par g3n-h@ckm@n » sam. 17 juin 2017 15:32
hello
plus de soucis dans ce cas *?
hello
plus de soucis dans ce cas *?
j'ai essayé de déinstaller kaspersky et de le réinstaller, depuis je n'ai plus rien
je ne comprends pas du tout ce qu'il s'est passé
j'ai essayé de déinstaller kaspersky et de le réinstaller, depuis je n'ai plus rien
je ne comprends pas du tout ce qu'il s'est passé
par g3n-h@ckm@n » mer. 31 mai 2017 15:49
hello des nouvelles ?
hello des nouvelles ?
j'ai essayé de supprimer mon profiles firefox mais toujours pareil
je sais pas d’où ça vient mais aucune page s'ouvre,
le ventilo de mon PC souffle car mon antivirus doit analyser (ou bien ça prend des ressources) et après j'ai un point d'interrogation sur mon kaspersky
aucun fichier sur mon PC c'est juste sur le compte rendu kaspersky
j'ai essayé de supprimer mon profiles firefox mais toujours pareil
je sais pas d’où ça vient mais aucune page s'ouvre,
le ventilo de mon PC souffle car mon antivirus doit analyser (ou bien ça prend des ressources) et après j'ai un point d'interrogation sur mon kaspersky
aucun fichier sur mon PC c'est juste sur le compte rendu kaspersky
hier malwarebytes à jour m'a trouvé des dossiers mais c'est quand même revenu
je viens de passer ZHP et il m'a trouvé ça :
Code : Tout sélectionner~ ZHPCleaner v2017.5.18.83 by Nicolas Coolman (2017/05/18)
~ Run by laguero (Administrator) (20/05/2017 12:40:16)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\laguero\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\laguero\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8.1 Pro, 64-bit (Build 9600)
---\\ Service. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Fichier hôte. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Explorateur ( Dossiers, Fichiers ). (29)
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata-v2 =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\idb\12183338011.sqlite =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ArmUI.ini =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR39A0.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR70E3.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRA8CD.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRCA84.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRDA56.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ExchangePerflog_8484fa316e2105b4b93e3f08.dat =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\handle.ini =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ica712861017016.ica =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\JavaDeployReg.log =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGBFB8.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC1BD.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC26A.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC317.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC3C3.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC470.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC52D.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC5DA.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC687.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC733.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\Setup Log 2017-05-19 #001.txt =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\site.txt =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\_iu14D2N.tmp [ - Setup/Uninstall] =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF28884BCD4536C754.TMP =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF3601FF892A250162.TMP =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DFA23A29098084D589.TMP =>.Superfluous.Temporary.Empty
---\\ Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Récapitulatif des éléments trouvés sur votre station. (2)
https://nicolascoolman.eu/2017/02/04/superfluous-atwola/ =>.Superfluous.Atwola
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.Superfluous.Temporary.Empty
---\\ Nettoyage Additionnel. (12)
~ Suppression des Clés de registre Tracing. (8)
~ Suppression des anciens rapports ZHPCleaner. (4)
---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent (Google Chrome)
~ Ce navigateur est absent (Opera Software)
---\\ Statistiques
~ Items scannés : 1035
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 29
~ End of clean in 00h00mn10s
~====================
ZHPCleaner-[R]-20052017-12_40_26.txt
ZHPCleaner-[S]-20052017-12_39_04.txt
Je vais attendre encore un peu mais je sais plus quoi faire
hier malwarebytes à jour m'a trouvé des dossiers mais c'est quand même revenu
je viens de passer ZHP et il m'a trouvé ça :
[code]~ ZHPCleaner v2017.5.18.83 by Nicolas Coolman (2017/05/18)
~ Run by laguero (Administrator) (20/05/2017 12:40:16)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\laguero\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\laguero\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8.1 Pro, 64-bit (Build 9600)
---\\ Service. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Fichier hôte. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Explorateur ( Dossiers, Fichiers ). (29)
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\.metadata-v2 =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\storage\default\https+++ol.uk.at.atwola.com\idb\12183338011.sqlite =>.Superfluous.Atwola
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ArmUI.ini =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR39A0.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVR70E3.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRA8CD.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRCA84.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\CVRDA56.tmp.cvr =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ExchangePerflog_8484fa316e2105b4b93e3f08.dat =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\handle.ini =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\ica712861017016.ica =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\JavaDeployReg.log =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGBFB8.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC1BD.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC26A.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC317.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC3C3.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC470.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC52D.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC5DA.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC687.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\OCGC733.tmp =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\Setup Log 2017-05-19 #001.txt =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\site.txt =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\_iu14D2N.tmp [ - Setup/Uninstall] =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF28884BCD4536C754.TMP =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DF3601FF892A250162.TMP =>.Superfluous.Temporary.Empty
DEPLACÉ fichier: C:\Users\laguero\AppData\Local\Temp\~DFA23A29098084D589.TMP =>.Superfluous.Temporary.Empty
---\\ Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Récapitulatif des éléments trouvés sur votre station. (2)
https://nicolascoolman.eu/2017/02/04/superfluous-atwola/ =>.Superfluous.Atwola
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.Superfluous.Temporary.Empty
---\\ Nettoyage Additionnel. (12)
~ Suppression des Clés de registre Tracing. (8)
~ Suppression des anciens rapports ZHPCleaner. (4)
---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent (Google Chrome)
~ Ce navigateur est absent (Opera Software)
---\\ Statistiques
~ Items scannés : 1035
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 29
~ End of clean in 00h00mn10s
~====================
ZHPCleaner-[R]-20052017-12_40_26.txt
ZHPCleaner-[S]-20052017-12_39_04.txt
[/code]
Je vais attendre encore un peu mais je sais plus quoi faire
pareil
C'est revenu cette après midi
pareil
C'est revenu cette après midi
par g3n-h@ckm@n » ven. 19 mai 2017 14:03
re
redemarre le pc et vois ce que ca donne
re
redemarre le pc et vois ce que ca donne
Voila Mr et merci encore
par contre je n'utilise pas chrome, j'aime pas...
Code : Tout sélectionner--------------- QuickScript | g3n-h@ckm@n | V3_18.05.17.1 ---------------
----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 19/05/2017 10:56:40
Updated 18/05/2017 | 12.00 (GMT) by g3n-h@ckm@n
Contact : http://www.sosvirus.net/
Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[laguero (Administrator)] - [LAO1] (S-1-5-21-3581059989-3763473338-1472119887-1447)
System: Microsoft Windows 8.1 Professionnel - - (6.3.9600) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 8.1 Professionnel|C:\WINDOWS|\Device\Harddisk0\Partition4
Boot : Normal boot
PC: 20CD0038FR - LENOVO - IdNumber: MP05QC6Q - UUID: 08A3FE01-5308-11CB-841E-E14318D36058
Processor : X64 - 2394 Mhz - Intel(R) Core(TM) i7-4500U CPU @ 1.80GHz
GQET46WW (1.26 ) - en-US - LENOVO - S/N: MP05QC6Q - GQET46WW (1.26 ) - LENOVO - 1260
CoreTemp : -247.7 Celsius
----------| Script
Registry saved : C:\QuickDiag\Save\Registry [19.05.2017 @ 10_56_41]
Value : [HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]~[] Not Found !
Key : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\qimose.exe] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Reerut] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Symantec] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyClient.exe] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyBrowser.exe] Deleted Successfully
C:\WINDOWS\1d7wf5b2moqfv5e Moved Successfully
C:\Users\Utilisateur1\AppData\Local\Absolute_Software Moved Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1"); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.dev_mode", false); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.enabled", true); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.logging.level", 50); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae"); -> Deleted Successfully
-------------- | Recurse Listing : C:\WINDOWS\System32\GroupPolicy\Machine
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\scripts.ini
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
-------------- | CleanDisk :
FreeSpace : 17022
Cleaning.......
FreeSpace : 17103
----------(EOF)----------
Voila Mr et merci encore
par contre je n'utilise pas chrome, j'aime pas...
[code]--------------- QuickScript | g3n-h@ckm@n | V3_18.05.17.1 ---------------
----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 19/05/2017 10:56:40
Updated 18/05/2017 | 12.00 (GMT) by g3n-h@ckm@n
Contact : http://www.sosvirus.net/
Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[laguero (Administrator)] - [LAO1] (S-1-5-21-3581059989-3763473338-1472119887-1447)
System: Microsoft Windows 8.1 Professionnel - - (6.3.9600) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 8.1 Professionnel|C:\WINDOWS|\Device\Harddisk0\Partition4
Boot : Normal boot
PC: 20CD0038FR - LENOVO - IdNumber: MP05QC6Q - UUID: 08A3FE01-5308-11CB-841E-E14318D36058
Processor : X64 - 2394 Mhz - Intel(R) Core(TM) i7-4500U CPU @ 1.80GHz
GQET46WW (1.26 ) - en-US - LENOVO - S/N: MP05QC6Q - GQET46WW (1.26 ) - LENOVO - 1260
CoreTemp : -247.7 Celsius
----------| Script
Registry saved : C:\QuickDiag\Save\Registry [19.05.2017 @ 10_56_41]
Value : [HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]~[] Not Found !
Key : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\qimose.exe] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Reerut] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Symantec] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyClient.exe] Deleted Successfully
Value : [HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]~[QyBrowser.exe] Deleted Successfully
C:\WINDOWS\1d7wf5b2moqfv5e Moved Successfully
C:\Users\Utilisateur1\AppData\Local\Absolute_Software Moved Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1"); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.dev_mode", false); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.enabled", true); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.logging.level", 50); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300); -> Deleted Successfully
Line : C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js : user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae"); -> Deleted Successfully
-------------- | Recurse Listing : C:\WINDOWS\System32\GroupPolicy\Machine
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\scripts.ini
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
-------------- | CleanDisk :
FreeSpace : 17022
Cleaning.......
FreeSpace : 17103
----------(EOF)----------[/code]
par g3n-h@ckm@n » ven. 19 mai 2017 06:17
bonjour non je ne pense pas sinon avec toutes les machines virtuelles que j'ai pour tester mes outils , je serais drolement infecté lol ( surtout que je n'utilise aucune protection dans mon pc ^^ )
=======
Google Chrome pas terrible , lis ca :
https://genhackmantools.wordpress.com/a ... ur-chrome/
=======
Désactive tes protections puis selectionne et copie ce texte en entier :
Code : Tout sélectionner
Key::
[HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]|""
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj]
[HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5]
[HKLM\Software\WOW6432Node\qimose.exe]
[HKLM\Software\WOW6432Node\Reerut]
[HKLM\Software\WOW6432Node\Symantec]
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyClient.exe"
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyBrowser.exe"
File::
C:\WINDOWS\1d7wf5b2moqfv5e
C:\Users\Utilisateur1\AppData\Local\Absolute_Software
Line::
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1");
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.dev_mode", false);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.enabled", true);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.logging.level", 50);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae");
CMD::
sc delete diagtrack
sc delete dmwappushservice
%Homedrive%\QuickDiag\smss.exe C:\Windows\Temp /P /GE:F /Q /OA
rd /s /q C:\Windows\Temp\*
del /f /q C:\Windows\Temp\*
%Homedrive%\QuickDiag\smss.exe %LOCALAPPDATA%\Temp /P /GE:F /Q /OA
rd /s /q %LOCALAPPDATA%\Temp\*
del /f /q %LOCALAPPDATA%\Temp\*
###
txt::
AVFramework-TaskStartUserServer32-1S
RecurseList::
C:\WINDOWS\System32\GroupPolicy\Machine
Clean::
yes
Lance Quickdiag et clique sur le "S" en haut à droite de l'interface
une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge, si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu refermes cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))
Ensuite clique sur le bouton "Script"
l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.
une fois envoyé tu peux tout fermer de l'outil
bonjour non je ne pense pas sinon avec toutes les machines virtuelles que j'ai pour tester mes outils , je serais drolement infecté lol ( surtout que je n'utilise aucune protection dans mon pc ^^ )
=======
Google Chrome pas terrible , lis ca :
https://genhackmantools.wordpress.com/a-savoir-sur-chrome/
=======
Désactive tes protections puis selectionne et copie ce texte en entier :
[code]
Key::
[HKLM\System\CurrentControlSet\Services\NLASVC\Parameters\Internet\Manualproxies]|""
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj]
[HKLM\Software\WOW6432Node\0ABFE86B79A25628C418078166D693B5]
[HKLM\Software\WOW6432Node\qimose.exe]
[HKLM\Software\WOW6432Node\Reerut]
[HKLM\Software\WOW6432Node\Symantec]
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyClient.exe"
[HKLM\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING]|"QyBrowser.exe"
File::
C:\WINDOWS\1d7wf5b2moqfv5e
C:\Users\Utilisateur1\AppData\Local\Absolute_Software
Line::
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.api_url", "https://normandy.cdn.mozilla.net/api/v1");
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.dev_mode", false);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.enabled", true);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.logging.level", 50);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.startup_delay_seconds", 300);
C:\Users\laguero\AppData\Roaming\Mozilla\Firefox\Profiles\rwfn59gf.default-1494789151943\Prefs.js|user_pref("extensions.shield-recipe-client.user_id", "c45fb262-38f8-47fc-9de6-48aa70dd44ae");
CMD::
sc delete diagtrack
sc delete dmwappushservice
%Homedrive%\QuickDiag\smss.exe C:\Windows\Temp /P /GE:F /Q /OA
rd /s /q C:\Windows\Temp\*
del /f /q C:\Windows\Temp\*
%Homedrive%\QuickDiag\smss.exe %LOCALAPPDATA%\Temp /P /GE:F /Q /OA
rd /s /q %LOCALAPPDATA%\Temp\*
del /f /q %LOCALAPPDATA%\Temp\*
###
txt::
AVFramework-TaskStartUserServer32-1S
RecurseList::
C:\WINDOWS\System32\GroupPolicy\Machine
Clean::
yes
[/code]
Lance Quickdiag et clique sur le "S" en haut à droite de l'interface
une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge, si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu refermes cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))
Ensuite clique sur le bouton "Script"
l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.
une fois envoyé tu peux tout fermer de l'outil
voila
http://www.cjoint.com/c/GEsrvnHNSBW
je me suis posé la question si c'est pas une machine virtuelle que j'ai sur mon Pc que me balançait des merdes
j'ai essayé de couper la carte réseau, je verrais bien
voila
http://www.cjoint.com/c/GEsrvnHNSBW
je me suis posé la question si c'est pas une machine virtuelle que j'ai sur mon Pc que me balançait des merdes
j'ai essayé de couper la carte réseau, je verrais bien
par g3n-h@ckm@n » jeu. 18 mai 2017 11:44
bonjour
truc bizarre malwarebytes ne détecte rien et il a été justement programmé pour ce genre d'infection...
refais quickdiag avec la derniere version à jour
bonjour
truc bizarre malwarebytes ne détecte rien et il a été justement programmé pour ce genre d'infection...
refais quickdiag avec la derniere version à jour
ben c'est que des sites courants...
vu que ça n'est pas une tache planifiée, ni un programme qui s'ouvre à l'ouverture de session, ça se peut que se soit dans le profile firefox? (j'ai essayé de réinitialiser mais c'est pareil en tout cas)
Mes raccourcis ne sont pas vérolés avec des adresses en compléments non plus
ben c'est que des sites courants...
vu que ça n'est pas une tache planifiée, ni un programme qui s'ouvre à l'ouverture de session, ça se peut que se soit dans le profile firefox? (j'ai essayé de réinitialiser mais c'est pareil en tout cas)
Mes raccourcis ne sont pas vérolés avec des adresses en compléments non plus
par g3n-h@ckm@n » mar. 16 mai 2017 08:17
bonjour doit y avoir un truc , ca doit venir de sites que tu visites qui sont pourris sinon ca reviendrait pas
bonjour doit y avoir un truc , ca doit venir de sites que tu visites qui sont pourris sinon ca reviendrait pas
bon ben j'ai repassé adsfix avec la nouvelle version
ça m'a viré plus de chose mais malheureusement c'est revenu à l'instant...
je commence à désespérer
http://www.cjoint.com/c/GEokd1MUL12bon ben j'ai repassé adsfix avec la nouvelle version
ça m'a viré plus de chose mais malheureusement c'est revenu à l'instant...
je commence à désespérer
http://www.cjoint.com/c/GEokd1MUL12
par g3n-h@ckm@n » sam. 13 mai 2017 07:06
bonjour passe la derniere version à jour de ce matin je pense que ca va bien le faire
http://www.aht.li/2724560/AdsFix.exe
n'oublie surtout pas de désactiver tous les agents d'avast jusqu'au redemarrage (clic droit sur la boule avast => gestion des agents => désactiver tous les agents jusqu'au redemarrage )
bonjour passe la derniere version à jour de ce matin je pense que ca va bien le faire
http://www.aht.li/2724560/AdsFix.exe
n'oublie surtout pas de désactiver tous les agents d'avast jusqu'au redemarrage (clic droit sur la boule avast => gestion des agents => désactiver tous les agents jusqu'au redemarrage )
malgré pas mal de manip, j'ai toujours plusieurs fois par jour kitty.dll dans appdata et des fichiers dans program files (phtpruger/alowdel) qui se copient et se font virer par mon antivirus
je sais vraiment pas d'ou ça vient
malgré pas mal de manip, j'ai toujours plusieurs fois par jour kitty.dll dans appdata et des fichiers dans program files (phtpruger/alowdel) qui se copient et se font virer par mon antivirus
je sais vraiment pas d'ou ça vient
par g3n-h@ckm@n » mer. 10 mai 2017 18:44
coucou
spyhunter est dans le changelog d'adsfix en liste noire, donc je suis étonné qu'aucune trace n'en soit ressortie....
coucou
spyhunter est dans le changelog d'adsfix en liste noire, donc je suis étonné qu'aucune trace n'en soit ressortie....
oui j'ai bien passé l'outil
après le problème est que mon antivirus nettoie à chaque fois les fichiers
par contre il faudrait que je trouve la tache planifiée ou le programme qui télécharge les fichiers
oui j'ai bien passé l'outil
après le problème est que mon antivirus nettoie à chaque fois les fichiers
par contre il faudrait que je trouve la tache planifiée ou le programme qui télécharge les fichiers
par g3n-h@ckm@n » sam. 6 mai 2017 07:45
hello aucune trace de tout ce que tu as annoncé dans ton enoncé , tu es sur que c'est sur le bon pc que tu as apssé l outil ? lol !!
relance malwarebytes , mets-le à jour , clique sur "rechercher les rootkits" dans les options de scan et fais une analyse complete
hello aucune trace de tout ce que tu as annoncé dans ton enoncé , tu es sur que c'est sur le bon pc que tu as apssé l outil ? lol !!
relance malwarebytes , mets-le à jour , clique sur "rechercher les rootkits" dans les options de scan et fais une analyse complete
http://www.cjoint.com/c/GEfvhhpggW2
par g3n-h@ckm@n » ven. 5 mai 2017 16:07
Salut
on va tout faire sauter , spyhunter avec car c'est un crapware
effectue ceci stp
https://genhackmantools.wordpress.com/canned-adsfix/Salut
on va tout faire sauter , spyhunter avec car c'est un crapware
effectue ceci stp
https://genhackmantools.wordpress.com/canned-adsfix/
Bonjour,
suite à de nombreuses tentatives pour dévéroler mon PC, je fais appel vous.
J'ai chopé une m**** qui m'a installé pas mal de malware (un enchainement d'installation comme j'ai jamais vu
)
bref au bout d'une heure de combat, j'ai réussi à tout enlever (plus rien dans les programmes, dossiers, rien avec adwcleaner, malwarebytes, roguekiller et mon antivirus)
au bout de quelques jours, je me suis aperçu qu'un CMD s'ouvrait de temps en temps.
Je suis donc je suis reparti dans mes recherches.
J'ai donc passer en tout :
- adwcleaner, roguekiller, malwarebytes, zhpcleaner, JRT, rkill et spy hunter qui est payant mais qui m'a permis de cibler les problèmes
- fait le tour des dossiers sur C, prog files, windows, appdata et supprimer les fichiers suspects
- fait le tour de la base de registre et supprimer les clés suspectes, vérifier le Run
- j'ai trouvé un script dans system32 qui se connectait à un cloud pour certainement récupérer des fichiers
- trouvé un dossier insist sur C qui revient au bout d'un moment avec un fichier detecté par l'antivirus
- trouvé un dossier phtpruger qui se met dans prog files avec à l'intérieur un exe snarer
- regardé et supprimé des services (j'ai trouvé snarer dedans)
- chercher dans les taches planifiées (mais pas trouvé grand chose)
et je suis à bout
du coup j'ai une dll qui s'appelle kitty qui revient dans mon dossier appdata, le dossier phtpruger qui revient (je crois que le problème s'appelle winsnare ou snare), et un dossier insist qui se met sur C.
Et maintenant roguekiller me trouve winsnapsvc et shareaza en les supprimant mais ils reviennent
Voila une idée?
fichier quickdiag dispo ici :
http://dl.free.fr/eYtvCb10DBonjour,
suite à de nombreuses tentatives pour dévéroler mon PC, je fais appel vous.
J'ai chopé une m**** qui m'a installé pas mal de malware (un enchainement d'installation comme j'ai jamais vu :hourra: )
bref au bout d'une heure de combat, j'ai réussi à tout enlever (plus rien dans les programmes, dossiers, rien avec adwcleaner, malwarebytes, roguekiller et mon antivirus)
au bout de quelques jours, je me suis aperçu qu'un CMD s'ouvrait de temps en temps.
Je suis donc je suis reparti dans mes recherches.
J'ai donc passer en tout :
- adwcleaner, roguekiller, malwarebytes, zhpcleaner, JRT, rkill et spy hunter qui est payant mais qui m'a permis de cibler les problèmes
- fait le tour des dossiers sur C, prog files, windows, appdata et supprimer les fichiers suspects
- fait le tour de la base de registre et supprimer les clés suspectes, vérifier le Run
- j'ai trouvé un script dans system32 qui se connectait à un cloud pour certainement récupérer des fichiers
- trouvé un dossier insist sur C qui revient au bout d'un moment avec un fichier detecté par l'antivirus
- trouvé un dossier phtpruger qui se met dans prog files avec à l'intérieur un exe snarer
- regardé et supprimé des services (j'ai trouvé snarer dedans)
- chercher dans les taches planifiées (mais pas trouvé grand chose)
et je suis à bout :x
du coup j'ai une dll qui s'appelle kitty qui revient dans mon dossier appdata, le dossier phtpruger qui revient (je crois que le problème s'appelle winsnare ou snare), et un dossier insist qui se met sur C.
Et maintenant roguekiller me trouve winsnapsvc et shareaza en les supprimant mais ils reviennent
Voila une idée?
fichier quickdiag dispo ici : http://dl.free.fr/eYtvCb10D
FLTL_BYjerryharlands
FLTL_BYdid80