[Réglé] Ordinateur Infecté par chainthorn.com

[Martorana]

Bonsoir, je me suis apercu que l'ordinateur de mon père était affecter via le navigateur google chrome d'un logiciel malveillant nomé chainthorn.com

Celui controle si j'ai bien compris ce que mon père fait sur le navigateur et peut etre en dehors , il lui fait aussi apparaitre des pop-ups et à fait passer le navigateur en mode controler par entreprise, impossible de le déinstalé.

je suis pas contre un coup de main.

voici le rapport de malwarebytes (malheureusement inéficasse) https://cjoint.com/c/IHkq07WKbDR

et des captures écrans : https://image.noelshack.com/fichiers/20 ... 6038-1.png
https://image.noelshack.com/fichiers/20 ... 6038-2.png
https://image.noelshack.com/fichiers/20 ... 6039-3.png

merci de l'aide future.

[heracles]

Bonjour Martorana,


Un diagnostic afin de voir ce qui se passe sur ton PC afin d'écarter l'hypothèse d'une éventuelle infection.



Je vais te prendre en charge, n'effectue que les procédures demandées et ne télécharge rien d'autre pouvant fausser mon analyse. Tous les logiciels demandés sur cette désinfection seront à télécharger sur ton bureau et pas ailleurs.



Par défaut, le moteur de recherche que tu utilises télécharge les logiciels dans le répertoire Téléchargement (download)



Modification du téléchargement du logiciel FRST en fonction de ton navigateur.

Si tu utilises le navigateur Chrome

Modifie le dossier de téléchargement par défaut de Google Chrome

• Clique sur le menu Google Chrome dans la barre d'outils du navigateur
• Clique ensuite sur Paramètres ==> Afficher les paramètres avancés en bas de la page puis au paragraphe Téléchargements
• En face de Emplacement, clique sur modifier puis sélectionne le bureau comme destination et valide par OK
• Active vers la droite la case Toujours demander où enregistrer les fichiers si celle-ci est grisée.

Si tu utilises le navigateur Firefox

Modifie le dossier de téléchargement par défaut de Firefox

• Exécute firefox
• Clique sur l'icone en haut et à droite de la barre du menu
• clic sur options
• Dans l'onglet Général sous la rubrique fichiers et Applications, clique sur Parcourir puis sélectionne le bureau comme destination et valide par sélectionner un dossier
• coche la case Toujours demander ou enregistrer les fichiers

Si tu utilises le navigateur Edge

Pour Edge: par défaut, Edge télécharge les logiciels dans le dossier Download (téléchargement). Pour modifier ce dossier et le remplacer par le bureau, suivre les indication de ce lien.

• Ouvrir Microsoft Edge
• En haut et à droite de la barre des menu, clique sur l'icone ... puis sélectionne paramètres
• Dans la rubrique paramètres avancés, clique sur Afficher les paramètres avancés
• Sous la rubrique téléchargement, clique sur modifier puis sélectionne le bureau comme destination puis valide par sélectionner un dossier

Ensuite, effectue la procédure de diagnostic:

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\


Choisis ci-dessous la version compatible avec ton système (32 bits ou 64 bits)

Clique sur ce lien si tu ne sais pas: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

Important, Enregistre le logiciel de diagnostic FRST sur ton Bureau et pas ailleurs

Téléchargement de FRST.exe ou FRST64.exe en fonction de ta version Windows


Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, veille à ce que les cases demandées soient cochées puis clique sur Analyser et patiente le temps de l'analyse.
  
• Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse.
• A la fin du scan, un rapport FRST.txt s'ouvre.
• Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse.
• Les rapports sont enregistrés au même emplacement que l'outil, c'est à dire ton bureau et éventuellement C:\FRST\Logs

Sont attendus les rapports:

FRST.txt
Additions.txt
Shortcut.txt

Bonne journée

[Martorana]

Bonsoir et merci de ton aide ci-join les fichiers demandés.

https://cjoint.com/c/IHkr6WBMEqR
https://cjoint.com/c/IHkr7lKSZvR
https://cjoint.com/c/IHkr7IAtrhR

Cordialement.

[heracles]

Re,


J'analyse les rapports et je reviens d'ici 1 heure

A+

[heracles]

Re,


Une question avant de poursuivre, ta version Windows 8.1 est officielle ?

A+

[Martorana]

C est windows 7 et oui il est officiel

[heracles]

Re,

Ok pour ton Windows 7 et non Windows 8.1 comme je l'avais indiqué.


1)
Si tu as un compte Google synchronisé, effectue cette procédure à la lettre. Sinon, passe à l'étape suivante.

• Ouvre Chrome et tape chrome://settings/ dans la barre d'adresse.
• Clique sur Service Google/Synchronisation sous ton profil.
• Clique sur Données de la synchronisation Chrome
• En bas, clique sur Réinitialiser la synchronisation.

Explication: toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris,
les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.


https://support.google.com/chrome/answer/185277?hl=fr


2) Ensuite, effectue cette procédure à la lettre:

/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\


/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

• Fait un clic droit sur FRST64.exe puis sélectionne exécuter en tant qu'administrateur.
• Télécharge le fichier ci-dessous sur ton bureau et pas ailleurs (il doit se trouver au même emplacement que le logiciel FRST)
  
  fixlist.txt
  
  
• Ferme toutes les applications, y compris ton navigateur
• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction.
• Le pc redémarrera à la suite de la suppression.
• L'outil va créer un rapport de correction Fixlog.txt sur ton bureau.
• Héberge ce rapport sur ce site d'hébergement de fichiers et indique le lien fourni dans ta réponse.

Sous Internet Explorer, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même


Est attendu le rapport:

fixlog.txt

A+

[Martorana]

Compte google synchro remise à zéro et voila le rapport : https://cjoint.com/c/IHksUeZZRtR

[heracles]

Re,


Ok pour le rapport.

Comment se comporte le PC ?

Toujours ce problème que tu décris ?

des pop-ups et à fait passer le navigateur en mode contrôler par entreprise, impossible de le désinstaller

A+

[Martorana]

là comme ça non, je peux reprendre la synchronisation de son compte ? et si la menace viens d'un programmes qu'il a télécharger et qui est toujours présent sur le pc , la prochaine fois qu'il relancera le programme le virus se réinstallera non ?

[heracles]

Re,

là comme ça non, je peux reprendre la synchronisation de son compte ? et si la menace viens d'un programmes qu'il a télécharger et qui est toujours présent sur le pc , la prochaine fois qu'il relancera le programme le virus se réinstallera non ?

Tu peux réactiver la synchronisation du compte Google chrome.
Concernant un programme déjà installé, je te l'aurais signalé si celui-ci aurait été néfaste. Malwarebytes a fait du bon travail.
Tu n'as plus rien à craindre.

A+

[Martorana]

Ok merci beaucoup de ton temps et de ta rapidité pour ce samedi soir je vais pouvoir repartir chez moi le cœur tranquille.

Merci encore et bonne fin de soirée.

[heracles]

Re,

Avant de partir, il faut finaliser le sujet.

Tout est bon pour moi, on finalise le sujet.



On purge la quarantaine de Malwarebytes:

• Relance Malwarebytes (clic droit==> exécuter en tant qu'administrateur)
• Dans l'onglet Quarantaine, sélectionne tout et clique sur Supprimer
• Confirme la demande de suppression en cliquant sur yes
• Ferme Malwarebytes

Suppression des logiciels:

• Télécharge sur le bureau : kprm.exe
• Lance l'exécution par clic-droit -> Exécuter en tant qu'administrateur
• Coche les cases suivante comme indiqué sur l'image.
  
  
• Supprimer des outils (case précochée)
• Supprimer les points de restauration
• Créer un point de restauration
  
• Clique sur [Exécuter]...
• Quand le message suivant apparait "Toutes les opérations sont terminées", clique sur [OK]
• Un rapport kprm-aaaammjjhhmm.txt sera créé sur le bureau et s'ouvrira,
  (il est aussi enregistré sous C:\KPRM\kprm-aaaammjjhhmm.txt)
• Héberge le rapport sur Cjoint
• Donne le lien créé dans ta réponse.

====================================================================

Consignes de sécurité à vérifier pour éviter les failles de sécurités:

Mets à jour IE 8 vers IE 11

• Tu dois impérativement veiller à maintenir tes logiciels et ton système à jour :
• Recommandation, installe le logiciel ci-dessous et vérifie périodiquement que des mises à jours soient disponibles.

• Télécharge UCheck portable (64 bits) sur ton bureau.
• Accepter les conditions d'utilisation, le navigateur s'ouvrira sur la page "Adlice Software" de UCheck...
• Cliquer sur [Démarrer] pour lancer la détection...
• Quand "Terminé" est affiché, cliquer sur "Détails" en regard de "Mises à jour en attente"
• Sélectionner la case à cocher "Tout (Dé)Sélectionner" et appuyer ensuite sur le bouton [Mettre à jour Sélectionné] pour lancer le processus de mise à jour automatique.
  Pour chaque programme on peut faire "Action" -> "Télécharger" puis "Action" -> "Installer"
  (il est possible de cliquer sur "Ouvrir le site officiel" pour faire les mises à jour manuellement)
• L'outil détecte également les mises à jour de Windows

Consignes préventives à retenir:

• Important: Adopte une bonne attitude de surf: tu réfléchies, tu cliques et non l'inverse.
• /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
• /!\ Etre vigilant au moment de l'installation d'une application
• Maintient ton Système à jours ainsi que tes logiciels de sécurité.
• Sauvegarde régulièrement les données personnelles sur un support externe
• Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
• Évite d'installer des programmes depuis des sites inconnus ou douteux (Softonic, TutoPC4, 01 du Net, sites de Cracks, P2P, porno, etc.). Privilégie plutôt le site de l'éditeur.
• Lis bien les clauses avant d'installer un programme et décoche d'éventuelle toolbar ou logiciel qui pourrait infecter ton PC
  

Afin de te sensibiliser toi et ton entourage pour éviter l'installation d'adwares et toolbars néfastes, je te propose un petit jeux inoffensif te montrant ce que tu télécharges inconsciemment si tu ne fais pas attention.
Entraîne-toi à ne pas tomber dans ces pièges en utilisant cet outil pédagogique. C'est amusant et sans risque du tout pour ton PC.

• Télécharge Adware Prevention (de guigui0001) sur ton bureau.
• Lance-le en double-cliquant dessus. Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
• A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
• Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !

Note : cet outil pédagogique évolue constamment, n'hésite pas à faire remonter un dysfonctionnement ou éventuellement une amélioration pour le besoin de tous.


Voici le tutoriel imagé pour facilité son installation

• Après ce jeux, tu devras toujours faire attention à tout les logiciels que tu télécharges sur le net car ceux-ci infecterons irrémédiablement ton PC cette fois ci.

Est attendu le rapport:

C:\kprm.txt




A te relire

[Martorana]

J'ai du partir j'avais de la route à faire je finirai aujourd'hui à distance.

[Martorana]

Bonjour, voici le rapport demander https://www.cjoint.com/c/IHlj52WgNx5

Par contre ça fait plusieurs fois que tu me dit que IE est en version 8 et non 11 mais de base je le coupe quand j'installe Windows depuis le gestionnaire des fonctionnalitée alors je voulais savoir si une faille pouvais avoir lieu du coup même si IE n'est pas installé sur l'ordinateur même quand je le passe en version 11 je vais le couper après.