Block'n surf. : Analyse log FRST [Résolu/Fermé]

Signaler
Messages postés
17
Date d'inscription
jeudi 8 janvier 2015
Statut
Membre
Dernière intervention
3 mai 2017
-
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
-
Bonjour,


Je viens vers vous une aide a la désinfection via un fix frst.
En effet, j'ai un pc qui est contaminé par un truc genre block'n surf.
J'ai déjà virer tous les soft étranges de la machine, puis passé MBABM, puis ADWCLEANER, et aussi un coup de ESETNOd32 online.
Cependant, ils ne sont pas assez puissants pour virer ce genre de truc.
Vous trouverez donc ci dessous les lien vers les 3 journaux générés par FRST :
1 frst.txt :
https://pjjoint.malekal.com/files.php?id=20150217_q10g6w6n12c14

2 shortcut.txt :
https://pjjoint.malekal.com/files.php?id=20150217_s10i9p5v159

3 Addition.txt :
https://pjjoint.malekal.com/files.php?id=20150217_x14y5i9i9f13

Merci par avance pour votre aide dans cette désinfection.


5 réponses

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 384
Salut,

OK je regarde =)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 384
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:52183;https=127.0.0.1:52183
CHR Extension: (dcnjhgnfnmijfkmcddcmffeamphmmeed) - C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcnjhgnfnmijfkmcddcmffeamphmmeed [2015-01-21]
CHR Extension: (Google Wallet) - C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-03-06]
CHR Extension: (olplonfdcekbkpjnoeecfihlkfdkehbj) - C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\olplonfdcekbkpjnoeecfihlkfdkehbj [2015-01-19]
CHR HKLM\...\Chrome\Extension: [eeejdalmgldmmkemnoocgangjdocgene] - C:\Program Files\MediaViewV1\MediaViewV1alpha4629\ch\MediaViewV1alpha4629.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hbfakjokkijbcohhbhmihbkbejkacikh] - C:\Program Files\MediaViewV1\MediaViewV1alpha5605\ch\MediaViewV1alpha5605.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [lmicfmpgnipplajhhfnmmdbbhmphjima] - C:\Users\Cavallo\AppData\Local\Temp\tbch.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [mijekdnookiegcnaadnhbeneffekcghi] - C:\Program Files\MediaWatchV1\MediaWatchV1home4997\ch\MediaWatchV1home4997.crx [Not Found]
2015-02-11 21:33 - 2015-02-11 21:33 - 00000000 ____D () C:\shoplog
2015-01-21 12:17 - 2015-02-11 19:02 - 00018872 _____ () C:\Windows\system32\Drivers\SPPD.sys
2015-01-21 10:13 - 2015-01-21 10:13 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro
2015-01-20 20:05 - 2015-01-20 20:05 - 00613057 _____ (CMI Limited) C:\Users\Cavallo\AppData\Local\nsh4FC.tmp
2015-01-19 17:08 - 2015-01-19 17:08 - 00000000 ____D () C:\3a36fa96-61d8-4749-9347-bf137e829b1a
2015-02-11 22:33 - 2015-01-15 14:41 - 00000000 ____D () C:\Program Files\HQProVideo 1.6V15.01
2015-02-11 22:09 - 2015-01-15 14:44 - 00000000 ____D () C:\Program Files\aa87633e-b96f-488b-adbe-0161a8c45afe
2013-04-14 17:25 - 2013-04-14 17:25 - 0000000 _____ () C:\ProgramData\382a5e302a5f3a293f3238233d_c


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


Messages postés
17
Date d'inscription
jeudi 8 janvier 2015
Statut
Membre
Dernière intervention
3 mai 2017

Rooo Salut malek merci pour ta reponse rapide, pour info ie deja reinitialisé et chrome aussi idem pour firefox.
Je lance le fix de suite avec frst et te fais un retour dans la foulée.
Messages postés
17
Date d'inscription
jeudi 8 janvier 2015
Statut
Membre
Dernière intervention
3 mai 2017

Le fix est fait et le reboot encours, je refais la reinitialisation des navigateur et te poste le log de fix
THX
Messages postés
17
Date d'inscription
jeudi 8 janvier 2015
Statut
Membre
Dernière intervention
3 mai 2017

Comme promis voici le fixlog :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 15-02-2015
Ran by Cavallo at 2015-02-17 22:01:53 Run:1
Running from C:\Users\Cavallo\Desktop
Loaded Profiles: Cavallo (Available profiles: Cavallo)
Boot Mode: Normal

==============================================

Content of fixlist:

ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:52183;https=127.0.0.1:52183
CHR Extension: (dcnjhgnfnmijfkmcddcmffeamphmmeed) - C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcnjhgnfnmijfkmcddcmffeamphmmeed [2015-01-21]
CHR Extension: (Google Wallet) - C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-03-06]
CHR Extension: (olplonfdcekbkpjnoeecfihlkfdkehbj) - C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\olplonfdcekbkpjnoeecfihlkfdkehbj [2015-01-19]
CHR HKLM\...\Chrome\Extension: [eeejdalmgldmmkemnoocgangjdocgene] - C:\Program Files\MediaViewV1\MediaViewV1alpha4629\ch\MediaViewV1alpha4629.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hbfakjokkijbcohhbhmihbkbejkacikh] - C:\Program Files\MediaViewV1\MediaViewV1alpha5605\ch\MediaViewV1alpha5605.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [lmicfmpgnipplajhhfnmmdbbhmphjima] - C:\Users\Cavallo\AppData\Local\Temp\tbch.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [mijekdnookiegcnaadnhbeneffekcghi] - C:\Program Files\MediaWatchV1\MediaWatchV1home4997\ch\MediaWatchV1home4997.crx [Not Found]
2015-02-11 21:33 - 2015-02-11 21:33 - 00000000 ____D () C:\shoplog
2015-01-21 12:17 - 2015-02-11 19:02 - 00018872 _____ () C:\Windows\system32\Drivers\SPPD.sys
2015-01-21 10:13 - 2015-01-21 10:13 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro
2015-01-20 20:05 - 2015-01-20 20:05 - 00613057 _____ (CMI Limited) C:\Users\Cavallo\AppData\Local\nsh4FC.tmp
2015-01-19 17:08 - 2015-01-19 17:08 - 00000000 ____D () C:\3a36fa96-61d8-4749-9347-bf137e829b1a
2015-02-11 22:33 - 2015-01-15 14:41 - 00000000 ____D () C:\Program Files\HQProVideo 1.6V15.01
2015-02-11 22:09 - 2015-01-15 14:44 - 00000000 ____D () C:\Program Files\aa87633e-b96f-488b-adbe-0161a8c45afe
2013-04-14 17:25 - 2013-04-14 17:25 - 0000000 _____ () C:\ProgramData\382a5e302a5f3a293f3238233d_c


HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => value deleted successfully.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value deleted successfully.
C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcnjhgnfnmijfkmcddcmffeamphmmeed => Moved successfully.
C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda => Moved successfully.
C:\Users\Cavallo\AppData\Local\Google\Chrome\User Data\Default\Extensions\olplonfdcekbkpjnoeecfihlkfdkehbj => Moved successfully.
"HKLM\SOFTWARE\Google\Chrome\Extensions\eeejdalmgldmmkemnoocgangjdocgene" => Key deleted successfully.
"HKLM\SOFTWARE\Google\Chrome\Extensions\hbfakjokkijbcohhbhmihbkbejkacikh" => Key deleted successfully.
"HKLM\SOFTWARE\Google\Chrome\Extensions\lmicfmpgnipplajhhfnmmdbbhmphjima" => Key deleted successfully.
"HKLM\SOFTWARE\Google\Chrome\Extensions\mijekdnookiegcnaadnhbeneffekcghi" => Key deleted successfully.
C:\shoplog => Moved successfully.
C:\Windows\system32\Drivers\SPPD.sys => Moved successfully.
C:\Users\Public\Documents\ShopperPro => Moved successfully.
C:\Users\Cavallo\AppData\Local\nsh4FC.tmp => Moved successfully.
C:\3a36fa96-61d8-4749-9347-bf137e829b1a => Moved successfully.
C:\Program Files\HQProVideo 1.6V15.01 => Moved successfully.
C:\Program Files\aa87633e-b96f-488b-adbe-0161a8c45afe => Moved successfully.
C:\ProgramData\382a5e302a5f3a293f3238233d_c => Moved successfully.

End of Fixlog 22:01:54

Vraiment encor un grand merci a toi, je viens de tester tous le navigateur est tout est ok.
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 384
good =)



Quelques conseils :

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Messages postés
17
Date d'inscription
jeudi 8 janvier 2015
Statut
Membre
Dernière intervention
3 mai 2017

Merci pour les conseils je les suis pour moi, suis d'ailleurs inscrit sur ton site.
Ai filé le lien de ton site a la personne que je viens de desinfecter en lui disant de bien tout lire car je ne ferais plus de manip sur son pc, car ils abusent bcp.
Et du coup en te postant a chaque fois les log frst j'ai aussi l'impression d'abuser
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 384
ça roule =)
Messages postés
17
Date d'inscription
jeudi 8 janvier 2015
Statut
Membre
Dernière intervention
3 mai 2017

Merci encore a toi en espérant ne plus avoir a t'embêter avant un long moment.
J'espère qu'ils liront ton site sur comment avoir une utilisation rationnelle de leur pc.
Car ils sont graves.
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 384
oui =)