Fenêtres <shorte.st> intempestives

[nerval]

Bonjour à tous,

Depuis plusieurs jours, Firefox se lance tout seul sur une page shorte.st.

J'ai passé le PC au crible avec Malwarebytes Anti-Malware (MBAM), Spybot, RogueKiller, CCleaner et Hitman.

Rien à faire.

J'ai désinstaller firefox pour le réinstaller à partir d'une nouvelle version prise sur le site officiel. J'ai vidé le cache, réparer... J'ai supprimer tous les Addons...

J'ai vidé le contenu du répertoire temporaire de Windows.

Rien ne marche et je ne sais plus quoi faire...

Voici les rapports FRST, ADDITION et SHORTCUT.

https://pjjoint.malekal.com/files.php?i ... 11u6w10g10

https://pjjoint.malekal.com/files.php?i ... 5d13u148t6

https://pjjoint.malekal.com/files.php?i ... g13q5i5s11

La seule solution que je vois serait de tout réinstaller, mais franchement, j'aimerais éviter, d'autant plus que je ne sais pas où j'ai pu choper ce truc et que j'aimerais bien le savoir.

Merci pour ceux qui prendront le temps de m'aider,

[Malekal_morte]

Salut,

Spybot est inefficace, tu peux le désinstaller, ça encombre Windows pour rien.
RogueKiller n'est pas non plus très approprié pour ce type d'infection, comme les analyses régulières avec sont inutiles, tu peux le désinstaller.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {6D20F44C-8968-4321-8EFD-D5BA2E1ED808} - \PPI Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[nerval]

Hello,

Merci beaucoup pour ton retour rapide !

Voila le contenu du fichier généré :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-07-2017
Exécuté par Mat (03-08-2017 21:12:24) Run:1
Exécuté depuis C:\Users\Mat\Desktop
Profils chargés: Mat (Profils disponibles: Mat)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {6D20F44C-8968-4321-8EFD-D5BA2E1ED808} - \PPI Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6D20F44C-8968-4321-8EFD-D5BA2E1ED808} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6D20F44C-8968-4321-8EFD-D5BA2E1ED808} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PPI Update => clé non trouvé(e).
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3791723194-4286119013-395103170-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3791723194-4286119013-395103170-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 297772652 B
Java, Flash, Steam htmlcache => 1064 B
Windows/system/drivers => 2095723 B
Edge => 31642645 B
Chrome => 45808870 B
Firefox => 307811519 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 10758 B
NetworkService => 14188 B
Mat => 447284776 B

RecycleBin => 0 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 21:13:39 ====

Je note qu'il a complètement remis à zéro mon fichier host.

Au moment du redémarrage il y a eu un bug, une fenêtre illisible ou j'ai du clické sur un bouton sans aucune inscription.

Je laisse tourner, voir si des fenêtres se lancent de nouveau.

Encore merci pour l'aide.

[Malekal_morte]

Ca roule =)

[nerval]

Par curiosité, où était le problème ? Et comment j'ai chopé ça ?

[Malekal_morte]

Surement un crack ou autre téléchargement malheureux.
Tu ne te souviens pas avoir téléchargé un truc tordu ?

[nerval]

Si, plein... Mais c'est la première fois que je récupère ça et surtout, que je n'arrive pas à me débarrasser d'un adware par un des logiciels ci-dessus.

J'ai laissé tourné la nuit, et ce matin je n'avais aucune fenêtre.

Je crois bien que tu as réussi et franchement, trop trop merci. Parce que j'étais sur le point de tout remettre à plat.

You're the best.

[Malekal_morte]

good =)

Tu peux supprimer le dossier C:\FRST =)

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[Isco19]

Bonjour,
J'ai un problème identique à celui exposé dans ce topic. J'ai suivi les démarches qui ont été exposés plus haut et le logiciel m'a générer ce fichier texte :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14.03.2018
Exécuté par Albert (05-04-2018 19:12:43) Run:1
Exécuté depuis C:\Users\Albert\Desktop
Profils chargés: Albert (Profils disponibles: Albert)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {6D20F44C-8968-4321-8EFD-D5BA2E1ED808} - \PPI Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6D20F44C-8968-4321-8EFD-D5BA2E1ED808} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PPI Update => impossible à supprimer. Accès refusé.
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3050616751-841510993-453300533-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3050616751-841510993-453300533-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 41557891 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 80618584 B
Firefox => 87150930 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 101102 B
systemprofile32 => 66228 B
LocalService => 0 B
NetworkService => 0 B
Albert => 4003590 B

RecycleBin => 4488391426 B
EmptyTemp: => 4.4 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 05-04-2018 19:15:30)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6D20F44C-8968-4321-8EFD-D5BA2E1ED808} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PPI Update => impossible à supprimer. Accès refusé.

==== Fin de Fixlog 19:15:31 ====




Il ne ressemble pas trop à celui qui a été posté par la personne qui avait le même problème. Du coup, pouvez-vous me dire si cela a tout de même fonctionner ? Ou de quel façon je dois procéder pour arriver à éradiquer cet adware ?

Merci

[angelique]

Bonjour/Bonsoir,

Il ne faut pas utiliser le script de correction d'une autre machine!

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.