FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par laurent38387
#184179
Bonjour,

suite à de nombreuses tentatives pour dévéroler mon PC, je fais appel vous.
J'ai chopé une m**** qui m'a installé pas mal de malware (un enchainement d'installation comme j'ai jamais vu :hourra: )

bref au bout d'une heure de combat, j'ai réussi à tout enlever (plus rien dans les programmes, dossiers, rien avec adwcleaner, malwarebytes, roguekiller et mon antivirus)

au bout de quelques jours, je me suis aperçu qu'un CMD s'ouvrait de temps en temps.
Je suis donc je suis reparti dans mes recherches.
J'ai donc passer en tout :
- adwcleaner, roguekiller, malwarebytes, zhpcleaner, JRT, rkill et spy hunter qui est payant mais qui m'a permis de cibler les problèmes
- fait le tour des dossiers sur C, prog files, windows, appdata et supprimer les fichiers suspects
- fait le tour de la base de registre et supprimer les clés suspectes, vérifier le Run
- j'ai trouvé un script dans system32 qui se connectait à un cloud pour certainement récupérer des fichiers
- trouvé un dossier insist sur C qui revient au bout d'un moment avec un fichier detecté par l'antivirus
- trouvé un dossier phtpruger qui se met dans prog files avec à l'intérieur un exe snarer
- regardé et supprimé des services (j'ai trouvé snarer dedans)
- chercher dans les taches planifiées (mais pas trouvé grand chose)

et je suis à bout :x
du coup j'ai une dll qui s'appelle kitty qui revient dans mon dossier appdata, le dossier phtpruger qui revient (je crois que le problème s'appelle winsnare ou snare), et un dossier insist qui se met sur C.
Et maintenant roguekiller me trouve winsnapsvc et shareaza en les supprimant mais ils reviennent

Voila une idée?

fichier quickdiag dispo ici : http://dl.free.fr/eYtvCb10D
Avatar du membre
par g3n-h@ckm@n
#184187
hello aucune trace de tout ce que tu as annoncé dans ton enoncé , tu es sur que c'est sur le bon pc que tu as apssé l outil ? lol !!

relance malwarebytes , mets-le à jour , clique sur "rechercher les rootkits" dans les options de scan et fais une analyse complete
Avatar du membre
par laurent38387
#184193
oui j'ai bien passé l'outil
après le problème est que mon antivirus nettoie à chaque fois les fichiers
par contre il faudrait que je trouve la tache planifiée ou le programme qui télécharge les fichiers
Avatar du membre
par g3n-h@ckm@n
#184229
coucou

spyhunter est dans le changelog d'adsfix en liste noire, donc je suis étonné qu'aucune trace n'en soit ressortie....
Avatar du membre
par laurent38387
#184284
malgré pas mal de manip, j'ai toujours plusieurs fois par jour kitty.dll dans appdata et des fichiers dans program files (phtpruger/alowdel) qui se copient et se font virer par mon antivirus
je sais vraiment pas d'ou ça vient
Avatar du membre
par g3n-h@ckm@n
#184291
bonjour passe la derniere version à jour de ce matin je pense que ca va bien le faire

http://www.aht.li/2724560/AdsFix.exe

n'oublie surtout pas de désactiver tous les agents d'avast jusqu'au redemarrage (clic droit sur la boule avast => gestion des agents => désactiver tous les agents jusqu'au redemarrage )
Avatar du membre
par g3n-h@ckm@n
#184333
bonjour doit y avoir un truc , ca doit venir de sites que tu visites qui sont pourris sinon ca reviendrait pas
Avatar du membre
par laurent38387
#184344
ben c'est que des sites courants...
vu que ça n'est pas une tache planifiée, ni un programme qui s'ouvre à l'ouverture de session, ça se peut que se soit dans le profile firefox? (j'ai essayé de réinitialiser mais c'est pareil en tout cas)

Mes raccourcis ne sont pas vérolés avec des adresses en compléments non plus
Avatar du membre
par g3n-h@ckm@n
#184360
bonjour

truc bizarre malwarebytes ne détecte rien et il a été justement programmé pour ce genre d'infection...

refais quickdiag avec la derniere version à jour
Avatar du membre
par g3n-h@ckm@n
#184381
bonjour non je ne pense pas sinon avec toutes les machines virtuelles que j'ai pour tester mes outils , je serais drolement infecté lol ( surtout que je n'utilise aucune protection dans mon pc ^^ )

=======

Google Chrome pas terrible , lis ca :

https://genhackmantools.wordpress.com/a ... ur-chrome/

=======

Désactive tes protections puis selectionne et copie ce texte en entier :
Code : Tout sélectionner

Key::
[HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]|""
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj]
[HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5]
[HKLM\Software\WOW6432Node\qimose.exe]
[HKLM\Software\WOW6432Node\Reerut]
[HKLM\Software\WOW6432Node\Symantec]
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyClient.exe"
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyBrowser.exe"


File::
C:\WINDOWS\1d7wf5b2moqfv5e
C:\Users\Utilisateur1\AppData\Local\Absolute_Software

Line::
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1");
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.dev_mode", false);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.enabled", true);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.logging.level", 50);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae");

CMD::
sc delete diagtrack
sc delete dmwappushservice
%Homedrive%\QuickDiag\smss.exe C:\Windows\Temp /P /GE:F /Q /OA
rd /s /q C:\Windows\Temp\*
del /f /q C:\Windows\Temp\*
%Homedrive%\QuickDiag\smss.exe %LOCALAPPDATA%\Temp /P /GE:F /Q /OA
rd /s /q %LOCALAPPDATA%\Temp\*
del /f /q %LOCALAPPDATA%\Temp\*
###

txt::
AVFramework-TaskStartUserServer32-1S

RecurseList::
C:\WINDOWS\System32\GroupPolicy\Machine

Clean::
yes
Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge, si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu refermes cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
Avatar du membre
par laurent38387
#184384
Voila Mr et merci encore

par contre je n'utilise pas chrome, j'aime pas...
Code : Tout sélectionner
--------------- QuickScript | g3n-h@ckm@n | V3_18.05.17.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 19/05/2017 10:56:40

Updated 18/05/2017 | 12.00 (GMT) by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[laguero (Administrator)] - [LAO1] (S-1-5-21-3581059989-3763473338-1472119887-1447)

System: Microsoft Windows 8.1 Professionnel -  - (6.3.9600) -  BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 8.1 Professionnel|C:\WINDOWS|\Device\Harddisk0\Partition4
Boot : Normal boot
PC: 20CD0038FR - LENOVO - IdNumber: MP05QC6Q - UUID: 08A3FE01-5308-11CB-841E-E14318D36058
Processor : X64 - 2394 Mhz - Intel(R) Core(TM) i7-4500U CPU @ 1.80GHz
GQET46WW (1.26 ) - en-US - LENOVO - S/N: MP05QC6Q - GQET46WW (1.26 ) - LENOVO - 1260
CoreTemp : -247.7 Celsius

----------| Script


Registry saved : C:\QuickDiag\Save\Registry [19.05.2017 @ 10_56_41]

Value : [HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]~[] Not Found !
Key : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\qimose.exe] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Reerut] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Symantec] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyClient.exe] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyBrowser.exe] Deleted Successfully
C:\WINDOWS\1d7wf5b2moqfv5e Moved Successfully
C:\Users\Utilisateur1\AppData\Local\Absolute_Software Moved Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1"); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.dev_mode", false); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.enabled", true); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.logging.level", 50); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae"); -> Deleted Successfully

-------------- | Recurse Listing : C:\WINDOWS\System32\GroupPolicy\Machine

C:\WINDOWS\System32\GroupPolicy\Machine\Scripts
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\scripts.ini
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup

-------------- | CleanDisk :

FreeSpace : 17022
Cleaning.......
FreeSpace : 17103

----------(EOF)----------
Avatar du membre
par laurent38387
#184403
hier malwarebytes à jour m'a trouvé des dossiers mais c'est quand même revenu

je viens de passer ZHP et il m'a trouvé ça :
Code : Tout sélectionner
~ ZHPCleaner v2017.5.18.83 by Nicolas Coolman (2017/05/18)
~ Run by laguero (Administrator)  (20/05/2017 12:40:16)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\laguero\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\laguero\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8.1 Pro, 64-bit  (Build 9600)


---\\  Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Fichier hôte. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Explorateur  ( Dossiers, Fichiers ). (29)
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata    =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata-v2    =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\idb\12183338011.sqlite    =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ArmUI.ini    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR39A0.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR70E3.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRA8CD.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRCA84.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRDA56.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ExchangePerflog_8484fa316e2105b4b93e3f08.dat    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\handle.ini    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ica712861017016.ica    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\JavaDeployReg.log    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGBFB8.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC1BD.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC26A.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC317.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC3C3.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC470.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC52D.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC5DA.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC687.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC733.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\Setup Log 2017-05-19 #001.txt    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\site.txt    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\_iu14D2N.tmp [ - Setup/Uninstall]  =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF28884BCD4536C754.TMP    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF3601FF892A250162.TMP    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DFA23A29098084D589.TMP    =>.Superfluous.Temporary.Empty


---\\  Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Récapitulatif des éléments trouvés sur votre station. (2)
https://nicolascoolman.eu/2017/02/04/superfluous-atwola/  =>.Superfluous.Atwola
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary.Empty


---\\  Nettoyage Additionnel. (12)
~ Suppression des Clés de registre Tracing. (8)
~ Suppression des anciens rapports ZHPCleaner. (4)


---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent  (Google Chrome)
~ Ce navigateur est absent  (Opera Software)


---\\ Statistiques
~ Items scannés : 1035
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 29


~ End of clean in 00h00mn10s
~====================
ZHPCleaner-[R]-20052017-12_40_26.txt
ZHPCleaner-[S]-20052017-12_39_04.txt
Je vais attendre encore un peu mais je sais plus quoi faire
Avatar du membre
par laurent38387
#184422
j'ai essayé de supprimer mon profiles firefox mais toujours pareil

je sais pas d’où ça vient mais aucune page s'ouvre,
le ventilo de mon PC souffle car mon antivirus doit analyser (ou bien ça prend des ressources) et après j'ai un point d'interrogation sur mon kaspersky
aucun fichier sur mon PC c'est juste sur le compte rendu kaspersky

Configurez la redirection de port sur votre Freebo[…]

Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]