Hijacker.brother revient régulièrement

Résolu
ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   -  
ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
Hijacker.browser revient continuellement après suppression par Zhpcleaner.
J'ai effectué FRST mais lorsque je passe sur "https://pjjoint.malekal.com", la page pour sélectionner les fichiers TXT obtenus s'affiche puis disparait.
Je ne peux les mettre sur Pjjoint.
Comment m'en sortir.
Merci d'avance pour un suivi.
Cordialement.

Configuration: Windows / Firefox 97.0

17 réponses

  1. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    Bonjour,

    Essaie sur security-X

    Sont attendus les rapports FRST.txt et Addition.txt

    Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse


    0
  2. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Bonjour,

    Merci pour votre réponse. Voici les liens des fichiers obtenus avec FRST.exe

    Le fichier Frst.txt a été envoyé! Voici le lien pour y accéder :
    https://up.security-x.fr/file.php?h=R0bb1301e7d9595ff997706744b9f12ac

    Le fichier Addition.txt a été envoyé! Voici le lien pour y accéder :
    https://up.security-x.fr/file.php?h=Rdc7e0a1ab3996316cf3de097c262889c

    Le fichier Shortcut.txt a été envoyé! Voici le lien pour y accéder :
    https://up.security-x.fr/file.php?h=Rfa3aa5972c55197dd6185ab7c062c82a

    Encore merci pour votre suivi.
    Cordialement.
    0
  3. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    Est ce que tu utilises toujours Internet Explorer ?

    Est ce que tu peux poster le rapport Zhpcleaner pour voir ce qu'il trouve ?
     C:\Users\Maurice\Desktop\ZHPCleaner (R).txt 

    0
  4. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Bonsoir,
    Voici le dernier rapport de ZHPCleaner (R).txt

    ~ ZHPCleaner v2022.2.8.11 by Nicolas Coolman (2022/02/08)
    ~ Run by Maurice (Administrator) (27/02/2022 15:15:20)
    ~ Web: https://nicolascoolman.com/wp-content/cache/wp-rocket/www.nicolascoolman.com/index-https.html
    ~ Blog: https://nicolascoolman.eu/
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version KO
    ~ Type : Nettoyer
    ~ Report : C:\Users\Maurice\Desktop\ZHPCleaner (R).txt
    ~ Quarantine : C:\Users\Maurice\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
    ~ System Restore Point :
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    Windows 10 Home, 64-bit (Build 19044)

    ---\\ ALTERNATE DATA STREAM (ADS). (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ SERVICE. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ NAVIGATEUR INTERNET. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ FICHIER HÔTE. (1)
    ~ Le fichier hôte est légitime. (21)

    ---\\ TÂCHE PLANIFIÉE. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ EXPLORATEUR ( Dossiers, Fichiers ). (20)
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Preferences =>Préférences Chromium
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences =>Préférences Chromium
    DEPLACÉ fichier: C:\Users\Zautres\AppData\Local\Microsoft\Edge\User Data\Default\Preferences =>Préférences Chromium
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wct3349.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wct3453.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wctCDDA.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wctCDDB.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wctCFA0.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\icon-128.png =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\icon-16.png =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\icon-32.png =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\icon-48.png =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\icon-app.png =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\manifest.json =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\screenshot.jpg =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\script.js =>Hijacker.Browser
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\_metadata\verified_contents.json =>Hijacker.Browser
    DEPLACÉ dossier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm =>Hijacker.Browser
    DEPLACÉ dossier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0 =>Hijacker.Browser
    DEPLACÉ dossier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\_metadata =>Hijacker.Browser

    ---\\ BASE DE REGISTRES ( Clés, Valeurs, Données ). (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION. (3)
    https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/ =>Préférences Chromium
    https://nicolascoolman.eu/forum/Topic/logiciels-potentiellement-superflus-lps2/ =>.SUP.Temporary.Office
    https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/ =>Hijacker.Browser

    ---\\ NETTOYAGE ADDITIONNEL. (11)
    ~ Suppression des Clés de registre Tracing. (11)
    ~ Suppression des anciens rapports ZHPCleaner. (0)

    ---\\ BILAN DE LA REPARATION
    ~ Réparation réalisée avec succès.
    ~ Google Chrome OK
    ~ Mozilla Firefox OK
    ~ Internet Explorer OK

    ---\\ STATISTIQUES
    ~ Items scannés : 1717
    ~ Items trouvés : 0
    ~ Items annulés : 0
    ~ Gain de place (Octets) : 158716
    ~ Items options : 16/17

    ---\\ OPTIONS DESACTIVÉES
    ~ Créer un point de restauration du système

    ~ End of clean in 00h00mn21s

    ---\\ LISTE DES RAPPORTS (6)
    ZHPCleaner-[R]-22022022-12_04_33.txt
    ZHPCleaner-[R]-24022022-18_25_14.txt
    ZHPCleaner-[S]-22022022-11_52_57.txt
    ZHPCleaner-[S]-24022022-18_12_25.txt
    ZHPCleaner-[S]-27022022-12_36_26.txt
    ZHPCleaner-[R]-27022022-15_15_41.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Je n'utilise plus Internet Explorer mais Firefox en navigateur par défaut et, parfois, Google.
    0
  7. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    Tu aurais pu le poster comme les autres .

    Rien de bien méchant dans ce rapport , je dire même rien qui ne mérite de passer ZHPCleaner .
    Il ne faut pas le passer pour n'importe quoi , tu avais quoi comme symptômes ?

    Tu n'as pas répondu à
    Est ce que tu utilises toujours Internet Explorer ? 

    0
  8. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Non, je n'utilise pas Internet Explorer.

    Symptômes constatés : ralentissement à la limite du blocage de l'ordinateur.
    0
  9. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    OK , à faire dans l'ordre :

    Désinstalles ce qui est inutile et/ou obsolète :

    => Adobe Flash Player 10 ActiveX
    => Adblock Plus pour IE (32-bits et 64-bits)
    => CrystalDiskInfo 8.11.2
    => CCleaner
    => Google Toolbar for Internet Explorer
    => QuickTime 7
    => RogueKiller version 12.13.3.0


    -----------------------------------------
    -----------------------------------------

    --> Copie ce qui se trouve ici : https://textup.fr/615252jQ de start:: à end:: (sans le coller nulle part)

    --> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
    Si FRST semble se bloquer ou ne répond pas , laisse tourner

    --> Le PC va redémarrer

    --> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports (https://up.security-x.fr/)

    -----------------------------------------
    -----------------------------------------

    Télécharges la dernière version de Crystaldiskinfo , analyses tes disques et donnes le résultat (couleur et état ou fais une capture d'écran)
    https://ftp.halifax.rwth-aachen.de/osdn/crystaldiskinfo/76716/CrystalDiskInfo8_15_2.exe
    0
  10. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Ok. Je m'y attelle. Je posterai le résultat dès demain.
    Cordialement.
    0
  11. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Voici les résultats de CrystaldiskInfo :

    Le fichier a été envoyé! Voici le lien pour y accéder :
    https://up.security-x.fr/file.php?h=R2f070b8997bcf1cde61ff83eb8d3334e

    Le fichier a été envoyé! Voici le lien pour y accéder :
    https://up.security-x.fr/file.php?h=R8be3fdd07bd81a80341cba4de6400e7b

    Le fichier a été envoyé! Voici le lien pour y accéder :
    https://up.security-x.fr/file.php?h=R7cc81a781c0dda5630451f57d0a538d1

    Je suis inquiet pour le troisième disque !

    A vous lire.
    0
  12. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    c'était mieux des captures , mais tant pis .

    Tu en as un qui doit être en jaune ? , il est marqué prudence :

    Model : WDC WD5000AAKX-001CA0 
    Disk Size : 500,1 GB (8,4/137,4/500,1/----)
    Health Status : Prudence
    Drive Letter : F:


    - Jaune, un ou plusieurs défauts sont signalés, ceci peut engendrer une instabilité de Windows, crash ...etc..
    Sauvegardez vos données au plus vite, puis changez le HDD /SSD


    C'est certainement lui qui crée des blocages .

    -------------------
    ----------------------------------------

    Pour confirmer que le reste est OK ;

    Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.

    La procédure nécessite un redémarrage

    Au redémarrage , relances une analyse ZHPCleaner
    0
  13. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Grand merci pour le suivi.
    Effectivement, le disque "Prudence" semble arriver en fin de vie. Je fais une sauvegarde des données et le remplace.
    Je procède à la désinstallation des fichiers créés par FRST et je lancerai, ensuite, un ZHPcleaner après le redémarrage.

    Petite question supplémentaire : Pourquoi ZHPcleaner me trouve des fichiers avec Hijackker.Browser ?

    Je posterai le résultat de ZHPcleaner.
    A plus.
    Cordialement
    0
  14. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    Il trouve ceci dans le dossier mal désinstallé de Chrome . Il détecte une extension légitime comme un hijacker , c'est un faux positif

    DEPLACÉ dossier: C:\Users\Maurice\AppData\Local\Google\Chrome\User Data\Default\Extensions\dildejdbnjjfnpflnoplbfgcjpdlkjjm\0.0.2_0\_metadata =>Hijacker.Browser 


    L'extension c'est celle ci : https://chrome.google.com/webstore/detail/new-tabs-to-the-front/dildejdbnjjfnpflnoplbfgcjpdlkjjm?hl=fr&ucbcb=1

    Comme j'ai supprimé les résidus de Chrome , il ne devrait plus le détecter
    0
  15. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Bonsoir MisteryBean,

    Le disque dur qui était "défaillant" a été remplacé. Mes blocages devraient disparaître.

    Comme mon écran s'est mis en berne, je l'ai également remplacé.

    Sur le dernier ZHPcleaner, tout est en ordre. Le rapport est ci-dessous.

    Je vous remercie pour votre aide très efficace et vous souhaite très bonne continuation.

    Cordialement.

    ~ ZHPCleaner v2022.2.8.11 by Nicolas Coolman (2022/02/08)
    ~ Run by Maurice (Administrator) (28/02/2022 20:59:54)
    ~ Web: https://nicolascoolman.com/wp-content/cache/wp-rocket/www.nicolascoolman.com/index-https.html
    ~ Blog: https://nicolascoolman.eu/
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version KO
    ~ Type : Nettoyer
    ~ Report : C:\Users\Maurice\Desktop\ZHPCleaner (R).txt
    ~ Quarantine : C:\Users\Maurice\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
    ~ System Restore Point :
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    Windows 10 Home, 64-bit (Build 19044)

    ---\\ ALTERNATE DATA STREAM (ADS). (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ SERVICE. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ NAVIGATEUR INTERNET. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ FICHIER HÔTE. (1)
    ~ Le fichier hôte est légitime. (21)

    ---\\ TÂCHE PLANIFIÉE. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ EXPLORATEUR ( Dossiers, Fichiers ). (10)
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Microsoft\Edge\User Data\Default\Preferences =>Préférences Chromium
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences =>Préférences Chromium
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\aria-debug-10260.log =>.SUP.Temporary.OneDrive
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\aria-debug-4864.log =>.SUP.Temporary.OneDrive
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\aria-debug-5100.log =>.SUP.Temporary.OneDrive
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wct5DE9.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wct5F90.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wct8036.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\wct9AA8.tmp =>.SUP.Temporary.Office
    DEPLACÉ fichier: C:\Users\Maurice\AppData\Local\Temp\{93716DD1-67BA-4C59-87DF-36FD161C3090} - OProcSessId.dat =>.SUP.Temporary.Empty

    ---\\ BASE DE REGISTRES ( Clés, Valeurs, Données ). (2)
    SUPPRIMÉ valeur: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files (x86)\HP\Temp\{8C925017-72A8-4C4A-AF21-84901E26638F}\setup\hpzrcv01.exe.ApplicationCompany [Hewlett-Packard] =>.SUP.Orphan.MUICache
    SUPPRIMÉ valeur: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\CCleaner\CCleaner64.exe.ApplicationCompany [Piriform Software Ltd] =>.SUP.Orphan.MUICache

    ---\\ RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION. (5)
    https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/ =>Préférences Chromium
    https://nicolascoolman.eu/forum/Topic/logiciels-potentiellement-superflus-lps2/ =>.SUP.Temporary.OneDrive
    https://nicolascoolman.eu/forum/Topic/logiciels-potentiellement-superflus-lps2/ =>.SUP.Temporary.Office
    https://nicolascoolman.eu/forum/Topic/logiciels-potentiellement-superflus-lps2/ =>.SUP.Temporary.Empty
    https://nicolascoolman.eu/forum/Topic/logiciels-potentiellement-superflus-lps2/ =>.SUP.Orphan.MUICache

    ---\\ NETTOYAGE ADDITIONNEL. (10)
    ~ Suppression des Clés de registre Tracing. (10)
    ~ Suppression des anciens rapports ZHPCleaner. (0)

    ---\\ BILAN DE LA REPARATION
    ~ Réparation réalisée avec succès.
    ~ Mozilla Firefox OK
    ~ Internet Explorer OK

    ---\\ STATISTIQUES
    ~ Items scannés : 1755
    ~ Items trouvés : 0
    ~ Items annulés : 0
    ~ Gain de place (Octets) : 50450316
    ~ Items options : 16/17

    ---\\ OPTIONS DESACTIVÉES
    ~ Créer un point de restauration du système

    ~ End of clean in 00h00mn14s

    ---\\ LISTE DES RAPPORTS (8)
    ZHPCleaner-[R]-22022022-12_04_33.txt
    ZHPCleaner-[R]-24022022-18_25_14.txt
    ZHPCleaner-[R]-27022022-15_15_41.txt
    ZHPCleaner-[S]-22022022-11_52_57.txt
    ZHPCleaner-[S]-24022022-18_12_25.txt
    ZHPCleaner-[S]-27022022-12_36_26.txt
    ZHPCleaner-[S]-28022022-20_06_44.txt
    ZHPCleaner-[R]-28022022-21_00_08.txt
    0
  16. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    OK , comme tu peux voir sur le rapport , ZHPCleaner ne supprime que des fichiers/clés de registre obsolète/temporaire , rien de dangereux pour le PC et si tu le passes tout les jours , il trouveras les mêmes détections .

    Il faut donc éviter de passer ce genre d'outil pour tout et rien et plutôt demander une analyse FRST qui permet de voir rapidement si ton problème est infectieux .

    Bonne continuation ;-)
    0
  17. ccmvigean Messages postés 482 Date d'inscription   Statut Membre Dernière intervention   22
     
    Bonjour MisteryBean,

    Ok pour ZHPcleaner, je vais espacer les recherches. Si je l'ai utilisé plusieurs fois successivement, cela est consécutif au fait que mon ordinateur était très ralenti.

    Grace à ton intervention, la détection du disque dur en fin de vie est apparu et, maintenant, je n'aurai plus la nécessité, à mes yeux, de lancer ZHPcleaner aussi souvent.

    Encore Grand merci et, peut-être, à une prochaine fois.

    Cordialement.
    0