[Résolu] Publicités injectées dans le navigateur Chrome seulement

Votre ordinateur est infecté? vous avez un doute ? c'est ici
babaob
Messages : 8
Enregistré le : jeu. 14 sept. 2017 10:50
Etes vous un robot ? : Non

[Résolu] Publicités injectées dans le navigateur Chrome seulement

Message par babaob »

Salut à tous,

Je poste aujourd'hui à la demande d'un proche pour essayer de désinfecter cet ordinateur (qui n'est pas le mien ! :roll: ).
C'est un ordinateur portable sous Windows 7 x64, rien de spécial.
En général, j'arrive à les désinfecter moi-même, mais là les publicités sont un peu coriaces :D

Ce que j'ai fait jusqu'à présent :
- un coup de adwcleaner : a enlevé 30 PUPs, problème toujours persistant
- un coup de malwaresbyte : a enlevé 95 PUPs environ + 2 malwares, problème toujours persistant
- un coup de ZHPCleaner, a enlevé 35 éléments, problème toujours persistant
- un scan avec ZHPDiag, a trouvé 4 éléments.
- un scan avec FRST64

Le problème a pour caractéristiques :
- était + grave auparavant, et maintenant, consiste seulement en :
- ne concerne que Google Chrome (aucun problème sur firefox, je n'ai pas essayé internet explorer)
- injecte des publicités à base de "hm hm" dans les pages internet visitées (google homepage, google search results, youtube, ...)
- les publicités dans Chrome sont bloquées avec malwaresbyte protection en temps réel (premium trial) :
(les adresses ip bloquées sont entre autres, je ne mets qu'un seul port mais plusieurs ports sont utilisés :)

-Données du site Web-
Domaine: max-confidence.men
Adresse IP: 104.24.111.128
Port: [50983]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: go.deliverymodo.com
Adresse IP: 188.42.162.254
Port: [50953]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: use.quebec-bin.com
Adresse IP: 54.174.4.102
Port: [54654]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: partner-host.men
Adresse IP: 185.147.15.39
Port: [56494]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: install.live-streaming.online
Adresse IP: 13.80.30.142
Port: [56487]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: play.leadzupc.com
Adresse IP: 212.92.39.35
Port: [51814]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: free.myradioaccess.com
Adresse IP: 74.113.235.138
Port: [51882]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: lifered.stream
Adresse IP: 104.27.154.101
Port: [49784]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: new.allyourmobi.com
Adresse IP: 198.143.165.222
Port: [50882]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: popcash.net
Adresse IP: 52.54.22.222
Port: [55037]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: kuaptrk.com
Adresse IP: 104.16.84.74
Port: [49452]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: music.blpmovies.com
Adresse IP: 54.209.101.189
Port: [49826]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: cdn.adskeeper.co.uk
Adresse IP: 88.85.80.147
Port: [49433]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


-Données du site Web-
Domaine: pussysaga.com
Adresse IP: 204.155.159.26
Port: [50684]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


liste non exhaustive ^^ :roll:

J'ai mis en pièce jointe les résultats des scans ^^
Fichiers joints

[L’extension txt a été désactivée et ne peut plus être affichée.]

[L’extension txt a été désactivée et ne peut plus être affichée.]

[L’extension txt a été désactivée et ne peut plus être affichée.]

Modifié en dernier par babaob le ven. 15 sept. 2017 09:31, modifié 1 fois.
babaob
Messages : 8
Enregistré le : jeu. 14 sept. 2017 10:50
Etes vous un robot ? : Non

Re: Publicités injectées dans le navigateur Chrome seulement

Message par babaob »

En complément, le résultat du scan adwcleaner, et de frst64 :super:
Fichiers joints

[L’extension txt a été désactivée et ne peut plus être affichée.]

[L’extension txt a été désactivée et ne peut plus être affichée.]

[L’extension txt a été désactivée et ne peut plus être affichée.]

Avatar du membre
chantal11
Messages : 13609
Enregistré le : dim. 11 janv. 2009 15:14
Localisation : Aude
Contact :

Re: Publicités injectées dans le navigateur Chrome seulement

Message par chantal11 »

Bonjour,

Effectivement, un système bien chargé.
Infection par adwares/hijackers qui se sont installés avec le consentement de cet utilisateur, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.

Je regarde les rapports FRST et t'indique la suite.

@+

PS : J'ai hébergé les rapports FRST
https://up.security-x.fr/file.php?h=Rec ... 4af5c44c77
https://up.security-x.fr/file.php?h=R23 ... a3a0c16c68

Rappel -> Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar du membre
chantal11
Messages : 13609
Enregistré le : dim. 11 janv. 2009 15:14
Localisation : Aude
Contact :

Re: Publicités injectées dans le navigateur Chrome seulement

Message par chantal11 »

Re,

Pas d'antivirus installé sur ce système ?

Ce Windows 7 Ultimate a été activé légalement ?


Tu appliques les procédures dans l'ordre où elles sont présentées.

/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

--------------------------------------------------------------------------------------------------------------

Est-ce que Chrome est connecté au compte Google et donc synchronisé ?
Si c'est le cas, il faut appliquer cette procédure <- Important

Supprimer les informations synchronisées de votre compte Google
Image
https://support.google.com/chromebook/a ... 03284&rd=1

--------------------------------------------------------------------------------------------------------------

ResetBrowser :
  • Télécharge ResetBrowser et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur ResetBrowser.exe pour lancer l'outil
    /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Valide par OK la note d'informations
  • L'interface de l'outil s'affiche
    Image
  • Clique sur le bouton de chaque navigateur concerné pour réinitialiser et patiente le temps de la procédure.
Tutoriel d'utilisation ResetBrowser en images

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :
  • Ferme toutes les applications, y compris ton navigateur
  • Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)
    Start::
    CreateRestorePoint:
    CloseProcesses:
    BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Pas de fichier
    CHR HKU\S-1-5-21-1657051564-72528231-873665495-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
    ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
    cmd: ipconfig /flushdns
    EmptyTemp:
    End::
  • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
    Image
  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
babaob
Messages : 8
Enregistré le : jeu. 14 sept. 2017 10:50
Etes vous un robot ? : Non

Re: Publicités injectées dans le navigateur Chrome seulement

Message par babaob »

ça fait plaisir de voir une réponse :+1:

bon je réponds aux questions une par une :

0) pour l'instant je n'ai fait aucune des étapes que tu proposes.

0.1) OBJECTION ! je suis arrivé après la guerre, sinon je n'aurais pas seulement décoché, mais surtout même pas installé ces logiciels en question...) :roll:

1) il n'y actuellement pas d'antivirus installé dans ce système (je comptais en installer 1 une fois la désinfection terminée :oops: )
(il y'avait avast free antivirus par le passé)
mais il y'a un antimalware installé, malwarebytes version premium trial avec protection en temps réel activée (license de 15 jours, encore active)
aussi, j'ai volontairement désactivé windows defender :)


2) ce windows n'est pas activé, il fonctionne en version d'essai qui a dépassé les 30 jours d'essai
Au lieu de réinstaller windows 7 avec la partition de 14GB intégrée (j'ai vérifié dans gestion de l'ordinateur, la aprtition existe toujours...), le "technicien" lui a juste mis un iso de windows 7 sans license.... :cry:

3) Chrome n'est actuellement PAS connecté/synchronisé à un compte Google

Je continue de lire pour voir ce que je vais faire :creuse:
Avatar du membre
chantal11
Messages : 13609
Enregistré le : dim. 11 janv. 2009 15:14
Localisation : Aude
Contact :

Re: Publicités injectées dans le navigateur Chrome seulement

Message par chantal11 »

Re,
babaob a écrit : OBJECTION ! je suis arrivé après la guerre, sinon je n'aurais pas seulement décoché, mais surtout même pas installé ces logiciels en question...)
J'ai bien précisé "cet utilisateur" ..... je n'ai pas dit que c'était toi :mrgreen:

il n'y actuellement pas d'antivirus installé dans ce système (je comptais en installer 1 une fois la désinfection terminée :oops: )
OK ..... parce que Malwarebytes, même dans sa version Premium, n'est pas réellement un antivirus ;)

ce windows n'est pas activé, il fonctionne en version d'essai qui a dépassé les 30 jours d'essai
Au lieu de réinstaller windows 7 avec la partition de 14GB intégrée (j'ai vérifié dans gestion de l'ordinateur, la aprtition existe toujours...), le "technicien" lui a juste mis un iso de windows 7 sans license....
Oui, mais c'est une version Ultimate qui a été installée, qui ne correspond certainement pas à la version installée d'origine sur le PC.
L'utilisateur (ou toi) va être obligé de repartir d'une ré-installation complète pour utiliser sa clé licence.
Je ne vois donc pas l'intérêt de désinfecter un système qui va être réinstallé ?

Chrome n'est actuellement PAS connecté/synchronisé à un compte Google
C'est parfait, tu passes à la suite de la procédure indiquée.

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
babaob
Messages : 8
Enregistré le : jeu. 14 sept. 2017 10:50
Etes vous un robot ? : Non

Re: Publicités injectées dans le navigateur Chrome seulement

Message par babaob »

So, :oops:

Voici ce que j'ai fait dans l'ordre

1) un coup de resetbrowser -> réinistialiser chrome seulement, succès, quitté resetbrowser
2) copier le code frst64 dans un fichier fixlist.txt, dans le même dossier que frst =>dans le bureau (ce n'était pas précisé dans les instructions, j'avoue que ça m'a fait chaud au coeur de savoir que des instructions même imparfaites m'étaient destinées :o (j'ai moi aussi un site d'aide en informatique, so... :oops: )
3) frst : corriger, terminé sans erreur, redémarré à la demande du logiciel
4) upload du rapport fixlog :super:
Fichiers joints

[L’extension txt a été désactivée et ne peut plus être affichée.]

babaob
Messages : 8
Enregistré le : jeu. 14 sept. 2017 10:50
Etes vous un robot ? : Non

Re: Publicités injectées dans le navigateur Chrome seulement

Message par babaob »

chantal11 a écrit :
babaob a écrit : OBJECTION ! je suis arrivé après la guerre, sinon je n'aurais pas seulement décoché, mais surtout même pas installé ces logiciels en question...)
J'ai bien précisé "cet utilisateur" ..... je n'ai pas dit que c'était toi :mrgreen:
alors là je réponds juste :
chantal11 a écrit :Bonjour,
Effectivement, un système bien chargé.
Infection par adwares/hijackers qui se sont installés avec le consentement de cet utilisateur, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.
hm hm... :cry:

ce windows n'est pas activé, il fonctionne en version d'essai qui a dépassé les 30 jours d'essai
Au lieu de réinstaller windows 7 avec la partition de 14GB intégrée (j'ai vérifié dans gestion de l'ordinateur, la aprtition existe toujours...), le "technicien" lui a juste mis un iso de windows 7 sans license....
Oui, mais c'est une version Ultimate qui a été installée, qui ne correspond certainement pas à la version installée d'origine sur le PC.
L'utilisateur (ou toi) va être obligé de repartir d'une ré-installation complète pour utiliser sa clé licence.
Je ne vois donc pas l'intérêt de désinfecter un système qui va être réinstallé ?
Bah l'utilisateur est un impatient paresseux voilà, formater ça prend trop de temps sans parler des MAJ, surtout si c'est quelqu'un d'autre qui le fait :hein:
Et aussi car je ne sais pas si je pourrais réinstaller windows à partir de cette partition (je n'ai pas réfléchi à cette question :lol: )

Et puis c'était fun j'ai appris pas mal de trucs :super: Formater, c'est fuir face à l'ennemi, pas acceptable pour un fan d'informatique :super: Maintenant, je peux formater cet ordi l'esprit tranquille, sans regret :jesors:

Sans faire de publicité j'ai un site d'informatique qui contient mon pseudo entre autres, pas difficile à trouver à l'aide de notre moteur de recherche bien aimé :oops: (mais pas de désinfection donc NON je ne suis pas un rival :jesors: )

Ah oui, évidemment le problème est réglé, mais bon tu devais t'en douter donc j'ai oublié de le dire.
Enfin bref, merciiii/arigato/thank you pour ton aide et ton temps, si tu n'as rien à ajouter, the problem is [solved] :coucou:

EDIT : après "discussion entre personnes raisonnables" je vais sans doute lui faire une réinstallation d'usine, si j'y arrive :D
EDIT 2 : avec F10 au démarrage de l'ordi j'ai accès à SONY Vaio Care et je peux factory reset :) plus qu'à backup toutes les données (en évitant les virus/malwares) et c'est bon :)
Avatar du membre
chantal11
Messages : 13609
Enregistré le : dim. 11 janv. 2009 15:14
Localisation : Aude
Contact :

Re: Publicités injectées dans le navigateur Chrome seulement

Message par chantal11 »

Re,
Ah oui, évidemment le problème est réglé
C'est parfait :super:

copier le code frst64 dans un fichier fixlist.txt, dans le même dossier que frst =>dans le bureau (ce n'était pas précisé dans les instructions, j'avoue que ça m'a fait chaud au coeur de savoir que des instructions même imparfaites m'étaient destinées
Ce n'est pas du tout la procédure que je t'ai indiqué.
Ma procédure était beaucoup plus simple ..... il y a 3 procédures pour appliquer un correctif FRST.
C'est quand même mieux quand l'utilisateur suit les instructions sans initiative personnelle, surtout en désinfection, tu devrais le savoir puisque tu dis gérer un site d'entraide informatique.

Nous pouvons donc finaliser la procédure.

---------------------------------------------------------------------------------------------

Quarantaine de Malwarebytes :
  • Lance Malwarebytes (clic droit exécuter en tant qu'administrateur)
  • Dans l'onglet Quarantaine, sélectionne tout et clique sur Supprimer
---------------------------------------------------------------------------------------------

DelFix :
  • Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
  • Double-clique sur l'icône Delfix.exe pour lancer l'outil
    /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, coche uniquement les options
    - Supprimer les outils de désinfection
    - Purger la restauration système
  • Clique ensuite sur Exécuter et laisse l'outil travailler
    Image
  • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\DelFix.txt
---------------------------------------------------------------------------------------------

Quelques précisions et conseils :
  • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.

    /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

    /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
    Installation d'une application sponsorisée, les pièges à éviter !

    /!\ Sauvegarder régulièrement les données personnelles sur un support externe

    /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
    Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
    Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
    Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
    SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système
  • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


    /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
    Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
N'hésite pas si tu as des questions.
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
babaob
Messages : 8
Enregistré le : jeu. 14 sept. 2017 10:50
Etes vous un robot ? : Non

Re: Publicités injectées dans le navigateur Chrome seulement

Message par babaob »

chantal11 a écrit :Re,

C'est quand même mieux quand l'utilisateur suit les instructions sans initiative personnelle, surtout en désinfection, tu devrais le savoir puisque tu dis gérer un site d'entraide informatique.
Image
en fait je gère pas de forum c'est un site composé de tutoriels écrits by me :oops:
[PUB ON] http://babaob.kazeo.com/ [/PUB OFF]
copier le code frst64 dans un fichier fixlist.txt, dans le même dossier que frst =>dans le bureau (ce n'était pas précisé dans les instructions, j'avoue que ça m'a fait chaud au coeur de savoir que des instructions même imparfaites m'étaient destinées
Ce n'est pas du tout la procédure que je t'ai indiqué.
Ma procédure était beaucoup plus simple ..... il y a 3 procédures pour appliquer un correctif FRST.
C'est quand même mieux quand l'utilisateur suit les instructions sans initiative personnelle, surtout en désinfection, tu devrais le savoir puisque tu dis gérer un site d'entraide informatique.

Nous pouvons donc finaliser la procédure.
blablabla Delfix blablabla

N'hésite pas si tu as des questions.
je vais le faire, puis parallèlement je backup les données -> then F10 factory reset :)
Répondre