Virus chercheztout.com

[Tropoyen]

Bonjours a tous je me suis penché (enfin) sur mon petit problème, je cherche depuis environ 10h ce matin et n'ayant rien trouvé par moi même, je me décide donc a vous embêté un petit peu ^^

alors je vous explique mon problème, j'ai branché il y a quelque Temp une clé USB sur mon pc qui était infecté (que j'ai réussi a désinfecté via "USBfix").

Depuis quand j’allume mon PC j'ai des raccourcis Google Chrome et Internet Explorer qui aparaisse, avec pour cible :
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://chercheztout.com/tram/120

j'ai résolu l’apparition de celui d'internet explorer en Désactivant Internet Explorer de Windows 10, après désinstalation et réinstalation de Google Chrome, pas de changement.

J'ai lancé des scan Avast, MalwareBytes, ZHP Cleaner, et rien a faire.

Je suis tombé sur ce topic qui ma l'aire vraiment similaire a mon problème : viewtopic.php?t=57008&start=


Donc je vous sollicite pour m'aidé a résoudre ce problème

Lien des rapport FRST :
FRST : http://pjjoint.malekal.com/files.php?id ... 5s12h8m8t6
Addition : http://pjjoint.malekal.com/files.php?id ... 12g15o10m6
Shortcut : http://pjjoint.malekal.com/files.php?id ... 5t15s12h12


Merci d'avance

[angelique]

Bonjour,


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton ➫ http://telecharger.malekal.com/download/marmiton/
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.



Désinstalle:

- Driver Booster 4.1 (HKLM-x32\...\Driver Booster_is1) (Version: 4.1.0 - IObit)

- IObit Uninstaller (HKLM-x32\...\IObitUninstall) (Version: 6.1.0.20 - IObit)

- AVG PC TuneUp (HKLM-x32\...\AVG PC TuneUp) (Version: 16.74.2.60831 - AVG Technologies)

Depuis quand j’allume mon PC j'ai des raccourcis Google Chrome et Internet Explorer qui aparaisse, avec pour cible :
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://chercheztout.com/tram/120

j'ai résolu l’apparition de celui d'internet explorer en Désactivant Internet Explorer de Windows 10, après désinstalation et réinstalation de Google Chrome, pas de changement.

Tu as verifié le champs cible dans les propriétéés du raccourci ? lire ➯ Nettoyage des raccourcis de lancement de Google Chrome en bas de page presque viewtopic.php?t=35837&start=

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Task: {367F4137-EC5D-4946-949F-3481081DB613} - System32\Tasks\Driver Booster SkipUAC (Tropoyen) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe [2016-11-14] (IObit)
  Task: {3AA837AC-E14A-4B4E-A962-1C651248B736} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe [2017-02-21] (AVG Technologies CZ, s.r.o.)
  Task: {4B409C39-83B9-40D5-BA91-7628F8AD8FE6} - System32\Tasks\Uninstaller_SkipUac_Tropoyen => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2016-11-01] (IObit)
  Task: {901C93C7-4C8D-41DE-9800-57677BAF9DFB} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\Scheduler.exe [2016-11-08] (IObit)
  Task: {CE606993-347F-4C86-A9D2-016B07D1357D} - System32\Tasks\AVG EUpdate Task => avgsetupx.exe 
  Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Tropoyen.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
  ShortcutWithArgument: C:\Users\tropo\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://chercheztout.com/tram/120
  FirewallRules: [{A3AF31BC-5343-449A-8A2B-7C6C8B2C9F43}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
  FirewallRules: [{36AC4FAA-171F-4492-950E-8F7170C40D95}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
  FirewallRules: [{5260DCEC-4DE0-4825-ADA6-2D0127AECAA6}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DBDownloader.exe
  FirewallRules: [{B3AA42EF-D80B-40E5-B77D-6F9DA8AF6988}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DBDownloader.exe
  FirewallRules: [{97FE8969-ED18-4607-8D6C-81ADEC0696D4}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\AutoUpdate.exe
  FirewallRules: [{0E1ACC0A-B42F-4601-9F25-84E1C6014394}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\AutoUpdate.exe
  HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176440 2017-01-19] (Apple Inc.)
  CHR Extension: (Adblock pour Youtube™) - C:\Users\tropo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmedhionkhpnakcndndgjdbohmhepckk [2017-04-01]
  2017-04-01 11:21 - 2017-04-01 11:21 - 00003300 _____ C:\WINDOWS\System32\Tasks\{2B0F69C7-539C-4D38-9760-E8190E8FE856}
  
  Hosts:
  RemoveProxy:
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[Tropoyen]

Merci beaucoup de ta réponse plus que claire !!
je ferai tout ce que tu ma dit se soir quand je rentrerai, et je te tiendrai informé !

[Tropoyen]

Voila j'ai exécuté a la lettre ce que tu ma demandé de faire ! (et après le redémarage effectué par FRST, aucun racourcé Google chrome n'est apparu) !

Voila le raport :

Fixlog : http://pjjoint.malekal.com/files.php?id ... 15w11j14i5


EDIT : Après un redémarage, réaparition d'un racourci chrome, j'avai pourtan fait "Nettoyage des raccourcis de lancement de Google Chrome" en suivant le lien que tu m'a donné, d'ailleur "SC Cleaner" n'avai rien trouvé
et comme je l'avai mi dans mon premier post, la cible du racourci qui aparai est :
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://chercheztout.com/tram/120

mais meme en modifiant cette cible, cela ne change rien

et mon racourci de base situé dans ma barre des taches a quand a lui une cible normale

[angelique]

Normal, ton rapport frst date du 15 Mars

Résultats d'analyse de Farbar Recovery Scan Tool (FRST) (x64) Version: 15-03-2017

donc trop vieux !!!

faut refaire en date récente.

[Tropoyen]

Mon raport ne date pas du 15 mars il date du 1er avril, le 15-03-17 c'est la date de la dernière version de mon FRST

Et j'ai cherché et je ne trouve pas de version plus récente de FRST :S meme sur le site malekal etc..

[angelique]

Ah oui pardon c'est dimanche matin
Exécuté par Tropoyen (administrateur) sur TROPOYEN-PC (01-04-2017 14:58:52)

Tu refais quand même 2 nouveaux rapports car si ça revient après que tu as modifié le champs cible des propriétés du raccourci , c’est que un truc le remet


Par contre c'est toi qui a crée ces fichiers ?

Startup: C:\Users\tropo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpTropoyen.lnk [2017-04-01]
ShortcutTarget: HelpTropoyen.lnk -> C:\Tropoyen\Tropoyenhost.exe (Microsoft Corporation)
Startup: C:\Users\tropo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualTropoyen.lnk [2017-04-01]
ShortcutTarget: ManualTropoyen.lnk -> D:\Tropoyen\Tropoyenhost.exe (Microsoft Corporation)

[Tropoyen]

Haha pas de problème ! effectivement c'est dimanche ^^

voila mes nouveau rapport :

FRST : http://pjjoint.malekal.com/files.php?id ... 714c14y135
Addition : http://pjjoint.malekal.com/files.php?id ... 4l8e8y11v8
Shortcut : http://pjjoint.malekal.com/files.php?id ... z6t12c15j7

[Tropoyen]

et non ce n'es pas moi qui est créé c'est fichier ! et il me semble que dans ce topic la : viewtopic.php?t=57008&start=

le virus venai de c'est fichier justement

[angelique]

J'espère que ça va être la bonne cette fois

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Startup: C:\Users\tropo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpTropoyen.lnk [2017-04-02]
  ShortcutTarget: HelpTropoyen.lnk -> C:\Tropoyen\Tropoyenhost.exe (Microsoft Corporation)
  Startup: C:\Users\tropo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualTropoyen.lnk [2017-04-02]
  ShortcutTarget: ManualTropoyen.lnk -> D:\Tropoyen\Tropoyenhost.exe (Microsoft Corporation)
  Task: {1B17E072-C387-4989-A7BB-CD187C2A77B3} - \{2B0F69C7-539C-4D38-9760-E8190E8FE856} -> Pas de fichier <==== ATTENTION
  ShortcutWithArgument: C:\Users\tropo\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://chercheztout.com/tram/120
  ShortcutWithArgument: C:\Users\tropo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Applications Chrome\Bureau à distance Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=gbchcmhmhahfdphkhkmpfmihenigjmpp
  CHR Extension: (Adblock pour Youtube™) - C:\Users\tropo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmedhionkhpnakcndndgjdbohmhepckk [2017-04-01]
  2017-04-01 22:20 - 2016-11-29 23:56 - 00000000 ____D C:\Users\tropo\AppData\Roaming\IObit
  2017-04-01 22:17 - 2016-11-29 23:56 - 00000000 ____D C:\Program Files (x86)\IObit
  2017-04-01 22:15 - 2016-11-29 23:56 - 00000000 ____D C:\ProgramData\ProductData
  C:\Tropoyen\Tropoyenhost.exe
  D:\Tropoyen\Tropoyenhost.exe
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[Tropoyen]

Voila c'est fait :

Fixlog : http://pjjoint.malekal.com/files.php?id ... d8e9f11e13

[Tropoyen]

Bon et bien après plusieurs redémarrage aucun raccourcit n'est apparu donc je pense que c'est réglé !
j'ai re-désinfectée mes clée USB et je les est vacciné avec UsbFix

es ce que je peu maintenan réinstalé mes logiciel sans problème : "AVG TuneUp" et "Iobit Uninstaler" ?

en tout cas je te remerci vraiment du temp que tu a pris pour résoudre mon problème !!!!!!!!!!!!!!!!!

[angelique]

tu pourras alors supprimer frst, ses rapports et sa quarantaine c:\FRST

es ce que je peu maintenant réinstaller mes logiciel sans problème : "AVG TuneUp" et "Iobit Uninstaler" ?

Bah non surtout pas , ça sert à rien à part alourdir le système.Privilégie les outils déjà intégrés à Ѡindows ( exécuter➯cleanmgr et l’outil de défragmentation déjà intégré)

[Tropoyen]

très bien c'est noté Merci encore !!!!
en espérant ne plus jamais vous sollicité ^^

[babar31]

Bonjour,

Je n'arrive pas à me débarrasser du trojan "chercheztout".
J'ai essayé la procédure que vous avez proposé à Angélique le 01/04/2017 mais sans succès !
Pouvez-vous m'aider, svp ?

Merci.