Infection à 9o0gle.com : partage scan FRST

tomworker · par **tomworker** » 02 nov. 2016 16:20

Bonjour,

En vadrouillant sur internet je me suis retrouvé infecté par "LuShaDi" et le fameux "9o0gle.com" qui réécrit la direction de mes liens internet en permanence.

Après être passé par MalwareBytes, Adwcleaner, la réinitialisation des moteurs de recherche ZHPcleaner, Ccleaner et le smartscan Avast j'ai partiellement résolu le gros des soucis. LuDashi semble avoir disparu mais je me retrouve avec une barre des tâches qui ne se masque plus quand je lance une application plein écran, et le menu démarrer de window 10 qui ne fonctionne plus (clique gauche). Je pense que c'est dû à des dossiers, fichiers et registres mis en quarantaine par Adwcleaner.

Après recherches j'ai réalisé que le problème était assez connu et je sollicite votre bienveillance pour me venir en aide.

Voici le rapport de ADWcleaner après redémarrage :

Code : Tout sélectionner

# AdwCleaner v6.030 - Rapport créé le 02/11/2016 à 16:10:13
# Mis à jour le 19/10/2016 par Malwarebytes
# Base de données : 2016-11-02.1 [Serveur]
# Système d'exploitation : Windows 10 Home  (X64)
# Nom d'utilisateur : Googix - KOLOSSO
# Exécuté depuis : C:\Users\Googix\Desktop\adwcleaner_6.030.exe
# Mode: Nettoyage
# Support : hxxps://www.malwarebytes.com/support



***** [ Services ] *****



***** [ Dossiers ] *****



***** [ Fichiers ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Raccourcis ] *****

[-] Raccourci désinfecté: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
[-] Raccourci désinfecté: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[-] Raccourci désinfecté: C:\Users\Googix\Desktop\chrome.exe - Raccourci.lnk
[-] Raccourci désinfecté: C:\Users\Googix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
[-] Raccourci désinfecté: C:\Users\Googix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[-] Raccourci désinfecté: C:\Users\Googix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk


***** [ Tâches planifiées ] *****



***** [ Registre ] *****



***** [ Navigateurs ] *****



*************************

:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [13774 octets] - [15/10/2015 15:44:41]
C:\AdwCleaner\AdwCleaner[C2].txt - [43828 octets] - [01/11/2016 18:07:19]
C:\AdwCleaner\AdwCleaner[C3].txt - [3388 octets] - [01/11/2016 18:20:47]
C:\AdwCleaner\AdwCleaner[C4].txt - [3112 octets] - [01/11/2016 18:32:53]
C:\AdwCleaner\AdwCleaner[C5].txt - [4361 octets] - [01/11/2016 23:10:08]
C:\AdwCleaner\AdwCleaner[C6].txt - [2947 octets] - [01/11/2016 23:48:26]
C:\AdwCleaner\AdwCleaner[C7].txt - [3271 octets] - [02/11/2016 11:38:11]
C:\AdwCleaner\AdwCleaner[C8].txt - [1993 octets] - [02/11/2016 16:10:13]
C:\AdwCleaner\AdwCleaner[S1].txt - [13979 octets] - [15/10/2015 15:43:10]
C:\AdwCleaner\AdwCleaner[S2].txt - [38671 octets] - [01/11/2016 17:57:54]
C:\AdwCleaner\AdwCleaner[S3].txt - [38429 octets] - [01/11/2016 18:02:26]
C:\AdwCleaner\AdwCleaner[S4].txt - [3541 octets] - [01/11/2016 18:18:34]
C:\AdwCleaner\AdwCleaner[S5].txt - [2913 octets] - [01/11/2016 18:32:17]
C:\AdwCleaner\AdwCleaner[S6].txt - [4468 octets] - [01/11/2016 23:09:45]
C:\AdwCleaner\AdwCleaner[S7].txt - [3297 octets] - [01/11/2016 23:48:08]
C:\AdwCleaner\AdwCleaner[S8].txt - [3711 octets] - [02/11/2016 11:37:51]
C:\AdwCleaner\AdwCleaner[S9].txt - [3471 octets] - [02/11/2016 16:09:02]

########## EOF - C:\AdwCleaner\AdwCleaner[C8].txt - [2736 octets] ##########

Voici le scan FRST http://pjjoint.malekal.com/files.php?id ... l8f9p6o7j8
Voici le can Shortcut http://pjjoint.malekal.com/files.php?id ... 7f5o5c12j8
Voici le scan addition http://pjjoint.malekal.com/files.php?id ... s12f13t7d6

par **Malekal_morte** » 02 nov. 2016 17:01

Salut,

Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
2016-11-01 17:41 - 2016-11-01 17:41 - 00000000 ____D C:\Users\Googix\AppData\Local\UCBrowser
2016-11-01 17:38 - 2016-11-01 17:39 - 00000000 __SHD C:\Users\Googix\AppData\Local\svchost
2016-11-01 17:38 - 2016-10-18 15:58 - 00567808 _____ C:\WINDOWS\SysWOW64\chtbrkg.dll
2016-11-01 17:38 - 2016-10-18 15:57 - 00753152 _____ C:\WINDOWS\system32\chtbrkg.dll
2016-11-01 17:37 - 2016-11-01 17:37 - 00000000 ____D C:\WINDOWS\system32\SSL
2016-11-01 17:36 - 2016-11-01 19:09 - 00000000 ____D C:\Program Files (x86)\Ppaentnaput_
2016-11-01 17:36 - 2016-11-01 18:12 - 00000000 ____D C:\Program Files (x86)\Ppaentnaput
2016-11-01 17:36 - 2016-11-01 17:38 - 00000000 ____D C:\Users\Googix\AppData\Local\Cujusyshufeght
2016-11-01 17:36 - 2016-11-01 17:36 - 00000000 ____D C:\Users\Public\Thunder Network
2016-11-01 17:36 - 2016-11-01 17:36 - 00000000 ____D C:\ProgramData\Avg
ShortcutWithArgument: C:\Users\Googix\Desktop\chrome.exe - Raccourci.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Googix\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/
ShortcutWithArgument: C:\Users\Googix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Googix\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/
ShortcutWithArgument: C:\Users\Googix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Googix\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/
ShortcutWithArgument: C:\Users\Googix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/
ShortcutWithArgument: C:\Users\Googix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Googix\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/
Hosts:
EmptyTemp:
RemoveProxy:
Reboot

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

tomworker · par **tomworker** » 02 nov. 2016 17:17

Merci pour la réponse rapide. (Je me rends compte que la manipulation à faire est similaire pour beaucoup, je l'avais lu sur ccc...). Bien comprit pour spybot.

voici le rapport après correction de FRST :

http://pjjoint.malekal.com/files.php?id ... g11h8g11p6

Le menu démarrer de window 10 ne répond pas, le problème est-il lié ?

par **Malekal_morte** » 02 nov. 2016 17:32

oui il faut virer l'entrée WMI (ASEC)
puis nettoyer les racourcis de lancement qui forcent 9o0gle.com
si ça va bien, ça se remet plus dans les raccourcis de lancement et tu as la paix.

tomworker · par **tomworker** » 02 nov. 2016 18:16

Entendu,

Tu as peut être 2-3 étapes à me détailler pour m'aider à faire ça ? :sweating:

- Pour virer l'entrée WMI j'ai suivi cette manipulation, il n'y avait pas l'entrée ASEC. (Rien du tout en fait), je n'ai donc rien supprimé.

- J'ai édité les propriétés de tous les raccourcis de lancement.

Le Menu Démarrer ne fonctionne toujours pas. C'est une clef de registre qui doit être réparée ?

par **Malekal_morte** » 02 nov. 2016 19:02

La bonne procédure pour supprimer ASEC est là : http://forum.malekal.com/windows-ete-in ... ml#p419235

Le menu Démarrer qui ne fonctionne plus, ça n'a rien à voir.
=> http://www.commentcamarche.net/forum/af ... ils2016#19
=> Windows 10 : blocage Cortana, barre des tâches.

tomworker · par **tomworker** » 02 nov. 2016 22:47

Re-salut,

- J'ai suivi la bonne procédure, apparemment il n'y a plus rien à déclarer (ouf).
- J'ai utiliser Shorcut Cleaner : rien à déclarer non plus jusqu'ici (oufouf).

Voici le rapport : Shortcut Cleaner 1.4.6 by Lawrence Abrams (Grinler)

Code : Tout sélectionner

http://www.bleepingcomputer.com/
Copyright 2008-2016 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
 http://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Windows 10 Home 
Program started at: 11/02/2016 09:57:09 PM.

Scanning for registry hijacks:

 * No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\Googix\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

Searching C:\Users\Googix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Users\Public\Desktop\

Searching C:\Users\Googix\Desktop\

Searching C:\Users\Public\Desktop\


[b]0 bad shortcuts found.
[/b]
Program finished at: 11/02/2016 09:57:13 PM
Execution time: 0 hours(s), 0 minute(s), and 3 seconds(s)

En ce qui concerne le menu démarrer, je suis les procédures, je suis à : " Réparer Windows 10 sans perte de données " car les autres outils n'ont pas eu l'air de fonctionner. (je n'ai pas encore essayé : http://forum.malekal.com/cortana-erreur ... 53187.html)

J'éditerai tout ça quand j'aurais terminé.

Grand merci en tout cas pour la disponibilité, le travail présent sur le site et le forum est impressionnant !

par **Malekal_morte** » 03 nov. 2016 09:06

De rien.
Espérons que la réparation de Windows va faire le job.

tomworker · par **tomworker** » 03 nov. 2016 11:44

Résolu, tout est réglé !

Après la réinstallation Window 10 (environ 1h).

Grand merci !

par **Malekal_morte** » 03 nov. 2016 18:51

bravo

Malekal.com forum

Infection à 9o0gle.com : partage scan FRST

Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST

Re: Infection à 9o0gle.com : partage scan FRST