Navigateur Web infecté par adware ?

Résolu/Fermé
TTdu15 Messages postés 59 Date d'inscription mardi 14 août 2012 Statut Membre Dernière intervention 18 février 2018 - 7 janv. 2017 à 13:51
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 janv. 2017 à 15:04
Bonjour à toutes et à tous,

J'ai récemment récupéré un ordinateur portable (Ceux offert par la région Languedoc/Roussillon) tournant sous Windows 10 Pro, ce dernier présentait une quantité incroyable d'Adware, malware en tout genre .... J'ai effectué plusieurs passes avec MalwareByte + AdwareCleaner qui ont déjà bien dégrossi le travail. Il reste cependant un forme d'adware qui redéfini la page par défaut des navigateurs web (Firefox et Edge, IE pas touché) par Qtipr.com. J'ai nettoyé le fichier Hosts de Windows et j'y ai trouvé pas mal d'URLS très louches que j'ai supprimées. Cependant le problème persiste et à chaque démarrage je retrouve sur Firefox Qtipr.com..... J'ai également nettoyé grâce "RepairDNS" un soucis sur DNSAPI.dll, rien ne change.... :'(

J'ai donc effectué un scan avec Farbar recovery scan tool et je vous ai joint les fichiers rapports sur mon site web : https://ourumov15.net/images/tmp/FRST_REPORT/ , tout est dans ce répertoire.

Cependant je ne sais malheureusement pas interpréter ce genre de fichiers et quoi faire avec,
donc si quelqu'un pouvait m'éclairer sur la démarche à suivre ce serait très sympa ;) !

Merci d'avance pour vos réponses,

TT




A voir également:

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 janv. 2017 à 14:48
Salut peux tu donner le rapport Repairdns ?

--
0
TTdu15 Messages postés 59 Date d'inscription mardi 14 août 2012 Statut Membre Dernière intervention 18 février 2018 6
Modifié par TTdu15 le 7/01/2017 à 14:56
Salut, je viens de l'upload à l'instant ;)
Même répertoire.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 7/01/2017 à 15:55
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
Task: {508BEAF5-3681-48E0-B108-A4DB881CCDC6} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-20] (UCWeb Inc) <==== ATTENTION
Task: {D6E1A964-FBDF-4095-BCCB-497B22B94D5E} - System32\Tasks\Clajely Host => C:\Program Files (x86)\Drowotywervught\shuherk.exe
2016-12-22 00:35 - 2016-12-22 00:35 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Chromium
2016-12-22 00:34 - 2016-12-22 10:24 - 00000484 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
2016-12-22 00:34 - 2016-12-22 00:34 - 00003512 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
2016-12-22 00:33 - 2016-12-22 00:34 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-12-22 00:33 - 2016-12-22 00:33 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\UCBrowser
2016-12-22 00:31 - 2017-01-06 22:03 - 00000000 ____D D:\Users\Gauthier11\AppData\LocalLow\Company
2016-12-22 00:31 - 2016-12-22 17:13 - 00000000 ____D C:\Program Files\JiddUn
2016-12-22 00:31 - 2016-12-22 00:32 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Tempfolder
2016-12-22 00:31 - 2016-12-22 00:31 - 00000000 ____D C:\uninst
2016-12-22 00:29 - 2016-12-22 17:13 - 00000000 __SHD D:\Users\Gauthier11\AppData\Local\svchost
2016-12-22 00:27 - 2016-12-22 00:27 - 00000000 _____ C:\TOSTACK
2016-12-22 00:26 - 2016-12-22 00:35 - 00000000 ____D C:\WINDOWS\system32\SSL
2016-12-22 00:26 - 2016-12-22 00:26 - 00000000 ____D C:\Microsoft
2016-12-22 00:05 - 2016-12-22 00:05 - 07316480 _____ D:\Users\Gauthier11\AppData\Roaming\agent.dat
2016-12-22 00:05 - 2016-12-22 00:05 - 00187904 _____ C:\WINDOWS\rsrcs.dll
2016-12-22 00:05 - 2016-12-22 00:05 - 00070704 _____ D:\Users\Gauthier11\AppData\Roaming\Config.xml
2016-12-22 00:05 - 2016-12-22 00:05 - 00018432 _____ D:\Users\Gauthier11\AppData\Roaming\Main.dat
2016-12-22 00:03 - 2017-01-06 22:04 - 00004197 _____ C:\WINDOWS\system32\tmplog.log
2016-12-22 00:03 - 2017-01-02 19:12 - 00002074 _____ C:\WINDOWS\SysWOW64\tmplog2.log
2016-12-22 00:03 - 2016-12-22 00:03 - 00000000 ____D C:\WINDOWS\SysWOW64\sstmp
2016-12-22 00:03 - 2016-12-22 00:03 - 00000000 ____D C:\WINDOWS\system32\sstmp
2016-12-22 00:02 - 2016-12-22 00:26 - 00006054 _____ C:\WINDOWS\System32\Tasks\Clajely Host
2016-12-22 00:02 - 2016-12-22 00:25 - 00140288 _____ D:\Users\Gauthier11\AppData\Roaming\Installer.dat
2016-12-22 00:01 - 2017-01-02 20:26 - 00000000 ___HD C:\ProgramData\484935570d76t6374427
2016-12-22 00:01 - 2016-12-22 00:26 - 00000000 ____D D:\Users\Gauthier11\AppData\Roaming\Profiles
2016-12-22 00:01 - 2016-12-22 00:26 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Atezerry
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
Hosts:
EmptyTemp:
RemoveProxy:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Désactive ton antivirus.
Refais un nettoyage RepairDNS.

redémarre l'ordinateur.


Commence par lancer une Réparation DISM

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir DISM /Online /Cleanup-image /Restorehealth dans la fenêtre.

(attention, il y a un espace devant chaque commande commençant par / /Online /Cleanup-image etc)

Redémarre.

Tu peux lancer une Réparation SFC

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.

Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.

Refais un scan FRST puis donne les rapports.


Veuillez appuyer sur une touche pour continuer la désinfection...
0
TTdu15 Messages postés 59 Date d'inscription mardi 14 août 2012 Statut Membre Dernière intervention 18 février 2018 6
7 janv. 2017 à 16:24
Je viens d’exécuter le correctif, voila le lien du fichier généré Fixlog.txt :
https://ourumov15.net/images/tmp/FRST_REPORT/Fixlog.txt
0
TTdu15 Messages postés 59 Date d'inscription mardi 14 août 2012 Statut Membre Dernière intervention 18 février 2018 6
7 janv. 2017 à 17:31
Re, Donc j'ai effectué tout les correctifs demandés. J'ai donc fait une dernière analyse avec FRST et voici les fichiers rapports générés :

https://ourumov15.net/images/tmp/FRST_REPORT-PASS2/

Dites moi si vous voyez quelque chose ;)

En tout cas merci pour votre aide !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 janv. 2017 à 20:35
Ca semble mieux, en tout cas les dnsapi sont corrects.
Ca donne quoi côté pubs ?
0
TTdu15 Messages postés 59 Date d'inscription mardi 14 août 2012 Statut Membre Dernière intervention 18 février 2018 6
7 janv. 2017 à 20:38
Qtipr.com toujours présent en nouvel onglet à l'ouverture de Firefox sinon plus rien, c'est déjà un grand mieux.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 janv. 2017 à 20:41
Fais ceci :

Réinitialise/Répare les navigateurs WEB :

si pas mieux :

0
TTdu15 Messages postés 59 Date d'inscription mardi 14 août 2012 Statut Membre Dernière intervention 18 février 2018 6
8 janv. 2017 à 15:00
C'est bon problème résolu, merci à vous !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 janv. 2017 à 15:04
coolos :)

Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


0