[Résolu] Publicités injectées dans le navigateur Chrome seulement

[babaob]

Salut à tous,

Je poste aujourd'hui à la demande d'un proche pour essayer de désinfecter cet ordinateur (qui n'est pas le mien ! ).
C'est un ordinateur portable sous Windows 7 x64, rien de spécial.
En général, j'arrive à les désinfecter moi-même, mais là les publicités sont un peu coriaces

Ce que j'ai fait jusqu'à présent :
- un coup de adwcleaner : a enlevé 30 PUPs, problème toujours persistant
- un coup de malwaresbyte : a enlevé 95 PUPs environ + 2 malwares, problème toujours persistant
- un coup de ZHPCleaner, a enlevé 35 éléments, problème toujours persistant
- un scan avec ZHPDiag, a trouvé 4 éléments.
- un scan avec FRST64

Le problème a pour caractéristiques :
- était + grave auparavant, et maintenant, consiste seulement en :
- ne concerne que Google Chrome (aucun problème sur firefox, je n'ai pas essayé internet explorer)
- injecte des publicités à base de "hm hm" dans les pages internet visitées (google homepage, google search results, youtube, ...)
- les publicités dans Chrome sont bloquées avec malwaresbyte protection en temps réel (premium trial) :
(les adresses ip bloquées sont entre autres, je ne mets qu'un seul port mais plusieurs ports sont utilisés

-Données du site Web-
Domaine: max-confidence.men
Adresse IP: 104.24.111.128
Port: [50983]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: go.deliverymodo.com
Adresse IP: 188.42.162.254
Port: [50953]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: use.quebec-bin.com
Adresse IP: 54.174.4.102
Port: [54654]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: partner-host.men
Adresse IP: 185.147.15.39
Port: [56494]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: install.live-streaming.online
Adresse IP: 13.80.30.142
Port: [56487]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: play.leadzupc.com
Adresse IP: 212.92.39.35
Port: [51814]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: free.myradioaccess.com
Adresse IP: 74.113.235.138
Port: [51882]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: lifered.stream
Adresse IP: 104.27.154.101
Port: [49784]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: new.allyourmobi.com
Adresse IP: 198.143.165.222
Port: [50882]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: popcash.net
Adresse IP: 52.54.22.222
Port: [55037]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: kuaptrk.com
Adresse IP: 104.16.84.74
Port: [49452]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: music.blpmovies.com
Adresse IP: 54.209.101.189
Port: [49826]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: cdn.adskeeper.co.uk
Adresse IP: 88.85.80.147
Port: [49433]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: pussysaga.com
Adresse IP: 204.155.159.26
Port: [50684]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


liste non exhaustive ^^

J'ai mis en pièce jointe les résultats des scans ^^

[babaob]

En complément, le résultat du scan adwcleaner, et de frst64

[chantal11]

Bonjour,

Effectivement, un système bien chargé.
Infection par adwares/hijackers qui se sont installés avec le consentement de cet utilisateur, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.

Je regarde les rapports FRST et t'indique la suite.

@+

PS : J'ai hébergé les rapports FRST
https://up.security-x.fr/file.php?h=Rec ... 4af5c44c77
https://up.security-x.fr/file.php?h=R23 ... a3a0c16c68

Rappel -> Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

[chantal11]

Re,

Pas d'antivirus installé sur ce système ?

Ce Windows 7 Ultimate a été activé légalement ?


Tu appliques les procédures dans l'ordre où elles sont présentées.

/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

--------------------------------------------------------------------------------------------------------------

Est-ce que Chrome est connecté au compte Google et donc synchronisé ?
Si c'est le cas, il faut appliquer cette procédure <- Important

Supprimer les informations synchronisées de votre compte Google

https://support.google.com/chromebook/a ... 03284&rd=1

--------------------------------------------------------------------------------------------------------------

ResetBrowser :

• Télécharge ResetBrowser et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur ResetBrowser.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Valide par OK la note d'informations
• L'interface de l'outil s'affiche
  
• Clique sur le bouton de chaque navigateur concerné pour réinitialiser et patiente le temps de la procédure.

Tutoriel d'utilisation ResetBrowser en images

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

• Ferme toutes les applications, y compris ton navigateur
• Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Pas de fichier
  CHR HKU\S-1-5-21-1657051564-72528231-873665495-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
  ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
  cmd: ipconfig /flushdns
  EmptyTemp:
  End::

• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
  
• Accepte le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog

@+

[babaob]

ça fait plaisir de voir une réponse

bon je réponds aux questions une par une :

0) pour l'instant je n'ai fait aucune des étapes que tu proposes.

0.1) OBJECTION ! je suis arrivé après la guerre, sinon je n'aurais pas seulement décoché, mais surtout même pas installé ces logiciels en question...)

1) il n'y actuellement pas d'antivirus installé dans ce système (je comptais en installer 1 une fois la désinfection terminée )
(il y'avait avast free antivirus par le passé)
mais il y'a un antimalware installé, malwarebytes version premium trial avec protection en temps réel activée (license de 15 jours, encore active)
aussi, j'ai volontairement désactivé windows defender


2) ce windows n'est pas activé, il fonctionne en version d'essai qui a dépassé les 30 jours d'essai
Au lieu de réinstaller windows 7 avec la partition de 14GB intégrée (j'ai vérifié dans gestion de l'ordinateur, la aprtition existe toujours...), le "technicien" lui a juste mis un iso de windows 7 sans license....

3) Chrome n'est actuellement PAS connecté/synchronisé à un compte Google

Je continue de lire pour voir ce que je vais faire

[chantal11]

Re,

OBJECTION ! je suis arrivé après la guerre, sinon je n'aurais pas seulement décoché, mais surtout même pas installé ces logiciels en question...)

J'ai bien précisé "cet utilisateur" ..... je n'ai pas dit que c'était toi

il n'y actuellement pas d'antivirus installé dans ce système (je comptais en installer 1 une fois la désinfection terminée )

OK ..... parce que Malwarebytes, même dans sa version Premium, n'est pas réellement un antivirus

ce windows n'est pas activé, il fonctionne en version d'essai qui a dépassé les 30 jours d'essai
Au lieu de réinstaller windows 7 avec la partition de 14GB intégrée (j'ai vérifié dans gestion de l'ordinateur, la aprtition existe toujours...), le "technicien" lui a juste mis un iso de windows 7 sans license....

Oui, mais c'est une version Ultimate qui a été installée, qui ne correspond certainement pas à la version installée d'origine sur le PC.
L'utilisateur (ou toi) va être obligé de repartir d'une ré-installation complète pour utiliser sa clé licence.
Je ne vois donc pas l'intérêt de désinfecter un système qui va être réinstallé ?

Chrome n'est actuellement PAS connecté/synchronisé à un compte Google

C'est parfait, tu passes à la suite de la procédure indiquée.

@+

[babaob]

So,

Voici ce que j'ai fait dans l'ordre

1) un coup de resetbrowser -> réinistialiser chrome seulement, succès, quitté resetbrowser
2) copier le code frst64 dans un fichier fixlist.txt, dans le même dossier que frst =>dans le bureau (ce n'était pas précisé dans les instructions, j'avoue que ça m'a fait chaud au coeur de savoir que des instructions même imparfaites m'étaient destinées (j'ai moi aussi un site d'aide en informatique, so... )
3) frst : corriger, terminé sans erreur, redémarré à la demande du logiciel
4) upload du rapport fixlog

[babaob]

OBJECTION ! je suis arrivé après la guerre, sinon je n'aurais pas seulement décoché, mais surtout même pas installé ces logiciels en question...)

J'ai bien précisé "cet utilisateur" ..... je n'ai pas dit que c'était toi

alors là je réponds juste :

Bonjour,
Effectivement, un système bien chargé.
Infection par adwares/hijackers qui se sont installés avec le consentement de cet utilisateur, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.

hm hm...

ce windows n'est pas activé, il fonctionne en version d'essai qui a dépassé les 30 jours d'essai
Au lieu de réinstaller windows 7 avec la partition de 14GB intégrée (j'ai vérifié dans gestion de l'ordinateur, la aprtition existe toujours...), le "technicien" lui a juste mis un iso de windows 7 sans license....

Oui, mais c'est une version Ultimate qui a été installée, qui ne correspond certainement pas à la version installée d'origine sur le PC.
L'utilisateur (ou toi) va être obligé de repartir d'une ré-installation complète pour utiliser sa clé licence.
Je ne vois donc pas l'intérêt de désinfecter un système qui va être réinstallé ?

Bah l'utilisateur est un impatient paresseux voilà, formater ça prend trop de temps sans parler des MAJ, surtout si c'est quelqu'un d'autre qui le fait
Et aussi car je ne sais pas si je pourrais réinstaller windows à partir de cette partition (je n'ai pas réfléchi à cette question )

Et puis c'était fun j'ai appris pas mal de trucs Formater, c'est fuir face à l'ennemi, pas acceptable pour un fan d'informatique Maintenant, je peux formater cet ordi l'esprit tranquille, sans regret

Sans faire de publicité j'ai un site d'informatique qui contient mon pseudo entre autres, pas difficile à trouver à l'aide de notre moteur de recherche bien aimé (mais pas de désinfection donc NON je ne suis pas un rival )

Ah oui, évidemment le problème est réglé, mais bon tu devais t'en douter donc j'ai oublié de le dire.
Enfin bref, merciiii/arigato/thank you pour ton aide et ton temps, si tu n'as rien à ajouter, the problem is [solved]

EDIT : après "discussion entre personnes raisonnables" je vais sans doute lui faire une réinstallation d'usine, si j'y arrive
EDIT 2 : avec F10 au démarrage de l'ordi j'ai accès à SONY Vaio Care et je peux factory reset plus qu'à backup toutes les données (en évitant les virus/malwares) et c'est bon

[chantal11]

Re,

Ah oui, évidemment le problème est réglé

C'est parfait

copier le code frst64 dans un fichier fixlist.txt, dans le même dossier que frst =>dans le bureau (ce n'était pas précisé dans les instructions, j'avoue que ça m'a fait chaud au coeur de savoir que des instructions même imparfaites m'étaient destinées

Ce n'est pas du tout la procédure que je t'ai indiqué.
Ma procédure était beaucoup plus simple ..... il y a 3 procédures pour appliquer un correctif FRST.
C'est quand même mieux quand l'utilisateur suit les instructions sans initiative personnelle, surtout en désinfection, tu devrais le savoir puisque tu dis gérer un site d'entraide informatique.

Nous pouvons donc finaliser la procédure.

---------------------------------------------------------------------------------------------

Quarantaine de Malwarebytes :

• Lance Malwarebytes (clic droit exécuter en tant qu'administrateur)
• Dans l'onglet Quarantaine, sélectionne tout et clique sur Supprimer

---------------------------------------------------------------------------------------------

DelFix :

• Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  Installation d'une application sponsorisée, les pièges à éviter !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
  SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)

N'hésite pas si tu as des questions.

[babaob]

Re,

C'est quand même mieux quand l'utilisateur suit les instructions sans initiative personnelle, surtout en désinfection, tu devrais le savoir puisque tu dis gérer un site d'entraide informatique.

en fait je gère pas de forum c'est un site composé de tutoriels écrits by me
[PUB ON] http://babaob.kazeo.com/ [/PUB OFF]

copier le code frst64 dans un fichier fixlist.txt, dans le même dossier que frst =>dans le bureau (ce n'était pas précisé dans les instructions, j'avoue que ça m'a fait chaud au coeur de savoir que des instructions même imparfaites m'étaient destinées

Ce n'est pas du tout la procédure que je t'ai indiqué.
Ma procédure était beaucoup plus simple ..... il y a 3 procédures pour appliquer un correctif FRST.
C'est quand même mieux quand l'utilisateur suit les instructions sans initiative personnelle, surtout en désinfection, tu devrais le savoir puisque tu dis gérer un site d'entraide informatique.

Nous pouvons donc finaliser la procédure.
blablabla Delfix blablabla

N'hésite pas si tu as des questions.

je vais le faire, puis parallèlement je backup les données -> then F10 factory reset