FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[g3n-h@ckm@n]

salut

refais ce que tu as fait avec la dll , donc ouvre le et vois si il y a toujours ceci dedans : {8856F961-340A-11D0-A96B-00C04FD705A2}

[guitar.bruno]

Hello,

Eh oui! Ici:

Ð p € ˆ € Ð   € ¸ È Ø @d D ð` L ˆe R L4 V S _ V E R S I O N _ I N F O ½ïþ ? ¬ S t r i n g F i l e I n f o ˆ 0 8 0 4 0 4 b 0 C o m m e n t s < C o m p a n y N a m e
Nv™^Ú‹sOQÜ~Ñy€b gP–lQøS 2 F i l e D e s c r i p t i o n ÀQ^'Y^ 6 F i l e V e r s i o n 1 , 0 , 0 , 1 2 I n t e r n a l N a m e A d A n t i H S f ! L e g a l C o p y r i g h t C o p y r i g h t ( C ) 2 0 1 6
Nv™^Ú‹sOQÜ~Ñy€b gP–lQøS ( L e g a l T r a d e m a r k s B
O r i g i n a l F i l e n a m e A d A n t i H S . D L L P r i v a t e B u i l d * P r o d u c t N a m e ÀQ^'Y^ : P r o d u c t V e r s i o n 1 , 0 , 0 , 1 S p e c i a l B u i l d D V a r F i l e I n f o $ T r a n s l a t i o n ° À Ȑ ›é D i a l o g
S y s t e m P b 2 ÿÿ€ O K P b 2 ÿÿ€ C a n c e l P V¤ Ð{ 8 8 5 6 F 9 6 1 - 3 4 0 A - 1 1 D 0 - A 9 6 B - 0 0 C 0 4 F D 7 0 5 A 2 } P i ½ ‘ Ñ{ 8 8 5 6 F 9 6 1 - 3 4 0 A - 1 1 D 0 - A 9 6 B - 0 0 C 0 4 F D 7 0 5 A 2 } Ðv  L ²F æ! L àÐW s5Ï®i +.b
L À F€ Ñv  L ù 4 L àÐW s5Ï®i +.b
L À F€

[g3n-h@ckm@n]

re

Télécharge TDSS Killer (de Kaspersky) sur ton Bureau. : http://media.kaspersky.com/utilities/Vi ... killer.exe

Lance TDSS, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

Clique sur Change parameters

Coche Loaded modules

Clique sur Ok

Clique sur Reboot now

Note : après le redémarrage

Une message pour éxécuter l’outil va apparaître, clique sur Oui

Clique sur Change parameters

Coche les cases suivante

Verify file digital signatures

Detect TDLFS file system

Clique sur Ok

Clique sur Start scan

Si aucune menace n’est détectée :

Dit le moi simplement dans ta réponse.

Si des menaces sont détectées :

Vérifie que les options suivantes sont bien appliqués

Si TDSS.tdl2 est détecté, l’option par défaut est delete

Si TDSS.tdl3 est détecté, l’option par défaut est Cure

Si TDSS.tdl4 (mbr) est détecté, l’option par défaut est Cure

Si Suspicious object est indiqué, l’option par défaut est Skip

Puis, clique sur Reboot now.

Une fois le scan terminé rends toi dans ton disque dur (en général C:…), le fichier TDSSKiller.¤¤¤¤ log.txt à été créé.

Héberge le rapport TDSSKiller.¤¤¤¤ log.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

[guitar.bruno]

Alors j'ai eu ce résultat:
"Si Suspicious object est indiqué, l’option par défaut est Skip"
J'ai cliqué sur "continue" et pas de "reboot now" proposé!
Mais j'ai rebooté pour voir et pas de scan demandé , ai-je raté un épisode???

Je te joins les 2 logs de Tdss existants toutefois , effectivement dans C: à sa racine :

http://www.cjoint.com/c/FKxr2E25VkP

http://www.cjoint.com/c/FKxr5UzshVP

[guitar.bruno]

J'espère que j'ai pris la bonne initiative de refaire le scan et de ne pas choisir "skip" mais "delete"!

Il ne demande pas à rebooter en tout cas , après cette opération!

Donc nouveau log:

http://www.cjoint.com/c/FKxsiuiekAP

[g3n-h@ckm@n]

bonsoir refais une recherche avec le CLSID ( {88machinchépukoi-blabla-blabla-xxxxxxxxxx} dans seaf

si positif refais le script concernant cela et ressuprime tout ce que a attrait à AdAnti etc dans appdata\Roaming , et dans c:\users\ta session\appdata\roaming\Microsoft\Windows\StartMenu\PRograms\Startup ainsi que dans C:\PRogramData\Microsoft\Windows\StartMenu\PRograms\Startup s'il y a lieu , et ensuite redemarre la machine

tue le processus eventuellement avant si existant

tiens moi au courant

[guitar.bruno]

Hello,

http://www.cjoint.com/c/FKAjCukBEmP

En effet apparemment plus de trace de cette clé....donc négatif!

[g3n-h@ckm@n]

ok par contre je présume que le reste y est toujours après redémarrage après suppression ?

[guitar.bruno]

c:\users\ta session\appdata\roaming\Microsoft\Windows\StartMenu\PRograms\Startup ainsi que dans C:\PRogramData\Microsoft\Windows\StartMenu\PRograms\Startup

Dans ces 2 dossiers, c'est bien vide mais AdAnti se manque toujours pas de revenir !

J'ai observé à nouveau au redémarrage qu'il arrive encore en dernier dans le dossier Roaming...

[g3n-h@ckm@n]

salut

J'ai observé à nouveau au redémarrage qu'il arrive encore en dernier dans le dossier Roaming...

pas vraiment compris ce que tu veux dire , quoi qu'il en soit ton souci m'interesse grave et ca me dit bien d'en venir à bout

[guitar.bruno]

Hello

Alors ce que je veux dire :

C'est une observation, j'élimine Adanti (dossier + fichier AdAntiHS.dll à l'intérieur) et je redémarre le PC.

Au redémarrage, je vais vite dans le dossier Roaming et je remarque que ce dossier AdAnti et sa dll réapparaissent après un certain temps, environ 1 mn après, les autres dossiers dans Roaming étant déjà là bien entendu, et c'est peut-être ça qui te laissait un doute!

Par ailleurs, je vais te dire ce que j'ai tenté, parce que si l'on sait que c'est rundll32 qui commande ces actions de dll (je schématise) , j'ai remplacé le fichier de Windows / System 32/ rundll32.exe , ce dernier étant un objet de doute à ma réflexion. Je l'ai prélevé de mon notebook EeePC Asus sous Win 7 Intégral également pour le remplacer par celui existant dans mon PC principal, grâce à une méthode sous DOS car difficile de contrer les droits d'administrateur sans ça. Ca n'a rien changé...

[guitar.bruno]

Salut,

Merci de ta détermination mais que penses-tu de ça? :

"Avec l'arrivée de vista, l'UAC et le mode protégé des applications, il a fallu diviser ce dossier en deux: "Local" et "locallow" où low signifie "low integrity" ou "peu fiable" en français. Par exemple, une extension pour ie8 ne peut pas écrire dans local parce qu'elle fonctionne en mode protégé. Elle doit écrire dans locallow. Cependant, les applications conçues sous XP ne sont pas au courant de cette nouveauté et donc, pour rester compatible avec XP, vista "déplace" automatiquement l'ancien dossier appdala vers "Roaming".


Vu ici: http://www.commentcamarche.net/forum/af ... tificielle

Ce procédé fait partie intégrante des nouvelles fonctions de sécurité de vista. Il permet d'empêcher un éventuel virus de contaminer le système en le forçant à rester dans une zone connue pour etre peu fiable"

Roaming existe depuis Vista et semble être là pour protéger le système. On pourrait penser que tant que Adanti se fourre dans le Roaming, pas de souci?

C'est assez vrai qu'il semble rester tranquille à défaut de nous agacer à être toujours là...

[g3n-h@ckm@n]

coucou je pensais à un truc :

et si tu vides le contenu de la dll et que tu redemarres ? ca se re-remplit ?

[guitar.bruno]

Hello,

D'après toi?

[guitar.bruno]

Oui est la réponse!

[g3n-h@ckm@n]

bonsoir

y'a un truc qui colle pas dans cette histoire......

ca pue le rootkit qui réinstalle cette merde....

je fais des recherches, j'ai peut-être un bon bout mais rien de sûr je te tiens au jus , réponds ok comme ca , ca me dira que tu attends que je donne une suite , sinon ca va partir uax oubliettes

[guitar.bruno]

Salut,

Oui ok, merci.

Ce que je me disais, c'est que systématiquement, au redémarrage, Adanti est "surveillé" et se reconstitue s'il a été éliminé avant redémarrage. Si pas éliminé, il est maintenu en place évidemment.

Est-ce un processus ou un service qui ne dit pas son nom pendant cette phase de démarrage?

A bientôt.

[g3n-h@ckm@n]

coucou

si ce n'est fait désinstalle RegRUN

=====

fais une recherche Seaf avec ces valreurs , une après l ' autre et mets les un lien via cjoint

{65122CB0-EA0F-47DF-A953-017170ED12F9}
{89B4C1CD-B018-4511-B0A1-5476DBF70820}
UCBrowser

======

je viens de trouver une clé qui appartient à tencent ici :

[HKLM\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{65122CB0-EA0F-47DF-A953-017170ED12F9}

======

y'a quoi la dedans ? : C:\Users\Bruno\AppData\Local\IIIQF

[guitar.bruno]

Hello,

si ce n'est fait désinstalle RegRUN

Fait!

{65122CB0-EA0F-47DF-A953-017170ED12F9}

http://www.cjoint.com/c/FLdukIG8nbP

{89B4C1CD-B018-4511-B0A1-5476DBF70820}

http://www.cjoint.com/c/FLdulXRh2pP

UCBrowser

http://www.cjoint.com/c/FLdumBrjalP

je viens de trouver une clé qui appartient à tencent ici :

[HKLM\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{65122CB0-EA0F-47DF-A953-017170ED12F9}

Eliminée!

y'a quoi la dedans ? : C:\Users\Bruno\AppData\Local\IIIQF

Il y a ça = 7z.dll

[g3n-h@ckm@n]

t'asoublié de cocher "egalement dans le registre" pour la recherche de 89B4C1CD-B018-4511-B0A1-5476DBF70820} et UCBrowser

^^

et tu feras une recherche registre aussi avec IIIQF di coup

[guitar.bruno]

Oops!

[guitar.bruno]

{89B4C1CD-B018-4511-B0A1-5476DBF70820}

http://www.cjoint.com/c/FLdwVp4TuhP

UCBrowser

http://www.cjoint.com/c/FLdwW04XHxP

et tu feras une recherche registre aussi avec IIIQF di coup

http://www.cjoint.com/c/FLdwXxfYA1P

[g3n-h@ckm@n]

bien refais un quickdiag en cliquant sur extended

[guitar.bruno]

bien refais un quickdiag en cliquant sur extended

http://www.cjoint.com/c/FLeas1KNoCP

[g3n-h@ckm@n]

re

copie ce texte en entier :

Code : Tout sélectionner

Driver::
ZAM
ZAM_Guard

Key::
[HKU\S-1-5-18\Software\Classes\http\DefaultIcon]|""
[HKU\S-1-5-18\Software\Classes\http\shell\open\command]|""
[HKU\S-1-5-18\Software\Classes\https\DefaultIcon]|""
[HKU\S-1-5-18\Software\Classes\https\shell\open\command]""
[HKU\S-1-5-18\Software\Clients\StartMenuInternet]|""
[HKU\S-1-5-18\Software\Classes\ftp\shell\open\command]|""
[HKU\S-1-5-18\Software\Classes\ftp\DefaultIcon]|""
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\UCBrowser.exe] 
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]|"c"
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]|"a"
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]|""
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{97a0de53-822c-11e6-b695-d8cb8aea4dfd}]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{e3bd1006-75dc-11e6-baf2-d8cb8aea4dfd}]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|"Locked"|REG_DWORD|0
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Safer Networking Limited]
[HKLM\Software\WOW6432Node\Greatis]
[HKLM\Software\WOW6432Node\Safer Networking Limited]

txt::
C:\Reset.cmd
C:\Windows\System32\Tasks\{47A681F9-0F95-4379-B449-3C7C944770E2}
C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1}

File::
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Browsers\ucbrowser.browser
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Browsers\ucbrowser.browser
C:\Users\Bruno\AppData\Roaming\AdAnti
C:\Users\Bruno\AppData\Local\Zemana
C:\ProgramData\Avira
C:\ProgramData\RegRun
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\Wondershare
C:\ProgramData\{0897014C-63E3-47DF-8A5F-4399CC5D61B9}
C:\Windows\System32\Tasks\Safer-Networking

ADS::
@C:\ProgramData\Temp

Clean::
yes

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ensuite tu refermes après vérification ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil

[guitar.bruno]

Hello,

--------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 04/12/2016 15:58:37

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : ZAM Not Deleted !
HKLM\.\ControlSet001\Services\ZAM Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM Deleted Successfully
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\RNG\Services\ZAM Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Select\Services\ZAM Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Setup\Services\ZAM Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Software\Services\ZAM Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\WPA\Services\ZAM Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM Deleted Successfully
Service : ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\Services\ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM_Guard Deleted Successfully
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM_Guard Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\RNG\Services\ZAM_Guard Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Select\Services\ZAM_Guard Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Setup\Services\ZAM_Guard Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Software\Services\ZAM_Guard Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\WPA\Services\ZAM_Guard Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM_Guard Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\http\DefaultIcon]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\http\shell\open\command]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\https\DefaultIcon]~[] Deleted Successfully
Key : [HKU\S-1-5-18\Software\Classes\https\shell\open\command] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Clients\StartMenuInternet]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\ftp\shell\open\command]~[] Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\ftp\DefaultIcon]~[] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\UCBrowser.exe] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[c] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[a] Deleted Successfully
Key : [HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]~[] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{97a0de53-822c-11e6-b695-d8cb8aea4dfd}] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{e3bd1006-75dc-11e6-baf2-d8cb8aea4dfd}] Deleted Successfully
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]~[Locked] : 0 -> Set Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Safer Networking Limited] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Greatis] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Safer Networking Limited] Deleted Successfully

-------------- | Edition C:\Reset.cmd

@echo off

setlocal

echo.
echo Determine whether we are on an 32 or 64 bit machine
echo.

if "%PROCESSOR_ARCHITECTURE%"=="x86" if "%PROCESSOR_ARCHITEW6432%"=="" goto x86

set ProgramFilesPath=%ProgramFiles(x86)%

goto startResetting

:x86

set ProgramFilesPath=%ProgramFiles%

:startResetting

echo.

if exist "%ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe" goto filesExist

echo ***ERROR*** - Could not find file %ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe. Double-check that SubInAcl is correctly installed and re-run this script.
goto END

:filesExist

pushd "%ProgramFilesPath%\Windows Resource Kits\Tools"

subinacl.exe /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CURRENT_USER /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f /grant=system=f
subinacl.exe /subdirectories %windir% /grant=administrators=f /grant=system=f

echo FINISHED.
echo.
echo Press any key to exit . . .
pause >NUL

popd

:END

endlocal

-------------- | Edition C:\Windows\System32\Tasks\{47A681F9-0F95-4379-B449-3C7C944770E2}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a C:\Users\Bruno\Downloads\LGMobileSupportTool.exe -d C:\Users\Bruno\Downloads</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

-------------- | Edition C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a "C:\Program Files (x86)\ZHPFix\ZHPhep.exe" -d "C:\Program Files (x86)\ZHPFix"</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Browsers\ucbrowser.browser Moved Successfully
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Browsers\ucbrowser.browser Moved Successfully
C:\Users\Bruno\AppData\Roaming\AdAnti Moved Successfully
C:\Users\Bruno\AppData\Local\Zemana Moved Successfully
C:\ProgramData\Avira Moved Successfully
C:\ProgramData\RegRun Moved Successfully
C:\ProgramData\Spybot - Search & Destroy Moved Successfully
C:\ProgramData\Wondershare Moved Successfully
C:\ProgramData\{0897014C-63E3-47DF-8A5F-4399CC5D61B9} Moved Successfully
C:\Windows\System32\Tasks\Safer-Networking Moved Successfully

-------------- | ADS

Deleted : @C:\ProgramData\Temp:07BF512B

-------------- | CleanDisk :

FreeSpace : 32786
Cleaning.......
FreeSpace : 32793

----------(EOF)----------

[guitar.bruno]

...et Adanti revient encore et toujours au redémarrage....

[g3n-h@ckm@n]

il me rend fou ton machin mais j'aime la compétition

refais le script en mode sans echec sans prise en charge reseau
y'a toujours un processus coreespondant qui tourne ?

[guitar.bruno]

refais le script en mode sans echec sans prise en charge reseau

-------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 04/12/2016 22:54:17

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk0\Partition2
Boot : SafeMode
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : ZAM Not Deleted !
HKLM\.\ControlSet001\Services\ZAM Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM Not Deleted !
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\RNG\Services\ZAM Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Select\Services\ZAM Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Setup\Services\ZAM Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\Software\Services\ZAM Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\WPA\Services\ZAM Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM Deleted Successfully
Service : ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\Services\ZAM_Guard Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\ControlSet002\Services\ZAM_Guard Not Deleted !
HKLM\.\ControlSet002\.\Root\LEGACY_ZAM_Guard Deleted Successfully
HKLM\.\MountedDevices\Services\ZAM_Guard Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\RNG\Services\ZAM_Guard Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Select\Services\ZAM_Guard Not Deleted !
HKLM\.\Select\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Setup\Services\ZAM_Guard Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\Software\Services\ZAM_Guard Not Deleted !
HKLM\.\Software\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\WPA\Services\ZAM_Guard Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\Services\ZAM_Guard Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_ZAM_Guard Deleted Successfully
Value : [HKU\S-1-5-18\Software\Classes\http\DefaultIcon]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\http\shell\open\command]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\https\DefaultIcon]~[] Not Found !
Key : [HKU\S-1-5-18\Software\Classes\https\shell\open\command] Not Found !
Value : [HKU\S-1-5-18\Software\Clients\StartMenuInternet]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\ftp\shell\open\command]~[] Not Found !
Value : [HKU\S-1-5-18\Software\Classes\ftp\DefaultIcon]~[] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\UCBrowser.exe] Not Found !
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[c] Not Found !
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[a] Deleted Successfully
Key : [HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]~[] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{97a0de53-822c-11e6-b695-d8cb8aea4dfd}] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{e3bd1006-75dc-11e6-baf2-d8cb8aea4dfd}] Not Found !
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]~[Locked] : 0 -> Set Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Safer Networking Limited] Not Found !
Key : [HKLM\Software\WOW6432Node\Greatis] Not Found !
Key : [HKLM\Software\WOW6432Node\Safer Networking Limited] Not Found !

-------------- | Edition C:\Reset.cmd

@echo off

setlocal

echo.
echo Determine whether we are on an 32 or 64 bit machine
echo.

if "%PROCESSOR_ARCHITECTURE%"=="x86" if "%PROCESSOR_ARCHITEW6432%"=="" goto x86

set ProgramFilesPath=%ProgramFiles(x86)%

goto startResetting

:x86

set ProgramFilesPath=%ProgramFiles%

:startResetting

echo.

if exist "%ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe" goto filesExist

echo ***ERROR*** - Could not find file %ProgramFilesPath%\Windows Resource Kits\Tools\subinacl.exe. Double-check that SubInAcl is correctly installed and re-run this script.
goto END

:filesExist

pushd "%ProgramFilesPath%\Windows Resource Kits\Tools"

subinacl.exe /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CURRENT_USER /grant=administrators=f /grant=system=f
subinacl.exe /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f /grant=system=f
subinacl.exe /subdirectories %windir% /grant=administrators=f /grant=system=f

echo FINISHED.
echo.
echo Press any key to exit . . .
pause >NUL

popd

:END

endlocal

-------------- | Edition C:\Windows\System32\Tasks\{47A681F9-0F95-4379-B449-3C7C944770E2}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a C:\Users\Bruno\Downloads\LGMobileSupportTool.exe -d C:\Users\Bruno\Downloads</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

-------------- | Edition C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>false</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a "C:\Program Files (x86)\ZHPFix\ZHPhep.exe" -d "C:\Program Files (x86)\ZHPFix"</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Bruno-PC\Bruno</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Browsers\ucbrowser.browser Not Found !
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Browsers\ucbrowser.browser Not Found !
C:\Users\Bruno\AppData\Roaming\AdAnti Moved Successfully
C:\Users\Bruno\AppData\Local\Zemana Not Found !
C:\ProgramData\Avira Not Found !
C:\ProgramData\RegRun Not Found !
C:\ProgramData\Spybot - Search & Destroy Not Found !
C:\ProgramData\Wondershare Not Found !
C:\ProgramData\{0897014C-63E3-47DF-8A5F-4399CC5D61B9} Not Found !
C:\Windows\System32\Tasks\Safer-Networking Not Found !

-------------- | ADS


-------------- | CleanDisk :

FreeSpace : 32785
Cleaning.......
FreeSpace : 32755

----------(EOF)----------


Je redémarre en mode sans échec sans prise en charge réseau: Adanti se reconstitue tout de même.

y'a toujours un processus coreespondant qui tourne ?

J'ai bien observé en me dépêchant au redémarrage, je vais dans le Roaming et avec le gestionnaire de tâches ouvert , je surveille mes processus lors de la réapparition de Adanti, c'est Rundll32 qui agit au niveau de la demande de ressources processeur.

[guitar.bruno]

Et il y a un laps de temps qui fait que je ne peux pas le virer aussitôt , Rundll32 l'en empêche et après ce laps de temps, on peut l'effacer.



Mais pour info j'ai aussi rundll 32, en plus de dans le dossier System32, ici:

C:\Users\Public\Documents\rundll32.exe

Info utile?

Non laisse tomber , c'est la dll que j'ai prélevée de mon netbook Asus Eeepc ...

[g3n-h@ckm@n]

je vais te coder un petit résident je sens.... je te passe ca dans la journée

dès que le dossier apparaitra , rundll32 sera stoppé, et le dossier sera supprimé, et ca démarrera avec windows comme ca il va plus nous ennuyer longtemps ce machin ^qu'en penses-tu ? en attendant de trouver une solution ^^

[guitar.bruno]

Hello,

Oui pourquoi pas!

Je vois précisé sur un forum, quelqu'un qui demande à quoi sert le roaming et la réponse la plus précise est : "Ton dossier roaming est constitué de ton bureau, il te permet d'avoir un profil itinérant. si tu veux te connecter sur une autres machine par exemple"

http://www.forum-seven.com/forum/topic9423.html

Mais restons sur ton idée en premier! ^^

[guitar.bruno]

Hello,

Je suis allé voir par ici... et ton message disparu.

Pas réalisable ta suggestion?

[g3n-h@ckm@n]

hello j'ai pas été beaucoup sur l ordi ces temps ci mais je t'ai pas oublé j'y repensais encore hier d'ailleurs

sisi c'est tout à fait réalisable lol

histoire que je fasse ca bien :

tu n'as pas de processus AdAnti.exe si je ne m'abuse

[guitar.bruno]

Hello,

Merci de ta détermination mais au pire, si pas réalisable, tu ne serais pas allé en prison!

Non plus d'Adanti.exe , il a existé pour devenir une dll, je ne sais plus à quel stade de mon histoire...

..et moi je dis n'importe quoi, ton message n'avait jamais disparu!

je vais te coder un petit résident je sens.... je te passe ca dans la journée

dès que le dossier apparaitra , rundll32 sera stoppé, et le dossier sera supprimé, et ca démarrera avec windows comme ca il va plus nous ennuyer longtemps ce machin ^qu'en penses-tu ? en attendant de trouver une solution ^^

[g3n-h@ckm@n]

oki promis je te fais ca dans la journée ( je vais être occupé sur un dépannage local en début d'aprem sur Valence mais ca devrait pas me prendre bien longtemps).....

[guitar.bruno]

Salut,

Pas sûr que je t'ai transmis ce printscreen de ma bdr, niveau DOM Storage qui est en relation avec Adanti.

[g3n-h@ckm@n]

Salut si tu cliques sur "Total" il apparait quoi à droite ?

[guitar.bruno]

Hello,

Il apparait:

" NOM (Par défaut) / Type : REG_DWORD / Données: 0X0000015e (350)

[g3n-h@ckm@n]

fais sauter la clé DOMStorage et redemarre le pc