FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par g3n-h@ckm@n
#181341
salut

refais ce que tu as fait avec la dll , donc ouvre le et vois si il y a toujours ceci dedans : {8856F961-340A-11D0-A96B-00C04FD705A2}
Avatar du membre
par guitar.bruno
#181343
Hello,

Eh oui! Ici:

Ð p € ˆ € Ð   € ¸ È Ø @d D ð` L ˆe R L4 V S _ V E R S I O N _ I N F O ½ïþ ? ¬ S t r i n g F i l e I n f o ˆ 0 8 0 4 0 4 b 0 C o m m e n t s < C o m p a n y N a m e
Nv™^Ú‹sOQÜ~Ñy€b gP–lQøS 2 F i l e D e s c r i p t i o n ÀQ^'Y^ 6 F i l e V e r s i o n 1 , 0 , 0 , 1 2 I n t e r n a l N a m e A d A n t i H S f ! L e g a l C o p y r i g h t C o p y r i g h t ( C ) 2 0 1 6
Nv™^Ú‹sOQÜ~Ñy€b gP–lQøS ( L e g a l T r a d e m a r k s B
O r i g i n a l F i l e n a m e A d A n t i H S . D L L P r i v a t e B u i l d * P r o d u c t N a m e ÀQ^'Y^ : P r o d u c t V e r s i o n 1 , 0 , 0 , 1 S p e c i a l B u i l d D V a r F i l e I n f o $ T r a n s l a t i o n ° À Ȑ ›é D i a l o g
S y s t e m P b 2 ÿÿ€ O K P b 2 ÿÿ€ C a n c e l P V¤ Ð{ 8 8 5 6 F 9 6 1 - 3 4 0 A - 1 1 D 0 - A 9 6 B - 0 0 C 0 4 F D 7 0 5 A 2 } P i ½ ‘ Ñ{ 8 8 5 6 F 9 6 1 - 3 4 0 A - 1 1 D 0 - A 9 6 B - 0 0 C 0 4 F D 7 0 5 A 2 } Ðv  L ²F æ! L àÐW s5Ï®i +.b
L À F€ Ñv  L ù 4 L àÐW s5Ï®i +.b
L À F€
Avatar du membre
par g3n-h@ckm@n
#181345
re

Télécharge TDSS Killer (de Kaspersky) sur ton Bureau. : http://media.kaspersky.com/utilities/Vi ... killer.exe

Lance TDSS, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

Clique sur Change parameters

Coche Loaded modules

Clique sur Ok

Clique sur Reboot now

Note : après le redémarrage

Une message pour éxécuter l’outil va apparaître, clique sur Oui

Clique sur Change parameters

Coche les cases suivante

Verify file digital signatures

Detect TDLFS file system

Clique sur Ok

Clique sur Start scan

Si aucune menace n’est détectée :

Dit le moi simplement dans ta réponse.

Si des menaces sont détectées :

Vérifie que les options suivantes sont bien appliqués

Si TDSS.tdl2 est détecté, l’option par défaut est delete

Si TDSS.tdl3 est détecté, l’option par défaut est Cure

Si TDSS.tdl4 (mbr) est détecté, l’option par défaut est Cure

Si Suspicious object est indiqué, l’option par défaut est Skip

Puis, clique sur Reboot now.

Une fois le scan terminé rends toi dans ton disque dur (en général C:…), le fichier TDSSKiller.¤¤¤¤ log.txt à été créé.

Héberge le rapport TDSSKiller.¤¤¤¤ log.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
Avatar du membre
par guitar.bruno
#181350
Alors j'ai eu ce résultat:
"Si Suspicious object est indiqué, l’option par défaut est Skip"
J'ai cliqué sur "continue" et pas de "reboot now" proposé!
Mais j'ai rebooté pour voir et pas de scan demandé , ai-je raté un épisode???

Je te joins les 2 logs de Tdss existants toutefois , effectivement dans C: à sa racine :

http://www.cjoint.com/c/FKxr2E25VkP

http://www.cjoint.com/c/FKxr5UzshVP
Avatar du membre
par g3n-h@ckm@n
#181393
bonsoir refais une recherche avec le CLSID ( {88machinchépukoi-blabla-blabla-xxxxxxxxxx} dans seaf

si positif refais le script concernant cela et ressuprime tout ce que a attrait à AdAnti etc dans appdata\Roaming , et dans c:\users\ta session\appdata\roaming\Microsoft\Windows\StartMenu\PRograms\Startup ainsi que dans C:\PRogramData\Microsoft\Windows\StartMenu\PRograms\Startup s'il y a lieu , et ensuite redemarre la machine

tue le processus eventuellement avant si existant

tiens moi au courant
Avatar du membre
par guitar.bruno
#181414
c:\users\ta session\appdata\roaming\Microsoft\Windows\StartMenu\PRograms\Startup ainsi que dans C:\PRogramData\Microsoft\Windows\StartMenu\PRograms\Startup
Dans ces 2 dossiers, c'est bien vide mais AdAnti se manque toujours pas de revenir ! :hello:

J'ai observé à nouveau au redémarrage qu'il arrive encore en dernier dans le dossier Roaming...
Avatar du membre
par g3n-h@ckm@n
#181484
salut

J'ai observé à nouveau au redémarrage qu'il arrive encore en dernier dans le dossier Roaming...

pas vraiment compris ce que tu veux dire , quoi qu'il en soit ton souci m'interesse grave et ca me dit bien d'en venir à bout
Avatar du membre
par guitar.bruno
#181494
Hello

Alors ce que je veux dire :

C'est une observation, j'élimine Adanti (dossier + fichier AdAntiHS.dll à l'intérieur) et je redémarre le PC.

Au redémarrage, je vais vite dans le dossier Roaming et je remarque que ce dossier AdAnti et sa dll réapparaissent après un certain temps, environ 1 mn après, les autres dossiers dans Roaming étant déjà là bien entendu, et c'est peut-être ça qui te laissait un doute!

Par ailleurs, je vais te dire ce que j'ai tenté, parce que si l'on sait que c'est rundll32 qui commande ces actions de dll (je schématise) , j'ai remplacé le fichier de Windows / System 32/ rundll32.exe , ce dernier étant un objet de doute à ma réflexion. Je l'ai prélevé de mon notebook EeePC Asus sous Win 7 Intégral également pour le remplacer par celui existant dans mon PC principal, grâce à une méthode sous DOS car difficile de contrer les droits d'administrateur sans ça. Ca n'a rien changé...
Avatar du membre
par guitar.bruno
#181502
Salut,

Merci de ta détermination mais que penses-tu de ça? :

"Avec l'arrivée de vista, l'UAC et le mode protégé des applications, il a fallu diviser ce dossier en deux: "Local" et "locallow" où low signifie "low integrity" ou "peu fiable" en français. Par exemple, une extension pour ie8 ne peut pas écrire dans local parce qu'elle fonctionne en mode protégé. Elle doit écrire dans locallow. Cependant, les applications conçues sous XP ne sont pas au courant de cette nouveauté et donc, pour rester compatible avec XP, vista "déplace" automatiquement l'ancien dossier appdala vers "Roaming".


Vu ici: http://www.commentcamarche.net/forum/af ... tificielle

Ce procédé fait partie intégrante des nouvelles fonctions de sécurité de vista. Il permet d'empêcher un éventuel virus de contaminer le système en le forçant à rester dans une zone connue pour etre peu fiable"

Roaming existe depuis Vista et semble être là pour protéger le système. On pourrait penser que tant que Adanti se fourre dans le Roaming, pas de souci?

C'est assez vrai qu'il semble rester tranquille à défaut de nous agacer à être toujours là...
Avatar du membre
par g3n-h@ckm@n
#181588
bonsoir

y'a un truc qui colle pas dans cette histoire......

ca pue le rootkit qui réinstalle cette merde....

je fais des recherches, j'ai peut-être un bon bout mais rien de sûr je te tiens au jus , réponds ok comme ca , ca me dira que tu attends que je donne une suite , sinon ca va partir uax oubliettes
Avatar du membre
par guitar.bruno
#181601
Salut,

Oui ok, merci.

Ce que je me disais, c'est que systématiquement, au redémarrage, Adanti est "surveillé" et se reconstitue s'il a été éliminé avant redémarrage. Si pas éliminé, il est maintenu en place évidemment.

Est-ce un processus ou un service qui ne dit pas son nom pendant cette phase de démarrage?

A bientôt.
Avatar du membre
par g3n-h@ckm@n
#181620
coucou

si ce n'est fait désinstalle RegRUN

=====

fais une recherche Seaf avec ces valreurs , une après l ' autre et mets les un lien via cjoint

{65122CB0-EA0F-47DF-A953-017170ED12F9}
{89B4C1CD-B018-4511-B0A1-5476DBF70820}
UCBrowser

======

je viens de trouver une clé qui appartient à tencent ici :

[HKLM\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{65122CB0-EA0F-47DF-A953-017170ED12F9}

======

y'a quoi la dedans ? : C:\Users\Bruno\AppData\Local\IIIQF
Avatar du membre
par guitar.bruno
#181632
Hello,
si ce n'est fait désinstalle RegRUN
Fait!
{65122CB0-EA0F-47DF-A953-017170ED12F9}
http://www.cjoint.com/c/FLdukIG8nbP
{89B4C1CD-B018-4511-B0A1-5476DBF70820}
http://www.cjoint.com/c/FLdulXRh2pP
UCBrowser
http://www.cjoint.com/c/FLdumBrjalP
je viens de trouver une clé qui appartient à tencent ici :

[HKLM\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{65122CB0-EA0F-47DF-A953-017170ED12F9}
Eliminée!
y'a quoi la dedans ? : C:\Users\Bruno\AppData\Local\IIIQF
Il y a ça = 7z.dll
Avatar du membre
par g3n-h@ckm@n
#181633
t'asoublié de cocher "egalement dans le registre" pour la recherche de 89B4C1CD-B018-4511-B0A1-5476DBF70820} et UCBrowser

^^

et tu feras une recherche registre aussi avec IIIQF di coup :)
Avatar du membre
par g3n-h@ckm@n
#181647
re

copie ce texte en entier :
Code : Tout sélectionner

Driver::
ZAM
ZAM_Guard

Key::
[HKU\S-1-5-18\Software\Classes\http\DefaultIcon]|""
[HKU\S-1-5-18\Software\Classes\http\shell\open\command]|""
[HKU\S-1-5-18\Software\Classes\https\DefaultIcon]|""
[HKU\S-1-5-18\Software\Classes\https\shell\open\command]""
[HKU\S-1-5-18\Software\Clients\StartMenuInternet]|""
[HKU\S-1-5-18\Software\Classes\ftp\shell\open\command]|""
[HKU\S-1-5-18\Software\Classes\ftp\DefaultIcon]|""
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\UCBrowser.exe] 
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]|"c"
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]|"a"
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]|""
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{97a0de53-822c-11e6-b695-d8cb8aea4dfd}]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{e3bd1006-75dc-11e6-baf2-d8cb8aea4dfd}]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|"Locked"|REG_DWORD|0
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Safer Networking Limited]
[HKLM\Software\WOW6432Node\Greatis]
[HKLM\Software\WOW6432Node\Safer Networking Limited]

txt::
C:\Reset.cmd
C:\Windows\System32\Tasks\{47A681F9-0F95-4379-B449-3C7C944770E2}
C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1}

File::
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Browsers\ucbrowser.browser
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Browsers\ucbrowser.browser
C:\Users\Bruno\AppData\Roaming\AdAnti
C:\Users\Bruno\AppData\Local\Zemana
C:\ProgramData\Avira
C:\ProgramData\RegRun
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\Wondershare
C:\ProgramData\{0897014C-63E3-47DF-8A5F-4399CC5D61B9}
C:\Windows\System32\Tasks\Safer-Networking

ADS::
@C:\ProgramData\Temp

Clean::
yes

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ensuite tu refermes après vérification ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
Avatar du membre
par guitar.bruno
#181654
Hello,

--------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 04/12/2016 15:58:37

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : ZAM Not Deleted !
HKLM\.\ControlSet001\Services\ZAM Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM Deleted Successfully
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\RNG\Services\ZAM Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Select\Services\ZAM Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Setup\Services\ZAM Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Software\Services\ZAM Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\WPA\Services\ZAM Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM Deleted Successfully
Service : ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\Services\ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM_Guard Deleted Successfully
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM_Guard Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\RNG\Services\ZAM_Guard Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Select\Services\ZAM_Guard Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Setup\Services\ZAM_Guard Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Software\Services\ZAM_Guard Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\WPA\Services\ZAM_Guard Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM_Guard Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\http\DefaultIcon]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\http\shell\open\command]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\https\DefaultIcon]~[] Deleted Successfully
Key : [HKU\S-1-5-18\Software\Classes\https\shell\open\command] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Clients\StartMenuInternet]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\ftp\shell\open\command]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\ftp\DefaultIcon]~[] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\UCBrowser.exe] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[c] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[a] Deleted Successfully
Key : [HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]~[] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{97a0de53-822c-11e6-b695-d8cb8aea4dfd}] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{e3bd1006-75dc-11e6-baf2-d8cb8aea4dfd}] Deleted Successfully
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]~[Locked] : 0 -> Set Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Safer Networking Limited] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Greatis] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Safer Networking Limited] Deleted Successfully

-------------- | Edition C:\Reset.cmd

@echo off

setlocal

echo.
echo Determine whether we are on an 32 or 64 bit machine
echo.

if "%PROCESSOR_ARCHITECTURE%"=="x86" if "%PROCESSOR_ARCHITEW6432%"=="" goto x86

set ProgramFilesPath=%ProgramFiles(x86)%

goto startResetting

:x86

set ProgramFilesPath=%ProgramFiles%

:startResetting

echo.

if exist "%ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe" goto filesExist

echo ***ERROR*** - Could not find file %ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe. Double-check that SubInAcl is correctly installed and re-run this script.
goto END

:filesExist

pushd "%ProgramFilesPath%\Windows Resource Kits\Tools"

subinacl.exe /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CURRENT_USER /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f /grant=system=f
subinacl.exe /subdirectories %windir% /grant=administrators=f /grant=system=f

echo FINISHED.
echo.
echo Press any key to exit . . .
pause >NUL

popd

:END

endlocal

-------------- | Edition C:\Windows\System32\Tasks\{47A681F9-0F95-4379-B449-3C7C944770E2}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a C:\Users\Bruno\Downloads\LGMobileSupportTool.exe -d C:\Users\Bruno\Downloads</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

-------------- | Edition C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a "C:\Program Files (x86)\ZHPFix\ZHPhep.exe" -d "C:\Program Files (x86)\ZHPFix"</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Browsers\ucbrowser.browser Moved Successfully
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Browsers\ucbrowser.browser Moved Successfully
C:\Users\Bruno\AppData\Roaming\AdAnti Moved Successfully
C:\Users\Bruno\AppData\Local\Zemana Moved Successfully
C:\ProgramData\Avira Moved Successfully
C:\ProgramData\RegRun Moved Successfully
C:\ProgramData\Spybot - Search & Destroy Moved Successfully
C:\ProgramData\Wondershare Moved Successfully
C:\ProgramData\{0897014C-63E3-47DF-8A5F-4399CC5D61B9} Moved Successfully
C:\Windows\System32\Tasks\Safer-Networking Moved Successfully

-------------- | ADS

Deleted : @C:\ProgramData\Temp:07BF512B

-------------- | CleanDisk :

FreeSpace : 32786
Cleaning.......
FreeSpace : 32793

----------(EOF)----------
Avatar du membre
par g3n-h@ckm@n
#181661
il me rend fou ton machin mais j'aime la compétition

refais le script en mode sans echec sans prise en charge reseau
y'a toujours un processus coreespondant qui tourne ?
Avatar du membre
par guitar.bruno
#181666
refais le script en mode sans echec sans prise en charge reseau
-------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 04/12/2016 22:54:17

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk0\Partition2
Boot : SafeMode
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : ZAM Not Deleted !
HKLM\.\ControlSet001\Services\ZAM Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM Not Deleted !
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\RNG\Services\ZAM Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Select\Services\ZAM Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Setup\Services\ZAM Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Software\Services\ZAM Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\WPA\Services\ZAM Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM Deleted Successfully
Service : ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\Services\ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM_Guard Not Deleted !
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM_Guard Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\RNG\Services\ZAM_Guard Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Select\Services\ZAM_Guard Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Setup\Services\ZAM_Guard Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Software\Services\ZAM_Guard Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\WPA\Services\ZAM_Guard Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM_Guard Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\http\DefaultIcon]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\http\shell\open\command]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\https\DefaultIcon]~[] Not Found !
Key : [HKU\S-1-5-18\Software\Classes\https\shell\open\command] Not Found !
Value : [HKU\S-1-5-18\Software\Clients\StartMenuInternet]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\ftp\shell\open\command]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\ftp\DefaultIcon]~[] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\UCBrowser.exe] Not Found !
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[c] Not Found !
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[a] Deleted Successfully
Key : [HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]~[] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{97a0de53-822c-11e6-b695-d8cb8aea4dfd}] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{e3bd1006-75dc-11e6-baf2-d8cb8aea4dfd}] Not Found !
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]~[Locked] : 0 -> Set Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Safer Networking Limited] Not Found !
Key : [HKLM\Software\WOW6432Node\Greatis] Not Found !
Key : [HKLM\Software\WOW6432Node\Safer Networking Limited] Not Found !

-------------- | Edition C:\Reset.cmd

@echo off

setlocal

echo.
echo Determine whether we are on an 32 or 64 bit machine
echo.

if "%PROCESSOR_ARCHITECTURE%"=="x86" if "%PROCESSOR_ARCHITEW6432%"=="" goto x86

set ProgramFilesPath=%ProgramFiles(x86)%

goto startResetting

:x86

set ProgramFilesPath=%ProgramFiles%

:startResetting

echo.

if exist "%ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe" goto filesExist

echo ***ERROR*** - Could not find file %ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe. Double-check that SubInAcl is correctly installed and re-run this script.
goto END

:filesExist

pushd "%ProgramFilesPath%\Windows Resource Kits\Tools"

subinacl.exe /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CURRENT_USER /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f /grant=system=f
subinacl.exe /subdirectories %windir% /grant=administrators=f /grant=system=f

echo FINISHED.
echo.
echo Press any key to exit . . .
pause >NUL

popd

:END

endlocal

-------------- | Edition C:\Windows\System32\Tasks\{47A681F9-0F95-4379-B449-3C7C944770E2}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a C:\Users\Bruno\Downloads\LGMobileSupportTool.exe -d C:\Users\Bruno\Downloads</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

-------------- | Edition C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a "C:\Program Files (x86)\ZHPFix\ZHPhep.exe" -d "C:\Program Files (x86)\ZHPFix"</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Browsers\ucbrowser.browser Not Found !
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Browsers\ucbrowser.browser Not Found !
C:\Users\Bruno\AppData\Roaming\AdAnti Moved Successfully
C:\Users\Bruno\AppData\Local\Zemana Not Found !
C:\ProgramData\Avira Not Found !
C:\ProgramData\RegRun Not Found !
C:\ProgramData\Spybot - Search & Destroy Not Found !
C:\ProgramData\Wondershare Not Found !
C:\ProgramData\{0897014C-63E3-47DF-8A5F-4399CC5D61B9} Not Found !
C:\Windows\System32\Tasks\Safer-Networking Not Found !

-------------- | ADS


-------------- | CleanDisk :

FreeSpace : 32785
Cleaning.......
FreeSpace : 32755

----------(EOF)----------


Je redémarre en mode sans échec sans prise en charge réseau: Adanti se reconstitue tout de même.
y'a toujours un processus coreespondant qui tourne ?
J'ai bien observé en me dépêchant au redémarrage, je vais dans le Roaming et avec le gestionnaire de tâches ouvert , je surveille mes processus lors de la réapparition de Adanti, c'est Rundll32 qui agit au niveau de la demande de ressources processeur.
Avatar du membre
par guitar.bruno
#181667
Et il y a un laps de temps qui fait que je ne peux pas le virer aussitôt , Rundll32 l'en empêche et après ce laps de temps, on peut l'effacer.

Image

Mais pour info j'ai aussi rundll 32, en plus de dans le dossier System32, ici:

C:\Users\Public\Documents\rundll32.exe

Info utile?

Non laisse tomber , c'est la dll que j'ai prélevée de mon netbook Asus Eeepc ...
Avatar du membre
par g3n-h@ckm@n
#181674
je vais te coder un petit résident je sens.... je te passe ca dans la journée

dès que le dossier apparaitra , rundll32 sera stoppé, et le dossier sera supprimé, et ca démarrera avec windows comme ca il va plus nous ennuyer longtemps ce machin ^qu'en penses-tu ? en attendant de trouver une solution ^^
Avatar du membre
par guitar.bruno
#181679
Hello,

Oui pourquoi pas! ;)

Je vois précisé sur un forum, quelqu'un qui demande à quoi sert le roaming et la réponse la plus précise est : "Ton dossier roaming est constitué de ton bureau, il te permet d'avoir un profil itinérant. si tu veux te connecter sur une autres machine par exemple"

http://www.forum-seven.com/forum/topic9423.html

Mais restons sur ton idée en premier! ^^
Avatar du membre
par g3n-h@ckm@n
#181743
hello j'ai pas été beaucoup sur l ordi ces temps ci mais je t'ai pas oublé :) j'y repensais encore hier d'ailleurs

sisi c'est tout à fait réalisable lol

histoire que je fasse ca bien :

tu n'as pas de processus AdAnti.exe si je ne m'abuse
Avatar du membre
par guitar.bruno
#181756
Hello,

Merci de ta détermination mais au pire, si pas réalisable, tu ne serais pas allé en prison! :lol:

Non plus d'Adanti.exe , il a existé pour devenir une dll, je ne sais plus à quel stade de mon histoire...

..et moi je dis n'importe quoi, ton message n'avait jamais disparu! :oops:
je vais te coder un petit résident je sens.... je te passe ca dans la journée

dès que le dossier apparaitra , rundll32 sera stoppé, et le dossier sera supprimé, et ca démarrera avec windows comme ca il va plus nous ennuyer longtemps ce machin ^qu'en penses-tu ? en attendant de trouver une solution ^^
Avatar du membre
par g3n-h@ckm@n
#181759
oki promis je te fais ca dans la journée ( je vais être occupé sur un dépannage local en début d'aprem sur Valence mais ca devrait pas me prendre bien longtemps).....
  • 1
  • 2
  • 3
  • 4
  • 5
  • 9

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]

Gestion des Pare-feu.

Bonjour, J'ai un petit réseau de 3 PC conn[…]

Hi all members

Hello. As far as I know, tomb of the mask is an […]

Configurez la redirection de port sur votre Freebo[…]