FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par guitar.bruno
#182544
Hello,

Complément d'infos que j'espère constructif, concernant le comportement de ton soft Search_Files:

Je l'ai testé à nouveau 2 fois en mode normal et sans échec:

le fichier list.txt se présente au lancement du logiciel!

J'oserais imaginer que ce soit plutôt à la fin du scan.... :reflexion:

Même contenu: ¤¤¤¤¤¤¤¤¤¤ # Listing
Avatar du membre
par g3n-h@ckm@n
#182566
coucou

il n'y a que ça dans le fichier list.txt, c'est normal?:


même après que la fenetre se soit refermée ? chez moi ca l a bien rempli :/
quoi qu'il en soit j'ai vu l autre fichier et apparemment aucun fichier ne crée cette dll donc on est dans un drôle d'impasse ....
vire les extensions safe price de tes navigateurs
Avatar du membre
par g3n-h@ckm@n
#182577
hello

ok

bon j'ai trouvé un installeur d'AdAnti que je me suis empressé d'exécuter dans une machine virtuelle , mais il n'a rien mis en startup, ni dans appdata\Roaming

il a juste installé le programme normalement dans program files
Avatar du membre
par g3n-h@ckm@n
#182580
fais moi les deux rapports FRST comme indiqué ? en lien via cjoint...

je pense pas que je vais découvrir d'autres choses d infectieuses mais bon ca vaut le coup d'oeil
Avatar du membre
par g3n-h@ckm@n
#182594
coucou bien que je ne pense pas que ca change grand chose on va quand même faire cette optim'

crée un fichier texte à coté de FRST ( faut qu'ils soient ensemble pour que ca fonctionne ), que tu nommes Fixlist

colle ca dedans :
Code : Tout sélectionner
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => -> Pas de fichier
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Pas de fichier 
HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION 
U0 Partizan; system32\drivers\Partizan.sys [X] 
C:\ProgramData\RegRun 
C:\Windows\SysWOW64\PARTIZAN.TXT 
Task: {D2B5EC7F-1721-4AEE-ABA4-597EC5DA9740} - \GridinSoft Anti-Malware -> Pas de fichier <==== ATTENTION
Task: {E1676ABD-80DC-4D0E-9605-E9DB841055C2} - \{7F0B0B47-0C04-0B7F-0A11-09090B04110F} -> Pas de fichier <==== ATTENTION 
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [162]
EmptyTemp:
Reboot:
ensuite lance FRST puis clique sur correction un nouveau doc texte apparaitra à la fin colle son contenu
Avatar du membre
par g3n-h@ckm@n
#182602
ok bon je m'en doutais comme dit précédemment lol ^^

l'étau se resserre sur les possibilités de s'en sortir de ce truc-là :/
Avatar du membre
par guitar.bruno
#182606
Sur le site américain, le gars qui a eu le même problème a dit ceci:

"In my case, I later contacted BitDefender and ran some diagnostic software they provided on the computer and sent the results back to them. They then updated their virus database and BitDefender (the antivirus), was able to automatically catch and delete AdAntiHS (not simply quarantine). Haven't seen it on my startup programs again."

pour les non anglophones:

"En ce qui me concerne, j'ai contacté Bitdefender et j'ai utilisé certains logiciels de diagnostic pour leur envoyer les résultats. ils ont donc mis à jour leur base de données de virus et c'est l'antivirus Bitdefender qui a pu cerner et effacer AdAntiHS (et pas seulement une mise en 40aine). Ca ne s'est plus représenté dans mes démarrages de système."

Visible ici:

https://www.bleepingcomputer.com/forums ... try4163415
Modifié en dernier par guitar.bruno le mer. 18 janv. 2017 23:09, modifié 1 fois.
Avatar du membre
par g3n-h@ckm@n
#182607
j'ai posté aussi interessant ce topic nous aurons peut-être une solution , faut le suivre :) ;)

je réétudie la conversation complete , standby plesae
Avatar du membre
par g3n-h@ckm@n
#182611
j'ai contacté beaucoup plus fort que moi ....à suivre
en général quand je le contacte c'est que je ne peux plus faire grand chose mais je pense que lui pourra, il est bien plus calé que moi..... je m'avoue vaincu.... :/

waiting......
Avatar du membre
par guitar.bruno
#182677
Hello,

Si je réponds bien à ta question, mon Outlook 2007 renvoie sur Firefox en cas de lien URL dans les mails, mais à part la CAF qui m'envoie un mail pour consulter une notification, ou déclarer mes revenus d'auto entrepreneur à l'URSSAF en cas de rappel de celle-ci par mail, je ne vois pas quelle imprudence j'aurais pu commettre... en cas de doute, je ne clique pas mais bon, un moment d'égarement arrive vite!
Avatar du membre
par g3n-h@ckm@n
#182680
Clique droit sur le lien pour télécharger ComboFix par le Helper

Sous Mozilla FireFox :
Clique sur Enregistrer la cible du lien sous

Sous Google Chrome :
Clique sur Enregistrer le lien sous …

Sous Internet Explorer :
Clique sur Enregistrer le lien sous …

Exemple sous Mozilla :

Puis choisir le Bureau comme destination :

Enfin renommer le fichier en ce que tu veux

Cet outil ne doit être utilisé que sous conseil d'un expert en désinfection.
Vous pouvez demander conseil


Ces 2 points sont à lire attentivement :
  • Tes protections doivent êtres désactivés
    ComboFix doit être renommé avant d’être téléchargé
Télécharges ComboFix (de sUBs) sur ton Bureau ! : https://www.sosvirus.net/telecharger/combofix/

Sous Windows 7 et Vista :

Clique droit sur l’exécutable ,exécuter en tant qu’administrateur

Si tu reçois un avertissement, cliquer Oui

Une fenêtre va s’ouvrir, cliques sur J’accepte

A partir de la ne touche plus le PC, ni la souris ni même le PC !

Sous Windows XP :

Lance l’éxécutable

Une fenêtre va s’ouvrir, cliques sur J’accepte

A partir de la ne touche plus le PC, ni la souris ni même le PC !

Accepte l’installation de la console de récupération

Un message apparaît, clique sur Ok

Une fenêtre s’ouvre avec deux choix, clique sur Oui

A la fin du scan, ComboFix t’indiquera ou se trouve le rapport. Redémarre ton PC, puis poste le contenue de celui çi dans ta prochaine réponse. via un lien cjoint
Avatar du membre
par g3n-h@ckm@n
#182685
passe ces trois fichiers sur virus total http://www.virustotal.com

c:\windows\System32\drivers\alifide.sys
c:\windows\System32\drivers\qrlygr.sys
c:\windows\System32\drivers\qskyes.sys

je veux pas te faire de fausses joies mais je crois que je l'ai trouvé ^^
Avatar du membre
par guitar.bruno
#182688
c:\windows\System32\drivers\alifide.sys
c:\windows\System32\drivers\qrlygr.sys
c:\windows\System32\drivers\qskyes.sys
Pas trouvés.... :?
je veux pas te faire de fausses joies mais je crois que je l'ai trouvé ^^
Au redémarrage, AdAnti est revenu...
Avatar du membre
par g3n-h@ckm@n
#182694
ah ben le plus marrant c'est qu ils sont dans le rapport de combofix ^^

2009-07-13 23:19 64512 --sha-w- c:\windows\System32\drivers\alifide.sys
2008-12-09 14:03 364688 --sha-w- c:\windows\System32\drivers\qrlygr.sys
2008-12-09 14:03 364688 --sha-w- c:\windows\System32\drivers\qskyes.sys

=====

passe ces deux termes dans Seaf : ( fich/dossiers et registre également

MuroghfibchCloud
ziphost

======

refais un quickdiag en mode extended avec la derniere version mise à jour aujourd'hui : http://gen-hackman.ddns.net:8123/QuickDiag.exe
Avatar du membre
par g3n-h@ckm@n
#182701
désinstalle wondershare

==

je sais pas ce que c'est ce truc là mais tu l'as installé le même jour ou tu est venu C:\Program Files (x86)\GPLGS

==

bon on va la faire comme ca , exporte ces deux clés sur ton bureau au cas où


[HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\SvcHost]
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost]

==

Désactive tes protections puis selectionne et copie ce texte en entier :
Code : Tout sélectionner

Driver::
hitmanpro37

Key::
[HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\SvcHost]|"zipsvcs"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost]|"zipsvcs"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost]|"MuroghfibchCloud"
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Google\Chrome\Extensions\pilplloabdedfmialnfchjomjmpjcoej]
[HKLM\Software\Google\Chrome\Extensions\pilplloabdedfmialnfchjomjmpjcoej]
[HKLM\Software\WOW6432Node\Google\Chrome\Extensions\efaidnbmnnnibpcajpcglclefindmkaj]
[HKLM\Software\WOW6432Node\Google\Chrome\Extensions\pilplloabdedfmialnfchjomjmpjcoej]
[HKLM\Software\WOW6432Node\Greatis]
[HKLM\Software\WOW6432Node\SymNRT]
[HKLM\Software\WOW6432Node\WafCX]
[HKLM\Software\WOW6432Node\Wondershare]
[HKLM\Software\Wondershare]
[HKLM\Software\WOW6432Node\Pocket Soft]
[HKLM\Software\WOW6432Node\PocketSoft]
[HKLM\Software\WOW6432Node\SymNRT]
[HKLM\Software\WOW6432Node\WafCX]
[HKLM\Software\WOW6432Node\Wondershare]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]|"Filmora.exe"
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]|"mininews.exe"
[HKCR\Installer\Products\93BAD29AC2E44034A96BCB446EB8552E]
[HKLM\Software\WOW6432Node\Google]
[HKLM\Software\Google]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Google]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Bitdefender]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

File::
C:\Windows\Installer\39b1d.msi
C:\Users\Bruno\AppData\Local\IIIQF
C:\Program Files (x86)\Google
C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1}
C:\Windows\System32\Drivers\hitmanpro37.sys
C:\Windows\System32\geqi
C:\Windows\System32\Partizan.RRI
C:\Users\Bruno\AppData\Local\Google

Clean::
yes

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ensuite tu refermes après vérification ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil, et redémarrer le pc
Avatar du membre
par guitar.bruno
#182704
--------------- QuickScript | g3n-h@ckm@n | V3_22.01.17.3 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 22/01/2017 22:58:38

Updated 22/01/2017 | 19.40 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : hitmanpro37 Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_hitmanpro37 Deleted Successfully
HKLM\.\ControlSet002\Services\hitmanpro37 Deleted Successfully
HKLM\.\ControlSet002\.\Root\LEGACY_hitmanpro37 Deleted Successfully
HKLM\.\CurrentControlSet\.\Root\LEGACY_hitmanpro37 Deleted Successfully
Driver : C:\Windows\System32\Drivers\hitmanpro37.sys : Not Moved ! -> Reboot !
Value : [HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\SvcHost]~[zipsvcs] Deleted Successfully
Value : [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost]~[zipsvcs] Deleted Successfully
Value : [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost]~[MuroghfibchCloud] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Google\Chrome\Extensions\pilplloabdedfmialnfchjomjmpjcoej] Deleted Successfully
Key : [HKLM\Software\Google\Chrome\Extensions\pilplloabdedfmialnfchjomjmpjcoej] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Google\Chrome\Extensions\efaidnbmnnnibpcajpcglclefindmkaj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Google\Chrome\Extensions\pilplloabdedfmialnfchjomjmpjcoej] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Greatis] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\SymNRT] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\WafCX] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Wondershare] Deleted Successfully
Key : [HKLM\Software\Wondershare] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Pocket Soft] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\PocketSoft] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\SymNRT] Not Found !
Key : [HKLM\Software\WOW6432Node\WafCX] Not Found !
Key : [HKLM\Software\WOW6432Node\Wondershare] Not Found !
Value : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]~[Filmora.exe] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]~[mininews.exe] Deleted Successfully
Key : [HKCR\Installer\Products\93BAD29AC2E44034A96BCB446EB8552E] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Google] Deleted Successfully
Key : [HKLM\Software\Google] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Google] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Greatis] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Bitdefender] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] Deleted Successfully
C:\Windows\Installer\39b1d.msi Moved Successfully
C:\Users\Bruno\AppData\Local\IIIQF Moved Successfully
C:\Program Files (x86)\Google Moved Successfully
C:\Windows\System32\Tasks\{C9FC4D71-5136-42C8-8904-5F5D47CA4FD1} Moved Successfully
C:\Windows\System32\Drivers\hitmanpro37.sys Moved Successfully
C:\Windows\System32\geqi Moved Successfully
C:\Windows\System32\Partizan.RRI Moved Successfully
C:\Users\Bruno\AppData\Local\Google Moved Successfully

-------------- | CleanDisk :

FreeSpace : 43286
Cleaning.......
FreeSpace : 43286

----------(EOF)----------
Avatar du membre
par guitar.bruno
#182705
Et il est toujours là cet AdAnti, le processus cette fois annonce rundll32.exe alors qu'avant c'était explorer.exe:

http://www.cjoint.com/c/GAwwkLM3aRP

Et Wondershare était absent de mes programmes, j'ai viré une clé dans la BDR et le dossier que tu me cites GPLGS, viré aussi. Pour t'informer, ça faisait partie de CutePDF, imprimante pdf que j'avais désinstallé il y a quelque temps...
Modifié en dernier par guitar.bruno le dim. 22 janv. 2017 23:16, modifié 1 fois.
  • 1
  • 5
  • 6
  • 7
  • 8
  • 9
désinstaller sophos

:bonjour: tu remets frst et addition je t'ai de[…]

Hello!

Nice to meet you, guys! Opportunities like schola[…]

Bug PC

Bonjour, Essaye de voir si une application du Mic[…]

Channel effortless cool with the Lana Del Rey Fer[…]