Chrome géré par votre organisation

Bonjour

On va commencer par un diagnostic du PC :
 

Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Merci pour votre aide, voici les liens des 2 fichiers :

https://up.security-x.fr/file.php?h=R7a9b3a6242a5d0958a0e871f24370113

https://up.security-x.fr/file.php?h=R0dbb97cd229c27376e7b1a023bbdc91d

RE_

--> Copie ce qui se trouve ICI de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

--> Dis moi si tu as toujours le problème .

Voici le fichier fixlog : https://up.security-x.fr/file.php?h=Rbaf6b5307d9f45432d43201da998eefd

Et j'ai pas l'impression que mon soucis est résolu car j'ai toujours chrome qui indique "géré par votre organisation"

RE_

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)
 

start::
virustotal: C:\Program Files (x86)\Online Services\LastPass\WizLink.exe
virustotal: C:\Program Files (x86)\Online Services\Adobe\WizLink.exe
end::

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

PS : est ce que tu es connecté sur Chrome ?

Voici le lien du fichier : https://up.security-x.fr/file.php?h=R573fbf0110b0d0fbf19c85c2384d7cce

Oui je suis connecté sur chrome via mon compte gmail mais une correction que j'ai effectué hier m'a déconnecté.

Toujours le même soucis, quand j'y repense c'est lorsque j'ai voulu télécharger un activateur d'office que le soucis est apparu. J'ai surement installé un virus qui me pollue chrome mais surement d'autres choses que je ne vois pas.

RE_

OK , relances une analyse FRST en étant connecté sur Chrome , puis postes les nouveaux rapports.

j'ai voulu télécharger un activateur d'office que le soucis est apparu. J'ai surement installé un virus qui me pollue chrome mais surement d'autres choses que je ne vois pas.

Rien n'apparait dans les rapports

FRST : https://up.security-x.fr/file.php?h=R4eb7fe7e118bff8400b0158b607868eb

Addition : https://up.security-x.fr/file.php?h=R589577c1df96f39b5bd25f8801065851

"Rien n'apparait dans les rapports"

C'était il y a plusieurs mois déjà, entre 3 et 6 je dirais

RE_

=> Ouvres Chrome et tapes chrome://settings/ dans la barre d'adresse
=> Cliques sur Désactiver sous Google et vous , puis à nouveau Cliques sur Désactiver

Toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris,
les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.

PUIS :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

start::
closeprocesses:
createrestorepoint:
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {39C288FF-91D1-4BC4-A827-941C2B96EA47} - System32\Tasks\Opera scheduled Autoupdate 1646764481 => C:\Users\pasca\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {E718D044-8F6E-48E7-953D-85D8F0FF19E2} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-98860299-2583416752-821281466-500 => C:\Users\pasca\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
C:\Users\pasca\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda
cmd: type c:\ProgramData\lock.dat
cmd: type c:\ProgramData\rc.dat
cmd: type c:\ProgramData\ts.dat
emptytemp:
end::

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

--> Dis moi si tu as toujours le problème .

Fichier fixlog : https://up.security-x.fr/file.php?h=R1e47015d104641307d89181fc6e838c1

Et le problème est toujours là

RE_

Je me demande si c'est pas un bug de Chrome .

Est ce que tu avais installé un autre antivirus que Windows defender avant d'avoir ce problème ?

Essaie de réinitialiser Chrome avec RESET BROWSER  et vois ce que ça donne

Non je n'ai pas installé d'autre antivirus avant de rencontrer ce problème et le RESET BROWSER n'a pas résolu mon soucis. 

Quand je me rends dans "chrome://policy/", j'ai la règle "ExtensionInstallForcelist" qui est installé et j'arrive à la supprimer en passant par le registre et en supprimant la clé suivante : "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist"

Cela à pour effet de ne plus avoir chrome "géré par votre organisation" mais à chaque redémarrage, j'ai de nouveau le soucis qui apparait avec la clé du regsitre qui est de nouveau là.

De plus dans le répertoire suivant : "C:\Users\pasca\AppData\Local\Google\Chrome\User Data\Default\Extensions" j'ai les 2 dossiers suivants qui apparaissent : nmmhkkegccagdldgiimedpiccmgmieda et ghbmnnjooekpmoecnnnilnnbdlolhkhi

En regardant dans le fichier FRST, j'ai remarqué qu'il sagit des extensions "Paiements via le chrome web store" et "Google Docs hors connexion" que je ne vois pas via Chrome et que je n'ai jamais installé. Même en supprimant les dossiers, ils réapparaissent à chaque redémarrage.

J'ai fait tourner AdwCleaner qui m'a détecté un élément dangereux et qui a supprimer la ligne suivante : "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion"

Malgré cela, j'ai toujours le même soucis qui apparait à chaque redémarrage..

Voici les derniers fichiers fixlog :

https://up.security-x.fr/file.php?h=R57bbcb48ffe3378c58552dc948ed4968

https://up.security-x.fr/file.php?h=R82353ddb1cbf9ed24599a93fae5c3e0d

RE_

De plus dans le répertoire suivant : "C:\Users\pasca\AppData\Local\Google\Chrome\User Data\Default\Extensions" j'ai les 2 dossiers suivants qui apparaissent : nmmhkkegccagdldgiimedpiccmgmieda et ghbmnnjooekpmoecnnnilnnbdlolhkhi

Normal, ce sont les extensions natives de Chrome, elles ne sont pas actives

J'ai fait tourner AdwCleaner qui m'a détecté un élément dangereux et qui a supprimer la ligne suivante : "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion"

Juste un reste de Web Companion que tu avais désinstallé

***************

Malwarebytes :

Lances une analyse Malwarebytes :

=> Télécharge Malwarebytes Anti-Malware
=> Installe l'application --> Double-clique sur le fichier téléchargé pour lancer l'outil
=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Après le redémarrage, ouvres à nouveau MBAM.
=> Clique sur l'onglet Compte-rendu
=> Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
=> Clique sur exporter --> Fichier Texte (TXT)
=> La boîte de dialogue Enregistrer le fichier s'ouvre
=> Donne un nom et enregistre le sur le Bureau
=> Héberge le rapport sur https://security-x.fr/up/ et indique le lien dans ta prochaine réponse.

Aide à l'utilisation

Merci pour les précisions!

Voici le compte-rendu : https://up.security-x.fr/file.php?h=Rd4c0976e1073fe10902d2e718b0f7d67

Mais au redémarrage du PC, il y a toujours le même soucis sur chrome

RE_

Il a bien trouvé les restes de searchpage , mais pas les clés .

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

start::
cmd: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment"
cmd: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Policies"
cmd: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft"
cmd: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell"
cmd: cscript %windir%\System32\slmgr.vbs /dli
end::

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

Lien du fichier fixlog : https://up.security-x.fr/file.php?h=Rf92a63c367e1751dcbb7bb931c11d57d

RE_

Si tu es connecté à Chrome , déconnectes toi .

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

start::
closeprocesses:
createrestorepoint:
deletekey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google
deletekey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\\Microsoft\MicrosoftEdge
deletevalue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell|ExecutionPolicy
emptytemp:
end::

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

--> Dis moi si tu as toujours le problème .

https://up.security-x.fr/file.php?h=Rdad4819266b4a44e36ae0dfbc5c564ff

Le problème est toujours présent

OK, refait un reset browser

Malgré les 2 solutions proposées, j'ai toujours le même soucis qui apparait.

Aussi dans le solution de Fabul, je n'ai pas pu désinstaller Chrome car j'ai le message suivant qui s'affiche :

There is a problem with this Windows Installer package. A program required for this intall to complete could not be run. Contact your support personnel or package vendor.