FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Invité
#180102
Sinon, mon idée de rappel de sauvegarde te tente? Elle date de presque 1 mois (11/09/16) , je ne sais plus comment c'était mais le principal était installé au niveau logiciels, ce qui m'ennuie c'était ces p...ains de mises à jour WU qui ne se faisaient plus mais toutefois j'avais réussi à réparer avec une solution chez SOS PC.
Avatar du membre
par guitar.bruno
#180162
Hello g3n-h@ckm@n ,

Du nouveau, je t'avoue que j'ai recherché par moi-même une solution et en fait cette fois Process Blocker a bien fonctionné en configurant l'interdiction de processus dans le chemin suivant :

C:\Program Data\Microsoft\Windows\Menu Démarrer\Programmes\Démarrage\AdAntiHS.exe.

En effet, dans le gestionnaire de tâches, processus , AdAntiHS n'apparait pas du tout...

C'est un progrès, admettons mais il s'accroche encore...
Avatar du membre
par guitar.bruno
#180287
Hello,

Du nouveau, j'ai éliminé AdAnti du dossier de démarrage, ainsi que dans la base de registre.

il semble ne plus vouloir s'incruster au redémarrage...

Pour autant, il est toujours dans le dossier "Roaming" et revient sans cesse même si je l'efface.

Peut-on supposer qu'il reste à demeure là dedans sans nuire ultérieurement?
Avatar du membre
par g3n-h@ckm@n
#180364
re

supprime ceci :

C:\Windows\pss\AdAntiHS.exe.CommonStartup

ensuite resupprime le dossier C:\Users\Bruno\AppData\Roaming\AdAnti

redemarre le pc et dis moi
Avatar du membre
par guitar.bruno
#180377
hello,

En effet, il y a une amélioration et ce dossier "pss" de Windows était à voir!

J'ai éliminé donc AdAnti de ce dossier mais aussi QQAccel qui y était aussi!

Et dans le fameux Roaming .

Au 1er redémarrage, je vois Process Blocker qui me prévient qu'il bloque AdAnti, donc pas mieux. Je ne le retrouve pas dans le "pss" mais j'ai pris l'initiative de voir la bdr et j'ai effacé une clé de registre relative à AdAnti dans HKEY USERS/Software/Windows/Microsoft/Current Version/MRU.

Redémarrage: Process Blocker muet! Vérification , toujours rien dans "pss" et dans la bdr.

Mais dans Roaming, AdAnti se transforme en dll! Je l'élimine et retourne dans la bdr , même chemin jusqu'à MRU et je vire la clé relative à roaming/AdAnti ...

A suivre....

Redémarrage: Plus rien! Même dans Roaming!

Reredémarrage: AdAntiHS.dll est revenue dans Roaming/AdAnti....

Il y a du mieux tout de même mais l'élimination complète est bien ardue!

A toute fin utile, un autre Seaf:

http://www.cjoint.com/c/FJuowLLekhP
Avatar du membre
par g3n-h@ckm@n
#180515
on va tenter un truc :

déconnecte internet , resupprime tout comme precedemment , redémarre le pc

ensuite reconnecte internet , redémarre la machine

toujours present ?
Avatar du membre
par guitar.bruno
#180520
Hello,

Fait et il s'accroche!!! :( C'est dingue tout de même!

Il revient même sans internet, c'est une bonne idée en tout cas...

J'ai aussi fait un tour en base de registre, pas de trace (sauf mon paramétrage Process Blocker).
Avatar du membre
par guitar.bruno
#180521
Je reviens pour te faire part d'une chose, je ne peux pas effacer le dossier AdAnti quand je suis déconnecté d'internet.

Avec ce message "cette action ne peut être réalisée car le fichier est ouvert dans "Processus hôte Windows (Rndll32)" "

Dès que je suis connecté je peux effacer ce dossier AdAnti avec AdAntiHS.dll dedans...
Avatar du membre
par guitar.bruno
#180540
Image

Finalement, j'ai expérimenté un peu mieux: on peut effacer le dossier AdAnti après un certain temps, genre après 2 ou 3 minutes, que je sois connecté ou non. Ce qui nous reporte à la situation où ça se mettait dans les processus pour disparaître dans les mêmes délais. C'est assez confondant à mon avis.
Avatar du membre
par guitar.bruno
#180551
Hello pour info, Unlocker que j'utilisais encore sous Win 7 32 bits ne semble vraiment pas fonctionner sous Win7 64!

Lockhunter le remplace! ;-)

http://lockhunter.com/downloadnow.htm

Image

En fait la 1ere fois avec Lockhunter, il le supprime.

et...

Image

La fois d'après, il ne veut plus.

Mais au fait comment gérer ce dossier Roaming qui, à ce que j'ai vu, sert aux raccourcis bureau et il n'y a pas de raccourci AdAnti apparemment....?
Avatar du membre
par guitar.bruno
#180552
J'ai reprogrammé Lockhunter 3 fois d'affilé pour effacer le dossier AdAnti au démarrage et cette fois 3 fois réussi!!!

Mais bon, il revient dans le Roaming à chaque fois, c'était juste une observation.
Avatar du membre
par g3n-h@ckm@n
#180587
hello non le dossier roaming est là où sont rangées des dossiers des applications

par exemple :

c:\users\ta session\appdata\Roaming\Microsoft\Windows\SendTo

correspond au dossier où sont rangés les raccourcis "envoyer vers" de ton menu contextuel

c:\users\ta session\appdata\Roaming\utorrent

correspond à toute l'application utorrent ( memorisation des torrents etc..... )
Avatar du membre
par guitar.bruno
#180588
Hello ok merci je vois.

Que penses-tu d'un nettoyage espace libre? Quand on sait qu'effacer un fichier correspond à lui retirer quelques bits pour le rendre invisible. peut-être qu'il est programmé pour se reconstituer? C'est peut-être loufoque mon idée mais...c'en est une! ;) il suffit d'essayer, tu vas me dire au point où on en est....
Avatar du membre
par guitar.bruno
#180619
hello tu n'as pas l impression que le pc fait une restauration au redémarrage tout de même ?
Salut,

Oui , en effet c'est une idée et comment paramétrer pour que ce soit évité?...

J'ai regardé mes points de restauration, le dernier date du 24/10 , avec l'installation de LockHunter...

J'ai éliminé tous mes points de restauration, quoi que le dernier est conservé chez Win 7.

J'ai même désactivé la restauration du système, pas mieux.
#180937
Salut,

http://www.cjoint.com/c/FKexA1kD0WP

Pour lancer un "up", j'ai pu constater une relation de cause à effets entre Adanti et le DOM Storage de Internet Explorer.

J'ai exécuté plusieurs fois ADW Cleaner et AdAnti et les clés de registre indiquées dans le rapport ci-joint étaient en étroit rapport, à éliminer à chaque fois en fait par le logiciel.

Même manuellement, j'ai effacé le contenu du DOM Storage, puis effacé Adanti mais au redémarrage, pour ne pas changer, ça revient.

Pourtant après cet effacement manuel, et en me précipitant au démarrage dans le dossier "Roaming" et le Regedit qui me redonne direct l'emplacement du DOM Storage, plus de AdAnti ni de contenu "hao123.com, Total, baidu " etc...disparu!!! Jusqu'à ce que je vois AdAnti réapparaitre spontanément pour se refaire sa place bien au chaud comme il l'aime et le DOM Storage se reconstituer! Alors qui se place en 1er? AdAnti je pense...

J'ai aussi fait un reset browser juste pour IE mais... ça ne semble pas fonctionner.

Enfin je pense que c'est une piste...
Avatar du membre
par g3n-h@ckm@n
#181298
salut désolé pour l attente

fais une recherche avec ca dans SEAF, fichiers dossiers et registre compris

{8856F961-340A-11D0-A96B-00C04FD705A2}
Avatar du membre
par g3n-h@ckm@n
#181314
désactive l antivirus , puis copie ce texte en entier :
Code : Tout sélectionner
Key::
[HKLM\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8856F961-340A-11D0-A96B-00C04FD705A2}]
[HKLM\Software\Classes\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}]
[HKLM\Software\Classes\Shell.Explorer\CLSID]|""
[HKLM\Software\Classes\Shell.Explorer.2\CLSID]|""
[HKLM\Software\Classes\Wow6432Node\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}]

File::
C:\ProgramData\czchsjpj.srw

Clean::
yes

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ensuite tu refermes après vérification ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
Avatar du membre
par guitar.bruno
#181316
Et voilà:

--------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 21/11/2016 19:33:03

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Key : [HKLM\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8856F961-340A-11D0-A96B-00C04FD705A2}] Deleted Successfully
Key : [HKLM\Software\Classes\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}] Deleted Successfully
Value : [HKLM\Software\Classes\Shell.Explorer\CLSID]~[] Deleted Successfully
Value : [HKLM\Software\Classes\Shell.Explorer.2\CLSID]~[] Deleted Successfully
Key : [HKLM\Software\Classes\Wow6432Node\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}] Deleted Successfully
C:\ProgramData\czchsjpj.srw Moved Successfully

-------------- | CleanDisk :

FreeSpace : 34400
Cleaning.......
FreeSpace : 34402

----------(EOF)----------
  • 1
  • 2
  • 3
  • 4
  • 5
  • 9
Gestion des Pare-feu.

Bonjour, J'ai un petit réseau de 3 PC conn[…]

Hi all members

Hello. As far as I know, tomb of the mask is an […]

Configurez la redirection de port sur votre Freebo[…]

Merci pour la réponse ;) Pour verifier […]