FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[laurent38387]

Bonjour,

suite à de nombreuses tentatives pour dévéroler mon PC, je fais appel vous.
J'ai chopé une m**** qui m'a installé pas mal de malware (un enchainement d'installation comme j'ai jamais vu )

bref au bout d'une heure de combat, j'ai réussi à tout enlever (plus rien dans les programmes, dossiers, rien avec adwcleaner, malwarebytes, roguekiller et mon antivirus)

au bout de quelques jours, je me suis aperçu qu'un CMD s'ouvrait de temps en temps.
Je suis donc je suis reparti dans mes recherches.
J'ai donc passer en tout :
- adwcleaner, roguekiller, malwarebytes, zhpcleaner, JRT, rkill et spy hunter qui est payant mais qui m'a permis de cibler les problèmes
- fait le tour des dossiers sur C, prog files, windows, appdata et supprimer les fichiers suspects
- fait le tour de la base de registre et supprimer les clés suspectes, vérifier le Run
- j'ai trouvé un script dans system32 qui se connectait à un cloud pour certainement récupérer des fichiers
- trouvé un dossier insist sur C qui revient au bout d'un moment avec un fichier detecté par l'antivirus
- trouvé un dossier phtpruger qui se met dans prog files avec à l'intérieur un exe snarer
- regardé et supprimé des services (j'ai trouvé snarer dedans)
- chercher dans les taches planifiées (mais pas trouvé grand chose)

et je suis à bout
du coup j'ai une dll qui s'appelle kitty qui revient dans mon dossier appdata, le dossier phtpruger qui revient (je crois que le problème s'appelle winsnare ou snare), et un dossier insist qui se met sur C.
Et maintenant roguekiller me trouve winsnapsvc et shareaza en les supprimant mais ils reviennent

Voila une idée?

fichier quickdiag dispo ici : http://dl.free.fr/eYtvCb10D

[g3n-h@ckm@n]

Salut

on va tout faire sauter , spyhunter avec car c'est un crapware

effectue ceci stp

https://genhackmantools.wordpress.com/canned-adsfix/

[laurent38387]

http://www.cjoint.com/c/GEfvhhpggW2

[g3n-h@ckm@n]

hello aucune trace de tout ce que tu as annoncé dans ton enoncé , tu es sur que c'est sur le bon pc que tu as apssé l outil ? lol !!

relance malwarebytes , mets-le à jour , clique sur "rechercher les rootkits" dans les options de scan et fais une analyse complete

[laurent38387]

oui j'ai bien passé l'outil
après le problème est que mon antivirus nettoie à chaque fois les fichiers
par contre il faudrait que je trouve la tache planifiée ou le programme qui télécharge les fichiers

[g3n-h@ckm@n]

coucou

spyhunter est dans le changelog d'adsfix en liste noire, donc je suis étonné qu'aucune trace n'en soit ressortie....

[laurent38387]

malgré pas mal de manip, j'ai toujours plusieurs fois par jour kitty.dll dans appdata et des fichiers dans program files (phtpruger/alowdel) qui se copient et se font virer par mon antivirus
je sais vraiment pas d'ou ça vient

[g3n-h@ckm@n]

bonjour passe la derniere version à jour de ce matin je pense que ca va bien le faire

http://www.aht.li/2724560/AdsFix.exe

n'oublie surtout pas de désactiver tous les agents d'avast jusqu'au redemarrage (clic droit sur la boule avast => gestion des agents => désactiver tous les agents jusqu'au redemarrage )

[laurent38387]

bon ben j'ai repassé adsfix avec la nouvelle version
ça m'a viré plus de chose mais malheureusement c'est revenu à l'instant...
je commence à désespérer

http://www.cjoint.com/c/GEokd1MUL12

[g3n-h@ckm@n]

bonjour doit y avoir un truc , ca doit venir de sites que tu visites qui sont pourris sinon ca reviendrait pas

[laurent38387]

ben c'est que des sites courants...
vu que ça n'est pas une tache planifiée, ni un programme qui s'ouvre à l'ouverture de session, ça se peut que se soit dans le profile firefox? (j'ai essayé de réinitialiser mais c'est pareil en tout cas)

Mes raccourcis ne sont pas vérolés avec des adresses en compléments non plus

[g3n-h@ckm@n]

bonjour

truc bizarre malwarebytes ne détecte rien et il a été justement programmé pour ce genre d'infection...

refais quickdiag avec la derniere version à jour

[laurent38387]

voila
http://www.cjoint.com/c/GEsrvnHNSBW

je me suis posé la question si c'est pas une machine virtuelle que j'ai sur mon Pc que me balançait des merdes

j'ai essayé de couper la carte réseau, je verrais bien

[g3n-h@ckm@n]

bonjour non je ne pense pas sinon avec toutes les machines virtuelles que j'ai pour tester mes outils , je serais drolement infecté lol ( surtout que je n'utilise aucune protection dans mon pc ^^ )

=======

Google Chrome pas terrible , lis ca :

https://genhackmantools.wordpress.com/a ... ur-chrome/

=======

Désactive tes protections puis selectionne et copie ce texte en entier :

Code : Tout sélectionner

Key::
[HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]|""
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj]
[HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5]
[HKLM\Software\WOW6432Node\qimose.exe]
[HKLM\Software\WOW6432Node\Reerut]
[HKLM\Software\WOW6432Node\Symantec]
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyClient.exe"
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyBrowser.exe"


File::
C:\WINDOWS\1d7wf5b2moqfv5e
C:\Users\Utilisateur1\AppData\Local\Absolute_Software

Line::
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1");
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.dev_mode", false);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.enabled", true);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.logging.level", 50);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae");

CMD::
sc delete diagtrack
sc delete dmwappushservice
%Homedrive%\QuickDiag\smss.exe C:\Windows\Temp /P /GE:F /Q /OA
rd /s /q C:\Windows\Temp\*
del /f /q C:\Windows\Temp\*
%Homedrive%\QuickDiag\smss.exe %LOCALAPPDATA%\Temp /P /GE:F /Q /OA
rd /s /q %LOCALAPPDATA%\Temp\*
del /f /q %LOCALAPPDATA%\Temp\*
###

txt::
AVFramework-TaskStartUserServer32-1S

RecurseList::
C:\WINDOWS\System32\GroupPolicy\Machine

Clean::
yes

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge, si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu refermes cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil

[laurent38387]

Voila Mr et merci encore

par contre je n'utilise pas chrome, j'aime pas...

Code : Tout sélectionner

--------------- QuickScript | g3n-h@ckm@n | V3_18.05.17.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 19/05/2017 10:56:40

Updated 18/05/2017 | 12.00 (GMT) by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[laguero (Administrator)] - [LAO1] (S-1-5-21-3581059989-3763473338-1472119887-1447)

System: Microsoft Windows 8.1 Professionnel -  - (6.3.9600) -  BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 8.1 Professionnel|C:\WINDOWS|\Device\Harddisk0\Partition4
Boot : Normal boot
PC: 20CD0038FR - LENOVO - IdNumber: MP05QC6Q - UUID: 08A3FE01-5308-11CB-841E-E14318D36058
Processor : X64 - 2394 Mhz - Intel(R) Core(TM) i7-4500U CPU @ 1.80GHz
GQET46WW (1.26 ) - en-US - LENOVO - S/N: MP05QC6Q - GQET46WW (1.26 ) - LENOVO - 1260
CoreTemp : -247.7 Celsius

----------| Script


Registry saved : C:\QuickDiag\Save\Registry [19.05.2017 @ 10_56_41]

Value : [HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]~[] Not Found !
Key : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\qimose.exe] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Reerut] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Symantec] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyClient.exe] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyBrowser.exe] Deleted Successfully
C:\WINDOWS\1d7wf5b2moqfv5e Moved Successfully
C:\Users\Utilisateur1\AppData\Local\Absolute_Software Moved Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1"); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.dev_mode", false); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.enabled", true); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.logging.level", 50); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae"); -> Deleted Successfully

-------------- | Recurse Listing : C:\WINDOWS\System32\GroupPolicy\Machine

C:\WINDOWS\System32\GroupPolicy\Machine\Scripts
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\scripts.ini
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup

-------------- | CleanDisk :

FreeSpace : 17022
Cleaning.......
FreeSpace : 17103

----------(EOF)----------

[g3n-h@ckm@n]

re

redemarre le pc et vois ce que ca donne

[laurent38387]

pareil
C'est revenu cette après midi

[laurent38387]

hier malwarebytes à jour m'a trouvé des dossiers mais c'est quand même revenu

je viens de passer ZHP et il m'a trouvé ça :

Code : Tout sélectionner

~ ZHPCleaner v2017.5.18.83 by Nicolas Coolman (2017/05/18)
~ Run by laguero (Administrator)  (20/05/2017 12:40:16)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\laguero\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\laguero\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8.1 Pro, 64-bit  (Build 9600)


---\\  Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Fichier hôte. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Explorateur  ( Dossiers, Fichiers ). (29)
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata    =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata-v2    =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\idb\12183338011.sqlite    =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ArmUI.ini    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR39A0.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR70E3.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRA8CD.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRCA84.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRDA56.tmp.cvr    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ExchangePerflog_8484fa316e2105b4b93e3f08.dat    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\handle.ini    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ica712861017016.ica    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\JavaDeployReg.log    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGBFB8.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC1BD.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC26A.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC317.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC3C3.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC470.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC52D.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC5DA.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC687.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC733.tmp    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\Setup Log 2017-05-19 #001.txt    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\site.txt    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\_iu14D2N.tmp [ - Setup/Uninstall]  =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF28884BCD4536C754.TMP    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF3601FF892A250162.TMP    =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DFA23A29098084D589.TMP    =>.Superfluous.Temporary.Empty


---\\  Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Récapitulatif des éléments trouvés sur votre station. (2)
https://nicolascoolman.eu/2017/02/04/superfluous-atwola/  =>.Superfluous.Atwola
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary.Empty


---\\  Nettoyage Additionnel. (12)
~ Suppression des Clés de registre Tracing. (8)
~ Suppression des anciens rapports ZHPCleaner. (4)


---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent  (Google Chrome)
~ Ce navigateur est absent  (Opera Software)


---\\ Statistiques
~ Items scannés : 1035
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 29


~ End of clean in 00h00mn10s
~====================
ZHPCleaner-[R]-20052017-12_40_26.txt
ZHPCleaner-[S]-20052017-12_39_04.txt

Je vais attendre encore un peu mais je sais plus quoi faire

[laurent38387]

j'ai essayé de supprimer mon profiles firefox mais toujours pareil

je sais pas d’où ça vient mais aucune page s'ouvre,
le ventilo de mon PC souffle car mon antivirus doit analyser (ou bien ça prend des ressources) et après j'ai un point d'interrogation sur mon kaspersky
aucun fichier sur mon PC c'est juste sur le compte rendu kaspersky

[g3n-h@ckm@n]

hello des nouvelles ?

[laurent38387]

j'ai essayé de déinstaller kaspersky et de le réinstaller, depuis je n'ai plus rien

je ne comprends pas du tout ce qu'il s'est passé

[g3n-h@ckm@n]

hello

plus de soucis dans ce cas *?