Suppression popup dinoraptzor.org au démarrage

Résolu
vilminore Messages postés 3 Date d'inscription mercredi 1 mai 2024 Statut Membre Dernière intervention 1 mai 2024 - Modifié le 1 mai 2024 à 14:17
bazfile Messages postés 56633 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 - 6 mai 2024 à 00:01

Bonjour à tous,

Lorsque je démarre mon ordinateur, depuis quelques temps, le popup dinoraptzor.org s'ouvre au démarrage.

J'ai essayé de supprimer la tâche dans le registre mais lorsque je redémarre, rien n'y fait.

Ayant lu d'autres posts à ce sujet, je poste ici mes deux rapports suite à l'analyse FRST :

https://www.cjoint.com/c/NEbicvu8baI  (Addition.txt)

https://www.cjoint.com/c/NEbicUN67eI  (FRST.txt)

Est-ce que quelqu'un pourrait m'indiquer ce qui coince? Mon antivirus principal est McAfee.

Merci d'avance!

A voir également:

7 réponses

bazfile Messages postés 56633 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
Modifié le 4 mai 2024 à 12:25

Le fixlog est OK.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.



d'abord un grand merci pour votre réponse super rapide, c'est impressionnant quand on compare à d'autres forums! 

Merci pour ces compliments.

N'hésite pas à parler du forum CCM autour de toi, pub :=) .

La ligne dans RegEdit qui lui été consacrée n'existe plus! J'espère que ça ne reviendra pas. Merci beaucoup pour le travail que vous faites!

Non ça ne reviendra pas si tu fais plus attention, voir mes conseils en fin de message. 

 Sauriez vous m'indiquer, m'expliquer ce qu'il s'est passé et ce que vous avez fait faire au logiciel avec ce script? Qu'est-ce qui posait problème et qui a été supprimé ?

J'ai supprimé les processus qui provoquaient ce problème, notamment une tâche planifiée infectieuse.



Conseils pour que cela ne se reproduise pas.

Fait attention à ce que tu télécharges, tu as téléchargé en dehors du store officiel une APK modifiée (AtoZ_Downloader.apk) afin de l'installer sur un appareil sous Android heureusement Windows Defender l'a bloquée, les sites qui proposent ce genre de choses peuvent infecter ton pc, surtout si des popups apparaissent et te demandent une autorisation afin de pouvoir télécharger le fichier et que tu l'acceptes, les APK modifiées si tu les installes peuvent aussi infecter ton smartphone ou ta tablette sous Android.

Fait aussi attention quand tu installes des logiciels gratuits, lors de l'installation il faut bien lire les différents écrans afin de ne pas te faire piéger.
Il faut décocher les cases proposées elle ne sont pas toujours visibles du premier coup, exemple:

1

Bonsoir, je n'avais pas vu votre réponse avant, merci pour votre réactivité!

Merci pour les manip expliquées en détail et sans fautes, soyez sûr(e) que je parlerai du forum, et c'est déjà fait :)

Merci beaucoup pour l'explication et les petits conseils, c'est vrai que j'ai eu tendance à chercher des .APK un peu partout et j'en ai fait la mauvaise expérience sur le téléphone... Si j'avais su que ça pouvait venir de ça! Je serai bien plus prudent, ça m'a fait un peu peur quand même. Et merci pour les conseils au sujet des setup, je fais attention mais c'est vrai qu'on ne voit pas toujours ces détails. 

Merci encore pour votre travail, bonne journée / soirée et continuez comme ça!

0
bazfile Messages postés 56633 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324 > RastaBear
6 mai 2024 à 00:01

Bonne nuit.

@+ sur CCM.

0
bazfile Messages postés 56633 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
Modifié le 1 mai 2024 à 13:03

Bonjour @vilminore StatutMembre .

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2064158913-2163043083-2413060747-1001\...\Run: [Quentin] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
Task: {7BE0E157-C263-4C3C-A589-FDF7575FD2E9} - System32\Tasks\Quentin => C:\WINDOWS\system32\cmd.exe [323584 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Quentin /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" 
Task: {98E8E440-5194-4478-BB86-20CD46450C61} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Pas de fichier)
Task: {A2312D14-369F-4EFB-943B-2AED6EDA8411} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Pas de fichier)
Task: {00ECD2AD-82DB-4D64-837D-0AEE5181F7D5} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Pas de fichier)
Task: {B6ED285D-2726-4A82-B33B-35843CD8AF86} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
CHR HKLM\...\Chrome\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm] - hxxps://chrome.google.com/webstore/detail/kaspersky-protection/ahkjpbeeocnddjkakilopmfdlnjdpcdm
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm] - hxxps://chrome.google.com/webstore/detail/kaspersky-protection/ahkjpbeeocnddjkakilopmfdlnjdpcdm
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
Edge HKU\S-1-5-21-2064158913-2163043083-2413060747-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Pas de fichier
FirewallRules: [UDP Query User{9784A76E-3F5E-4700-9482-BA412C968CCF}C:\games\nba 2k23\nba2k23.exe] => (Allow) C:\games\nba 2k23\nba2k23.exe => Pas de fichier
FirewallRules: [TCP Query User{31539110-C242-4524-9751-DFD7FC7FC713}C:\games\nba 2k23\nba2k23.exe] => (Allow) C:\games\nba 2k23\nba2k23.exe => Pas de fichier
FirewallRules: [{FB87A185-C172-4061-B436-CDD6C462945D}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0
vilminore Messages postés 3 Date d'inscription mercredi 1 mai 2024 Statut Membre Dernière intervention 1 mai 2024
Modifié le 1 mai 2024 à 14:18

Bonjour,

Merci beaucoup pour votre réponse et votre aide!

Voici le lien du rapport : https://www.cjoint.com/c/NEblYt4FgLI 

Le problème ne semble plus apparent pour l'instant :-)

0
bazfile Messages postés 56633 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
1 mai 2024 à 14:16

@vilminore StatutMembre .

Le fixlog est OK.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
vilminore Messages postés 3 Date d'inscription mercredi 1 mai 2024 Statut Membre Dernière intervention 1 mai 2024
1 mai 2024 à 14:46

Parfait, merci beaucoup pour votre aide et réactivité!

0
bazfile Messages postés 56633 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
1 mai 2024 à 15:38

De rien.

@+ sur CCM.

0

Bonjour j'ai le même problème et je ne sais pas trop comment me débarrasser de ce truc qui apparait à chaque démarrage... Voilà les deux fichiers texte que FRST m'a donné, si vous savez me guidez un peu sur comment me débarrasser de ça, je vous en serai très reconnaissant.

Merci d'avance et bonne journée

FRST: https://www.cjoint.com/c/NEejLa3HVC1 

Addition: https://www.cjoint.com/c/NEejLTtDBn1 

0
bazfile Messages postés 56633 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
4 mai 2024 à 11:44

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-376497759-2741858308-3345259788-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
HKU\S-1-5-21-376497759-2741858308-3345259788-1001\...\Run: [Loup] => cmd.exe /c start www.dinoraptzor.org (Pas de fichier) 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {671FF5AC-70A3-4B1E-8514-24713133A92F} - System32\Tasks\Loup => C:\Windows\system32\cmd.exe [323584 2023-11-17] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Loup /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org" 
Task: {5015E7ED-7665-4E2B-B735-D5F1A92E4F83} - System32\Tasks\ASUS\AcPowerNotification => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AcPowerNotification\AcPowerNotification.exe  (Pas de fichier)
Task: {4C89858F-C0D6-43F1-9DFE-E4A86763EDC4} - System32\Tasks\ASUS\ArmouryAIOFanServer => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AIOFanSDK\ArmouryAIOFanServer.exe  (Pas de fichier)
Task: {8366DFAD-63B2-4529-8AEF-240929FB66AD} - System32\Tasks\ASUS\ArmourySocketServer => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe  (Pas de fichier)
Task: {2AD121A7-2E3C-4169-AF10-9E5FB7354E67} - System32\Tasks\ASUS\Framework Service => C:\Program Files (x86)\ASUS\ArmouryDevice\asus_framework.exe  --delay (Pas de fichier)
Task: {D75DA673-C41B-4BE2-8D41-50D1EDC6AAC4} - System32\Tasks\ASUS\NoiseCancelingEngine => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\MBLedSDK\NoiseCancelingEngine.exe  (Pas de fichier)
Task: {16BAF71B-4B8F-4BBE-BA35-09B52305BEB0} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {AE6EC042-7712-4923-AE6B-27BF53729D76} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-376497759-2741858308-3345259788-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Pas de fichier)
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
S3 parsecvirtualds; \SystemRoot\System32\drivers\parsecvirtualds.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

1

Bonjour Bazfile, d'abord un grand merci pour votre réponse super rapide, c'est impressionnant quand on compare à d'autres forums! J'ai fait comme vous m'avez indiqué, suite au redémarrage les applications qui se lancent d'elles même m'ont demandé l'autorisation administrateur, chose qu'elles ne font pas d'habitude mais j'imagine que c'est normal, et visiblement la fameuse page web ne s'est pas lancée! 

Si le problème est résolu, je vous en remercie sincèrement, je ne sais pas comment vous en remercier... Voici le fichier: 

https://www.cjoint.com/c/NEej2bajD21 

La ligne dans RegEdit qui lui été consacrée n'existe plus! J'espère que ça ne reviendra pas. Merci beaucoup pour le travail que vous faites!

Sauriez vous m'indiquer, m'expliquer ce qu'il s'est passé et ce que vous avez fait faire au logiciel avec ce script? Qu'est-ce qui posait problème et qui a été supprimé ? Merci si possible, je ne veux pas trop en demander non plus!

0