Pubs dans Chrome : Procédure FRST Fermé

Question

Bonjour,

Suite à un problème sur chrome (publicités dans les résultats de recherche) et des soupçons d'autres virus sur mon pc j'ai lancé une procédure d'analyse sur FRST. Quelqu'un pourrait-il me fournir le script à mettre dans le fichier fixilist.txt à partir du lien suivant : https://pjjoint.malekal.com/files.php?read=20200107_x6r8r15z12v15

Merci

Malekal_morte- · Answer

Bonjour/Bonsoir,

Rapport incomplet, tu n'as pas laissé le scan aller au bout.

~~

Voici la procédure à suivre.
Sur les liens en bleus, tu trouveras des tutoriels explicatifs avec tous les détails pour suivre les étapes.

1)
Répare les navigateurs WEB concernés par les problèmes :

 Réparer Mozilla Firefox (premier paragraphe)
 Réparer Google Chrome (seulement le premier paragraphe).
(ne pas utiliser zoek et faire une réinitialisation manuelle)


2)  Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

Malekal_morte- · Answer

CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Tu peux le désinstaller.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Pense aussi à désactiver la télémétrie. Elles remontent des informations aux serveurs Avast!

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Churned] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\...\Run: [Hertog] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\...\Run: [Billy] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-09-22] (Oracle America, Inc. -> Oracle Corporation)
HKLM-x32\...\Run: [Bought] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [Crain] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM-x32\...\Run: [Sanctities] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
c:\users\corentin\appdata\local\chromium
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Chromium] => "c:\users\corentin\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [mlataf] => rundll32.exe "C:\Users\Corentin\AppData\Local\mlataf.dll",mlataf <==== ATTENTION
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Tares] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Fiorella] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Mcmartin] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Regeneration] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Cheri] => "C:\Program Files (x86)\herbalist\Greenbacks.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [Commentators] => "C:\Program Files (x86)\Shoehorned\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [undefended] => "C:\Program Files (x86)\tapper\undefended.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
HKU\S-1-5-21-1200224994-107073764-1774806805-1001\...\Run: [contentiousness] => "C:\Program Files (x86)\Akaka\Tightens.exe" aaldwaaldwaaldwaald.aaldaaalduaaldcaald.aaldpaaldwaald/aaldu2lv0lv2lvaald0lv0ps1ps0aaldu6ulvaspPlaalddsStm9jJ9baaldkk8DqvQV
Startup: C:\Users\Corentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\duds.lnk [2020-01-06]
ShortcutTarget: duds.lnk -> C:\Program Files (x86)\Akaka\Tightens.exe (Pas de fichier)
Startup: C:\Users\Corentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dudsduds.lnk [2020-01-06]
ShortcutTarget: dudsduds.lnk -> C:\Program Files (x86)\herbalist\Greenbacks.exe (Pas de fichier)
GroupPolicy: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {0FCAD437-93F8-4E05-9B05-61498C5DC4B5} - System32\Tasks\boon_westminsterboon_westminster => C:\Program Files (x86)\Shoehorned\Tightens.exe
Task: {21FB2594-C0AF-4ECA-94D7-81D56A68A224} - System32\Tasks\hartleyhartley => C:\Program Files (x86)\Akaka\Tightens.exe
Task: {4C69980E-70F1-4717-AABC-D81FDE22F2B6} - System32\Tasks\{119AC676-8A22-4F8E-819C-C66D3B59EA88} => "c:\windows\system32\launchwinapp.exe" hxxps://ui.skype.com/ui/0/7.41.0.101/fr/abandoninstall?page=tsProgressBar
Task: {512B54DA-41C1-453C-882F-07AAF6F6D761} - System32\Tasks\seng_witeseng_wite => C:\Users\Corentin\AppData\Local\Greenbacks.exe
Task: {69E97991-0FE5-483B-8FA9-3CE9C9AB3DA7} - System32\Tasks\overfill-ownersoverfill-owners => C:\Program Files (x86)\herbalist\Greenbacks.exe
Task: {A1FE17E3-1E69-407E-9219-160D2C61C373} - System32\Tasks\Bluetooth Driver Installer => C:\Users\Corentin\AppData\Local\Temp\is-003DD.tmp\prsetup.exe <==== ATTENTION
Task: {A66F531F-F6EB-4AFC-B242-C7457576F883} - System32\Tasks\deception abacha boardsdeception abacha boards => C:\Users\Corentin\AppData\Local\Tightens.exe
2020-01-06 21:10 - 2020-01-06 21:12 - 008218800 _____ (Malwarebytes) C:\Users\Corentin\Downloads\adwcleaner-8-0.exe
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ___HD C:\Program Files (x86)\Shoehorned
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\victims
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\Mediators
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\herbalist
2020-01-06 20:42 - 2020-01-07 12:56 - 000000000 ____D C:\Program Files (x86)\Akaka
2020-01-06 20:42 - 2020-01-07 11:20 - 000000000 ___HD C:\Program Files (x86)\tapper
2020-01-06 20:42 - 2020-01-06 20:42 - 000003994 _____ C:\WINDOWS\system32\Tasks\deception abacha boardsdeception abacha boards
2020-01-06 20:42 - 2020-01-06 20:42 - 000003970 _____ C:\WINDOWS\system32\Tasks\boon_westminsterboon_westminster
2020-01-06 20:42 - 2020-01-06 20:42 - 000003968 _____ C:\WINDOWS\system32\Tasks\overfill-ownersoverfill-owners
2020-01-06 20:42 - 2020-01-06 20:42 - 000003942 _____ C:\WINDOWS\system32\Tasks\seng_witeseng_wite
2020-01-06 20:42 - 2020-01-06 20:42 - 000003924 _____ C:\WINDOWS\system32\Tasks\hartleyhartley
2020-01-06 20:39 - 2020-01-06 20:39 - 000000000 ____D C:\ProgramData\{DE564683-96CA-8575-B28B-F609B26CAF58}
2020-01-06 20:39 - 2020-01-06 20:39 - 000000000 ____D C:\ProgramData\{2798187F-C836-7CBB-4ED5-38F04E3261A1}
2020-01-06 20:37 - 2020-01-07 13:27 - 000000000 ____D C:\WINDOWS\trustedlogos
2020-01-06 20:37 - 2020-01-06 20:37 - 000000000 ____D C:\Users\Corentin\AppData\Local\AdvinstAnalytics
2020-01-06 20:36 - 2020-01-06 20:36 - 000012288 _____ C:\WINDOWS\mccovey.exe
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:

Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

Réparer Mozilla Firefox (premier paragraphe)
Réparer Google Chrome (seulement le premier paragraphe).
Réinitialiser et réparer Internet Explorer

3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

corentin · Answer

Nickel, merci de ton aide et bonne fin de journée !