Navigateur Web infecté par adware ?

Résolu
TTdu15 Messages postés 66 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à toutes et à tous,

J'ai récemment récupéré un ordinateur portable (Ceux offert par la région Languedoc/Roussillon) tournant sous Windows 10 Pro, ce dernier présentait une quantité incroyable d'Adware, malware en tout genre .... J'ai effectué plusieurs passes avec MalwareByte + AdwareCleaner qui ont déjà bien dégrossi le travail. Il reste cependant un forme d'adware qui redéfini la page par défaut des navigateurs web (Firefox et Edge, IE pas touché) par Qtipr.com. J'ai nettoyé le fichier Hosts de Windows et j'y ai trouvé pas mal d'URLS très louches que j'ai supprimées. Cependant le problème persiste et à chaque démarrage je retrouve sur Firefox Qtipr.com..... J'ai également nettoyé grâce "RepairDNS" un soucis sur DNSAPI.dll, rien ne change.... :'(

J'ai donc effectué un scan avec Farbar recovery scan tool et je vous ai joint les fichiers rapports sur mon site web : https://ourumov15.net/images/tmp/FRST_REPORT/ , tout est dans ce répertoire.

Cependant je ne sais malheureusement pas interpréter ce genre de fichiers et quoi faire avec,
donc si quelqu'un pouvait m'éclairer sur la démarche à suivre ce serait très sympa ;) !

Merci d'avance pour vos réponses,

TT

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut peux tu donner le rapport Repairdns ?

    --
    0
    1. TTdu15 Messages postés 66 Statut Membre 6
       
      Salut, je viens de l'upload à l'instant ;)
      Même répertoire.
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    CreateRestorePoint:
    Task: {508BEAF5-3681-48E0-B108-A4DB881CCDC6} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-20] (UCWeb Inc) <==== ATTENTION
    Task: {D6E1A964-FBDF-4095-BCCB-497B22B94D5E} - System32\Tasks\Clajely Host => C:\Program Files (x86)\Drowotywervught\shuherk.exe
    2016-12-22 00:35 - 2016-12-22 00:35 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Chromium
    2016-12-22 00:34 - 2016-12-22 10:24 - 00000484 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2016-12-22 00:34 - 2016-12-22 00:34 - 00003512 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2016-12-22 00:33 - 2016-12-22 00:34 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-12-22 00:33 - 2016-12-22 00:33 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\UCBrowser
    2016-12-22 00:31 - 2017-01-06 22:03 - 00000000 ____D D:\Users\Gauthier11\AppData\LocalLow\Company
    2016-12-22 00:31 - 2016-12-22 17:13 - 00000000 ____D C:\Program Files\JiddUn
    2016-12-22 00:31 - 2016-12-22 00:32 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Tempfolder
    2016-12-22 00:31 - 2016-12-22 00:31 - 00000000 ____D C:\uninst
    2016-12-22 00:29 - 2016-12-22 17:13 - 00000000 __SHD D:\Users\Gauthier11\AppData\Local\svchost
    2016-12-22 00:27 - 2016-12-22 00:27 - 00000000 _____ C:\TOSTACK
    2016-12-22 00:26 - 2016-12-22 00:35 - 00000000 ____D C:\WINDOWS\system32\SSL
    2016-12-22 00:26 - 2016-12-22 00:26 - 00000000 ____D C:\Microsoft
    2016-12-22 00:05 - 2016-12-22 00:05 - 07316480 _____ D:\Users\Gauthier11\AppData\Roaming\agent.dat
    2016-12-22 00:05 - 2016-12-22 00:05 - 00187904 _____ C:\WINDOWS\rsrcs.dll
    2016-12-22 00:05 - 2016-12-22 00:05 - 00070704 _____ D:\Users\Gauthier11\AppData\Roaming\Config.xml
    2016-12-22 00:05 - 2016-12-22 00:05 - 00018432 _____ D:\Users\Gauthier11\AppData\Roaming\Main.dat
    2016-12-22 00:03 - 2017-01-06 22:04 - 00004197 _____ C:\WINDOWS\system32\tmplog.log
    2016-12-22 00:03 - 2017-01-02 19:12 - 00002074 _____ C:\WINDOWS\SysWOW64\tmplog2.log
    2016-12-22 00:03 - 2016-12-22 00:03 - 00000000 ____D C:\WINDOWS\SysWOW64\sstmp
    2016-12-22 00:03 - 2016-12-22 00:03 - 00000000 ____D C:\WINDOWS\system32\sstmp
    2016-12-22 00:02 - 2016-12-22 00:26 - 00006054 _____ C:\WINDOWS\System32\Tasks\Clajely Host
    2016-12-22 00:02 - 2016-12-22 00:25 - 00140288 _____ D:\Users\Gauthier11\AppData\Roaming\Installer.dat
    2016-12-22 00:01 - 2017-01-02 20:26 - 00000000 ___HD C:\ProgramData\484935570d76t6374427
    2016-12-22 00:01 - 2016-12-22 00:26 - 00000000 ____D D:\Users\Gauthier11\AppData\Roaming\Profiles
    2016-12-22 00:01 - 2016-12-22 00:26 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Atezerry
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
    Hosts:
    EmptyTemp:
    RemoveProxy:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",

    A gauche, place toi sur le Bureau,

    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    Désactive ton antivirus.
    Refais un nettoyage RepairDNS.

    redémarre l'ordinateur.

    Commence par lancer une Réparation DISM

    Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
    Saisir DISM /Online /Cleanup-image /Restorehealth dans la fenêtre.

    (attention, il y a un espace devant chaque commande commençant par / /Online /Cleanup-image etc)

    Redémarre.

    Tu peux lancer une Réparation SFC

    Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
    Saisir sfc /scannow dans la fenêtre.

    Ça doit te dire que la protection a détecté des éléments endommagés,
    qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.

    Refais un scan FRST puis donne les rapports.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
  3. TTdu15 Messages postés 66 Statut Membre 6
     
    Re, Donc j'ai effectué tout les correctifs demandés. J'ai donc fait une dernière analyse avec FRST et voici les fichiers rapports générés :

    https://ourumov15.net/images/tmp/FRST_REPORT-PASS2/

    Dites moi si vous voyez quelque chose ;)

    En tout cas merci pour votre aide !
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca semble mieux, en tout cas les dnsapi sont corrects.
    Ca donne quoi côté pubs ?
    0
    1. TTdu15 Messages postés 66 Statut Membre 6
       
      Qtipr.com toujours présent en nouvel onglet à l'ouverture de Firefox sinon plus rien, c'est déjà un grand mieux.
      0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais ceci :

    Réinitialise/Répare les navigateurs WEB :

    si pas mieux :

    0
    1. TTdu15 Messages postés 66 Statut Membre 6
       
      C'est bon problème résolu, merci à vous !
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    coolos :)

    Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

    Quelques conseils :

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
    (Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

    0