Pubs dans Chrome : Procédure FRST

Signaler
-
 corentin -
Bonjour,

Suite à un problème sur chrome (publicités dans les résultats de recherche) et des soupçons d'autres virus sur mon pc j'ai lancé une procédure d'analyse sur FRST. Quelqu'un pourrait-il me fournir le script à mettre dans le fichier fixilist.txt à partir du lien suivant : https://pjjoint.malekal.com/files.php?read=20200107_x6r8r15z12v15

Merci

3 réponses

Messages postés
173832
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 janvier 2020
18881
CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Tu peux le désinstaller.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Pense aussi à désactiver la télémétrie. Elles remontent des informations aux serveurs Avast!




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Churned] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\...\Run: [Hertog] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\...\Run: [Billy] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-09-22] (Oracle America, Inc. -> Oracle Corporation)
HKLM-x32\...\Run: [Bought] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [Crain] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [Sanctities] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
c:\users\corentin\appdata\local\chromium
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Chromium] => "c:\users\corentin\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [mlataf] => rundll32.exe "C:\Users\Corentin\AppData\Local\mlataf.dll",mlataf <==== ATTENTION
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Tares] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Fiorella] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Mcmartin] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Regeneration] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Cheri] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Commentators] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [undefended] => "C:\Program Files (x86)\tapper\undefended.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [contentiousness] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
Startup: C:\Users\Corentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\duds.lnk [2020-01-06]
ShortcutTarget: duds.lnk -> C:\Program Files (x86)\Akaka\Tightens.exe (Pas de fichier)
Startup: C:\Users\Corentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dudsduds.lnk [2020-01-06]
ShortcutTarget: dudsduds.lnk -> C:\Program Files (x86)\herbalist\Greenbacks.exe (Pas de fichier)
GroupPolicy: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {0FCAD437-93F8-4E05-9B05-61498C5DC4B5} - System32\Tasks\boon_westminsterboon_westminster => C:\Program Files (x86)\Shoehorned\Tightens.exe
Task: {21FB2594-C0AF-4ECA-94D7-81D56A68A224} - System32\Tasks\hartleyhartley => C:\Program Files (x86)\Akaka\Tightens.exe
Task: {4C69980E-70F1-4717-AABC-D81FDE22F2B6} - System32\Tasks\{119AC676-8A22-4F8E-819C-C66D3B59EA88} => "c:\windows\system32\launchwinapp.exe" hxxps://ui.skype.com/ui/0/7.41.0.101/fr/abandoninstall?page=tsProgressBar
Task: {512B54DA-41C1-453C-882F-07AAF6F6D761} - System32\Tasks\seng_witeseng_wite => C:\Users\Corentin\AppData\Local\Greenbacks.exe
Task: {69E97991-0FE5-483B-8FA9-3CE9C9AB3DA7} - System32\Tasks\overfill-ownersoverfill-owners => C:\Program Files (x86)\herbalist\Greenbacks.exe
Task: {A1FE17E3-1E69-407E-9219-160D2C61C373} - System32\Tasks\Bluetooth Driver Installer => C:\Users\Corentin\AppData\Local\Temp\is-003DD.tmp\prsetup.exe <==== ATTENTION
Task: {A66F531F-F6EB-4AFC-B242-C7457576F883} - System32\Tasks\deception abacha boardsdeception abacha boards => C:\Users\Corentin\AppData\Local\Tightens.exe
2020-01-06 21:10 - 2020-01-06 21:12 - 008218800 _____ (Malwarebytes) C:\Users\Corentin\Downloads\adwcleaner-8-0.exe
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ___HD C:\Program Files (x86)\Shoehorned
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\victims
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\Mediators
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\herbalist
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\Akaka
2020-01-06 20:42 - 2020-01-07 11:20 - 000000000 ___HD C:\Program Files (x86)\tapper
2020-01-06 20:42 - 2020-01-06 20:42 - 000003994 _____ C:\WINDOWS\system32\Tasks\deception abacha boardsdeception abacha boards
2020-01-06 20:42 - 2020-01-06 20:42 - 000003970 _____ C:\WINDOWS\system32\Tasks\boon_westminsterboon_westminster
2020-01-06 20:42 - 2020-01-06 20:42 - 000003968 _____ C:\WINDOWS\system32\Tasks\overfill-ownersoverfill-owners
2020-01-06 20:42 - 2020-01-06 20:42 - 000003942 _____ C:\WINDOWS\system32\Tasks\seng_witeseng_wite
2020-01-06 20:42 - 2020-01-06 20:42 - 000003924 _____ C:\WINDOWS\system32\Tasks\hartleyhartley
2020-01-06 20:39 - 2020-01-06 20:39 - 000000000 ____D C:\ProgramData\{DE564683-96CA-8575-B28B-F609B26CAF58}
2020-01-06 20:39 - 2020-01-06 20:39 - 000000000 ____D C:\ProgramData\{2798187F-C836-7CBB-4ED5-38F04E3261A1}
2020-01-06 20:37 - 2020-01-07 13:27 - 000000000 ____D C:\WINDOWS\trustedlogos
2020-01-06 20:37 - 2020-01-06 20:37 - 000000000 ____D C:\Users\Corentin\AppData\Local\AdvinstAnalytics
2020-01-06 20:36 - 2020-01-06 20:36 - 000012288 _____ C:\WINDOWS\mccovey.exe
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


Messages postés
173832
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 janvier 2020
18881
Bonjour/Bonsoir,

Rapport incomplet, tu n'as pas laissé le scan aller au bout.

~~

Voici la procédure à suivre.
Sur les liens en bleus, tu trouveras des tutoriels explicatifs avec tous les détails pour suivre les étapes.

1)
Répare les navigateurs WEB concernés par les problèmes :
(ne pas utiliser zoek et faire une réinitialisation manuelle)


2) Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).



Au temps pour moi, j'ai donc refait la manip'. Voici les 3 liens :

https://pjjoint.malekal.com/files.php?id=FRST_20200107_q11r10z6s8m14

https://pjjoint.malekal.com/files.php?id=20200107_n12z15n15y11s11

https://pjjoint.malekal.com/files.php?id=20200107_y7y5d6r11z13
Nickel, merci de ton aide et bonne fin de journée !