TremendousCoupon

Résolu
marinouninette -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
bonjour,

depuis quelques jours j'ai des publicités venant de TremendousCoupon qui s'ouvrent lorsque je vais sur internet. J'ai fait un scan avec FRST et voici les rapports que j'ai reçu.
http://pjjoint.malekal.com/files.php?id=20150708_v8g13f1312q12
http://pjjoint.malekal.com/files.php?id=20150708_p8t13s12k11c14
http://pjjoint.malekal.com/files.php?id=20150708_f14w7v11t9i7

Si quelqu'un pouvez m'aider à résoudre le problème ce serait vraiment génial.Merci

19 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Je regarde les rapports.
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Monarchy - Abnocto (2015).rar.lnk [2015-03-15]
    ShortcutTarget: Monarchy - Abnocto (2015).rar.lnk -> C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e}\Monarchy - Abnocto (2015).rar.exe ()
    2015-06-18 21:02 - 2015-06-21 03:02 - 00000000 ____D C:\ProgramData\{2d7c8867-3513-c31a-2d7c-c8867351219c}
    2015-06-18 03:02 - 2015-07-07 15:02 - 00000360 _____ C:\Windows\Tasks\PicFire.job
    2015-06-18 03:02 - 2015-06-18 09:02 - 00000000 ____D C:\ProgramData\{99b1e331-f8c7-2809-99b1-1e331f8c8cc7}
    2015-06-17 11:29 - 2015-07-08 11:36 - 00000326 _____ C:\Windows\Tasks\LoseTheBooze.job
    2015-06-17 11:29 - 2015-06-18 23:29 - 00000000 ____D C:\ProgramData\{7c484dd2-f8aa-628b-7c48-84dd2f8a374b}
    2015-06-17 11:29 - 2015-06-17 11:29 - 00006656 _____ (UG North) C:\Windows\system32\Hibiki.dll
    2015-07-07 10:56 - 2015-03-15 00:43 - 00000000 ____D C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e}
    Task: C:\Windows\Tasks\KitchenSync.job => c:\programdata\{2d7c8867-3513-c31a-2d7c-c8867351219c}\8367972069863702190b.exe <==== ATTENTION
    Task: C:\Windows\Tasks\LoseTheBooze.job => c:\programdata\{7c484dd2-f8aa-628b-7c48-84dd2f8a374b}\fb8.exe <==== ATTENTION
    Task: C:\Windows\Tasks\PicFire.job => c:\programdata\{99b1e331-f8c7-2809-99b1-1e331f8c8cc7}\5418160222584991636b.exe <==== ATTENTION
    Task: C:\Windows\Tasks\ProcessMaker.job => c:\programdata\{687e4500-f9c1-30ae-687e-e4500f9c1403}\3764676319433921266b.exe <==== ATTENTION
    Task: {66B016F1-4C0C-45A0-8BC8-F13420C35940} - System32\Tasks\ProcessMaker => c:\programdata\{687e4500-f9c1-30ae-687e-e4500f9c1403}\3764676319433921266b.exe [2014-06-04] () <==== ATTENTION
    Task: {89572B68-3024-4887-BDE5-378B5D3B29BE} - System32\Tasks\{8DF9D766-8A11-45FF-B332-F9C28D1AC31B} => pcalua.exe -a C:\Users\Brigitte\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt -simple=0
    Task: {B3F495C6-2914-4AEB-B8A3-7891D60EA9AF} - System32\Tasks\PicFire => c:\programdata\{99b1e331-f8c7-2809-99b1-1e331f8c8cc7}\5418160222584991636b.exe [2014-06-18] () <==== ATTENTION
    Task: {F7D12AB7-3ED8-4525-9E92-F027EDCD53B1} - System32\Tasks\KitchenSync => c:\programdata\{2d7c8867-3513-c31a-2d7c-c8867351219c}\8367972069863702190b.exe [2014-06-18] () <==== ATTENTION
    Task: {F818D887-2BD4-457B-BEFF-1E9F7964B27E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe
    Task: {FBB055DA-4223-43C1-8523-2592A51F61AA} - System32\Tasks\LoseTheBooze => c:\programdata\{7c484dd2-f8aa-628b-7c48-84dd2f8a374b}\fb8.exe [2014-06-17] () <==== ATTENTION

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    puis réinitialise tes navigateurs:
    ==================================
    Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

    et enfin :

    Remets/vérifie que tous les serveurs de noms (DNS) sont automatiques : https://forum.malekal.com/viewtopic.php?t=48312&start=
    PUIS ensuite vide le cache DNS et internet.
    Les 3 étapes sont importantes et à faire sinon les pubs vont continuer.

    0
    1. marinouninette
       
      ok je fais ça tout de suite
      0
  3. marinouninette
     
    alors je pense avoir bien fait toutes les étapes.
    voici le texte apparu après la 1ère étape
    Fix result of Farbar Recovery Scan Tool (x86) Version: 05-07-2015
    Ran by Brigitte at 2015-07-08 16:49:11 Run:1
    Running from C:\Users\Brigitte\Desktop
    Loaded Profiles: Brigitte (Available Profiles: Brigitte)
    Boot Mode: Normal

    ==============================================

    fixlist content:
    Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft WINDOWS\Start Menu\Programs\Startup\Monarchy - Abnocto (2015).rar.lnk [2015-03-15]
    ShortcutTarget: Monarchy - Abnocto (2015).rar.lnk -> C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e}\Monarchy - Abnocto (2015).rar.exe ()
    2015-06-18 21:02 - 2015-06-21 03:02 - 00000000 ____D C:\ProgramData\{2d7c8867-3513-c31a-2d7c-c8867351219c}
    2015-06-18 03:02 - 2015-07-07 15:02 - 00000360 _____ C: WINDOWS\Tasks\PicFire.job
    2015-06-18 03:02 - 2015-06-18 09:02 - 00000000 ____D C:\ProgramData\{99b1e331-f8c7-2809-99b1-1e331f8c8cc7}
    2015-06-17 11:29 - 2015-07-08 11:36 - 00000326 _____ C: WINDOWS\Tasks\LoseTheBooze.job
    2015-06-17 11:29 - 2015-06-18 23:29 - 00000000 ____D C:\ProgramData\{7c484dd2-f8aa-628b-7c48-84dd2f8a374b}
    2015-06-17 11:29 - 2015-06-17 11:29 - 00006656 _____ (UG North) C:\Windows\system32\Hibiki.dll
    2015-07-07 10:56 - 2015-03-15 00:43 - 00000000 ____D C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e}
    Task: C:\Windows\Tasks\KitchenSync.job => c:\programdata\{2d7c8867-3513-c31a-2d7c-c8867351219c}\8367972069863702190b.exe <==== ATTENTION
    Task: C:\Windows\Tasks\LoseTheBooze.job => c:\programdata\{7c484dd2-f8aa-628b-7c48-84dd2f8a374b}\fb8.exe <==== ATTENTION
    Task: C:\Windows\Tasks\PicFire.job => c:\programdata\{99b1e331-f8c7-2809-99b1-1e331f8c8cc7}\5418160222584991636b.exe <==== ATTENTION
    Task: C:\Windows\Tasks\ProcessMaker.job => c:\programdata\{687e4500-f9c1-30ae-687e-e4500f9c1403}\3764676319433921266b.exe <==== ATTENTION
    Task: {66B016F1-4C0C-45A0-8BC8-F13420C35940} - System32\Tasks\ProcessMaker => c:\programdata\{687e4500-f9c1-30ae-687e-e4500f9c1403}\3764676319433921266b.exe [2014-06-04] () <==== ATTENTION
    Task: {89572B68-3024-4887-BDE5-378B5D3B29BE} - System32\Tasks\{8DF9D766-8A11-45FF-B332-F9C28D1AC31B} => pcalua.exe -a C:\Users\Brigitte\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt -simple=0
    Task: {B3F495C6-2914-4AEB-B8A3-7891D60EA9AF} - System32\Tasks\PicFire => c:\programdata\{99b1e331-f8c7-2809-99b1-1e331f8c8cc7}\5418160222584991636b.exe [2014-06-18] () <==== ATTENTION
    Task: {F7D12AB7-3ED8-4525-9E92-F027EDCD53B1} - System32\Tasks\KitchenSync => c:\programdata\{2d7c8867-3513-c31a-2d7c-c8867351219c}\8367972069863702190b.exe [2014-06-18] () <==== ATTENTION
    Task: {F818D887-2BD4-457B-BEFF-1E9F7964B27E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe
    Task: {FBB055DA-4223-43C1-8523-2592A51F61AA} - System32\Tasks\LoseTheBooze => c:\programdata\{7c484dd2-f8aa-628b-7c48-84dd2f8a374b}\fb8.exe [2014-06-17] () <==== ATTENTION

    C:\Users\Brigitte\AppData\Roaming\Microsoft WINDOWS\Start Menu\Programs\Startup\Monarchy - Abnocto (2015).rar.lnk not found.
    C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e}\Monarchy - Abnocto (2015).rar.exe => moved successfully.
    C:\ProgramData\{2d7c8867-3513-c31a-2d7c-c8867351219c} => moved successfully.
    "2015-06-18 03:02 - 2015-07-07 15:02 - 00000360 _____ C: WINDOWS\Tasks\PicFire.job" => File/Folder not found.
    C:\ProgramData\{99b1e331-f8c7-2809-99b1-1e331f8c8cc7} => moved successfully.
    "2015-06-17 11:29 - 2015-07-08 11:36 - 00000326 _____ C: WINDOWS\Tasks\LoseTheBooze.job" => File/Folder not found.
    C:\ProgramData\{7c484dd2-f8aa-628b-7c48-84dd2f8a374b} => moved successfully.
    C:\Windows\system32\Hibiki.dll => moved successfully.

    "C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e}" folder move:

    Could not move "C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e}" folder => Scheduled to move on reboot.

    C:\Windows\Tasks\KitchenSync.job => moved successfully.
    C:\Windows\Tasks\LoseTheBooze.job => moved successfully.
    C:\Windows\Tasks\PicFire.job => moved successfully.
    C:\Windows\Tasks\ProcessMaker.job => moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{66B016F1-4C0C-45A0-8BC8-F13420C35940}" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66B016F1-4C0C-45A0-8BC8-F13420C35940}" => key removed successfully.
    C:\Windows\System32\Tasks\ProcessMaker => moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ProcessMaker" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{89572B68-3024-4887-BDE5-378B5D3B29BE}" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{89572B68-3024-4887-BDE5-378B5D3B29BE}" => key removed successfully.
    C:\Windows\System32\Tasks\{8DF9D766-8A11-45FF-B332-F9C28D1AC31B} => moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{8DF9D766-8A11-45FF-B332-F9C28D1AC31B}" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B3F495C6-2914-4AEB-B8A3-7891D60EA9AF}" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B3F495C6-2914-4AEB-B8A3-7891D60EA9AF}" => key removed successfully.
    C:\Windows\System32\Tasks\PicFire => moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PicFire" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F7D12AB7-3ED8-4525-9E92-F027EDCD53B1}" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F7D12AB7-3ED8-4525-9E92-F027EDCD53B1}" => key removed successfully.
    C:\Windows\System32\Tasks\KitchenSync => moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KitchenSync" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{F818D887-2BD4-457B-BEFF-1E9F7964B27E}" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F818D887-2BD4-457B-BEFF-1E9F7964B27E}" => key removed successfully.
    C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore => moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineCore" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FBB055DA-4223-43C1-8523-2592A51F61AA}" => key removed successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FBB055DA-4223-43C1-8523-2592A51F61AA}" => key removed successfully.
    C:\Windows\System32\Tasks\LoseTheBooze => moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LoseTheBooze" => key removed successfully.

    Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 2015-07-08 16:53:15)<=

    C:\ProgramData\{49804ee7-ab8c-911f-4980-04ee7ab83b9e} => moved successfully

    End of Fixlog 16:53:16

    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais le reste, surtout le reset des DNS.
    Faudra aussi faire du ménage dans les extensions Chrome.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. marinouninette
     
    plus de problèmes pour le moment...tout fonctionne bien.
    merci beaucoup pour ton aide :)
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux refaire un scan FRST via pjjoint, histoire de vérifier.
    0
  8. marinouninette
     
    fait...voici les liens pour les rapports
    http://pjjoint.malekal.com/files.php?id=20150709_k11s1412i13f9
    http://pjjoint.malekal.com/files.php?id=20150709_c10s9d12i13o7
    http://pjjoint.malekal.com/files.php?id=20150709_o11k5i8d155
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    yep c'est bon à part le nettoyage DNS.

    Voila, c'est terminé, tu peux supprimer les programmes utilisés.

    Quelques conseils :

    Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
    (Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
  10. marinouninette
     
    j'ai refait les étapes de nettoyage du cache et je pense que c'est bon cette fois-ci.
    MERCI vraiment pour ton aide.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      =)
      0
  11. marinouninette
     
    J'ai essayé d'installer blockulicious mais ça ne marche pas...je ne sais pas pourquoi.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est à dire, ça fait quoi ?
      0
  12. marinouninette
     
    quand ça me demande si je veux ajouter blockulicious à chrome, je dis oui...il y a une vérification en cours et après une petite fenêtre s'ouvre et ça me dit 'une erreur s'est produite'
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      si le problème est sur google :

      Exporte tes favoris : https://support.google.com/chrome/answer/96816?hl=fr
      Désinstalle Google Chrome depuis le panneau de configuration et programmes et fonctionnalités (ou désinstaller programmes).
      A la désinstallation coche l'option de suppression des profils.
      Télécharge et Réinstalle Google Chrome https://telecharger.malekal.com/download/google-chrome/
      Au premier démarrage de Google Chrome, tu dois le trouver vierge, comme lors de la première installation, pas de page de démarrage habituelle, ni les extensions qui étaient présentes.
      Tout doit avoir disparu.
      réimporte les favoris.
      0
  13. marinouninette
     
    tremendouscoupon est revenu! j'ai refait un scan,voici les liens pour les rapports
    http://pjjoint.malekal.com/files.php?id=20150710_j6h6v11l10u13
    http://pjjoint.malekal.com/files.php?id=20150710_k5y13e8h5o15
    http://pjjoint.malekal.com/files.php?id=20150710_n14h6j12o5h10
    0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bha tu as tjrs des DNS pourris, faut corriger cela.
    Tu as quoi comme routeur ?

    Tcpip\..\Interfaces\{E96D0260-7985-44B8-9D0B-41E37B45EF18}: [DhcpNameServer] 40.12.1.201 40.12.1.202 [Pays US - 40.12.1.201]

    Aussi, tu as des extensions inconnues sur Google Chrome, donc j'ai un doute sur le fait que tu aies fait cette manip : https://forums.commentcamarche.net/forum/affich-32216553-tremendouscoupon#15

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  15. marinouninette
     
    c'est quoi le routeur?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le boitier avec lequel la connexion internet se fait.
      0
  16. marinouninette
     
    ah alors c'est SFR
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Faut vraiment que tu fasses les manips données plus haut comme il faut, sinon ça va revenir.
      Si tu n'y arrives vraiment pas, on peut le faire par une prise en main à distance (Teamviewer).
      0
  17. marinouninette
     
    oui je n'avais pas désinstaller ni réinstaller google chrome au moment de mon message pour dire que j'avais à nouveau le problème mais je l'ai fait maintenant.
    j'ai ajouté blockulicious aussi...
    j'ai revérifié les serveurs DNS et vider le cache
    est ce que je dois faire autre chose?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu peux refaire un scan FRST pour vérifier que les DNS soient bons.
      0
  18. marinouninette
     
    ok voici les liens
    http://pjjoint.malekal.com/files.php?id=FRST_20150711_h12o15s11h6g8
    http://pjjoint.malekal.com/files.php?id=20150711_h14l15w15s5o7
    http://pjjoint.malekal.com/files.php?id=20150711_m7s14z11t7d8
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Il y a tjrs ces "mauvais DNS", tu as tjrs des pubs ou pas ?


      Télécharge/transfere : https://telecharger.malekal.com/download/minitoolbox/


      Coche Select All
      Click Go.
      Un rapport va être généré, copie le sur clef USB.
      Depuis un ordinateur o๠internet fonctionne, envoie le rapport sur http://pjjoint.malekal.com
      Un lien pjjoint qui pointe sur le rapport va t'être donné.
      Donne le lien ici en réponse dans un nouveau message afin de pouvoir lire le contenu du rapport.
      0
  19. marinouninette
     
    ok fait
    http://pjjoint.malekal.com/files.php?id=20150711_g10v10y14f5z15

    pas de pub pour le moment mais je n'ai pas trop utilisé internet.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok les DNS ont l'air bon.
      0