Chrome hijacked, et rien n'y faitFermé

Question

Bonjour,  Bonsoir, Hello Malekal et les autres helpers :)


Mon browser Chrome a été hijacké cet aprèm, et j'ai beau suivre les prescriptions, pour le moment rien 'y fait.   Ou alors c'est un nouvel algorythme de Google qui est testé ????

Je tape n'importe quoi dans la barre de recherches Google, par exemple "Malekal" je tombe sur une page de résultats, qui est de suite rafraîchie pour me présenter des liens tels que sho.fr/malekal, fr.ohdeal.com/ etc.
J'avais visité quelques pages web et shopping de Google sur sodastream, et voila depuis... Je suppose que ça vient de là. et c'est très gênant.

Pensant avoir été hijacked :
- J'ai commencé par faire un scan en ligne Housecall qui trouvait que tout était ok.
- Passé un coup de ADWCleaner > idem
- ZHPCleaner > des SUP détectés et supprimés, mais ça n'a pas remédié à mon problème
- Zoek Quick Scan >  VirtualStore  (et plein d'autres) deleted successfully, mais le problème persiste...
- J'ai réinitialisé, puis supprimé et réinstallé Chrome, (avec CCleaner registry cleanup etc entre autres) mais c'est comme si je n'avais rien fait. 

Vous me proposez quoi ?   Merci :)  svp, mon pc c'est ma vie :D   mon travail, tout :)  Thank u :) 


Configuration: Windows / Chrome 83.0.4103.61

billmaxime · Answer

salut

pour voir ce qui tourne sur ton pc, fait ceci:

télécharge FRST de (Fabar) sur ton bureau --> clique ici

PS: prends celui correspondant à ton pc (32 ou 64 bits) --> clique ici

exécute le en tant qu'administrateur (clic droit) 

à la fin du scan, les rapports FRST et ADDITION s'afficheront sur ton bureau et dans C:\FRST\LOG 

poste les rapports via cjoint --> clique ici

@+

billmaxime · Answer

re

ok, en attente des rapports

@+

billmaxime · Answer

re

je lis les rapports et je reviens

@+

billmaxime · Answer

re c'est normal le proxy dans Chrome? C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory=Default --app-id=oiaepkkgnneiomajnajklpkmgfaocjpp ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\http___www.meteofrance.com_previsions-meteo-france_alpes-maritimes_06.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory=Default --app-id=hpeoihadejbibmaigmknfniidkkdbibc ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\METEO ALPES-MARITIMES par Météo-France - Prévisions météo gratuites à 15 jours sur la France, les régions et les départements.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory=Default --app-id=oiaepkkgnneiomajnajklpkmgfaocjpp fait ceci: ouvre le bloc-note copie/colle le texte ci-dessous: Start:: CreateRestorePoint: CloseProcesses: Task: {273808EB-8F48-45A6-B410-7C24731D8812} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} => -> Pas de fichier ContextMenuHandlers1: [AcShellExtension.AcContextMenuHandler] -> {2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => -> Pas de fichier S3 DeviceAssociationBrokerSvc_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 DeviceAssociationBrokerSvc_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 CaptureService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 CaptureService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BluetoothUserService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BluetoothUserService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BcastDVRUserService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BcastDVRUserService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 AarSvc_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 AarSvc_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) FF ProfilePath: Profiles/bh9zh1js.default [non trouvé(e)] <==== ATTENTION HKLM-x32\...\Run: [] => [X] Task: {B9B0300B-B225-4290-9EF3-6776EB5D917B} - System32\Tasks\AMSkipUAC => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe [2019-07-16] (Zemana Ltd.) Task: {56C8DB10-77A8-4244-8032-7B5071F424ED} - System32\Tasks\AMHelper => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe [2019-07-16] (Zemana Ltd.) ContextMenuHandlers6: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Zemana\AntiMalware\AM_ShellExt64.dll [2019-07-16] (Advanced Malware Protection. Copyright 2019.) ContextMenuHandlers1: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Zemana\AntiMalware\AM_ShellExt64.dll [2019-07-16] (Advanced Malware Protection. Copyright 2019.) Zemana AntiMalware version 3.1.375 (HKLM-x32\...\{4E1F3677-C72E-4F7D-B66E-85467B1A289E}_is1) (Version: 3.1.375 - Zemana) HKLM\...\StartupApproved\Run32: => "TrojanScanner" HKLM-x32\...\Run: [TrojanScanner] => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [3678264 2018-04-09] (Simply Super Software) netis Wireless LAN Driver (HKLM-x32\...\{9DAABC60-A5EF-41FF-B2B9-17329590CD5}) (Version: 1.00.0193 - netis Systems Co.,Ltd.) EmptyTemp: Reboot: End:: quand le texte est copié/collé, clique sur "fichier">>"enregistrer sous" et choisi le "bureau" dans la colonne de gauche en bas de page, dans "nom de fichier", tape fixlist.txt et clique sur "enregistrer" exécute FRST et clique sur "corriger" quand la correction sera terminée, un fichier texte apparaîtra sur ton bureau, copie/colle le résultat dans ta prochaine réponse @+

Contemplatrice · Answer

Hello, "C'est normal le proxy dans Chrome?" > Euh, aucune idée.. Puisque tu en parles je suppose que non.... Merci. Chrome est réparé. Super. :) J'espère que mes mots de passe enregistrés n'ont pas été compromis... ? Qu'en penses-tu ? Tu me conseilles quoi pour éviter que ce genre d'incident ne se reproduise ? Je suppose que c'est en visitant un site à propos de SodaStream que j'ai été infectée - hier vers 17h- car je n'ai rien téléchargé ces derniers jours. C'était quoi comme type de malware ? A te lire, bon réveil :) Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 07.02.2018 01 Exécuté par Utilisateur (30-05-2020 09:18:24) Run:1 Exécuté depuis C:\Users\Utilisateur\Desktop\foo Profils chargés: Utilisateur (Profils disponibles: defaultuser0 & Utilisateur) Mode d'amorçage: Normal ============================================== fixlist contenu: * CreateRestorePoint:CloseProcesses:Task: {273808EB-8F48-45A6-B410-7C24731D8812} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTIONContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} => -> Pas de fichierContextMenuHandlers1: [AcShellExtension.AcContextMenuHandler] -> {2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => -> Pas de fichierS3 DeviceAssociationBrokerSvc_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 DeviceAssociationBrokerSvc_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 CaptureService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 CaptureService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 BluetoothUserService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 BluetoothUserService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 BcastDVRUserService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 BcastDVRUserService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 AarSvc_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)S3 AarSvc_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)FF ProfilePath: Profiles/bh9zh1js.default [non trouvé(e)] <==== ATTENTIONHKLM-x32\...\Run: [] => [X]Task: {B9B0300B-B225-4290-9EF3-6776EB5D917B} - System32\Tasks\AMSkipUAC => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe [2019-07-16] (Zemana Ltd.)Task: {56C8DB10-77A8-4244-8032-7B5071F424ED} - System32\Tasks\AMHelper => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe [2019-07-16] (Zemana Ltd.)ContextMenuHandlers6: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Zemana\AntiMalware\AM_ShellExt64.dll [2019-07-16] (Advanced Malware Protection. Copyright 2019.)ContextMenuHandlers1: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Zemana\AntiMalware\AM_ShellExt64.dll [2019-07-16] (Advanced Malware Protection. Copyright 2019.)Zemana AntiMalware version 3.1.375 (HKLM-x32\...\{4E1F3677-C72E-4F7D-B66E-85467B1A289E}_is1) (Version: 3.1.375 - Zemana)HKLM\...\StartupApproved\Run32: => "TrojanScanner"HKLM-x32\...\Run: [TrojanScanner] => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [3678264 2018-04-09] (Simply Super Software)netis Wireless LAN Driver (HKLM-x32\...\{9DAABC60-A5EF-41FF-B2B9-17329590CD5}) (Version: 1.00.0193 - netis Systems Co.,Ltd.)EmptyTemp:Reboot:*****************Le Point de restauration a été créé avec succès.Processus fermé avec succès.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{273808EB-8F48-45A6-B410-7C24731D8812} => impossible à supprimer clé. ErrorCode1: 0x00000002"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{273808EB-8F48-45A6-B410-7C24731D8812}" => supprimé(es) avec succèsHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager => clé non trouvé(e)"HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\PDFCreator.ShellContextMenu" => supprimé(es) avec succèsHKLM\Software\Classes\CLSID\{d9cea52e-100d-4159-89ea-76e845bc13e1} => clé non trouvé(e)"HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\AcShellExtension.AcContextMenuHandler" => supprimé(es) avec succèsHKLM\Software\Classes\CLSID\{2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => clé non trouvé(e)DeviceAssociationBrokerSvc_588b1 => service non trouvé(e).DeviceAssociationBrokerSvc_588b1 => service non trouvé(e).CaptureService_588b1 => service non trouvé(e).CaptureService_588b1 => service non trouvé(e).BluetoothUserService_588b1 => service non trouvé(e).BluetoothUserService_588b1 => service non trouvé(e).BcastDVRUserService_588b1 => service non trouvé(e).BcastDVRUserService_588b1 => service non trouvé(e).AarSvc_588b1 => service non trouvé(e).AarSvc_588b1 => service non trouvé(e)."HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\" => supprimé(es) avec succès"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B9B0300B-B225-4290-9EF3-6776EB5D917B}" => supprimé(es) avec succès"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9B0300B-B225-4290-9EF3-6776EB5D917B}" => supprimé(es) avec succèsC:\WINDOWS\System32\Tasks\AMSkipUAC => déplacé(es) avec succès"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AMSkipUAC" => supprimé(es) avec succès"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{56C8DB10-77A8-4244-8032-7B5071F424ED}" => supprimé(es) avec succès"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56C8DB10-77A8-4244-8032-7B5071F424ED}" => supprimé(es) avec succèsC:\WINDOWS\System32\Tasks\AMHelper => déplacé(es) avec succès"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AMHelper" => supprimé(es) avec succès"HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\2.0 Zemana AntiMalware" => supprimé(es) avec succès"HKLM\Software\Classes\CLSID\{6ABB1C11-E261-4CEA-BBB5-3836225689DD}" => supprimé(es) avec succès"HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\2.0 Zemana AntiMalware" => supprimé(es) avec succèsHKLM\Software\Classes\CLSID\{6ABB1C11-E261-4CEA-BBB5-3836225689DD} => clé non trouvé(e)Zemana AntiMalware version 3.1.375 (HKLM-x32\...\{4E1F3677-C72E-4F7D-B66E-85467B1A289E}_is1) (Version: 3.1.375 - Zemana) => Erreur: Pas de correction automatique trouvée pour cet élément."HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\TrojanScanner" => supprimé(es) avec succès"HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\TrojanScanner" => supprimé(es) avec succès"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\TrojanScanner" => non trouvé(e)netis Wireless LAN Driver (HKLM-x32\...\{9DAABC60-A5EF-41FF-B2B9-17329590CD5}) (Version: 1.00.0193 - netis Systems Co.,Ltd.) => Erreur: Pas de correction automatique trouvée pour cet élément.=========== EmptyTemp: ==========BITS transfer queue => 10510336 BDOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13901191 BJava, Flash, Steam htmlcache => 0 BWindows/system/drivers => 24762 BEdge => 0 BChrome => 44407639 BFirefox => 19233226 BOpera => 0 BTemp, IE cache, history, cookies, recent:Default => 0 BUsers => 0 BProgramData => 0 BPublic => 0 Bsystemprofile => 0 Bsystemprofile32 => 0 BLocalService => 0 BLocalService => 0 BNetworkService => 0 BNetworkService => 0 Bdefaultuser0 => 0 BUtilisateur => 14704067 BRecycleBin => 0 BEmptyTemp: => 98 MB données temporaires supprimées.================================Le système a dû redémarrer.==== Fin de Fixlog 09:18:58 ====

billmaxime · Answer

salut

reposte le rapport Fixlog via 1 copier/coller

le rapport se trouve dans C:\FRST\LOG\FIXLOG

dans Chrome, vérifie ceci:

clique sur les 3 points en haut à droite --> paramètres --> paramètres avancés --> système --> accéder aux paramètre proxy de votre ordinateur

tu vas arriver dans cette page, regarde si tu as quelque chose de configuré pour le proxy

PS: clique sur l'image pour l'agrandir si besoin



PS: il y aura d'autres manipulation à exécuter

@+

Contemplatrice · Answer

Salut, Accéder aux paramètre proxy de votre ordinateur > Tout est désactivé, aucun script à l'horizon. Ok pour les autres manips. Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 07.02.2018 01 Exécuté par Utilisateur (30-05-2020 09:18:24) Run:1 Exécuté depuis C:\Users\Utilisateur\Desktop\foo Profils chargés: Utilisateur (Profils disponibles: defaultuser0 & Utilisateur) Mode d'amorçage: Normal ============================================== fixlist contenu: CreateRestorePoint: CloseProcesses: Task: {273808EB-8F48-45A6-B410-7C24731D8812} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} => -> Pas de fichier ContextMenuHandlers1: [AcShellExtension.AcContextMenuHandler] -> {2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => -> Pas de fichier S3 DeviceAssociationBrokerSvc_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 DeviceAssociationBrokerSvc_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 CaptureService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 CaptureService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BluetoothUserService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BluetoothUserService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BcastDVRUserService_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 BcastDVRUserService_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 AarSvc_588b1; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 AarSvc_588b1; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) FF ProfilePath: Profiles/bh9zh1js.default [non trouvé(e)] <==== ATTENTION HKLM-x32\...\Run: [] => [X] Task: {B9B0300B-B225-4290-9EF3-6776EB5D917B} - System32\Tasks\AMSkipUAC => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe [2019-07-16] (Zemana Ltd.) Task: {56C8DB10-77A8-4244-8032-7B5071F424ED} - System32\Tasks\AMHelper => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe [2019-07-16] (Zemana Ltd.) ContextMenuHandlers6: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Zemana\AntiMalware\AM_ShellExt64.dll [2019-07-16] (Advanced Malware Protection. Copyright 2019.) ContextMenuHandlers1: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Zemana\AntiMalware\AM_ShellExt64.dll [2019-07-16] (Advanced Malware Protection. Copyright 2019.) Zemana AntiMalware version 3.1.375 (HKLM-x32\...\{4E1F3677-C72E-4F7D-B66E-85467B1A289E}_is1) (Version: 3.1.375 - Zemana) HKLM\...\StartupApproved\Run32: => "TrojanScanner" HKLM-x32\...\Run: [TrojanScanner] => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [3678264 2018-04-09] (Simply Super Software) netis Wireless LAN Driver (HKLM-x32\...\{9DAABC60-A5EF-41FF-B2B9-17329590CD5}) (Version: 1.00.0193 - netis Systems Co.,Ltd.) EmptyTemp: Reboot: Le Point de restauration a été créé avec succès. Processus fermé avec succès. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{273808EB-8F48-45A6-B410-7C24731D8812} => impossible à supprimer clé. ErrorCode1: 0x00000002 "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{273808EB-8F48-45A6-B410-7C24731D8812}" => supprimé(es) avec succès HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager => clé non trouvé(e) "HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\PDFCreator.ShellContextMenu" => supprimé(es) avec succès HKLM\Software\Classes\CLSID\{d9cea52e-100d-4159-89ea-76e845bc13e1} => clé non trouvé(e) "HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\AcShellExtension.AcContextMenuHandler" => supprimé(es) avec succès HKLM\Software\Classes\CLSID\{2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => clé non trouvé(e) DeviceAssociationBrokerSvc_588b1 => service non trouvé(e). DeviceAssociationBrokerSvc_588b1 => service non trouvé(e). CaptureService_588b1 => service non trouvé(e). CaptureService_588b1 => service non trouvé(e). BluetoothUserService_588b1 => service non trouvé(e). BluetoothUserService_588b1 => service non trouvé(e). BcastDVRUserService_588b1 => service non trouvé(e). BcastDVRUserService_588b1 => service non trouvé(e). AarSvc_588b1 => service non trouvé(e). AarSvc_588b1 => service non trouvé(e). "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\" => supprimé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B9B0300B-B225-4290-9EF3-6776EB5D917B}" => supprimé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9B0300B-B225-4290-9EF3-6776EB5D917B}" => supprimé(es) avec succès C:\WINDOWS\System32\Tasks\AMSkipUAC => déplacé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AMSkipUAC" => supprimé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{56C8DB10-77A8-4244-8032-7B5071F424ED}" => supprimé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56C8DB10-77A8-4244-8032-7B5071F424ED}" => supprimé(es) avec succès C:\WINDOWS\System32\Tasks\AMHelper => déplacé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AMHelper" => supprimé(es) avec succès "HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\2.0 Zemana AntiMalware" => supprimé(es) avec succès "HKLM\Software\Classes\CLSID\{6ABB1C11-E261-4CEA-BBB5-3836225689DD}" => supprimé(es) avec succès "HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\2.0 Zemana AntiMalware" => supprimé(es) avec succès HKLM\Software\Classes\CLSID\{6ABB1C11-E261-4CEA-BBB5-3836225689DD} => clé non trouvé(e) Zemana AntiMalware version 3.1.375 (HKLM-x32\...\{4E1F3677-C72E-4F7D-B66E-85467B1A289E}_is1) (Version: 3.1.375 - Zemana) => Erreur: Pas de correction automatique trouvée pour cet élément. "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\TrojanScanner" => supprimé(es) avec succès "HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\TrojanScanner" => supprimé(es) avec succès "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\TrojanScanner" => non trouvé(e) netis Wireless LAN Driver (HKLM-x32\...\{9DAABC60-A5EF-41FF-B2B9-17329590CD5}) (Version: 1.00.0193 - netis Systems Co.,Ltd.) => Erreur: Pas de correction automatique trouvée pour cet élément. =========== EmptyTemp: ========== BITS transfer queue => 10510336 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13901191 B Java, Flash, Steam htmlcache => 0 B Windows/system/drivers => 24762 B Edge => 0 B Chrome => 44407639 B Firefox => 19233226 B Opera => 0 B Temp, IE cache, history, cookies, recent: Default => 0 B Users => 0 B ProgramData => 0 B Public => 0 B systemprofile => 0 B systemprofile32 => 0 B LocalService => 0 B LocalService => 0 B NetworkService => 0 B NetworkService => 0 B defaultuser0 => 0 B Utilisateur => 14704067 B RecycleBin => 0 B EmptyTemp: => 98 MB données temporaires supprimées. ================================ Le système a dû redémarrer. Fin de Fixlog 09:18:58

Contemplatrice · Answer

J'ai parlé trop vite.   Je continue à voir les liens de type fr.sho >   et la page de résultats Google est de nouveau rafraîchie (1 fois) après 1 seconde d'affichage.

J'attends la suite de tes instructions. Merci :)

billmaxime · Answer

re

ok, le pc fonctionne comment actuellement?

fait ceci:

supprime C:\FRST et l'exe de FRST que tu as dans C:\Users\Utilisateur\Desktop\foo

télécharge FRST depuis mon lien pour le nouveau scan --> clique ici

refait 1 scan avec FRST et poste les rapports

Merci. Chrome est réparé. Super. :)
J'espère que mes mots de passe enregistrés n'ont pas été compromis... ? Qu'en penses-tu ?

vérifie, mais il n'y a pas de raison

Tu me conseilles quoi pour éviter que ce genre d'incident ne se reproduise ?
Je suppose que c'est en visitant un site à propos de SodaStream que j'ai été infectée - hier vers 17h- car je n'ai rien téléchargé ces derniers jours.

tu ne procèdes pas de la bonne manière pour désinfecter ton pc -->

J'ai commencé par faire un scan en ligne Housecall qui trouvait que tout était ok.
- Passé un coup de ADWCleaner > idem
- ZHPCleaner > des SUP détectés et supprimés, mais ça n'a pas remédié à mon problème
- Zoek Quick Scan > VirtualStore (et plein d'autres) deleted successfully, mais le problème persiste...
- J'ai réinitialisé, puis supprimé et réinstallé Chrome, (avec CCleaner registry cleanup etc entre autres) mais c'est comme si je n'avais rien fait. 

quand tu as 1 souci et que tu ne sais pas comment le résoudre, ouvre 1 topic dans le forum adéquat afin que quelqu'un te vienne en aide

tu as aussi téléchargé des outils qui ne t'ont pas aidé

TrojanScanner

ZEMANA

@+

Contemplatrice · Answer

Mon pc semble fonctionner normalement, mis à part ces rafraîchissements des résultats de la recherche Google vers des liens de type fr.sho qui finalement n'ont pas disparu.

Et voici : 
https://www.cjoint.com/c/JEEjEfxyPud
https://www.cjoint.com/c/JEEjFs0ftRd

Oui pour Zemana et Trojan Remover, j'ai vu qu'ils étaient suspects. Il me semble pourtant les avoir trouvés sur Nicolas Coolman.   Je viens de les désinstaller.

billmaxime · Answer

re

ATTENTION: supprime C:\FRST et l'exécutable de FRST que tu as sur ton pc, car tu as 1 ancienne version --> Version: 07.02.2018 01 

quand c'est fait, télécharge FRST depuis mon lien et exécute le --> clique ici

poste les rapports comme d'habitude

@+

Contemplatrice · Answer

Voici :
https://www.cjoint.com/c/JEEkCrmGXMd
https://www.cjoint.com/c/JEEkDeFH0Nd

Merci

billmaxime · Answer

re

ok, je lis les rapports et je reviens

@+

billmaxime · Answer

re

fait ceci:

ouvre le bloc-note

copie/colle le texte ci-dessous: 

Start::
CreateRestorePoint:
CloseProcesses:
S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X]
2020-05-30 11:36 - 2019-08-25 10:56 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\AMSDK
2020-05-30 11:36 - 2018-04-09 11:13 - 000000000 ____D C:\Program Files (x86)\Trojan Remover
7-Zip 16.04 (x64) (HKLM\...\7-Zip) (Version: 16.04 - Igor Pavlov)
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2016-10-04] (Igor Pavlov) [Fichier non signé]
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2016-10-04] (Igor Pavlov) [Fichier non signé]
ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2016-10-04] (Igor Pavlov) [Fichier non signé]
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\http___www.meteofrance.com_previsions-meteo-france_alpes-maritimes_06.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) ->  --profile-directory=Default --app-id=hpeoihadejbibmaigmknfniidkkdbibc
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\METEO ALPES-MARITIMES par Météo-France - Prévisions météo gratuites à 15 jours sur la France, les régions et les départements.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) ->  --profile-directory=Default --app-id=oiaepkkgnneiomajnajklpkmgfaocjpp
2017-08-18 20:25 - 2016-10-04 16:51 - 000076800 _____ (Igor Pavlov) [Fichier non signé] C:\Program Files\7-Zip\7-zip.dll
FirewallRules: [{69E6C7E6-E38F-4AD1-9153-8E1B22B99A0C}] => (Block) %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe => Pas de fichier
FirewallRules: [{3821722A-3CEF-48B7-8045-F791E709627C}] => (Block) %SystemRoot%\System32\wscript.exe => Pas de fichier
FirewallRules: [{F0C574E9-5300-4E73-BDBE-57B6FA445961}] => (Block) %SystemRoot%\System32\wscript.exe => Pas de fichier
FirewallRules: [{239BA5FB-A185-4CA0-8227-6E9413BE0C70}] => (Block) %SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe => Pas de fichier
FirewallRules: [{DFED7FD6-A7A4-43D6-B32C-1977235DB7A6}] => (Block) %SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe => Pas de fichier
CCleaner (HKLM\...\CCleaner) (Version: 5.61 - Piriform)
(Piriform Software Ltd -> Piriform Ltd) C:\Program Files\CCleaner\CCleaner64.exe
HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [24552064 2019-10-15] (Piriform Software Ltd -> Piriform Ltd)
Task: {123DCC58-272F-42EB-813D-6A13A0072521} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [608384 2019-10-15] (Piriform Software Ltd -> Piriform Software Ltd)
Task: {FF72C221-C845-4A4B-B0F9-BF8B3716C913} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [18458752 2019-10-15] (Piriform Software Ltd -> Piriform Ltd)
HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\...\StartupApproved\Run: => "CCleaner Monitoring"
HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\...\StartupApproved\Run: => "CCleaner Smart Cleaning"
FirewallRules: [{C86C9801-FC20-4413-9845-063AC5D64E0E}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe (Piriform Software Ltd -> Piriform Software Ltd)
FirewallRules: [{1A48FAD7-B40B-4EA5-94A6-203DFBB25B4A}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe (Piriform Software Ltd -> Piriform Software Ltd)
EmptyTemp:
Reboot:
End:: 

quand le texte est copié/collé, clique sur "fichier">>"enregistrer sous" et choisi le "bureau" dans la colonne de gauche

en bas de page, dans "nom de fichier", tape fixlist.txt et clique sur "enregistrer"

exécute FRST et clique sur "corriger"

quand la correction sera terminée, un fichier texte apparaîtra sur ton bureau, copie/colle le résultat dans ta prochaine réponse

PS: après il faudra encore mettre ton pc à jour, car tu as la version 1903 et on est à la 1909

@+

Contemplatrice · Answer

Ok.  
Mais 7-Zip je m'en sers, ça ne va pas le supprimer au moins ? 

et CCleaner, tu me conseilles de le supprimer aussi ?  Je m'en sers tous les jours.  Je vois bien la ligne : "CCleaner Monitoring".

Ah ok pour Windows, pourtant il me fait des MAJ toutes les semaines quasiment !!!

billmaxime · Answer

re

Mais 7-Zip je m'en sers, ça ne va pas le supprimer au moins ?

ok, mais il n'est pas à jour..., tu pourras le retélécharger et l'installer (la dernière version)

le lien de la page --> https://www.7-zip.org/

et CCleaner, tu me conseilles de le supprimer aussi ? Je m'en sers tous les jours. Je vois bien la ligne : "CCleaner Monitoring".

pareil pour Ccleaner

le lien de la page --> https://www.ccleaner.com/fr-fr

Ah ok pour Windows, pourtant il me fait des MAJ toutes semaines quasiment !!!  

oui, mais pas toutes apparemment :)

@+

billmaxime · Answer

re

ok, en attente du rapport de correction avec FRST

@+

Contemplatrice · Answer

Le voici, mais le problème persiste. :/    uniquement sur Chrome.


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-05-2020 01
Exécuté par Utilisateur (30-05-2020 15:18:43) Run:1
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur
Mode d'amorçage: Normal
==============================================

fixlist contenu:


*

















CreateRestorePoint:
CloseProcesses:
S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X]
2020-05-30 11:36 - 2019-08-25 10:56 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\AMSDK
2020-05-30 11:36 - 2018-04-09 11:13 - 000000000 ____D C:\Program Files (x86)\Trojan Remover
7-Zip 16.04 (x64) (HKLM\...\7-Zip) (Version: 16.04 - Igor Pavlov)
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2016-10-04] (Igor Pavlov) [Fichier non signé]
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2016-10-04] (Igor Pavlov) [Fichier non signé]
ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll [2016-10-04] (Igor Pavlov) [Fichier non signé]
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\http___www.meteofrance.com_previsions-meteo-france_alpes-maritimes_06.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) ->  --profile-directory=Default --app-id=hpeoihadejbibmaigmknfniidkkdbibc
ShortcutWithArgument: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\METEO ALPES-MARITIMES par Météo-France - Prévisions météo gratuites à 15 jours sur la France, les régions et les départements.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) ->  --profile-directory=Default --app-id=oiaepkkgnneiomajnajklpkmgfaocjpp
2017-08-18 20:25 - 2016-10-04 16:51 - 000076800 _____ (Igor Pavlov) [Fichier non signé] C:\Program Files\7-Zip\7-zip.dll
FirewallRules: [{69E6C7E6-E38F-4AD1-9153-8E1B22B99A0C}] => (Block) %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe => Pas de fichier
FirewallRules: [{3821722A-3CEF-48B7-8045-F791E709627C}] => (Block) %SystemRoot%\System32\wscript.exe => Pas de fichier
FirewallRules: [{F0C574E9-5300-4E73-BDBE-57B6FA445961}] => (Block) %SystemRoot%\System32\wscript.exe => Pas de fichier
FirewallRules: [{239BA5FB-A185-4CA0-8227-6E9413BE0C70}] => (Block) %SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe => Pas de fichier
FirewallRules: [{DFED7FD6-A7A4-43D6-B32C-1977235DB7A6}] => (Block) %SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe => Pas de fichier
CCleaner (HKLM\...\CCleaner) (Version: 5.61 - Piriform)
(Piriform Software Ltd -> Piriform Ltd) C:\Program Files\CCleaner\CCleaner64.exe
HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [24552064 2019-10-15] (Piriform Software Ltd -> Piriform Ltd)
Task: {123DCC58-272F-42EB-813D-6A13A0072521} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [608384 2019-10-15] (Piriform Software Ltd -> Piriform Software Ltd)
Task: {FF72C221-C845-4A4B-B0F9-BF8B3716C913} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [18458752 2019-10-15] (Piriform Software Ltd -> Piriform Ltd)
HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\...\StartupApproved\Run: => "CCleaner Monitoring"
HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\...\StartupApproved\Run: => "CCleaner Smart Cleaning"
FirewallRules: [{C86C9801-FC20-4413-9845-063AC5D64E0E}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe (Piriform Software Ltd -> Piriform Software Ltd)
FirewallRules: [{1A48FAD7-B40B-4EA5-94A6-203DFBB25B4A}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe (Piriform Software Ltd -> Piriform Software Ltd)
EmptyTemp:
Reboot:


*


















Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\System\CurrentControlSet\Services\amsdk => supprimé(es) avec succès
amsdk => service supprimé(es) avec succès
C:\Users\Utilisateur\AppData\Local\AMSDK => déplacé(es) avec succès
C:\Program Files (x86)\Trojan Remover => déplacé(es) avec succès
7-Zip 16.04 (x64) (HKLM\...\7-Zip) (Version: 16.04 - Igor Pavlov) => Erreur: Pas de correction automatique trouvée pour cet élément.
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} => supprimé(es) avec succès
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip => supprimé(es) avec succès
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip => supprimé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\http___www.meteofrance.com_previsions-meteo-france_alpes-maritimes_06.lnk => Raccourci argument supprimé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\METEO ALPES-MARITIMES par Météo-France - Prévisions météo gratuites à 15 jours sur la France, les régions et les départements.lnk => Raccourci argument supprimé(es) avec succès
C:\Program Files\7-Zip\7-zip.dll => déplacé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{69E6C7E6-E38F-4AD1-9153-8E1B22B99A0C}" => supprimé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{3821722A-3CEF-48B7-8045-F791E709627C}" => supprimé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{F0C574E9-5300-4E73-BDBE-57B6FA445961}" => supprimé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{239BA5FB-A185-4CA0-8227-6E9413BE0C70}" => supprimé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{DFED7FD6-A7A4-43D6-B32C-1977235DB7A6}" => supprimé(es) avec succès
CCleaner (HKLM\...\CCleaner) (Version: 5.61 - Piriform) => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\Program Files\CCleaner\CCleaner64.exe => Aucun processus actif trouvé
"HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\Software\Microsoft\Windows\CurrentVersion\Run\CCleaner Smart Cleaning" => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{123DCC58-272F-42EB-813D-6A13A0072521} => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{123DCC58-272F-42EB-813D-6A13A0072521} => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\CCleaner Update => déplacé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCleaner Update => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FF72C221-C845-4A4B-B0F9-BF8B3716C913} => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF72C221-C845-4A4B-B0F9-BF8B3716C913} => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\CCleanerSkipUAC => déplacé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCleanerSkipUAC => supprimé(es) avec succès
"HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\CCleaner Monitoring" => supprimé(es) avec succès
"HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CCleaner Monitoring" => non trouvé(e)
"HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\CCleaner Smart Cleaning" => supprimé(es) avec succès
"HKU\S-1-5-21-3173247561-2700606538-1278761463-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CCleaner Smart Cleaning" => non trouvé(e)
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{C86C9801-FC20-4413-9845-063AC5D64E0E}" => supprimé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{1A48FAD7-B40B-4EA5-94A6-203DFBB25B4A}" => supprimé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 19152873 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 84101 B
Edge => 0 B
Chrome => 398521212 B
Firefox => 20677386 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
defaultuser0 => 0 B
Utilisateur => 26390050 B

RecycleBin => 181678 B
EmptyTemp: => 453.5 MB données temporaires supprimées.

================================


Le système a dû redémarrer.
 Fin de Fixlog 15:19:00

Contemplatrice · Answer

Est-ce que c'est parce que je suis allée sur Google Shopping ?  Je n'utilise jamais cette fonction, mais c'est depuis que j'y ai été que mes résultats de recherche sont rafraîchis. J'en sais rien...

billmaxime · Answer

re

Le voici, mais le problème persiste. :/  

tu as seulement le souci avec Chrome?

@+

billmaxime · Answer

re

ok, fait ceci --> clique ici

dit moi ce que ça donne après la manipulation

@+

Contemplatrice · Answer

Bon alors ça a marché : plus de redirection. C'est bien. Problème résolu. Pourtant j'avais désinstallé Chrome, mais pas avec Revo, j'aurais du.

Hier avant de poster et de désinstaller Chrome,  j'avais fait une sauvegarde de mes passwords enregistrés (j'ai suivi le tut de Malekal sur le sujet et ai bien obtenu mon fichier passwords.csv, sauf que je ne l'ai pas vérifié : il est quasiment vide),  et si RESET BROWSER affirme conserver vos données importantes à savoir vos mots de passe et vos favoris, en ce qui concerne les paswords c'est faux ! ou alors il n'enregistre que les 50 premières entrées.

billmaxime · Answer

re

pour les mots de passe enregistré, je ne peux pas te dire car je n'utilise jamais ce genre de fonction,

je fais tout à l'ancienne (papier et stylo)

regarde si tu n'as plus de soucis avec Chrome en le démarrant du raccourci sur ton bureau 

ensuite, fait ceci et poste le rapport --> clique ici

@+

billmaxime · Answer

re

ok, et après cette manipulation il faudra encore mettre Windows à jour

@+

Contemplatrice · Answer

Dis-moi, Wamp / localhost n'autorise pas la connexion. Alors que l'icône est verte. Ca fonctionnait encore hier.   Voici quelques conseils : Vérifier la connexion. Vérifier le proxy et le pare-feu. ERR_CONNECTION_REFUSED.

Tu as une idée de comment rétablir le truc, stp ? Merci encore

billmaxime · Answer

re

non car je n'ai pas inclus Wamp dans le script de correction

pour tenter de résoudre ce problème et ton problème de mot de passe enregistré, fait 1restauration système à 1 date d'avant toutes nos manipulations

les points de restaurations que je vois dans le dernier rapport de FRST (Addition)

==================== Points de restauration =========================

15-05-2020 00:18:56 Windows Update
24-05-2020 22:19:00 Point de contrôle planifié
29-05-2020 20:33:09 ZHPcleaner
29-05-2020 20:41:59 zoek.exe restore point
29-05-2020 21:39:01 Removed Google Chrome

il doit y en avoir de plus récents avec les corrections de FRST 

donne moi la liste, et/ou poste 1 capture d'écran

si tu as des questions....

@+

Contemplatrice · Answer

Ok. Oui je vais voir ça parce que effectivement tous mes passwords c'est ch... si je dois tous les modifier.  et 2, parce que Chrome n'accepte pas mes raccourcis sur la page d'accueil > Impossible d'ajouter un raccourci. C'est nouveau ça !!

Je suis dans le menu Sélection d'un point de restauration, et je ne vois que :

 Aujourdh'ui > "ResetBrower"
 Hier à 21h39 > "Removed Google Chrome" > Mais ça c'était avant que je poste sur le forum !!!
 Hier à 20h41 > Zoek
 et d'autres encore plus tôt. Les points de restauration FRST n'y sont pas.... Ils n'ont pas été créés ????? :O

J'ai trouvé d'où venait le problème de Localhost, en cherchant sur le forum, je suis tombée sur un post qui parlait de vérifier que l'adresse 127.00.1 n'était pas commentée dans le fichier host, et là c'était le cas ! et donc ça re fonctionne, :D   Ouf, cool, parce que je commence à serrer !! J'ai 1000 trucs à faire, dont installer une boutique WP...............

billmaxime · Answer

re

pour récapituler:

ça fonctionne avec Wamp

Je suis dans le menu Sélection d'un point de restauration, et je ne vois que :

    Aujourdh'ui > "ResetBrower"
    Hier à 21h39 > "Removed Google Chrome" > Mais ça c'était avant que je poste sur le forum !!!
    Hier à 20h41 > Zoek
    et d'autres encore plus tôt. Les points de restauration FRST n'y sont pas.... Ils n'ont pas été créés ????? :O

tu as coché la case "Afficher d'autres points de restauration"?

est-ce que tu vois ce point de restauration? --> 24-05-2020 22:19:00 Point de contrôle planifié

c'est histoire de récupérer tes MDP enregistrés

PS: ne fait rien pour l'instant

@+

billmaxime · Answer

re

regarde mon dernier message --> https://forums.commentcamarche.net/forum/affich-36683889-chrome-hijacked-et-rien-n-y-fait?page=2#35

@+

Contemplatrice · Answer

Oui, je le vois, ainsi que le suivant du 29/05 : Point de restauration automatique, mais au delà de ça plus rien.

Et hier, quand j'ai passé ZHP Cleaner, il m'indiquait que la restauration du système était désactivée, ce qui n'a rien de normal ou de voulu. Je fais attention à ça.

billmaxime · Answer

re

Et hier, quand j'ai passé ZHP Cleaner, il m'indiquait que la restauration du système était désactivée, ce qui n'a rien de normal ou de voulu. Je fais attention à ça. 

j'ai vu dans les rapports qu'il y avait 1 souci avec le service VSS (Volume Shadow Copie)

regarde si la restauration système est active sur C:\ (ou le système d'exploitation est installé)

regarde si tu vois le service VSS (Volume Shadow Copie) dans outils d'administration du panneau de configuration

regarde aussi cette page --> clique ici

@+

Contemplatrice · Answer

Merci.

regarde si la restauration système est active sur C:\ (ou le système d'exploitation est installé)
La restauration du système est réactivée depuis mon scan ZHP. C'est ok et revérifié à l'instant.

regarde si tu vois le service VSS (Volume Shadow Copie) dans outils d'administration du panneau de configuration
Je n'arrive pas à trouver l'emplacement :D 

Euh (sur sys-advisor) le mec qui t'embrouille un max, entre ce qu'il dit et ses captures d'écran !!! T'es pas d'accord ? Donc si je comprends bien dans son charabia, le service « Cliché instantané des volumes » doit être passé à manuel (moi c'était déjà le cas) ? ou en désactivé ?  En manuel je suppose, mais il n'est pas clair du tout !!!

J'ai suivi toutes ses instructions de vérification et aucune erreur ne m'est retournée.

billmaxime · Answer

re

si le service est présent et en manuel, je pense que tout est OK

si tu veux exécuter 1 point de restauration à 1 date d'avant les manipulations, choisi celui-ci --> 24-05-2020 22:19:00 Point de contrôle planifié 

tu devrais pouvoir récupérer tes MDP enregistrés

ensuite, il faudra regardé pour choisir 1 point de restauration le plus près de la date d'aujourd'hui et l'exécuter

et pour finir, refaire 1 scan avec FRST ou excuter les corrections qui ont déjà été faites avec FRST

dit moi ce que tu veux faire

@+

Contemplatrice · Answer

Okay.   J'étais au tel, j'espère que tu ne m'as spécialement attendue.... 

Oui, je suppose aussi que le service en mode manuel est ok.

Pour la restauration du système, je te suis, mais pas tout de suite. Je vais faire comme ça, tel quel, pendant 2 3 jours je pense, tant pis, et je reviendrai dessus asap car j'ai 1000 autres choses importantes à faire.

Les fix que tu m'as envoyé, tu penses qu'il faudra les modifier un peu ou pas ? Est-ce que je devrais te demander ton assistance ou est-ce que il n'y a plus qu'à répéter l'opération, en désinstallant Chrome via Revo par exemple ? (et bien faire attention à exporter l'intégralité de mes favs et passwords).


Pour ce soir, je commence à fatiguer.  
A te lire, et jte tiens au juice. Merci pour ton temps

billmaxime · Answer

re

1) la restauration système c'est pour récupérer tes MDP enregistré/tes favoris etc...

choisi ce point de restauration--> 24-05-2020 22:19:00 Point de contrôle planifié , car il date d'avant la désinstallation de Chrome, et tu auras l'intégralité de tes MDP/tes favoris etc (normalement)

PS: profite de l'occasion pour faire 1 sauvegarde de tes MDP/tes favoris etc sur 1 DD externe

2) quand tu auras récupéré ce que tu dois, tu peux désinstaller Chrome avec Revo Uninstaller en mode avancé 

le tuto en cas de besoin --> clique ici

3) tu pourras exécuter les scripts de correction avec FRST, car même si certains éléments des scripts ne sont plus présents, ça marquera qu'ils n'ont pas été trouvés

4) quand tu auras exécuté les scripts de correction, supprime le dossier C:\FRST

5) fait 1 scan avec FRST et poste les rapports pour que je vois si je dois refaire 1 script de correction pour "les restes"

si tu as des questions...

@+

Contemplatrice · Answer

Ok, je lirais demain car là suis hors-service :)

Mais je me demandais d'où vient mon problème ? 
Est-ce comme je le pense, du à un site que j'ai visité, revendeur de sodaStream ? et/ou provenant de Google Shopping ? ou du à des photos piégées que j'aurais reçues par email, aussi vers 17h ?  synchro......
  Je me pose cette question, d'autant plus que lorsque je veux répondre à l'expéditeur des photos depuis ma boîte mail, ça m'indique (-ait) que l'image  02xx@01523xx45.jpg n'était plus disponible et que donc le mail ne pouvait être envoyé.

C'est perturbant parce que je supposais ce contact de confiance et supposais que mon ordi était secure.... et je ne sais pas si je peux avoir confiance dans ce contact ou pas....  et plein de questions... Comment éviter ça à l'avenir... ???


Bonne nuit,

Chrome hijacked, et rien n'y fait

36 réponses

Fin de Fixlog 09:18:58

Fin de Fixlog 15:19:00

Discussions similaires

Newsletters