'ai cliqué sur supprimer


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 07-06-2017 01
Exécuté par tazou (10-06-2017 13:55:49) Run:1
Exécuté depuis C:\Users\tazou\Desktop
Profils chargés: tazou (Profils disponibles: tazou)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
2017-05-24 12:54 - 2017-05-24 12:54 - 00000000 ____D C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
2017-05-24 12:54 - 2017-05-24 12:54 - 00000000 ____D C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA}
CHR Extension: (?????????????? ?? - ?????? ?????????, ??) - C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\coahpcpgfnnaddeelpphpifmgfobflog [2017-06-08]
CHR DefaultSearchURL: Profile 1 -> hxxps://fr.search.yahoo.com/search?p={searchTerms}&fr=yset_chr_syc_oracle&type=default
CHR DefaultSearchKeyword: Profile 1 -> Yahoo
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690} => déplacé(es) avec succès
C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA} => déplacé(es) avec succès
C:\Users\tazou\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\coahpcpgfnnaddeelpphpifmgfobflog => déplacé(es) avec succès
Chrome DefaultSearchURL => supprimé(es) avec succès
Chrome DefaultSearchKeyword => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3803124202-1495853901-2620661111-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 15113207 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 126171475 B
Java, Flash, Steam htmlcache => 878 B
Windows/system/drivers => 1128258 B
Edge => 255407 B
Chrome => 907079158 B
Firefox => 6893083 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 37 B
systemprofile32 => 128 B
LocalService => 1043447 B
NetworkService => 3356596 B
tazou => 22287484 B

RecycleBin => 4263830 B
EmptyTemp: => 1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 14:00:11

SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention - 10 juin 2017 à 14:07
C'est bon j'ai vérifié, il n'y a plus ces extension de mail.ru
Merci beaucoup pour ton aide ;)
Malekal_morte- 143417 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention > SkyNalix 52 Messages postés lundi 11 juillet 2016Date d'inscription 26 octobre 2017 Dernière intervention - 10 juin 2017 à 17:48
de rien :)
Commenter la réponse de Malekal_morte-