Infection navigateur Chrome popup zerohorizon.net

[esox13]

Salut,

Depuis quelques temps, j'ai un onglet correspondant au site zerohorizon.net qui s'ouvre sans raison dans mon navigateur chrome. Ceci ce produit à intervalle régulier sans aucune interaction de ma part.
J'ai tenté une réinitialisation de chrome ainsi qu'un scan avec ZHPCleaner mais cela n'a pas réglé le problème...
Merci de votre aide:

Voici les liens des rapports FRST :
https://pjjoint.malekal.com/files.php?i ... 8r12d812u5
https://pjjoint.malekal.com/files.php?i ... 10y10w11m8
https://pjjoint.malekal.com/files.php?i ... e5w98z9g12

[Malekal_morte]

CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\isuspm.exe [324976 2010-05-21] (Flexera Software, Inc.) 
C:\ProgramData\FLEXnet
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
C:\Users\guill\AppData\Local\AXIOM
C:\Users\guill\AppData\Local\AXIOM\amfcflybpnsuydsdwhchlhejwczpwgdb
C:\Users\guill\AppData\Local\AXIOM\amhbpwwybslffhpbjwlghdhnslunbcfn
C:\Users\guill\AppData\Local\AXIOM\amhpsyhpnbsbcdjjnlnhegdgnelwbnbj
C:\Users\guill\AppData\Local\AXIOM\amllysynunblpnncehdcbbffwpjlglzz
C:\Users\guill\AppData\Local\AXIOM\amydljyznzblbnwdujclcsgpdhzyfhjj
C:\Users\guill\AppData\Local\AXIOM\amzefgpyspnlubhlhlybubypylhufhlu
C:\Users\guill\AppData\Local\AXIOM\n\amhbpwwybslffhpbjwlghdhnslunbcfn
C:\Users\guill\AppData\Local\AXIOM\n\amhpsyhpnbsbcdjjnlnhegdgnelwbnbj
C:\Users\guill\AppData\Local\AXIOM\n\amllysynunblpnncehdcbbffwpjlglzz
C:\Users\guill\AppData\Local\AXIOM\n\amydljyznzblbnwdujclcsgpdhzyfhjj
C:\Users\guill\AppData\Local\AXIOM\n
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint


~~

Rien à voir mais :

Error: (09/18/2018 03:50:39 PM) (Source: Ntfs) (EventID: 55) (User: AUTORITE NT)
Description: Une défaillance a été détectée dans la structure du système de fichiers sur le volume G:.

Un checkdisk sur le disque G est nécessaire.

[esox13]

Merci pour tous ces conseils et désolé pour le délai de réponse mais comme je suis en Guadeloupe on a 6 heures de décallage ;)
Donc voici le contenu du Fixlog.txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15.09.2018
Exécuté par guill (19-09-2018 09:35:38) Run:1
Exécuté depuis C:\Users\guill\Desktop
Profils chargés: guill (Profils disponibles: defaultuser0 & guill)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\isuspm.exe [324976 2010-05-21] (Flexera Software, Inc.)
C:\ProgramData\FLEXnet
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
C:\Users\guill\AppData\Local\AXIOM
C:\Users\guill\AppData\Local\AXIOM\amfcflybpnsuydsdwhchlhejwczpwgdb
C:\Users\guill\AppData\Local\AXIOM\amhbpwwybslffhpbjwlghdhnslunbcfn
C:\Users\guill\AppData\Local\AXIOM\amhpsyhpnbsbcdjjnlnhegdgnelwbnbj
C:\Users\guill\AppData\Local\AXIOM\amllysynunblpnncehdcbbffwpjlglzz
C:\Users\guill\AppData\Local\AXIOM\amydljyznzblbnwdujclcsgpdhzyfhjj
C:\Users\guill\AppData\Local\AXIOM\amzefgpyspnlubhlhlybubypylhufhlu
C:\Users\guill\AppData\Local\AXIOM\n\amhbpwwybslffhpbjwlghdhnslunbcfn
C:\Users\guill\AppData\Local\AXIOM\n\amhpsyhpnbsbcdjjnlnhegdgnelwbnbj
C:\Users\guill\AppData\Local\AXIOM\n\amllysynunblpnncehdcbbffwpjlglzz
C:\Users\guill\AppData\Local\AXIOM\n\amydljyznzblbnwdujclcsgpdhzyfhjj
C:\Users\guill\AppData\Local\AXIOM\n
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ISUSPM" => supprimé(es) avec succès
C:\ProgramData\FLEXnet => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\User => déplacé(es) avec succès
C:\Users\guill\AppData\Local\AXIOM => déplacé(es) avec succès
"C:\Users\guill\AppData\Local\AXIOM\amfcflybpnsuydsdwhchlhejwczpwgdb" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\amhbpwwybslffhpbjwlghdhnslunbcfn" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\amhpsyhpnbsbcdjjnlnhegdgnelwbnbj" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\amllysynunblpnncehdcbbffwpjlglzz" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\amydljyznzblbnwdujclcsgpdhzyfhjj" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\amzefgpyspnlubhlhlybubypylhufhlu" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\n\amhbpwwybslffhpbjwlghdhnslunbcfn" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\n\amhpsyhpnbsbcdjjnlnhegdgnelwbnbj" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\n\amllysynunblpnncehdcbbffwpjlglzz" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\n\amydljyznzblbnwdujclcsgpdhzyfhjj" => non trouvé(e)
"C:\Users\guill\AppData\Local\AXIOM\n" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-747295788-2581328676-693535155-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-747295788-2581328676-693535155-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 74219380 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/drivers => 7501776 B
Edge => 3424093 B
Chrome => 41976346 B
Firefox => 253277521 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
LocalService => 0 B
NetworkService => 6982 B
NetworkService => 0 B
defaultuser0 => 0 B
guill => 49044250 B

RecycleBin => 4342298 B
EmptyTemp: => 424 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 09:36:21 ====

[Malekal_morte]

ok fais bien le reste.

[esox13]

Et les liens des nouveaux rapports FRST :
https://pjjoint.malekal.com/files.php?i ... 5x15o13g11
https://pjjoint.malekal.com/files.php?i ... s7k10y9j13
https://pjjoint.malekal.com/files.php?i ... g7i12d9b14

[Malekal_morte]

As-tu fais l'analyse Malwarebytes ?
Il a détecté des choses ?

[esox13]

Oui j'ai fait le scan MalwareByte et il a détecté une dizaine de problèmes qui ont été mis en quarantaine.

[Malekal_morte]

ok vois si zerohorizon.net continue de s'ouvrir.

[esox13]

Ok je vérifie ça et te tiens au courant...
Merci encore.

[esox13]

Aïe, malheureusement je viens de m’apercevoir que la page zerohorizon.net vient de réapparaître...
Je ne sais plus quoi faire, mais une réinstallation de Windows, si je pouvais éviter...

[Malekal_morte]

c'est le même chose que là je pense : viewtopic.php?f=3&t=55387
Je n'ai jamais pu trouver la source.

La seule chose qui pourrait aider est de faire tourner procmon jusqu'à avoir la page qui s'ouvre puis de regarder ce qui la lance : https://www.malekal.com/procmon-surveil ... plication/

[esox13]

Oui effectivement ça y ressemble bien. Pour info, les onglets qui s'ouvrent intempestivement, il arrive parfois que ce ne soit pas la page zerohorion.net mais la page de recherche Google (google.com).
J'avais bien lançé Procmon lors de la dernière ouverture d'onglet. J'ai ensuite immédiatement arrêté l'enregistrement puis mis un filtre sur le PID lié au processus chrome.exe. J'ai plus de 1000 evenements. Que dois-je faire pour tenter d'isoler la source de l'ouverture intempestive ?

[Malekal_morte]

Dans le menu fichier, tu peux enregistrer le rapport.
Mets le en ligne pour que je puisse voir.
Après il faut être sûr que tu as bien eu la popup zerohorizon au moment où procmon était lancé.
Sinon tes évènements chrome.exe sont simplement liés à ton utilisation de Chrome.

[Malekal_morte]

Envoie le fichier C:\ProgramData\Microsoft\Windows\WER\wermgr.exe
sur http://upload.malekal.com


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [wermgr] => C:\ProgramData\Microsoft\Windows\WER\wermgr.exe [6786560 2015-01-09] (Microsoft Corporation)
 C:\ProgramData\Microsoft\Windows\WER
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[esox13]

J'ai uploadé le fichier wermgr.exe. Par contre je ne t'ai pa envoyé le fichier événements de procmon car celui-ci fait plus de 2Go.
J'ai aussi tenté de désinstaller complètement Chrome puis de le réinstaller. Pour l'instant cela à l'air de tenir mais je viens de m'apercevoir d'autre chose qui n'a peut être rien à voir mais j'ai des extensions Mail.ru qui se sont installées toutes seules au premier lancement de Chrome. (Après la réinstallation).
sinon voici le Fixlog.txt de FRST :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15.09.2018
Exécuté par guill (20-09-2018 08:06:39) Run:2
Exécuté depuis C:\Users\guill\Desktop
Profils chargés: guill (Profils disponibles: defaultuser0 & guill)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [wermgr] => C:\ProgramData\Microsoft\Windows\WER\wermgr.exe [6786560 2015-01-09] (Microsoft Corporation)
C:\ProgramData\Microsoft\Windows\WER
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\wermgr" => non trouvé(e)

"C:\ProgramData\Microsoft\Windows\WER" dossier déplacer:

Impossible de déplacer "C:\ProgramData\Microsoft\Windows\WER" => Planifié pour déplacement au redémarrage.

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-747295788-2581328676-693535155-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-747295788-2581328676-693535155-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21346859 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 418792 B
Edge => 11241257 B
Chrome => 12677775 B
Firefox => 110262697 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
LocalService => 0 B
NetworkService => 1816 B
NetworkService => 0 B
defaultuser0 => 0 B
guill => 617850690 B

RecycleBin => 15035120 B
EmptyTemp: => 762.6 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 20-09-2018 08:08:12)

C:\ProgramData\Microsoft\Windows\WER => a été déplacé(e) avec succès

==== Fin de Fixlog 08:08:12 ====