PC infecté ... lucky starting s'ouvre au démarrage de chrome Résolu/Fermé

Question

Bonjour, 
mon pc semble (beaucoup) infecté.
Cela fait quelques jours que mon antivirus Kaspersky m'avertit de fichiers malveillants, virus etc... malgré une analyse complète et une suppression, je constate toujours une lenteur. et ce matin, à l'ouverture de chrome, c'est lucky starting qui y figurait à sa place !!

Je viens donc de lancer ADWcleaner, (je suis une procédure vue sur une question similaire ;-) )
Je vais passer à l'étape 2, réparer chrome

voici le rapport 
MERCI 

# AdwCleaner v6.045 - Rapport créé le 10/04/2017 à 15:02:36
# Mis à jour le 28/03/2017 par Malwarebytes
# Base de données : 2017-04-06.1 [Locale]
# Système d'exploitation : Windows 10 Home  (X64)
# Nom d'utilisateur : Ben - BEN-PC
# Exécuté depuis : D:	elechargements\adwcleaner_6.045 (1).exe
# Mode: Nettoyage
# Support : https://www.malwarebytes.com/support

 [ Services ] *****
 [ Dossiers ] *****
 [ Fichiers ] *****
 [ DLL ] *****
 [ WMI ] *****
 [ Raccourcis ] *****
 [ Tâches planifiées ] *****
 [ Registre ] *****

[-] Clé supprimée: HKU\S-1-5-21-578327087-4110603385-1361986703-1001\Software\deskapp
[#] Clé supprimée au redémarrage: HKCU\Software\deskapp
[-] Clé supprimée: HKLM\SOFTWARE\ScreenShot
[-] Clé supprimée: HKLM\SOFTWARE\msServer
[-] Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{59B5A9CD-253D-4C41-A073-B387D4C9672D}
[#] Clé supprimée au redémarrage: [x64] HKCU\Software\deskapp
[-] Clé supprimée: [x64] HKLM\SOFTWARE\InterSect Alliance
[-] Valeur supprimée: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [WinSAPSvc]
[-] Clé supprimée: HKCU\SOFTWARE\Classes\ChromeHTML
[-] Clé supprimée: HKCU\SOFTWARE\Clients\StartMenuInternet\ChromeHTML

 [ Navigateurs ] *****


:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

Malekal_morte- · Answer

Salut,

Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

 Réparer Mozilla Firefox (premier paragraphe)
 Réparer Google Chrome (seulement le premier paragraphe).
 Réinitialiser et réparer Internet Explorer

puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

benjie · Answer

voici les liens des rapports 
 http://pjjoint.malekal.com/files.php?id=FRST_20170410_n12q13s12c11t11
 http://pjjoint.malekal.com/files.php?id=20170410_y11m14k9q6f15
 http://pjjoint.malekal.com/files.php?id=20170410_d9e15d5v15g6

Merci de ton aide !

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:CloseProcesses:Task: {705EEB0E-05E6-48F0-93D9-A8520F3A8F86} - System32\Tasks\Windows-PG => powershell.exe C:\Update\psgo\psgo.ps1Task: {2CABBFD0-7BF8-4742-A563-1E74D60BE949} - \203tHDzELC -> Pas de fichier <==== ATTENTION R2 SNARER; C:\Users\Ben\AppData\Roaming\SNARER\Snarer.dll [792576 2017-04-07] (InterSect Alliance Pty Ltd) [Fichier non signé]  2017-04-10 12:06 - 2017-04-10 12:06 - 00000000 ____D C:\Program Files (x86)\Antanna  2017-04-07 10:05 - 2017-04-07 10:05 - 00003568 _____ C:\WINDOWS\System32\Tasks\Windows-PG  2017-04-07 10:05 - 2017-04-07 10:05 - 00000000 ____D C:\Users\Ben\AppData\Roaming\SNARER  2017-04-07 10:05 - 2017-04-07 10:05 - 00000000 ____D C:\Update  2017-04-07 10:05 - 2017-04-07 10:05 - 00000000 ____D C:\Program Files (x86)\MIO   2017-03-30 10:05 - 2017-04-10 12:56 - 00000000 ____D C:\Program Files (x86)\Shunosyjibtain  2017-03-22 17:05 - 2017-03-23 11:43 - 00000000 ____D C:\Program Files (x86)\RkJOppZtRf  2017-03-22 17:04 - 2017-03-23 10:09 - 00000000 ____D C:\Program Files (x86)\Reobock Verfier  2017-03-22 17:04 - 2017-03-22 17:04 - 00000000 ____D C:\Users\Ben\AppData\Roaming\Coutering  2017-03-22 16:58 - 2017-03-22 19:11 - 00000000 ____D C:\WINDOWS\system32\SSL  2017-03-18 00:08 - 2017-03-18 00:08 - 02894522 _____ C:\WINDOWS\0ae1cb72fa40953b704493ec7d18e931.exe  EmptyTemp:RemoveProxy:Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

 Réparer Mozilla Firefox (premier paragraphe)
 Réparer Google Chrome (seulement le premier paragraphe).
 Réinitialiser et réparer Internet Explorer

benjie · Answer

Voici le rapport 

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par Ben (10-04-2017 16:43:47) Run:1
Exécuté depuis D:	elechargements
Profils chargés: UpdatusUser & Ben &  (Profils disponibles: UpdatusUser & Ben)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
CloseProcesses:
Task: {705EEB0E-05E6-48F0-93D9-A8520F3A8F86} - System32\Tasks\Windows-PG => powershell.exe C:\Update\psgo\psgo.ps1
Task: {2CABBFD0-7BF8-4742-A563-1E74D60BE949} - \203tHDzELC -> Pas de fichier <==== ATTENTION
 R2 SNARER; C:\Users\Ben\AppData\Roaming\SNARER\Snarer.dll [792576 2017-04-07] (InterSect Alliance Pty Ltd) [Fichier non signé] 
 2017-04-10 12:06 - 2017-04-10 12:06 - 00000000 ____D C:\Program Files (x86)\Antanna 
 2017-04-07 10:05 - 2017-04-07 10:05 - 00003568 _____ C:\WINDOWS\System32\Tasks\Windows-PG 
 2017-04-07 10:05 - 2017-04-07 10:05 - 00000000 ____D C:\Users\Ben\AppData\Roaming\SNARER 
 2017-04-07 10:05 - 2017-04-07 10:05 - 00000000 ____D C:\Update 
 2017-04-07 10:05 - 2017-04-07 10:05 - 00000000 ____D C:\Program Files (x86)\MIO  
 2017-03-30 10:05 - 2017-04-10 12:56 - 00000000 ____D C:\Program Files (x86)\Shunosyjibtain 
 2017-03-22 17:05 - 2017-03-23 11:43 - 00000000 ____D C:\Program Files (x86)\RkJOppZtRf 
 2017-03-22 17:04 - 2017-03-23 10:09 - 00000000 ____D C:\Program Files (x86)\Reobock Verfier 
 2017-03-22 17:04 - 2017-03-22 17:04 - 00000000 ____D C:\Users\Ben\AppData\Roaming\Coutering 
 2017-03-22 16:58 - 2017-03-22 19:11 - 00000000 ____D C:\WINDOWS\system32\SSL 
 2017-03-18 00:08 - 2017-03-18 00:08 - 02894522 _____ C:\WINDOWS\0ae1cb72fa40953b704493ec7d18e931.exe  
EmptyTemp:
RemoveProxy:
Reboot:



Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{705EEB0E-05E6-48F0-93D9-A8520F3A8F86} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{705EEB0E-05E6-48F0-93D9-A8520F3A8F86} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Windows-PG => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows-PG => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2CABBFD0-7BF8-4742-A563-1E74D60BE949} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2CABBFD0-7BF8-4742-A563-1E74D60BE949} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\203tHDzELC => clé supprimé(es) avec succès
SNARER => Impossible d'arrêter le service.
HKLM\System\CurrentControlSet\Services\SNARER => clé supprimé(es) avec succès
SNARER => service supprimé(es) avec succès
C:\Program Files (x86)\Antanna => déplacé(es) avec succès
"C:\WINDOWS\System32\Tasks\Windows-PG" => non trouvé(e).
C:\Users\Ben\AppData\Roaming\SNARER => déplacé(es) avec succès
C:\Update => déplacé(es) avec succès
C:\Program Files (x86)\MIO => déplacé(es) avec succès
C:\Program Files (x86)\Shunosyjibtain => déplacé(es) avec succès
C:\Program Files (x86)\RkJOppZtRf => déplacé(es) avec succès
C:\Program Files (x86)\Reobock Verfier => déplacé(es) avec succès
C:\Users\Ben\AppData\Roaming\Coutering => déplacé(es) avec succès
C:\WINDOWS\system32\SSL => déplacé(es) avec succès
C:\WINDOWS\0ae1cb72fa40953b704493ec7d18e931.exe => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-578327087-4110603385-1361986703-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-578327087-4110603385-1361986703-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 128764331 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/drivers => 38783034 B
Edge => 8076033 B
Chrome => 527310323 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 244370 B
NetworkService => 616362 B
UpdatusUser => 0 B
Ben => 1242519289 B
DefaultAppPool => 0 B

RecycleBin => 4955 B
EmptyTemp: => 1.8 GB données temporaires supprimées.

================================


Le système a dû redémarrer.
 Fin de Fixlog 16:50:43

Malekal_morte- · Answer

y a du mieux ?

benjie · Answer

j'y croyais et après redémarrage, en ouvrant google chrome, j'ai toujours lucky starting à la place ...

Malekal_morte- · Answer

tu l'as bien réinitialisé ?

si oui : Réinstalle proprement Google Chrome, en suivant exactement cette procédure : https://www.malekal.com//reparer-google-chrome/#Reinstaller_Google_Chrome

benjie · Answer

je l'avais réinitialisé. 
J'ai suivi la procédure et réinstallé chrome.

Ca a l'air bon :-) disparition de lucky starting.

J'espère que tout est rentré dans l'ordre !

Merci beaucoup pour ton aide, bonne soirée

Malekal_morte- · Answer

cool =)


Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes -  Tutoriel Malwarebytes Anti-Malware version gratuite 


Quelques conseils : 

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

benjie · Answer

Suite à l'analyse de malwarebytes, j'ai 4 malwares mis en quarantaine. Je les ai supprimé

J'ai d'autres manip à faire ou ça devrait être bon?
Merci