Powershell infecté, Chrome bugé, FRST fournit
Fermébazfile Messages postés 55814 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 15 septembre 2024 - 1 sept. 2022 à 22:30
- Powershell infecté, Chrome bugé, FRST fournit
- Mise a jour chrome - Guide
- Restaurer onglets chrome - Guide
- Chrome cast sur tv - Guide
- Frst windows - Télécharger - Sécurité
- Chrome exporter favoris - Guide
2 réponses
Modifié le 1 sept. 2022 à 19:24
Bonjour.
En premier désinstalle les logiciels qui suivent :
Search the Web (Yahoo)
SSOption
Web Search (Yahoo! Provided)
WinZip Malware Protector
Puis fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
AlternateDataStreams: C:\ProgramData\3738993435:C292A9EB33 [4298]
AlternateDataStreams: C:\ProgramData\61975284106803634231.exe:C206AF6627 [4298]
AlternateDataStreams: C:\ProgramData\678759991:423C1F46D3 [4298]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4298]
AlternateDataStreams: C:\ProgramData\freebl3.dll:73198F5FA8 [4298]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4298]
AlternateDataStreams: C:\ProgramData\mozglue.dll:E70ABABF3B [4298]
AlternateDataStreams: C:\ProgramData\msvcp140.dll:377D193849 [4298]
AlternateDataStreams: C:\ProgramData\nss3.dll:4D85C0477E [4298]
AlternateDataStreams: C:\ProgramData\NvTelemetryContainer.log:0187E934E2 [4298]
AlternateDataStreams: C:\ProgramData\NvTelemetryContainer.log_backup1:E30122514B [4298]
AlternateDataStreams: C:\ProgramData\xeovjhnl.ufd:6160E67F4A [4298]
AlternateDataStreams: C:\ProgramData\{ybvuwci.uhn:3B65483965 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk:075A04AA92 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2021.lnk:6E6E4AA64E [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AlphaConsole.lnk:94C70AA927 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BakkesMod.lnk:14E057C8D9 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert.lnk:54240D998C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:C8B6D970BF [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.html.lnk:25E2AF459E [4298]
AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [484]
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Pas de fichier
FirewallRules: [TCP Query User{74164E5B-3E49-4BDA-AD99-5439CA67AD65}D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe => Pas de fichier
FirewallRules: [UDP Query User{6570FDC9-BE54-4E8B-88AD-CD4B7BA562C5}D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe => Pas de fichier
FirewallRules: [TCP Query User{721AC714-4DF5-4FAF-9274-8A19201B7BE7}C:\users\alexis\downloads\fivem.exe] => (Allow) C:\users\alexis\downloads\fivem.exe => Pas de fichier
FirewallRules: [UDP Query User{888950E9-490A-45CD-91ED-6FC871C9C0D4}C:\users\alexis\downloads\fivem.exe] => (Allow) C:\users\alexis\downloads\fivem.exe => Pas de fichier
FirewallRules: [TCP Query User{BC263057-9D1F-41D5-890A-4DF58789D827}D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Pas de fichier
FirewallRules: [UDP Query User{FEDA4AB3-DB68-44B1-AB2E-501AA168ED1C}D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Pas de fichier
FirewallRules: [{6E3217AC-A843-436F-A156-452FD5A0C4E1}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction_BE.exe => Pas de fichier
FirewallRules: [{C849BD5B-44B6-4BDD-A97E-43860C27EF19}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction_BE.exe => Pas de fichier
FirewallRules: [{2E7A070D-BC01-4953-8955-FB2AA8AEDAAC}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction.exe => Pas de fichier
FirewallRules: [{27E260F5-F899-4C8F-B271-170667BA0888}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction.exe => Pas de fichier
FirewallRules: [{4E1D04ED-6EF6-47F8-B026-CA74DEB6614B}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe => Pas de fichier
FirewallRules: [{A6B9546E-62ED-4659-B9FF-4F7BEC5592F3}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe => Pas de fichier
FirewallRules: [{C77934CF-260E-4672-BCCB-89B341F5D497}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix.exe => Pas de fichier
FirewallRules: [{DF120D14-05F5-4754-8A19-931E0A50956A}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix.exe => Pas de fichier
Task: {04B91D6A-2FF3-48E6-8E11-6ECFFBDFDBCF} - System32\Tasks\Opera scheduled Autoupdate 1502269982 => C:\Users\Alexis\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {0BDAFE93-76CB-494C-8A59-E3BD4F5151BB} - System32\Tasks\Start Registry Reviver Update => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe -update (Pas de fichier)
Task: {34B54C9C-5207-44DB-A8B9-81E9F2BE3663} - System32\Tasks\{400C57BA-66A3-5769-7D12-7D134BD81688} => C:\Users\Alexis\AppData\Roaming\400C57~1\UpdTask.exe /Check (Pas de fichier) <==== ATTENTION
Task: {802CF929-1FF7-423D-B9D8-01F89AA6F419} - System32\Tasks\Start Registry Reviver Schedule => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe -ipm (Pas de fichier)
Task: {854CF745-2A26-4C3A-BC86-52B977144C4F} - System32\Tasks\Local Security Authority Process{K8G5D4S3V5F5D4-O63D4F5S6V-F7G8V3A2D4} => C:\Users\Alexis\AppData\Roaming\Windows\System32\lsass.exe (Pas de fichier)
Task: {9C63F925-01DD-4305-A94A-4A7F7155D946} - System32\Tasks\Tomanekebu\{4DE30780-B2AA-C481-1F14-50CD4E3EB4A5} => C:\Users\Alexis\AppData\Local\FOMUPA~1\TOMANE~1.EXE /Cocegi (Pas de fichier)
Task: {A8729606-51B0-45BF-94AA-8A6255651A79} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier
Task: {BB10CEA5-8100-4C0E-969C-EA8CBBE4AC84} - System32\Tasks\Start WinZip Driver Updater for DESKTOP-LFJS86A@Alexis(logon) => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe StartAndScan (Pas de fichier)
Task: {D7239E1B-36B4-42CA-AA66-8BE949F58B53} - System32\Tasks\Event Viewer Snap-in Launcher (29762912) => C:\Users\Alexis\AppData\Roaming\EventViewer\eventvwr.exe (Pas de fichier)
Task: {E2769203-367D-4827-A400-AAFABA6F9445} - System32\Tasks\Start Registry Reviver for DESKTOP-LFJS86A@Alexis(logon) => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe -StartScan -StartedAutomatically (Pas de fichier)
Task: {E3801559-A9DE-4B08-93E2-7B8E095D3A86} - System32\Tasks\Start WinZip Driver Updater Update => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe -update (Pas de fichier)
Task: {FCD26E94-AF15-417B-95EB-5EAC454E4901} - System32\Tasks\Start WinZip Driver Updater Schedule => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe -ipm (Pas de fichier)
Task: {FCF5D1FE-6871-4CBC-B148-33BCDE963FD2} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe /RunningFrom Schedule (Pas de fichier)
CHR HKLM\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - <pas de Path/update_url>
CHR HKU\S-1-5-21-1512325586-3760182826-2242535600-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - <pas de Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - <pas de Path/update_url>
S2 PlutoentertainmentGeroce; C:\Program Files (x86)\PlutoentertainmentGeroce\PlutoentertainmentGeroce.exe -system -token 277614 [X]
S3 CrucialSMBusScan; \??\C:\Users\Alexis\AppData\Local\Temp\CrucialSMBusScan_V64.sys [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
Task: {3C84407B-48B6-4E1A-A6F0-A19A00633563} - System32\Tasks\WinZip Malware Protector_startup => C:\Program Files (x86)\WinZip Malware Protector\WinZipMalwareProtector.exe [7514112 2020-03-26] (Corel Corporation -> Nico Mak Computing)
Task: {A8CE9D02-5988-44A6-8B7D-94CCA2F7D575} - System32\Tasks\chrome nav => cmd /c powershell -WindowStyle Hidden -E "JABhAHMAYwBFAG4AYwBTAHQAcgA9AFsAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkASQA7AAoACgAKACQAbgBWAGEAcgA9ACQAbgB1AGwAbAA7AAoAJABsAG8AYwBWACAAPQAgACIAMQA3ACIAOwAKACQAcgBlAG0AXwBwACAAPQAgACIAVwB5AEkAMgBOAFQAYwAwAE4AVABFADUATwBUAEkANQBPAE (l'élément de données a 5119 caractères en plus).
Task: C:\WINDOWS\Tasks\{400C57BA-66A3-5769-7D12-7D134BD81688}.job => C:\Users\Alexis\AppData\Roaming\400C57~1\UpdTask.exe
C:\Users\Alexis\AppData\Roaming\400C57~1
Edge HomePage: Default -> hxxp://www.surf-live.com/
Edge StartupUrls: Default -> "hxxps://fr.search.yahoo.com/yhs/web?hspart=arh&hsimp=yhs-001&type=zxy_03e3205678eddd43bb¶m1=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%3D¶m2=NGVaMaNaMat9Nd%3D%3D","hxxp://www.surf-live.com/"
Edge DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/yhs/search?hspart=arh&hsimp=yhs-001&type=zxy_03e3205678eddd43bb¶m1=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%3D¶m2=NqVaMWBaLWp4LJ%3D%3D&p={searchTerms}
Edge DefaultSearchKeyword: Default -> fr.search.yahoo.com
dge HomeButtonPage: HKU\S-1-5-21-1512325586-3760182826-2242535600-1001 -> hxxp://www.surf-live.com/
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
Task: C:\WINDOWS\Tasks\Secured Yahoo Powered lific.job => Wscript exe
Task: C:\WINDOWS\Tasks\Start Registry Reviver for DESKTOP-LFJS86A@Alexis(logon).job => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe
Task: C:\WINDOWS\Tasks\Start WinZip Driver Updater for DESKTOP-LFJS86A@Alexis(logon).job => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe
FF Homepage: Mozilla\Firefox\Profiles\bnvlw8rl.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT171003&iDate=2020-07-14 12:13:14&bName=&bitmask=0600
FF NewTab: Mozilla\Firefox\Profiles\bnvlw8rl.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT171003&iDate=2020-07-14 12:13:14&bName=&bitmask=0600
Task: {6D7CCC31-8AC9-4825-81ED-4DB828B2B236} - System32\Tasks\Secured Yahoo Powered lific => C:\Windows\system32\wscript.exe "C:\ProgramData\{40278544-CA65-0F82-4CA3-91C0D6E11A0E}\dira" "68747470733a2f2f64337331746b67396634323534712e636c6f756466726f6e742e6e6574" "433a5c50726f6772616d446174615c7b34303237383534342d434136352d304638322d344341332d3931433044364531314130457d5c6d6f6e696d6f" "433a5c50726f6772616d446174615c7b343032 (l'élément de données a 116 caractères en plus).
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
5- Important.
Réinitialise Google Chrome https://support.google.com/pixelslate/answer/3296214?hl=fr-CA
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Pour information.
Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.
Merci pour votre réponse, j'ai fait tout ce que vous m'avez dit mais j'arrive juste pas à désintaller Web Search (Yahoo! Provided) et Search the Web (Yahoo).
Voici le fixlog : https://www.cjoint.com/c/LIbupMyEb2E
Dites moi si tout semble ok et je vous donnerai des nouvelles si tout s'est améliorer.
1 sept. 2022 à 22:30
Le fixlog est OK, pour Web Search (Yahoo! Provided) et Search the Web (Yahoo) désinstalle-les avec Revo Uninstaller en mode scan avancé.