[résolu]Raccourcis vers "chercheztout.com"

[Mindalajinka]

Bonjour,

Comme déjà vu sur ce forum, mon pc s'est fait infecter via ma clé usb et j'ai maintenant 3 icônes de navigateur (IE, Firefox & Chrome) qui se créent sur mon bureau dès le démarrage et renvoient vers "chercheztout.com".
J'ai formaté ma clé usb et j'me suis débarrassé avec succès des saletés dessus mais pour mon pc je coince.

Aucun des scans que j'ai pu faire ne m'ont réglé le problème. Le seul qui trouve quelque chose est RogueKiller mais il ne trouve que les raccourcis du bureau...pas la source du problème.

Merci pour les coups de main que vous pourriez m'apporter!

Ci-joint les liens vers les rapports FRST :
Addition :
https://pjjoint.malekal.com/files.php?i ... i15z8k7d13
FRST :
https://pjjoint.malekal.com/files.php?i ... 14j8m8q7g8
Shortcut :
https://pjjoint.malekal.com/files.php?i ... 6b7b8q11f9

[angelique]

Bonjour/Bonsoir

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  ShortcutWithArgument: C:\Users\Jonathan\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://chercheztout.com/tram/120
  ShortcutWithArgument: C:\Users\Jonathan\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
  ShortcutWithArgument: C:\Users\Jonathan\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://chercheztout.com/tram/118
  ShortcutWithArgument: C:\Users\Jonathan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\internet explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
  Startup: C:\Users\Jonathan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpJonathan.lnk [2017-11-19]
  ShortcutTarget: HelpJonathan.lnk -> C:\Jonathan\Jonathanhost.exe (Microsoft Corporation)
  Startup: C:\Users\Jonathan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualJonathan.lnk [2017-11-19]
  ShortcutTarget: ManualJonathan.lnk -> D:\Jonathan\Jonathanhost.exe (Microsoft Corporation)
  Toolbar: HKLM-x32 - Pas de nom - {DEEB13D7-CEA9-45FB-B77C-E039BEC85221} -  Pas de fichier
  2017-11-19 14:18 - 2017-11-19 14:57 - 000000000 ____D C:\AdwCleaner
  Task: {CEDC2D86-8BBD-43C9-BC53-E3A19F1D9E4A} - System32\Tasks\{4774D579-5440-4A6A-ABBB-538CCA9CBFD3} => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe 
  2017-11-17 17:52 - 2017-11-17 17:52 - 000000000 ____D C:\WINDOWS\System32\Tasks\WPD
  Hosts:
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[Mindalajinka]

Merci pour ta réponse!

J'ai effectué la manip' et les 3 icônes sont toujours là après le redémarrage demandé par FRST.

Voici le rapport :
https://pjjoint.malekal.com/files.php?i ... 5y13v15p79

Si ça peut aider, j'ai un processus Jonathanhost.exe qui tourne et je ne le connais pas. J'ai eu une maj de Windows10 il y a quelques jours donc c'est peut-être un nouveau process dû à la maj.
https://pjjoint.malekal.com/files.php?i ... l6j8y11g15

[angelique]

Bah supprime les icônes, la correction a été faite avec frst.

ShortcutTarget: ManualJonathan.lnk -> D:\Jonathan\Jonathanhost.exe n'a rien à faire là, il a été viré normalement après la correction ?

sinon c'est mieux ?

[Mindalajinka]

J'voulais dire que les icônes reviennent toujours sur mon bureau après chaque (re)démarrage.

Concernant le process "Jonathanhost.exe", c'est pas mieux.
Alors même que le process est actif, il est introuvable à l'emplacement indiqué.
Pas de D:\Jonathan\Jonathanhost.exe ou de C:\Jonathan\Jonathanhost.exe.
https://pjjoint.malekal.com/files.php?i ... e10s14b6h6

A noter, si je supprime le process il ne se réactive pas avant le prochain (re)démarrage.


MAJ : en fait le "ManualJonathan.lnk" dans l'autostart location du process "Jonathanhost.exe" réapparaissait immédiatement après suppression.
J'ai supprimé le process "Jonathanhost.exe", puis supprimé le fichier "ManualJonathan.lnk" et aucun des deux n'est réapparu.

Après redémarrage du pc, les icônes ne reviennent pas et les deux autres ("Jonathanhost.exe" et "ManualJonathan.lnk") ne reviennent pas non plus.
Ca semble ok
Il y a moyen de vérifier si je n'ai aucun autre process parasite d'actif ?
Et comment je peux me protéger à l'avenir de clés usb vérolées ?

[angelique]

Ok cool alors.

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton ➫ http://telecharger.malekal.com/download/marmiton/
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

Tu peux supprimer frst, ses rapports et sa quarantaine C:\FRST

[Mindalajinka]

Merci pour ton aide