Pubs dans Chrome : Procédure FRST [Fermé]

Signaler
-
 corentin -
Bonjour,

Suite à un problème sur chrome (publicités dans les résultats de recherche) et des soupçons d'autres virus sur mon pc j'ai lancé une procédure d'analyse sur FRST. Quelqu'un pourrait-il me fournir le script à mettre dans le fichier fixilist.txt à partir du lien suivant : https://pjjoint.malekal.com/files.php?read=20200107_x6r8r15z12v15

Merci

3 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 081
CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Tu peux le désinstaller.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Pense aussi à désactiver la télémétrie. Elles remontent des informations aux serveurs Avast!




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Churned] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\...\Run: [Hertog] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\...\Run: [Billy] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-09-22] (Oracle America, Inc. -> Oracle Corporation)
HKLM-x32\...\Run: [Bought] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [Crain] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [Sanctities] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
c:\users\corentin\appdata\local\chromium
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Chromium] => "c:\users\corentin\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [mlataf] => rundll32.exe "C:\Users\Corentin\AppData\Local\mlataf.dll",mlataf <==== ATTENTION
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Tares] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Fiorella] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Mcmartin] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Regeneration] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Cheri] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Commentators] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [undefended] => "C:\Program Files (x86)\tapper\undefended.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [contentiousness] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
Startup: C:\Users\Corentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\duds.lnk [2020-01-06]
ShortcutTarget: duds.lnk -> C:\Program Files (x86)\Akaka\Tightens.exe (Pas de fichier)
Startup: C:\Users\Corentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dudsduds.lnk [2020-01-06]
ShortcutTarget: dudsduds.lnk -> C:\Program Files (x86)\herbalist\Greenbacks.exe (Pas de fichier)
GroupPolicy: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {0FCAD437-93F8-4E05-9B05-61498C5DC4B5} - System32\Tasks\boon_westminsterboon_westminster => C:\Program Files (x86)\Shoehorned\Tightens.exe
Task: {21FB2594-C0AF-4ECA-94D7-81D56A68A224} - System32\Tasks\hartleyhartley => C:\Program Files (x86)\Akaka\Tightens.exe
Task: {4C69980E-70F1-4717-AABC-D81FDE22F2B6} - System32\Tasks\{119AC676-8A22-4F8E-819C-C66D3B59EA88} => "c:\windows\system32\launchwinapp.exe" hxxps://ui.skype.com/ui/0/7.41.0.101/fr/abandoninstall?page=tsProgressBar
Task: {512B54DA-41C1-453C-882F-07AAF6F6D761} - System32\Tasks\seng_witeseng_wite => C:\Users\Corentin\AppData\Local\Greenbacks.exe
Task: {69E97991-0FE5-483B-8FA9-3CE9C9AB3DA7} - System32\Tasks\overfill-ownersoverfill-owners => C:\Program Files (x86)\herbalist\Greenbacks.exe
Task: {A1FE17E3-1E69-407E-9219-160D2C61C373} - System32\Tasks\Bluetooth Driver Installer => C:\Users\Corentin\AppData\Local\Temp\is-003DD.tmp\prsetup.exe <==== ATTENTION
Task: {A66F531F-F6EB-4AFC-B242-C7457576F883} - System32\Tasks\deception abacha boardsdeception abacha boards => C:\Users\Corentin\AppData\Local\Tightens.exe
2020-01-06 21:10 - 2020-01-06 21:12 - 008218800 _____ (Malwarebytes) C:\Users\Corentin\Downloads\adwcleaner-8-0.exe
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ___HD C:\Program Files (x86)\Shoehorned
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\victims
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\Mediators
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\herbalist
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\Akaka
2020-01-06 20:42 - 2020-01-07 11:20 - 000000000 ___HD C:\Program Files (x86)\tapper
2020-01-06 20:42 - 2020-01-06 20:42 - 000003994 _____ C:\WINDOWS\system32\Tasks\deception abacha boardsdeception abacha boards
2020-01-06 20:42 - 2020-01-06 20:42 - 000003970 _____ C:\WINDOWS\system32\Tasks\boon_westminsterboon_westminster
2020-01-06 20:42 - 2020-01-06 20:42 - 000003968 _____ C:\WINDOWS\system32\Tasks\overfill-ownersoverfill-owners
2020-01-06 20:42 - 2020-01-06 20:42 - 000003942 _____ C:\WINDOWS\system32\Tasks\seng_witeseng_wite
2020-01-06 20:42 - 2020-01-06 20:42 - 000003924 _____ C:\WINDOWS\system32\Tasks\hartleyhartley
2020-01-06 20:39 - 2020-01-06 20:39 - 000000000 ____D C:\ProgramData\{DE564683-96CA-8575-B28B-F609B26CAF58}
2020-01-06 20:39 - 2020-01-06 20:39 - 000000000 ____D C:\ProgramData\{2798187F-C836-7CBB-4ED5-38F04E3261A1}
2020-01-06 20:37 - 2020-01-07 13:27 - 000000000 ____D C:\WINDOWS\trustedlogos
2020-01-06 20:37 - 2020-01-06 20:37 - 000000000 ____D C:\Users\Corentin\AppData\Local\AdvinstAnalytics
2020-01-06 20:36 - 2020-01-06 20:36 - 000012288 _____ C:\WINDOWS\mccovey.exe
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 081
Bonjour/Bonsoir,

Rapport incomplet, tu n'as pas laissé le scan aller au bout.

~~

Voici la procédure à suivre.
Sur les liens en bleus, tu trouveras des tutoriels explicatifs avec tous les détails pour suivre les étapes.

1)
Répare les navigateurs WEB concernés par les problèmes :
(ne pas utiliser zoek et faire une réinitialisation manuelle)


2) Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).



Au temps pour moi, j'ai donc refait la manip'. Voici les 3 liens :

https://pjjoint.malekal.com/files.php?id=FRST_20200107_q11r10z6s8m14

https://pjjoint.malekal.com/files.php?id=20200107_n12z15n15y11s11

https://pjjoint.malekal.com/files.php?id=20200107_y7y5d6r11z13
Nickel, merci de ton aide et bonne fin de journée !