Security-X

Forum Security-X => Désinfections => Discussion démarrée par: fleurdeschamps le juin 09, 2015, 00:29:04

Titre: PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 09, 2015, 00:29:04
Bonjour,

J'ai besoin d'aide car je rencontre des ralentissements, l'affichage d'onglets indésirables et surtout des pubs incessantes.
Je suis pourtant sous Mc Affee que j'ai renouvelé il y a 2 mois.

SE : Windows 8.1,  64 bits

Cela a commencé par l'apparition de Dregol lorsque j'ai installé Mozilla. Mais maintenant j'ai d'autres logiciels malveillants détectés par AdwCleaner v4.206.
La suppression simple depuis AdwCleaner ne fonctionne pas, tous ces logiciels indésirables reviennent après le reboot.

Je n'ai rien posté sur d'autres forums, vous êtes les seuls à qui j'ai demandé de l'aide. Pouvez-vous m'aider SVP ?

Merci. :)

****************************************************************************************************
Voici le dernier rapport d'AdwCleaner :

# AdwCleaner v4.206 - Rapport créé le 08/06/2015 à 23:47:16
# Mis à jour le 01/06/2015 par Xplode
# Base de données : 2015-06-08.1 [Serveur]
# Système d'exploitation : Windows 8.1  (x64)
# Nom d'utilisateur : AGNES - AGNESPC
# Exécuté depuis : C:\Users\AGNES\Desktop\adwcleaner_4.206.exe
# Option : Scanner

***** [ Services ] *****

Service Trouvé : 0129131433793682mcinstcleanup

***** [ Fichiers / Dossiers ] *****

Dossier Trouvé : C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg
Dossier Trouvé : C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg
Fichier Trouvé : C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\dbpebffoameokfhnaaedmefjncfboino

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17416


-\\ Mozilla Firefox v27.0 (en-US)


-\\ Google Chrome v43.0.2357.81

[C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - Trouvée [Homepage] : hxxp://start.iminent.com/?appId=610BB84E-51AD-46B6-811F-BDE6DBBA70C2

-\\ Chromium v

[C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Secure Preferences] - Trouvée [Homepage] : hxxp://www.dregol.com/?f=1&a=drg_ggbg_15_22&cd=2XzuyEtN2Y1L1Qzuzy0EtB0AyBtD0CtC0CtCtAtAtByC0DzytN0D0Tzu0StCtByEtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0A0B0C0DyD0FtAtG0CyByEtAtGtCyCyE0EtG0C0EtDyDtGtA0C0B0E0CyDtDtCzz0A0B0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0CtDyC0DtByE0DtGtCyBzyyDtGyE0Czy0EtG0BtD0FtBtGtBtAyEtDzyyE0AyDtDyDtBtB2QtN0A0LzutB&cr=998406314&ir=&uref=chmm
[C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Secure Preferences] - Trouvée [Startup_URLs] : suggest_url":""}],"session":{"restore_on_startup":4,"startup_urls":["hxxp://www.dregol.com/?f=1&a=drg_ggbg_15_22&cd=2XzuyEtN2Y1L1Qzuzy0EtB0AyBtD0CtC0CtCtAtAtByC0DzytN0D0Tzu0StCtByEtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0A0B0C0DyD0FtAtG0CyByEtAtGtCyCyE0EtG0C0EtDyDtGtA0C0B0E0CyDtDtCzz0A0B0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0CtDyC0DtByE0DtGtCyBzyyDtGyE0Czy0EtG0BtD0FtBtGtBtAyEtDzyyE0AyDtDyDtBtB2QtN0A0LzutB&cr=998406314&ir=&uref=chmm

*************************

AdwCleaner[R0].txt - [9043 octets] - [02/06/2015 18:34:01]
AdwCleaner[R1].txt - [1724 octets] - [02/06/2015 19:25:58]
AdwCleaner[R2].txt - [1784 octets] - [02/06/2015 19:27:32]
AdwCleaner[R3].txt - [1891 octets] - [03/06/2015 21:44:32]
AdwCleaner[R4].txt - [2586 octets] - [04/06/2015 00:29:27]
AdwCleaner[R5].txt - [2745 octets] - [04/06/2015 00:48:10]
AdwCleaner[R6].txt - [2714 octets] - [08/06/2015 23:47:16]
AdwCleaner[S0].txt - [9010 octets] - [02/06/2015 18:44:02]
AdwCleaner[S1].txt - [1852 octets] - [02/06/2015 19:29:07]
AdwCleaner[S2].txt - [1959 octets] - [03/06/2015 21:47:38]
AdwCleaner[S3].txt - [2656 octets] - [04/06/2015 00:41:22]

########## EOF - C:\AdwCleaner\AdwCleaner[R6].txt - [3014 octets] ##########
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 09, 2015, 19:22:41
bonjour et bienvenue sur SX

on va utiliser un outil de diagnostique

Télécharge ci-dessous FRST et Important, Enregistre FRST sur ton Bureau

Sous Internet Explorer, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même


tu as donc deux rapport à fournir
--> FRST.txt
--> Addition.txt
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 09, 2015, 23:58:28
Bonsoir xsun,

Merci pour ta prise en charge du problème. 8)
Voici les liens (fichier et contenu du fichier) des 2 fichiers txt produits par FRST.exe et postés sur le site d'hébergement :

FRST.txt
http://up.security-x.fr/file.php?h=R7208fd713a1f3d38dd8ceb32a3a9aa62
http://up.security-x.fr/file.php?h=R0bfd498014801d2aa5ab5eed80fd8eb1

Addition.txt
http://up.security-x.fr/file.php?h=R084eae07acdc52738fded8769434488f
http://up.security-x.fr/file.php?h=Rdad5e276409599fa47562fd97ea8095f

A+
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 10, 2015, 21:32:27
re


Désinstalle via Programmes et fonctionnalités : (Aide pour désinstaller un programme) (http://windows.microsoft.com/fr-fr/windows-8/uninstall-change-program)

--> Gestionnaire de téléchargements musicMe (adware)
--> Spybot - Search & Destroy (obsolète et peut interférer dans le déroulement de la procédure)


/!\ de start à end inclus /!\

start
CreateRestorePoint:
CloseProcesses:
Task: {61B39376-39EC-4520-9833-53E2DD0C42F2} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4194245011-1456038659-1060730471-1001 -> {DE966729-5D4E-44FE-9F9B-74235428300B} URL =
BHO-x32: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll [2009-01-26] (Safer Networking Limited)
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
CHR HKLM\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]
R2 SBSDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
2013-03-16 05:40 - 2013-03-16 05:41 - 0000119 _____ () C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log
2013-03-16 05:35 - 2013-03-16 05:36 - 0000106 _____ () C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log
2013-03-16 05:36 - 2013-03-16 05:38 - 0000111 _____ () C:\ProgramData\{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}.log
2013-03-16 05:35 - 2013-03-16 05:35 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
2013-03-16 05:38 - 2013-03-16 05:40 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
2015-05-25 22:41 - 2015-05-25 22:41 - 00000000 ____D C:\Users\AGNES\AppData\Roaming\1H1Q1V0B1L1G1N1V0M1P1Q1L1T0D1P1E2Z
2015-05-25 22:41 - 2015-06-02 18:16 - 00000000 ____D C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15
2015-06-03 21:54 - 2013-11-25 23:41 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\AVAST Software
C:\Program Files (x86)\Spybot - Search & Destroy
EmptyTemp:
end

/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



**************


Fait ensuite ceci:


Arrêter la synchronisation et supprimer les données de Google

Citer
Supprimer les informations de synchronisation de votre compte

Vous pouvez supprimer les données synchronisées de votre compte Google à tout moment :

    Dans l'angle inférieur droit de l'écran, cliquez sur la photo de votre compte.
    Sélectionnez Paramètres.
    Dans la section "Utilisateurs", cliquez sur Google Dashboard (https://accounts.google.com/ServiceLogin?service=datasummary&passive=1209600&continue=https://www.google.com/dashboard/&followup=https://www.google.com/dashboard/)
    Dans la fenêtre qui s'ouvre, accédez à la section "Synchronisation Google Chrome", puis cliquez sur Arrêter la synchronisation et supprimer les données de Google.

Toutes les informations synchronisées sont alors supprimées de votre compte Google. Tous vos favoris, vos applications et vos extensions demeurent sur votre Chromebook, mais ne s'affichent plus sur les autres Chromebooks que vous utilisez.
Source (https://support.google.com/chromebook/answer/1281195?hl=fr)



Vide aussi le cache et efface les autres données de Google Chrome

Citer
Supprimer toutes les données

   1. Cliquez sur le menu Googlehttp://up.security-x.fr/file.php?h=R818ac91ad237527f6995f425c473c3be Chrome dans la barre d'outils du navigateur.
   2. Sélectionnez Outils.
   3. Sélectionnez Effacer les données de navigation.
   4. Dans la boîte de dialogue qui s'affiche à l'écran, cochez les types d'informations que vous souhaitez supprimer.
   5. Utilisez le menu situé en haut de l'écran pour sélectionner la quantité de données à supprimer. Sélectionnez de n'importe quand pour supprimer tous les éléments.
   6. Cliquez sur Effacer les données de navigation.
Source (https://support.google.com/chrome/answer/95582?hl=fr)


Une fois fait, relances AdwCleaner avec l'option Scanner et tu postes le nouveau rapport obtenu



Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Le rapport se trouve sous C:\AdwCleaner(R).txt



*****

Tu as donc deux rapports a donné:
--> Fixlog.txt
--> C:\AdwCleaner(R).txt

Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 10, 2015, 23:53:15
Bonsoir xsun,

Quelques petits soucis ce soir pour la suite (pour la partie Google surtout) :

J'ai lancé 2 fois FRST car je n'avais pas coché la case addition.txt :

fixlog.txt 1er lancement SANS case addition.txt cochée
http://up.security-x.fr/file.php?h=Rc5b969a91c8566f7d791d3ac208e5d7a
http://up.security-x.fr/file.php?h=Re3b962be6bd06f2a94cfe1d603233c22

reboot

fixlog.txt 2er lancement AVEC case addition.txt cochée
http://up.security-x.fr/file.php?h=R51dfc3882800dd535a87b713221dac1a
http://up.security-x.fr/file.php?h=Rdef444ee2f117d702580a0e599a1a0d8

reboot


Mais ensuite, j'ai tenté d' Arrêter la synchronisation et supprimer les données de Google mais je n'ai pas trouvé la photo de votre compte 
J'ai trouvé Paramètres (de l'ordinateur) en bas à droite de l'écran mais pas la section Utilisateurs.

J'ai cliqué sur Dashbord du lien que tu m'as fourni, me suis connectée, suis allée sur le menu Synchronisation Google Chrome et ai cliqué sur le seul bouton proposé : Resynchroniser le compte ce qui a pour effet de d'arrêter la synchro et supprimer les données Google mais c'est indiqué qu'elles vont se resynchroniser au lancement de Chrome, ce qui n'est pas le but recherché je crois.

Je m'arrête là :dis-moi si je peux continuer et vider le cache ou alors comment je peux trouver ce fameux bouton Arrêter la synchronisation et supprimer les données de Google.

Merci.

A+
fdc
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 10, 2015, 23:57:10
Ah ! J'ai oublié de poster les fixlog.txt   (puisque j'en ai 2 ...  :) )

VOICI LE PREMIER :

Fix result of Farbar Recovery Scan Tool (x64) Version:08-06-2015
Ran by AGNES at 2015-06-10 22:26:42 Run:1
Running from C:\Users\AGNES\Desktop
Loaded Profiles: AGNES (Available Profiles: AGNES & Invité)
Boot Mode: Normal
==============================================

fixlist content:
*****************
start
CreateRestorePoint:
CloseProcesses:
Task: {61B39376-39EC-4520-9833-53E2DD0C42F2} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4194245011-1456038659-1060730471-1001 -> {DE966729-5D4E-44FE-9F9B-74235428300B} URL =
BHO-x32: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll [2009-01-26] (Safer Networking Limited)
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
CHR HKLM\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]
R2 SBSDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
2013-03-16 05:40 - 2013-03-16 05:41 - 0000119 _____ () C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log
2013-03-16 05:35 - 2013-03-16 05:36 - 0000106 _____ () C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log
2013-03-16 05:36 - 2013-03-16 05:38 - 0000111 _____ () C:\ProgramData\{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}.log
2013-03-16 05:35 - 2013-03-16 05:35 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
2013-03-16 05:38 - 2013-03-16 05:40 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
2015-05-25 22:41 - 2015-05-25 22:41 - 00000000 ____D C:\Users\AGNES\AppData\Roaming\1H1Q1V0B1L1G1N1V0M1P1Q1L1T0D1P1E2Z
2015-05-25 22:41 - 2015-06-02 18:16 - 00000000 ____D C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15
2015-06-03 21:54 - 2013-11-25 23:41 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\AVAST Software
C:\Program Files (x86)\Spybot - Search & Destroy
EmptyTemp:
end
*****************

Restore point was successfully created.
Processes closed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{61B39376-39EC-4520-9833-53E2DD0C42F2}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{61B39376-39EC-4520-9833-53E2DD0C42F2}" => key removed successfully
C:\Windows\System32\Tasks\avast! Emergency Update => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\avast! Emergency Update" => key removed successfully
HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer => value not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avast" => key removed successfully
HKCR\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => key not found.
C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully.
C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully.
"HKLM\SOFTWARE\Policies\Google" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{c9ab6446-7efc-47fe-966c-dc54324eff9f}" => key removed successfully
HKCR\CLSID\{c9ab6446-7efc-47fe-966c-dc54324eff9f} => key not found.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully
"HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{DE966729-5D4E-44FE-9F9B-74235428300B}" => key removed successfully
HKCR\CLSID\{DE966729-5D4E-44FE-9F9B-74235428300B} => key not found.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} => key not found.
HKCR\Wow6432Node\CLSID\{53707962-6F74-2D53-2644-206D7942484F} => key not found.
HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\wrc@avast.com => value removed successfully
"HKLM\SOFTWARE\Google\Chrome\Extensions\ihokndmjeombjojnfkmapfnjeghjohim" => key removed successfully
"HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\SOFTWARE\Google\Chrome\Extensions\ihokndmjeombjojnfkmapfnjeghjohim" => key removed successfully
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ihokndmjeombjojnfkmapfnjeghjohim" => key removed successfully
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg => moved successfully.
SBSDWSCService => Service not found.
C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log => moved successfully.
C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log => moved successfully.
C:\ProgramData\{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}.log => moved successfully.
C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log => moved successfully.
C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log => moved successfully.
C:\Users\AGNES\AppData\Roaming\1H1Q1V0B1L1G1N1V0M1P1Q1L1T0D1P1E2Z => moved successfully.
C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15 => moved successfully.
C:\ProgramData\Spybot - Search & Destroy => moved successfully.
"C:\Program Files\AVAST Software" => File/Folder not found.
C:\Program Files (x86)\Spybot - Search & Destroy => moved successfully.
EmptyTemp: => 465.5 MB temporary data Removed.


The system needed a reboot..

==== End of Fixlog 22:27:32 ====


ET VOICI LE DEUXIEME :

Fix result of Farbar Recovery Scan Tool (x64) Version:08-06-2015
Ran by AGNES at 2015-06-10 23:25:17 Run:2
Running from C:\Users\AGNES\Desktop
Loaded Profiles: AGNES (Available Profiles: AGNES & Invité)
Boot Mode: Normal
==============================================

fixlist content:
*****************
start
CreateRestorePoint:
CloseProcesses:
Task: {61B39376-39EC-4520-9833-53E2DD0C42F2} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4194245011-1456038659-1060730471-1001 -> {DE966729-5D4E-44FE-9F9B-74235428300B} URL =
BHO-x32: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll [2009-01-26] (Safer Networking Limited)
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
CHR HKLM\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]
R2 SBSDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
2013-03-16 05:40 - 2013-03-16 05:41 - 0000119 _____ () C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log
2013-03-16 05:35 - 2013-03-16 05:36 - 0000106 _____ () C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log
2013-03-16 05:36 - 2013-03-16 05:38 - 0000111 _____ () C:\ProgramData\{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}.log
2013-03-16 05:35 - 2013-03-16 05:35 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
2013-03-16 05:38 - 2013-03-16 05:40 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
2015-05-25 22:41 - 2015-05-25 22:41 - 00000000 ____D C:\Users\AGNES\AppData\Roaming\1H1Q1V0B1L1G1N1V0M1P1Q1L1T0D1P1E2Z
2015-05-25 22:41 - 2015-06-02 18:16 - 00000000 ____D C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15
2015-06-03 21:54 - 2013-11-25 23:41 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\AVAST Software
C:\Program Files (x86)\Spybot - Search & Destroy
EmptyTemp:
end
*****************

Restore point was successfully created.
Processes closed successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{61B39376-39EC-4520-9833-53E2DD0C42F2} => key not found.
C:\Windows\System32\Tasks\avast! Emergency Update not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\avast! Emergency Update => key not found.
HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer => value not found.
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avast => key not found.
HKCR\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => key not found.
"C:\WINDOWS\system32\GroupPolicy\Machine" => File/Folder not found.
HKLM\SOFTWARE\Policies\Google => key not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{c9ab6446-7efc-47fe-966c-dc54324eff9f} => key not found.
HKCR\CLSID\{c9ab6446-7efc-47fe-966c-dc54324eff9f} => key not found.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value not found.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value not found.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value not found.
HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{DE966729-5D4E-44FE-9F9B-74235428300B} => key not found.
HKCR\CLSID\{DE966729-5D4E-44FE-9F9B-74235428300B} => key not found.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} => key not found.
HKCR\Wow6432Node\CLSID\{53707962-6F74-2D53-2644-206D7942484F} => key not found.
HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\wrc@avast.com => value not found.
HKLM\SOFTWARE\Google\Chrome\Extensions\ihokndmjeombjojnfkmapfnjeghjohim => key not found.
HKU\S-1-5-21-4194245011-1456038659-1060730471-1001\SOFTWARE\Google\Chrome\Extensions\ihokndmjeombjojnfkmapfnjeghjohim => key not found.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ihokndmjeombjojnfkmapfnjeghjohim => key not found.
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg folder not found
SBSDWSCService => Service not found.
"C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log" => File/Folder not found.
"C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log" => File/Folder not found.
"C:\ProgramData\{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}.log" => File/Folder not found.
"C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log" => File/Folder not found.
"C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log" => File/Folder not found.
"C:\Users\AGNES\AppData\Roaming\1H1Q1V0B1L1G1N1V0M1P1Q1L1T0D1P1E2Z" => File/Folder not found.
"C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15" => File/Folder not found.
"C:\ProgramData\Spybot - Search & Destroy" => File/Folder not found.
"C:\Program Files\AVAST Software" => File/Folder not found.
"C:\Program Files (x86)\Spybot - Search & Destroy" => File/Folder not found.
EmptyTemp: => 23.2 MB temporary data Removed.


The system needed a reboot..

==== End of Fixlog 23:26:25 ====

A+
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 11, 2015, 08:41:12
re  :)

Addition.txt n'était pas nécessaire, mais c'est de ma faute, dans la capture d'écran, elle est cochée

Citer
J'ai cliqué sur Dashbord du lien que tu m'as fourni, me suis connectée, suis allée sur le menu Synchronisation Google Chrome et ai cliqué sur le seul bouton proposé : Resynchroniser le compte ce qui a pour effet de d'arrêter la synchro et supprimer les données Google mais c'est indiqué qu'elles vont se resynchroniser au lancement de Chrome, ce qui n'est pas le but recherché je crois.

si, c'est ça  ;)

puis tu vides le cache, et tu relances AdwCleaner en mode scanner pour voir
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 11, 2015, 19:32:18
bonsoir xsun :-) et merci pour ton retour !

J'ai vidé le cache (choix : tous et les 4 premières cases cochées) et lancé le scan.

voici les liens du rapport et le rapport :

AdwCleaner[R7].txt
http://up.security-x.fr/file.php?h=Rc492a24ab021d8bf763ae2af4bb52eaf
http://up.security-x.fr/file.php?h=Rb6fdbcb3bf960de5cbe497013a26f1d0

////////////////////////////////

# AdwCleaner v4.206 - Rapport créé le 11/06/2015 à 19:17:07
# Mis à jour le 01/06/2015 par Xplode
# Base de données : 2015-06-09.1 [Serveur]
# Système d'exploitation : Windows 8.1  (x64)
# Nom d'utilisateur : AGNES - AGNESPC
# Exécuté depuis : C:\Users\AGNES\Desktop\adwcleaner_4.206.exe
# Option : Scanner

***** [ Services ] *****

Service Trouvé : 0053891434042237mcinstcleanup

***** [ Fichiers / Dossiers ] *****

Dossier Trouvé : C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Extensions\ihokndmjeombjojnfkmapfnjeghjohim
Dossier Trouvé : C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg
Fichier Trouvé : C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\dbpebffoameokfhnaaedmefjncfboino

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Trouvée : HKLM\SOFTWARE\Classes\CLSID\{E104B9E4-01BA-4AAF-9957-6A525CC5451A}
Clé Trouvée : [x64] HKLM\SOFTWARE\Classes\CLSID\{E104B9E4-01BA-4AAF-9957-6A525CC5451A}

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17840


-\\ Mozilla Firefox v27.0 (en-US)


-\\ Google Chrome v43.0.2357.124

[C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - Trouvée [Homepage] : hxxp://start.iminent.com/?appId=610BB84E-51AD-46B6-811F-BDE6DBBA70C2

-\\ Chromium v

[C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Secure Preferences] - Trouvée [Homepage] : hxxp://www.dregol.com/?f=1&a=drg_ggbg_15_22&cd=2XzuyEtN2Y1L1Qzuzy0EtB0AyBtD0CtC0CtCtAtAtByC0DzytN0D0Tzu0StCtByEtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0A0B0C0DyD0FtAtG0CyByEtAtGtCyCyE0EtG0C0EtDyDtGtA0C0B0E0CyDtDtCzz0A0B0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0CtDyC0DtByE0DtGtCyBzyyDtGyE0Czy0EtG0BtD0FtBtGtBtAyEtDzyyE0AyDtDyDtBtB2QtN0A0LzutB&cr=998406314&ir=&uref=chmm
[C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Secure Preferences] - Trouvée [Startup_URLs] : suggest_url":""}],"session":{"restore_on_startup":4,"startup_urls":["hxxp://www.dregol.com/?f=1&a=drg_ggbg_15_22&cd=2XzuyEtN2Y1L1Qzuzy0EtB0AyBtD0CtC0CtCtAtAtByC0DzytN0D0Tzu0StCtByEtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0A0B0C0DyD0FtAtG0CyByEtAtGtCyCyE0EtG0C0EtDyDtGtA0C0B0E0CyDtDtCzz0A0B0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0CtDyC0DtByE0DtGtCyBzyyDtGyE0Czy0EtG0BtD0FtBtGtBtAyEtDzyyE0AyDtDyDtBtB2QtN0A0LzutB&cr=998406314&ir=&uref=chmm

*************************

AdwCleaner[R0].txt - [9043 octets] - [02/06/2015 18:34:01]
AdwCleaner[R1].txt - [1724 octets] - [02/06/2015 19:25:58]
AdwCleaner[R2].txt - [1784 octets] - [02/06/2015 19:27:32]
AdwCleaner[R3].txt - [1891 octets] - [03/06/2015 21:44:32]
AdwCleaner[R4].txt - [2586 octets] - [04/06/2015 00:29:27]
AdwCleaner[R5].txt - [2745 octets] - [04/06/2015 00:48:10]
AdwCleaner[R6].txt - [3094 octets] - [08/06/2015 23:47:16]
AdwCleaner[R7].txt - [2936 octets] - [11/06/2015 19:17:07]
AdwCleaner[S0].txt - [9010 octets] - [02/06/2015 18:44:02]
AdwCleaner[S1].txt - [1852 octets] - [02/06/2015 19:29:07]
AdwCleaner[S2].txt - [1959 octets] - [03/06/2015 21:47:38]
AdwCleaner[S3].txt - [2656 octets] - [04/06/2015 00:41:22]

########## EOF - C:\AdwCleaner\AdwCleaner[R7].txt - [3236 octets] ##########

A+
fdc
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 11, 2015, 21:36:55
re 

tu as bien arrêter la synchronisation et supprimer les données de Google ?

si oui,

Réinitialise Google Chrome
http://www.tomsguide.fr/faq/id-2951169/reinitialiser-parametres-navigateur-chrome.html

Refais un scan avec AdwCleaner, mode Suppression
Au fait, les liens suffisent pour les rapports, inutile de copier les rapports en entier ici  ;)  ça alourdit le sujet


*****

ZHPCleaner-Scanner

Héberge ce rapport sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)

juste les liens  ;)

Tu as encore deux rapports à fournir:
AdwCleaner-Nettoyer
ZHPCleaner-Scanner

Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 12, 2015, 21:01:59
Hello, me voici de retour  :AAC

merci pour ta réponse.
Ah, désolée pour les posts en trop ;-)

Voici la suite :

- dans synchronisation des données de google il n'y a aucun bouton d'actif depuis que je l'ai re-synchronisé la première fois, je suppose donc que c'est bon
- j'ai revidé le cache et réinitialisé le navigateur
- passé Adwcleaner : scan puis nettoyage

http://up.security-x.fr/file.php?h=R4ae4cafa7916bb0e89a7ce7ef2581711
http://up.security-x.fr/file.php?h=R2f5adfa80eeabebff8d3d16d55b579cd

- lancé le scan de ZhpCleaner

http://up.security-x.fr/file.php?h=R019ad431255dd5dc4ddf09c926aa65c6
http://up.security-x.fr/file.php?h=Rbab8c30ab24c2dfa89dc2259fbdf8ea9

J'ai fait 2 fois ces opérations : la première fois j'ai lancé le navigateur Chrome entre le nettoyage de Adwcleaner et le scan de ZhpCleaner, la deuxième fois sans lancer le navigateur.
Il y a toujours 7 éléments infectés dans les 2 rapportes de ZhpCleaner.

Je dois préciser que j'ai toujours Mc Affee qui tourne. J'ai essayé de le désactiver mais il m'indique qu'il sera désactivé dans 7 jours, j'espère que cela ne gêne pas.
D'autre part je n'ai qu'un PC : je suis donc obligée de lancer le navigateur à chaque fois, même si ma navigation en ce moment est forcément très prudente.

Bon début de week-end
A++
fdc
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 13, 2015, 08:02:49
re


ZHPCleaner-Nettoyer

Héberge ce rapport sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)


****

Tu as posté le mode scanner de AdwCleaner, AdwCleaner[R9].txt - [2037 octets] - [12/06/2015 20:21:43]
mais tu as supprimé la sélection avant, AdwCleaner[S4].txt - [3464 octets] - [12/06/2015 19:57:47]

donc:

Réinitialise Google Chrome pour faire un reset du fichier Secure Preferences
http://www.tomsguide.fr/faq/id-2951169/reinitialiser-parametres-navigateur-chrome.html
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 13, 2015, 13:53:49
Re-

J'ai passé le scan 2 fois car j'ai voulu voir le résultat du 1er scan, mais après, une fois le rapport affiché, pour nettoyer il a demandé un 2e scan.
A 12h58 il en a trouvé 7 mais à 13h15 il n'en a trouvé que 6 donc nettoyé 6 (il a scanné moins d'éléments ?).

voici le fichier ZhpCleaner_old.txt du 1e scan :

http://up.security-x.fr/file.php?h=R6788dcc2bd43eda1d76a2e21a3185b38
http://up.security-x.fr/file.php?h=Rf25ddb09d5cb46e5239532405e5ad3bb

voici le fichier ZhpCleaner.txt du 2e scan + nettoyage :

http://up.security-x.fr/file.php?h=Rdecfcf5b01968b23ea3abea90c132835
http://up.security-x.fr/file.php?h=R8863858d37e8b6244311cd1d3db4cb3e

J'ai réinitialiser le navigateur également.

Bonne journée  :)
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 14, 2015, 08:41:27
re

Citer
J'ai réinitialiser le navigateur également.

donc théoriquement, AdwCleaner ne devrait plus rien trouver, tu peux vérifier ?

si ce n'est pas le cas, il y a quelque chose qui n'a pas été "bien" fait

donc à refaire et dans l'ordre donné  ;)

--> Arrêter la synchronisation:
https://support.google.com/chromebook/answer/1281195?hl=fr

Puis, réinitialiser Chrome:
https://support.google.com/chrome/answer/3296214?hl=fr
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 14, 2015, 20:40:22
Re-

Tout semble OK maintenant !   8) 8) 8) Plus de pubs ni d'onglets qui se lancent intempestivement.

Adwcleaner avait encore trouvé les 3 derniers éléments infectés réfractaires pour Chrome malgré arrêt synchro et réinitialisation. Je les ai supprimés à la main, désinstallé et réinstallé Chrome.
=> AdwCleaner OK

Merci 1000 fois Xsun  pour ta disponibilité et ton suivi !  :) :) :)

Je conserve la procédure au cas où.
Est-ce que je peux relancer la synchronisation de Chrome ?

Bonne soirée.
Fdc
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 15, 2015, 09:17:46
re


Citer
Adwcleaner avait encore trouvé les 3 derniers éléments infectés réfractaires pour Chrome malgré arrêt synchro et réinitialisation. Je les ai supprimés à la main, désinstallé et réinstallé Chrome.
=> AdwCleaner OK

bien joué  :sup:

peux tu copier ici les 3 éléments qui se trouvent donc sur le dernier rapport de AdwCleaner ?
ça pourrait être utile à d'autres  ;)


Citer
Est-ce que je peux relancer la synchronisation de Chrome ?

bien sûr, et cela va permettre de confirmer que tout est ok


****

Désinstalle via Programmes et fonctionnalités : (Aide pour désinstaller un programme) (http://windows.microsoft.com/fr-fr/windows-8/uninstall-change-program)

--> Adobe Flash Player 11 Plugin (Version: 11.9.900.117 - Adobe Systems Incorporated)

Puis installe la dernière version ici: https://get.adobe.com/fr/flashplayer/
/!\ Décoche l'offre facultative pré-cochée McAfee Security Scan Plus /!\


J'attends ta confirmation que c'est ok après avoir re-synchronisé ton compte

ensuite, on passera un petit logiciel pour enlever les outils utilisés (qui se mettent à jour régulièrement)
et suivi d'un petit message de prévention
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 15, 2015, 23:46:18
Re-

Bon, c'est vraiment parce que tu le demandes  ;) Voici en gras les éléments supprimés trouvés par AdwCleaner :

Fichier Trouvé : C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\dbpebffoameokfhnaaedmefjncfboino

[C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - Trouvée [Homepage] : hxxp://start.iminent.com/?appId=610BB84E-51AD-46B6-811F-BDE6DBBA70C2

[C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Secure Preferences] - Trouvée [Homepage] : hxxp://www.dregol.com/?f=1&a=drg_ggbg_15_22&cd=2XzuyEtN2Y1L1Qzuzy0EtB0AyBtD0CtC0CtCtAtAtByC0DzytN0D0Tzu0StCtByEtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0A0B0C0DyD0FtAtG0CyByEtAtGtCyCyE0EtG0C0EtDyDtGtA0C0B0E0CyDtDtCzz0A0B0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0CtDyC0DtByE0DtGtCyBzyyDtGyE0Czy0EtG0BtD0FtBtGtBtAyEtDzyyE0AyDtDyDtBtB2QtN0A0LzutB&cr=998406314&ir=&uref=chmm

J'ai relancé la synchronisation de Google, désinstallé et réinstallé Adobe Flash Player.
Après navigation ce soir je n'ai pas rencontré d'activité anormale.   :)

A+
Fdc


Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 16, 2015, 00:15:31
Re-

Ah mince, posté trop tôt  :(

Il y a le startiminent qui est revenu.

[C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - Trouvée [Homepage] : hxxp://start.iminent.com/?appId=610BB84E-51AD-46B6-811F-BDE6DBBA70C2

Si cela change quelque chose je suis prête à changer de navigateur pour un moment.

A+
Fdc
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 16, 2015, 12:05:34
re

bon, on va utiliser un autre outil

Sauvegarde tes favoris de Chrome
https://support.google.com/chrome/answer/96816?hl=fr


Télécharge Zoek.exe (http://download.bleepingcomputer.com/smeenk/) de smeenk sur ton bureau

copie ci-dessous:
createsrpoint;
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences;f
chrdefaults;

Lance Zoek.exe, clic droit dessus et Exécuter en tant qu'administrateur

dans le fenêtre qui s'ouvre, colle les commandes copiées

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR0f6a5245e1156a002552729784ea677d&hash=4258b0f3706efc4fa39e8ad51b828058d16d5baa)

clique sur Run Script

Patiente le temps nécessaire

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR9014b0b66e02aa00e81a2e8467ea51e2&hash=b7bcb29362ac071933670697b9a09611b14dad8c)

Une fois fini, un rapport s'ouvre dans le bloc note, copie colle ici le résultat

***

Après avoir passé cet outil, si encore des résultats dans AdwCleaner, cela ne pourra venir que de la synchronisation  :III
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 17, 2015, 22:15:28
Re-

Merci pour ton post.  :)

Voici le résultat de Zoek :

Zoek.exe v5.0.0.0 Updated 04-May-2015
Tool run by AGNES on 17/06/2015 at 21:26:09,17.
Microsoft Windows 8.1 6.3.9600  x64
Running in: Normal Mode Internet Access Detected
Launched: C:\Users\AGNES\Desktop\zoek.exe [Scan all users] [Script inserted]

==== System Restore Info ======================

17/06/2015 21:27:29 Zoek.exe System Restore Point Created Successfully.

==== Deleting Files \ Folders ======================

"C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" deleted

==== Reset Google Chrome ======================

C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Preferences was reset successfully
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Preferences was reset successfully
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Preferences.bad was reset successfully
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences.bad was reset successfully
C:\Users\INVIT~1\AppData\Local\Google\Chrome\User Data\Default\Preferences was reset successfully
C:\Users\INVIT~1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences was reset successfully
C:\Users\AGNES\AppData\Local\Chromium\User Data\Default\Web Data was reset successfully
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Web Data was reset successfully
C:\Users\AGNES\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal was reset successfully
C:\Users\INVIT~1\AppData\Local\Google\Chrome\User Data\Default\Web Data was reset successfully
C:\Users\INVIT~1\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal was reset successfully

==== C:\zoek_backup content ======================

C:\zoek_backup (files=2 folders=0 45473 bytes)

==== EOF on 17/06/2015 at 21:27:51,79 ======================


Oui, tu as raison, cela vient de la synchronisation :

Juste après j'ai relancé Chrome sans me connecter avec mon compte donc sans synchronisation => AdwCleaner n'a rien trouvé.
Puis j'ai relancé Chrome en me connectant => AdwCleaner a détecté à nouveau le startiminent

Que préconises-tu pour cela ?

A+
FDC
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 17, 2015, 22:43:34
re  :)

mine de rien, on avance

Citer
Juste après j'ai relancé Chrome sans me connecter avec mon compte donc sans synchronisation => AdwCleaner n'a rien trouvé.
Puis j'ai relancé Chrome en me connectant => AdwCleaner a détecté à nouveau le startiminent

Que préconises-tu pour cela ?

Chrome est propre .... c'est une certitude après Zoek  ;)
Y-a t-il un temps pour que le serveur prenne en compte la désynchronisation ?
re-désynchronises Chrome  :III
Peux tu essayer Firefox durant 24 heures ? .... https://www.mozilla.org/fr/firefox/new/
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 20, 2015, 00:07:50
Re-   :)

Citer
Y-a t-il un temps pour que le serveur prenne en compte la désynchronisation ?
Je ne sais pas, ça a l'air immédiat

J'ai désynchronisé Chrome et essayé Firefox depuis (sans essayer "Se connecter à Sync" que je ne connais pas).
AdwCleaner voit toujours le startiminent sur Chrome et ne voit rien sur Firefox.

A+
FDC
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 20, 2015, 09:36:19
re  ;)


supprimer vos données synchronisées ....option 2: https://support.google.com/chrome/answer/2390059?hl=fr


ça ne peut être que ça  :III
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 21, 2015, 22:51:28
Re-  :)

Je n'ai plus rien depuis 24h 8).

Mais je ne me risque plus à synchroniser le compte. C'est une fonctionnalité que je n'utilise jamais d'ailleurs. J’avoue que je suis un peu fatiguée de maniper, depuis 3 semaines maintenant !

Je n'arrive pas à savoir quand startiminent apparaît exactement. Hier il apparaissait lorsque je lançais simplement Chrome. Aujourd'hui il ne revient plus au lancement de Chrome ? C'est vraiment bizarre. Je pense qu'il revient à coup sûr à chaque fois que je me connecte au navigateur donc quand il y a synchronisation. A moins qu'il n'y ait un certain temps de latence comme tu le suggérais en me posant la question l’autre jour.

Hier j’avais donc supprimé les données synchronisées comme tu m'avais demandé. (Il me reste un petit doute car je n'ai pas le bouton "Arrêter et effacer" sur le Dashboard. Mais je suis certaine qu'il arrête tout lorsque je clique sur "Redémarrer la synchronisation". Le message me dit en effet qu'il arrête tout et que ce sera resynchronisé à la prochaine connexion.) Et cette suppression n’avait pas supprimé startiminent, il réapparaissait à chaque lancement de Chrome.

Quoiqu’il en soit cette situation me convient bien. En effet mon AdwCleaner est tout propre 8). Pour cela je t’en remercie vivement !

A+
FDC
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: xsun le juin 23, 2015, 07:08:21
re   :)

ok, déjà dit mais je suis certain que c'est lié à la synchronisation


***


On finalise

Télécharge DelFix (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix) (de Xplode) sur ton bureau.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fuppix.net%2FlDRkW8.jpg&hash=3b87d64128e7ab8af733568fcf57388fd604317a) (http://uppix.net/lDRkW8)
***


Tu es la meilleure protection pour ton pc , suivant quelques conditions:

--> Tenir à jour son système (windows, navigateurs, java, Adobe Reader, Flash player, etc ...)=> Qu'est-ce qu'une faille de sécurité? (http://www.secuser.com/faq/securite/#faille_securite)

--> D'une manière générale, vérifier/décocher les cases (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter) qui proposent d'ajouter des logiciels additionnels dans les programmes d'installation , lire ici aussi (http://forum.security-x.fr/securite-generale/stop-la-pub/)

--> P2P (http://assiste.free.fr/Assiste/Risque_juridique_de_complicite_passive_de_l_Internaute.html), crack, keygen ....  <= Attention ... (http://forum.malekal.com/danger-des-cracks-t893.html)

--> Il faut éviter de télécharger des applications sur des plateformes comme Softonic et O1.net (ou toute autre plateforme, sans faire une recherche préalable sur le site en question) qui repackent les logiciels et les redistribuent avec des indésirables, tout simplement pour gagner de l'argent, alors que l'auteur de l'application la distribue gratuitement.
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur /!\

--> Sauvegarder ses données (photos, documents,etc ...) sur un autre support (DVD, disque dur externe ...) avant qu'il ne soit trop tard
Titre: Re : PC infecté par Dregol, imminent et autres
Posté par: fleurdeschamps le juin 25, 2015, 23:36:20
Re   :)

Voilà c'est fait :

# DelFix v1.010 - Rapport créé le 25/06/2015 à 23:26:27
# Mis à jour le 26/04/2015 par Xplode
# Nom d'utilisateur : AGNES - AGNESPC
# Système d'exploitation : Windows 8.1  (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\FRST
Supprimé : C:\zoek_backup
Supprimé : C:\AdwCleaner
Supprimé : C:\zoek-results.log
Supprimé : C:\Users\AGNES\Desktop\adwcleaner_4.207.exe
Supprimé : C:\Users\AGNES\Desktop\zoek.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner

~ Purge de la restauration système ...

Supprimé : RP #85 [Windows Update | 05/29/2015 20:04:26]
Supprimé : RP #86 [Point de contrôle planifié | 06/07/2015 15:10:08]
Supprimé : RP #87 [Supprimé Gestionnaire de téléchargements musicMe | 06/10/2015 20:14:58]
Supprimé : RP #89 [Restore Point Created by FRST | 06/10/2015 20:26:43]
Supprimé : RP #91 [Restore Point Created by FRST | 06/10/2015 21:25:23]
Supprimé : RP #92 [Dell Update: Dell Customer Connect | 06/13/2015 11:09:27]
Supprimé : RP #93 [Dell Update: Dell Touchpad Driver | 06/16/2015 18:08:12]
Supprimé : RP #94 [zoek.exe restore point | 06/17/2015 19:26:51]

Nouveau point de restauration créé !

########## - EOF - ##########

Merci encore xsun  :)

A+
FDC