FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par guitar.bruno
#182777
Hello,

Oops, j'ai accepté de passer un coup de Delfix avec l'ami Satchfan et Quickdiag est parti à la benne! :?

Je m'en remets donc à toi pour me le procurer à nouveau!

Seaf aussi parti....

Que penses-tu de 9-lab? Quelqu'un d'autre sur Bleepingcomputer me le conseille?

http://9-lab.com/
Avatar du membre
par guitar.bruno
#182791
Salut

ben ca alors !
Hello,

Possible que j'aie besoin de tes lumières pour chercher efficacement un élément de base de registre, parce qu'en fait je copie-colle ce que tu me demandes dans le moteur de recherche de "regedit" (édition > rechercher ou ctrl + F ) mais ça ne marche pas toujours! Si je me dirige manuellement en suivant pas à pas le chemin, je peux trouver ce que le moteur de recherche ne trouve pas, c'est très con ! :o
Avatar du membre
par guitar.bruno
#182800
Hello,

Je t'informe qu' en outre, il y a un gars qui m'a proposé divers outils comme celui que je t'avais cité , et d'autre comme Zoek (qui semble de la famille de Hijackthis qui n' existe plus je crois) , AVZ4 etc, eh bien je vais t'étonner: même chose, AdAnti revient encore et toujours! Je viens de lui dire "Stop!"

Même l' ami Satchfan commence à sécher...

En dernière date, créer un nouveau compte d'utilisateur semblait une bonne idée mais AdAnti se place aussi dans son Roaming.

Bref ils ont bien vu comme toi que Rundll32 replace systématiquement AdAnti dans le Roaming.

Qu'en dit ton copain que tu devais contacter?
Avatar du membre
par guitar.bruno
#182829
Hello,

Oui , même scénario, il semblait que Satchfan ait été plus en profondeur avec qrlygr.sys (dans C:/Win/Sys32/drivers) que tu avait cerné je crois me souvenir, je te disais qu' il était invisible mais on le fait apparaitre grâce au fait de décocher "cacher les fichiers protégés par Windows" dans les options d'affichage. Mais AdAnti revient, bien-sûr , et qrlygr.sys aussi malgré son effacement forcé par FRST...
Avatar du membre
par guitar.bruno
#182849
Oui mais alors comme tu as vu, ces .sys qui reviennent (dans Sys32/drivers), nommés aléatoirement et différemment à chaque fois qu' on redémarre après les avoir effacés, comment empêcher ça? :reflexion:

Surtout que VirusTotal les considère comme qrlygr.sys, quelque soit leur nom qui change...
Avatar du membre
par g3n-h@ckm@n
#182903
hello ca veut dire qu il faut que tu crées un compte admin local , donc avec un pseudo , pas avec une adresse mail microsoft tel que demandé à l ouverture de session mais je sais pas si ca va changer grand chose.
Avatar du membre
par g3n-h@ckm@n
#182911
tu parles de l outil ou d'un rapport de nouvelle tentative qui est parti avec delfix ? ^^

regarde si tu fais une recherche de ceci dans le registre ce que ca donne

净广大师
Avatar du membre
par guitar.bruno
#182913
tu parles de l outil ou d'un rapport de nouvelle tentative qui est parti avec delfix ? ^^
De l'outil
regarde si tu fais une recherche de ceci dans le registre ce que ca donne

净广大师
Rien trouvé.
Avatar du membre
par g3n-h@ckm@n
#182920
Coucou bon je vais installer Tencent dans une VM , voir un peu je te tiens au courant

Edit::

bon j'ai installé tout ce qu il y a d'inimaginable de la famille QQ et compagnie , y'a du chinois à donf dans la VM

QQbrowser, Tencent QQ international et j'en passe et des meilleures, mais pas l ombre d'un AdAnti quelqu'il soit lol ^^

Edit2::

j'ai réussi à choper AdAntiHS.exe je l ai executé mais il se met pas en startup mais m'a bien créé un dossier AdAnti en se recopiant dedans , dans Appdata\Roaming, ca tourne j'attends la suite il est en train de me faire clignoter explorer ^^

Edit3::

Je voudrais faire des comparaisons

copie C:\Windows\explorer.exe sur ton bureau
copie C:\Windows\system32\Rundll32.exe sur ton bureau

Si tu ne l'as plus, reprends Quickdiag : http://gen-hackman.ddns.net:8123/QuickDiag.exe

et fais un script avec ceci :
Code : Tout sélectionner
Search::
explorer.exe
rundll32.exe
ca va prendre un peu de temps , une vingtaine je pense ( de minutes lol ^^ )
Avatar du membre
par guitar.bruno
#183158
Hello,

Je suis désolé, je n'avais pas vu de mail annonçant ton post, pourtant il était resté en surveillance! :?

Alors je te tiens au courant tout de même, avant de tenir compte de ta proposition:

Adanti a disparu et ne revient plus, durant ce temps j' avais juste maintenu ton Anti AdAnti au démarrage pour être tranquille.

Ce matin j'ai eu l'idée de relancer un MBAM et il m'a trouvé les fichiers suivant:

http://www.cjoint.com/c/GBztEfAKLmP

Redémarrage, et plus rien en désactivant Anti Adanti.

j'ai fait une recherche dans C:, plus de trace de AdAntiHS.dll

Pas mal mais qu 'en penses-tu?
Avatar du membre
par g3n-h@ckm@n
#183507
salut effectivement mais c'est ce qu'on s'est tués à faire de supprimer ces rootkits et à chaque fois ils sont revenus donc je comprends pas comment ca se fait que là !!!!
Avatar du membre
par guitar.bruno
#183509
Salut,

Eh bien oui en effet, j'ai beau réfléchir à ce qui a pu finalement le faire disparaitre, je ne trouve pas.

Enfin oui, C'est Malwarebyte Anti Malware, il a détecté, supprimé AdAnti pour ne vraiment plus revenir et encore à ce jour, je viens de vérifier, il ne pointe plus le bout du nez! :hourra:

Est-ce sa mise à jour de définitions qui a enfin fait la différence...

On a envie de dire que c'est résolu.
Avatar du membre
par g3n-h@ckm@n
#183525
par contre certains programmes n'ont pas de cases mais des boutons "Accept" et "Decline" , faut cliquer sur Decline ou Refuser , ca installe quand meme ton programme sans le surplus , et oui je sais c'est vicieux ^^

la plupart des gens se disent "si je clique sur decline ou refuser ca va pas m installer mon programme" , ben justement si , et que celui ci alors qu'en cliquant sur Accept , ca installe bien ton programme mais avec la merde en plus ^^

un exemple du vice ici avec le programme utorrent :

Image

si tu cliques sur Terminer tu ramasses SearchPRotect avec ainsi que le moteur et la page d'accueil trovi.com lol ^^
si ca c'est pas vicieux !!! :o
  • 1
  • 5
  • 6
  • 7
  • 8
  • 9
désinstaller sophos

bonjour, ci joint les fichiers d'analyse https://w[…]

Bug PC

Bonjour, Essaye de voir si une application du Mic[…]

Channel effortless cool with the Lana Del Rey Fer[…]

Bonjour, J’ai un laptop Asus récent[…]