Navigateur Web infecté par adware ? [Résolu/Fermé]

Signaler
Messages postés
60
Date d'inscription
mardi 14 août 2012
Statut
Membre
Dernière intervention
18 février 2018
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour à toutes et à tous,

J'ai récemment récupéré un ordinateur portable (Ceux offert par la région Languedoc/Roussillon) tournant sous Windows 10 Pro, ce dernier présentait une quantité incroyable d'Adware, malware en tout genre .... J'ai effectué plusieurs passes avec MalwareByte + AdwareCleaner qui ont déjà bien dégrossi le travail. Il reste cependant un forme d'adware qui redéfini la page par défaut des navigateurs web (Firefox et Edge, IE pas touché) par Qtipr.com. J'ai nettoyé le fichier Hosts de Windows et j'y ai trouvé pas mal d'URLS très louches que j'ai supprimées. Cependant le problème persiste et à chaque démarrage je retrouve sur Firefox Qtipr.com..... J'ai également nettoyé grâce "RepairDNS" un soucis sur DNSAPI.dll, rien ne change.... :'(

J'ai donc effectué un scan avec Farbar recovery scan tool et je vous ai joint les fichiers rapports sur mon site web : https://ourumov15.net/images/tmp/FRST_REPORT/ , tout est dans ce répertoire.

Cependant je ne sais malheureusement pas interpréter ce genre de fichiers et quoi faire avec,
donc si quelqu'un pouvait m'éclairer sur la démarche à suivre ce serait très sympa ;) !

Merci d'avance pour vos réponses,

TT




7 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 598
Salut peux tu donner le rapport Repairdns ?

--
Messages postés
60
Date d'inscription
mardi 14 août 2012
Statut
Membre
Dernière intervention
18 février 2018
6
Salut, je viens de l'upload à l'instant ;)
Même répertoire.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 598
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
Task: {508BEAF5-3681-48E0-B108-A4DB881CCDC6} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-20] (UCWeb Inc) <==== ATTENTION
Task: {D6E1A964-FBDF-4095-BCCB-497B22B94D5E} - System32\Tasks\Clajely Host => C:\Program Files (x86)\Drowotywervught\shuherk.exe
2016-12-22 00:35 - 2016-12-22 00:35 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Chromium
2016-12-22 00:34 - 2016-12-22 10:24 - 00000484 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
2016-12-22 00:34 - 2016-12-22 00:34 - 00003512 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
2016-12-22 00:33 - 2016-12-22 00:34 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-12-22 00:33 - 2016-12-22 00:33 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\UCBrowser
2016-12-22 00:31 - 2017-01-06 22:03 - 00000000 ____D D:\Users\Gauthier11\AppData\LocalLow\Company
2016-12-22 00:31 - 2016-12-22 17:13 - 00000000 ____D C:\Program Files\JiddUn
2016-12-22 00:31 - 2016-12-22 00:32 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Tempfolder
2016-12-22 00:31 - 2016-12-22 00:31 - 00000000 ____D C:\uninst
2016-12-22 00:29 - 2016-12-22 17:13 - 00000000 __SHD D:\Users\Gauthier11\AppData\Local\svchost
2016-12-22 00:27 - 2016-12-22 00:27 - 00000000 _____ C:\TOSTACK
2016-12-22 00:26 - 2016-12-22 00:35 - 00000000 ____D C:\WINDOWS\system32\SSL
2016-12-22 00:26 - 2016-12-22 00:26 - 00000000 ____D C:\Microsoft
2016-12-22 00:05 - 2016-12-22 00:05 - 07316480 _____ D:\Users\Gauthier11\AppData\Roaming\agent.dat
2016-12-22 00:05 - 2016-12-22 00:05 - 00187904 _____ C:\WINDOWS\rsrcs.dll
2016-12-22 00:05 - 2016-12-22 00:05 - 00070704 _____ D:\Users\Gauthier11\AppData\Roaming\Config.xml
2016-12-22 00:05 - 2016-12-22 00:05 - 00018432 _____ D:\Users\Gauthier11\AppData\Roaming\Main.dat
2016-12-22 00:03 - 2017-01-06 22:04 - 00004197 _____ C:\WINDOWS\system32\tmplog.log
2016-12-22 00:03 - 2017-01-02 19:12 - 00002074 _____ C:\WINDOWS\SysWOW64\tmplog2.log
2016-12-22 00:03 - 2016-12-22 00:03 - 00000000 ____D C:\WINDOWS\SysWOW64\sstmp
2016-12-22 00:03 - 2016-12-22 00:03 - 00000000 ____D C:\WINDOWS\system32\sstmp
2016-12-22 00:02 - 2016-12-22 00:26 - 00006054 _____ C:\WINDOWS\System32\Tasks\Clajely Host
2016-12-22 00:02 - 2016-12-22 00:25 - 00140288 _____ D:\Users\Gauthier11\AppData\Roaming\Installer.dat
2016-12-22 00:01 - 2017-01-02 20:26 - 00000000 ___HD C:\ProgramData\484935570d76t6374427
2016-12-22 00:01 - 2016-12-22 00:26 - 00000000 ____D D:\Users\Gauthier11\AppData\Roaming\Profiles
2016-12-22 00:01 - 2016-12-22 00:26 - 00000000 ____D D:\Users\Gauthier11\AppData\Local\Atezerry
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
Hosts:
EmptyTemp:
RemoveProxy:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Désactive ton antivirus.
Refais un nettoyage RepairDNS.

redémarre l'ordinateur.


Commence par lancer une Réparation DISM

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir DISM /Online /Cleanup-image /Restorehealth dans la fenêtre.

(attention, il y a un espace devant chaque commande commençant par / /Online /Cleanup-image etc)

Redémarre.

Tu peux lancer une Réparation SFC

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.

Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.

Refais un scan FRST puis donne les rapports.


Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
60
Date d'inscription
mardi 14 août 2012
Statut
Membre
Dernière intervention
18 février 2018
6
Je viens d’exécuter le correctif, voila le lien du fichier généré Fixlog.txt :
https://ourumov15.net/images/tmp/FRST_REPORT/Fixlog.txt
Messages postés
60
Date d'inscription
mardi 14 août 2012
Statut
Membre
Dernière intervention
18 février 2018
6
Re, Donc j'ai effectué tout les correctifs demandés. J'ai donc fait une dernière analyse avec FRST et voici les fichiers rapports générés :

https://ourumov15.net/images/tmp/FRST_REPORT-PASS2/

Dites moi si vous voyez quelque chose ;)

En tout cas merci pour votre aide !
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 598
Ca semble mieux, en tout cas les dnsapi sont corrects.
Ca donne quoi côté pubs ?
Messages postés
60
Date d'inscription
mardi 14 août 2012
Statut
Membre
Dernière intervention
18 février 2018
6
Qtipr.com toujours présent en nouvel onglet à l'ouverture de Firefox sinon plus rien, c'est déjà un grand mieux.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 598
Fais ceci :

Réinitialise/Répare les navigateurs WEB :

si pas mieux :

Messages postés
60
Date d'inscription
mardi 14 août 2012
Statut
Membre
Dernière intervention
18 février 2018
6
C'est bon problème résolu, merci à vous !
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 598
coolos :)

Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)