FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par g3n-h@ckm@n
#182706
ok tu as redémarré le pc ?

apparemment il a pas trouvé une des valeurs que je lui ai demandé d'effacer...

Edit::

ah ouais j'ai mis la clé 64 bits au lieu de la 32 c est pour ca refais -en un avec juste ca
Code : Tout sélectionner
Key::
[HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\SvcHost]|"MuroghfibchCloud"
te casse pas la tete pour le rapport dis moi juste s il l'a supprimé, redemarre
Avatar du membre
par g3n-h@ckm@n
#182710
la dll avec son dossier... :/
regarde dans le registre sur les deux clés svchost si c'est pas revenu.... tu cliques gauche sur svchost après avoir déplié le registre et si c'est revenu ca sera à gauche dans la partie de droite
Avatar du membre
par g3n-h@ckm@n
#182712
ca a l'air bon

mets ces trois fichiers sur cjoint stp possiblements cachés

C:\Windows\winstart.bat
C:\Windows\system.ini
c:\windows\win.ini

si celui-ci existe aussi :

c:\windows\wininit.ini

===================

regarde si ces clés existent :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\DownloadUI
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\DownloadUI

et je me réserve encore un travail de titan demain :

tu me feras une recherche seaf complete comme d'ab' avec le terme :

Rundll32.exe C:\

et je te dis à demain je suis KO ^^
Avatar du membre
par guitar.bruno
#182713
Hello,

C:\Windows\winstart.bat

Inexistant

C:\Windows\system.ini :

http://www.cjoint.com/c/GAxiyQ8WTyP

c:\windows\win.ini

http://www.cjoint.com/c/GAxiAdR66KP

c:\windows\wininit.ini

Inexistant

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\DownloadUI:

Non

HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test

Non

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\DownloadUI

Non
Avatar du membre
par g3n-h@ckm@n
#182714
coucou bonjour :)

j'ai compris pourquoi tu ne trouves pas certains fichiers existants , il faut aussi décocher "masquer les fichiers protégés du systeme" en plus de cocher "afficher les fichiers et dossiers cachés" dans les options des dossiers

il manque ma recherche seaf aussi ^^
Avatar du membre
par g3n-h@ckm@n
#182723
regarde si tu as un de ces deux dossiers :

c:\windows\system32\GroupPolicy\Machine\Scripts\Startup
c:\windows\system32\GroupPolicy\User\Scripts\Logon

et y'a t-il quelque chose ici?

c:\windows\system32\GroupPolicy
Avatar du membre
par g3n-h@ckm@n
#182734
oui je sais , tu peux avoir le contenu en double cliquant dessus

je reste en stand by ici le temps qu'ils voient le FRST effectivement
Avatar du membre
par g3n-h@ckm@n
#182738
j'ai vu lol

ouaip je pense qu il a pas lu le topic en fait ^^

sinon il aurait vu la date de création du dossier FRST

2017-01-17 21:33 - 2017-01-23 18:53 - 00000000 ____D C:\FRST

fais gaffe qu il te scripte pas le truc que je t'ai fait pour le startup ptdr

double clique sur gpt.ini et colle le résultat ici
Avatar du membre
par guitar.bruno
#182739
double clique sur gpt.ini et colle le résultat ici
[General]
fais gaffe qu il te scripte pas le truc que je t'ai fait pour le startup ptdr
Tu parles de Anti_AdAnti. Oui c'est vrai, en lisant vite, on peut se méprendre :-)
Avatar du membre
par g3n-h@ckm@n
#182743
mdr hahahaa !!!!

copie-colle ce que tu as mis sur l autre topic avant d ouvrir celui-ci quand l'autre t'as sorti toute sa panoplie ^^

good night xD
Avatar du membre
par g3n-h@ckm@n
#182745
tiens tu lui colleras ca de ma part , c'est tout le récap de ce qu on s'est tapé lol ( je peux pas poster car il t'a déjà pris en charge ^^ )

hello I come From the french topic where I helped him but the issue.....
here's all the tools we tried to let you know :

Malwarebytes
Adwcleaner
QuickDiag ( french tool for deep diagnostic ) + Script done with
Searches with Seaf
Quickdiag again + script again
ResetBrowser
TDSSKiller
OTL + Script
Gmer
DrWeb
KVRT
ZHPCleaner
UnHackMe
HDDFix ( to look for Alureon )
Malwarebytes again ( updated )
g3n-h@ckm@n made a tool to search in hexadecimales in every file which is an executable or can execute code ( it never ended )
FRST + Script
Combofix
Another script to perform with quickdiag after scan

the only thing which works is a little resident g3n-h@ckm@n did which deletes the folder AdAnti we put in the startup ( Anti_AdAnti.exe ) but it's not a solution cause it comes back again and again if there's not this exe there

Regards
Avatar du membre
par g3n-h@ckm@n
#182753
elle a craqué ou quoi ?

C:\Users\Bruno\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini => fichier de config de windows media player ( logiquement si tu doubles cliques dessus tu dois voir des informations en rapport avec WMP )

et son script il est pas bon pour systemlook

:filefind
*AdAnti*

:folderfind
*AdAnti* => *AdAnti

:regfind
AdAnti

elle cherche le dossier et au nom de dossier y'a rien après le "i"

fais ce qu'elle dit c'est pas dangereux mais ca la fera tourner en rond lol
Avatar du membre
par guitar.bruno
#182767
Salut ,

Dis-moi, cet essai d'effacement de clé est-il judicieux?

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\AVAST Software\Avast\PUB-Removed" /v 1d26db3bdd8d6a9 /f =========

Si je comprends bien, ça permet à Avast d'empêcher AdAnti de se repositionner dans le Roaming?...
  • 1
  • 5
  • 6
  • 7
  • 8
  • 9

Configurez la redirection de port sur votre Freebo[…]

Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]