ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée.
Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport.
Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur.
Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge.
Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
 #57045  par Sejy
 
Bonjour.

Je rencontre un souci récurrent que je vais tenter de vous résumer. Depuis plusieurs mois, sous Chrome, se greffe par instant un élément qui redirige les liens. Par exemple, je vais faire une recherche Google et lorsque je vais cliquer sur l'un des résultats une ou plusieurs autres onglets sans aucun rapport vont s'ouvrir, présentant la plupart du temps des publicités quelconques. J'ai remarqué que les pubs parasites ou substitutions de liens sont souvent les mêmes par période (sur cette semaine par exemple, pub pour nettoyage PC et redirection sur Yahoo...). De plus, il semblerait qu'il existe un point commun à toutes ces intrus, une sorte de passerelle de redirection dont je peux voir l'adresse dans la barre d'état lorsque l'élément parasite s'incruste (un "piz7ohhujogi!.com" commun suivi d'extensions variables derrière un ou plusieurs "/").


J'ai testé :
Malewarebytes qui ne trouve rien
RogueKiller qui détecte 2 ou 3 trucs de temps en temps, mais qui ne semblent pas en relation avec mon problème
Désinstallation réinstallation de Chrome avec suppression des extensions douteuses.
Avast ne voit rien non plus.
Seul ZHPCleaner résout le problème mais provisoirement. A chaque nettoyage ZHP je passe un coup de CCleaner derrière. Après je peux être tranquille pendant quelques jours ou avoir un retour de cette cochonnerie 10 minutes plus tard. Le rapport de scan n'est pas exactement le même à chaque fois. Dans 90% des cas, lors du scan (et du nettoyage) j'ai une invite ZHP qui me demande si j'ai installé le serveur XXXX (l'adresse IP qui est toujours la même. A chaque fois je coche "non" )
Je n'ai pas constaté de souci similaire avec les autres navigateurs (mais je les utilise très peu). Le PC quant à lui ne me parait pas impacté ; pas de ralentissement notable dans les performances.

Voilà. Si vous pouviez me venir en aide, je vous en serais très reconnaissant
Merci.

Ci-joints captures diverses & 2 derniers rapports de scan :

Image
Image






~ ZHPCleaner v2017.7.20.125 by Nicolas Coolman (2017/07/20)
~ Run by Stéphane (Administrator)  (04/08/2017 11:07:43)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Certificate ZHPCleaner: Legal
~ Type : Nettoyer
~ Report : C:\Users\steph\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\steph\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 14393)


---\\  Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)


---\\  Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Explorateur  ( Dossiers, Fichiers ). (2)
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_cdncache-a.akamaihd.net_0.localstorage    =>.Superfluous.AkamaiHD
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_cdncache-a.akamaihd.net_0.localstorage-journal    =>.Superfluous.AkamaiHD


---\\  Base de Registres ( Clés, Valeurs, Données ). (1)
SUPPRIMÉ donnée: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{20A6BC3C-ADBA-47FC-B263-83B8110732F9}\\NameServer [Bad : 188.121.254.253 188.121.254.254]  =>Hijacker.Browser


---\\  Récapitulatif des éléments trouvés sur votre station. (2)
https://nicolascoolman.eu/2017/01/20/lo ... superflus/  =>.Superfluous.AkamaiHD
https://nicolascoolman.eu/2017/02/02/hi ... browser-2/  =>Hijacker.Browser


---\\  Nettoyage Additionnel. (6)
~ Suppression des Clés de registre Tracing. (6)
~ Suppression des anciens rapports ZHPCleaner. (0)


---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent  (Opera Software)


---\\ Statistiques
~ Items scannés : 798
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 3


~ End of clean in 00h00mn09s
~====================
ZHPCleaner-[R]-04082017-10_38_22.txt
ZHPCleaner-[R]-04082017-11_07_52.txt
ZHPCleaner-[R]-25072017-22_15_40.txt
ZHPCleaner-[R]-27062017-20_37_50.txt
ZHPCleaner-[R]-28062017-21_49_27.txt
ZHPCleaner-[R]-31052017-11_20_18.txt
ZHPCleaner--04082017-10_13_49.txt
ZHPCleaner--04082017-10_43_00.txt
ZHPCleaner--04082017-10_43_53.txt
ZHPCleaner--04082017-11_02_06.txt
ZHPCleaner--25072017-22_14_38.txt
ZHPCleaner--27062017-20_15_25.txt
ZHPCleaner--28062017-21_42_59.txt
ZHPCleaner--31052017-11_18_08.txt
ZHPCleaner--31052017-11_24_31.txt




~ ZHPCleaner v2017.7.20.125 by Nicolas Coolman (2017/07/20)
~ Run by Stéphane (Administrator)  (04/08/2017 10:38:14)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Certificate ZHPCleaner: Legal
~ Type : Nettoyer
~ Report : C:\Users\steph\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\steph\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 14393)


---\\  Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)


---\\  Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Explorateur  ( Dossiers, Fichiers ). (8)
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_cdncache-a.akamaihd.net_0.localstorage    =>.Superfluous.AkamaiHD
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_cdncache-a.akamaihd.net_0.localstorage-journal    =>.Superfluous.AkamaiHD
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d16fk4ms6rqz1v.cloudfront.net_0.localstorage    =>.Superfluous.CloudfrontNet
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d16fk4ms6rqz1v.cloudfront.net_0.localstorage-journal    =>.Superfluous.CloudfrontNet
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_wix-instantsearchplus-ssl.akamaized.net_0.localstorage    =>.Superfluous.AkamaiHD
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_wix-instantsearchplus-ssl.akamaized.net_0.localstorage-journal    =>.Superfluous.AkamaiHD
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_st.chatango.com_0.localstorage    =>PUP.Optional.Chatango
DEPLACÉ fichier: C:\Users\steph\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_st.chatango.com_0.localstorage-journal    =>PUP.Optional.Chatango


---\\  Base de Registres ( Clés, Valeurs, Données ). (2)
SUPPRIMÉ clé: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} [https://fr.search.yahoo.com/yhs/search? ... _46&param1[...]] [Yahoo! Powered]  =>Adware.YahooPowered
SUPPRIMÉ clé: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} [https://fr.search.yahoo.com/yhs/search? ... earchTerms}]  =>Adware.YahooPowered


---\\  Récapitulatif des éléments trouvés sur votre station. (4)
https://nicolascoolman.eu/2017/01/20/lo ... superflus/  =>.Superfluous.AkamaiHD
https://nicolascoolman.eu/2017/02/02/su ... dfrontnet/  =>.Superfluous.CloudfrontNet
https://nicolascoolman.eu/2017/01/27/re ... infection/  =>PUP.Optional.Chatango
https://nicolascoolman.eu/2017/01/27/re ... infection/  =>Adware.YahooPowered


---\\  Nettoyage Additionnel. (10)
~ Suppression des Clés de registre Tracing. (10)
~ Suppression des anciens rapports ZHPCleaner. (0)
 #57047  par did80
 
salut  Sejy -

Je m'appelle Didier et je vais tenter de résoudre votre problème.
Pourriez vous suivre les consignes du lien ci dessous.

>> avant poster pour une désinfection <<

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection

je désinfecte gratuitement mais si vous souhaitez contribuer aux travaux de Nicolas

c'est Don Ici Merci
 #57121  par Sejy
 
Bonjour.

Je vous suis très reconnaissant pour l'aide que vous m'apportez.
Ci-joints les différents rapports demandés :

Lien rapport ZHPdiag >>> http://www.cjoint.com/c/GHfjLuBunwK


CKScanner 2.5 - Additional Security Risks - These are not necessarily bad
c:\esupport\edriver\software\audio\conexant\audio\8.66.30.60\3553\w8-64\d2keys.ini
c:\program files\conexant\cnxt_audio_hda\d2keys.ini
c:\program files (x86)\asus\atk package\atk hotkey\atkmsgctrl.exe
c:\program files (x86)\bsgo\client\live\assetbundles\decorations_cracked_planet
c:\windows\cnxt\rollback\oem16.inf\folder0\d2keys.ini
scanner sequence 3.BC.11.ALLBA0
 ----- EOF ----- 


Rapport WinChk v2.0 - 05/08/2017 à 11:27
Mis à jour le 08/07/11 à 16h par Xplode
Système d'exploitation : Windows 10 Home (64 bits) [version 10.0.14393] 
Nom d'utilisateur : Stéphane - SEJY (Administrateur)
Exécuté depuis : D:\steph\Downloads sur D\winchk_2.0.exe


¤¤¤¤¤ Recherche | KMS ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | Fichiers suspect ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Fichiers système ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Fichier Hosts ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Windows Update ¤¤¤¤¤

¤ Paramètres : Les mises à jour automatiques sont activées et sont installées automatiquement.

¤ Dernière mise à jour détectée le 
¤ Dernière mise à jour téléchargée le 
¤ Dernière mise à jour installée le 

########## EOF - "C:\WinChk.txt" - [858 octets] ##########

Merci beaucoup !

PS : pour le don c'était déjà fait ;)
 #57131  par did80
 
Salut Sejy

télécharges ZHPFIX

Si tu ne l'as pas


https://www.nicolascoolman.com/fr/download/zhpfix/



Image



Sélectionne et copie les lignes suivantes

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Lance ZHPFIX


colles les lignes dans le cadre blanc

Image

tu supprimes avec le bouton GO


Image

copies colles le rapport

qui est sur ton bureau ou C:\Users\....\AppData\Roaming\ZHP\ZHPFix[R1].txt


2/ ceci stp

Télécharger FARBAR et l' enregistrez-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/


ou

http://www.nicolascoolman.fr/telecharger/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


coche les cases comme sur l'image ci dessous

Cliquez sur le bouton Scan


Image



L'outil va créer un fichier rapport nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.



le scan terminé tu auras deux rapports sur le bureau


La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64


Mets les 3 rapports frst addition et shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et donne moi les liens

@+

@+
 #57158  par Sejy
 
Bonjour,

Les rapports :

FRST.text : http://www.cjoint.com/c/GHggKTQK1vK

Shortcut.txt : http://www.cjoint.com/c/GHggMo4FqiK

Addition.txt : http://www.cjoint.com/c/GHggN6pNY6K

ZHPFixReport :
Rapport de ZHPFix 2017.06.13.1 par Nicolas Coolman, Update du 13/06/2017
Fichier d'export Registre : 
Run by Stéphane at 06/08/2017 08:21:16
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (14393)

Corbeille vidée (00mn 02s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Valeurs du Registre ==========
Aucune Valeur Standard Profile: FirewallRaz : 
Aucune Valeur Domain Profile: FirewallRaz : 

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Flash Cookies (0)
SUPPRIMÉS Temporaires Windows (0)

========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\tasks\ium-f1e24ca0-b63e-4f13-a9e3-4ade3bff3473
SUPPRIMÉ Redémarrage: c:\windows\system32\tasks\onedrive standalone update task
SUPPRIMÉ Redémarrage: c:\windows\system32\tasks\onedrive standalone update task-s-1-5-21-2795561387-2525649718-2996376705-1001
SUPPRIMÉS Flash Cookies (0) (0 octets)
SUPPRIMÉS Temporaires Windows (0) (0 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Valeurs du Registre
3 : Dossiers
5 : Fichiers
1 : Restauration Système


End of clean in 00mn 04s

========== Chemin de fichier rapport ==========
C:\Users\steph\AppData\Roaming\ZHP\ZHPFix[R1].txt - 06/08/2017 08:21:20 [1330]


Merci.
Bon dimanche.
 #57168  par did80
 
salut  Sejy 

tu as passé roguekiller hier (non demandé en passant)

si tu passes des outils de ta propre initiative çà ne vas pas le faire

je peux voir le rapport. merci

@+
 #57237  par did80
 
salut Sejy

Bizarre
2017-08-05 08:56 - 2016-11-21 23:03 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller
2017-08-05 08:56 - 2016-11-21 23:03 - 000000000 ____D C:\Program Files\RogueKiller
2/ Ouvrir FRST

Presser les touches Ctrl +Y (un notepad copyrighté est ouvert via Ctrl +Y)

Copier le fix (Correctif) dedans

start
CloseProcesses:
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2795561387-2525649718-2996376705-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2795561387-2525649718-2996376705-1001 -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL =
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]


EmptyTemp:
end


Valider par Ctrl +S pour l'enregistrer

Fermer le fichier Fixlist.txt


--> Clique sur Corriger.

Image

Patiente le temps de la correction.

Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

--> Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.

héberge moi sur cjoint le rapport Fixlog

@+
 #57241  par Sejy
 
Avant de me lancer...

J'ai une mise à jour auto de Windows 10 qui s'est effectuée dans la nuit. Cela a-t'il une incidence sur la suite ou je peux mettre en application la procédure sans m'en soucier ?

Merci
Sujets similaires Statistiques Dernier message
[RESOLU]Problème redirection page internet
par Seb67  dans : Analyse de rapports et Désinfection.
12 Réponses
5242 Vues
par Seb67
Windows 10 /Chrome/ Redirection Bing
par Aallea  dans : Analyse de rapports et Désinfection.
1 Réponses
1409 Vues
par ab_web
Prise en charge de la redirection Exinariuminix.info
par NicolasCoolman  dans : ZHPCleaner
0 Réponses
4637 Vues
par NicolasCoolman
Problèmes de lenteur lors de navigation et d'ouverture de fichiers
par Tusculanes  dans : Analyse de rapports et Désinfection.
38 Réponses
7756 Vues
par El Magnifico
problème de mise à jour W 10
par bonobono  dans : Support Windows
18 Réponses
10342 Vues
par bonobono