FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par g3n-h@ckm@n
#182392
rien d'anormal , supprime l outil , il est dangereux de le garder si on est pas averti de son utilisation ce n'est pas un jouet il peut détruire ton système.

bon je vais continuer mes recherches , en attendant tourne avec mon truc.....

Edit::

passe ca dans Seaf (fichiers/dossiers + registre ) :

{97823806-8127-8983-B8A6-7FE1263E0A8A}
Avatar du membre
par g3n-h@ckm@n
#182398
tiens c'est marrant qu'il ait rien trouvé parce que c'est un autre CLSID que j'ai trouvé dans AdAntiHS.dll..........
enfin marrant...pas de quoi se poiler mais bon ;)
Avatar du membre
par g3n-h@ckm@n
#182446
ouaip.....

mets malwarebytes à jour et coche la case "rechercher les rootits" dans analyse personnalisée , pis refais une analyse avec
Avatar du membre
par g3n-h@ckm@n
#182458
re

fais une recherche seaf avec également dans le registre de coché avec chacun de ces trois elements :

qkrvjq
rjqjor
peleno
Avatar du membre
par g3n-h@ckm@n
#182469
Désactive tes protections puis selectionne et copie ce texte en entier :
Code : Tout sélectionner

Key::
[HKLM\System\ControlSet001\Enum\Root\LEGACY_RJQJOR]
[HKLM\System\ControlSet002\Enum\Root\LEGACY_RJQJOR]
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RJQJOR]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]|""|REG_SZ|""

Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ensuite tu refermes après vérification ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
Avatar du membre
par guitar.bruno
#182474
--------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 10/01/2017 21:35:27

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Key : [HKLM\System\ControlSet001\Enum\Root\LEGACY_RJQJOR] Deleted Successfully
Key : [HKLM\System\ControlSet002\Enum\Root\LEGACY_RJQJOR] Deleted Successfully
Key : [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RJQJOR] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery] Deleted Successfully
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]~[] : -> Set Successfully

----------(EOF)----------
Avatar du membre
par g3n-h@ckm@n
#182477
vérifie que ces trois clés soient bien absentes manuellement

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qkrvjq
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rjqjor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\peleno
Avatar du membre
par guitar.bruno
#182478
Elles sont bien absentes!

A toute fin utile, j'ai aussi fait une recherche avec tes termes de bout de ligne , et il y a encore trace de rjqjor ici ;

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RJQJOR\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RJQJOR\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RJQJOR\0000

A voir...
Avatar du membre
par g3n-h@ckm@n
#182491
hello je sens qu il va falloir que je te code un truc qui fouille les séquences hexadécimales de tous les fichiers exécutables (ou qui leur sert à exécuter du code) du pc voir si on retrouve pas la séquence de AdAntiHS dans l'un d'eux.... c'est pas possible y'a bien un autre fichier qui la crée elle peut pas apparaitre toute seule en claquant des doigts......
j'entends par là :

.js, .vbs, .vbe, .exe, .com, .dll, .sys, .dat, .ocx, .bat, .cmd

(.pif et .scr, je pense pas que ce soit la peine ce genre d infection n' utilise pas ces extensions )
Avatar du membre
par g3n-h@ckm@n
#182507
coucou

alors je t'explique :

tu le lances avec le clic droit "executer en tant qu'administrateur" ( je lui ai déjà mis les droits admin mais au moins on est encore plus sûr lol )
l'outil va chercher les fichiers dont je t'ai nommé les extensions plus haut dans tout le pc ( sauf dans les dossiers où ce genre d'infection ne se cache pas ) et s'en établir une liste en mémoire , une fois fait il va commencer à analyser les séquences hexadécimales des fichiers, un par un, 2048 bits par 2048 bits.Il va établir un compte rendu de chaque fichier dans un fichier texte : C:\AdAnti.txt.

s'il détecte une séquence correspondant à AdAntiHS, il le signalera , sinon il dira que le fichier est OK , voici un exemple d'un fichier .exe dont j'ai modifié l'extension en .vbs et modifié quelques hexas pour y intégrer ce qui donnerait en caractères : AdAntiHS

donc voici un exemple de compte rendu de détection : http://gen-hackman.ddns.net:8123/Temp/A ... 0Copie.txt

et voici le prog à lancer : http://gen-hackman.ddns.net:8123/Temp/Search_AdAnti.exe
Avatar du membre
par guitar.bruno
#182510
Hello,

Ok merci mais...ouch!!! Fallait me prévenir que ce scan allait durer 3 siècles et demi!!! D'ailleurs j'ai pas encore d'idée claire sur le pourquoi de cette longueur de scan! :suspect: Et j'ai dû forcer le redémarrage car ça interdit l'arret de processus! :cry:

Ca n'empêche que je salue tes efforts! :-)

Bref j'ai besoin du PC cet apresm et concert ce soir !(je m'en sers pour mes cours avec mes élèves) et je te fais ça mais je prévois la nuit entière ;)

@ demain!
Avatar du membre
par g3n-h@ckm@n
#182511
et encore j'ai limité l'examen des fichiers sur les fichiers de 20Mo maxi lol
oui j'en ai lancé un au même moment où tu l'as téléchargé , et il est pas encore fini (je sais pas si en faisant 4096 bits par 4096 ca mettrait moins de temps mais j'avais peur de saturer la mémoire en lui demandant une trop grande analyse hexa par séquence ..... :/ )

tiens si ca t'amuse de lire le code ^^

http://www.cjoint.com/doc/17_01/GAnojBh ... AdAnti.txt
Avatar du membre
par g3n-h@ckm@n
#182520
suite du précédent message :

si tu ne l'as pas encore lancé j'ai fait quelques modifs pour éviter d'autres dossiers non utilisés et j'ai réduit la taille des fichiers inspectés à 10 Mo je pense pas que plus ca soit utile en fait.... ) histoire de gagner du temps en plus
Avatar du membre
par guitar.bruno
#182523
Heu....je voudrais pas dire mais j'ai l'impression que ton soft tourne en boucle.

Il a en effet bien passé le dossier Windows , qui devrait être le dernier à scanner si je te suis bien, mais à l'observer un peu, les fichiers de mes pilotes de ma CG Radeon ou memtest.exe , il a déjà fait....

..................................

Désolé je l'ai arrêté (cette fois en arrêt processus sans redémarrer à l'arrache comme hier) et je crois que je vais accepter ton alternative. ;)
Modifié en dernier par guitar.bruno le sam. 14 janv. 2017 11:23, modifié 1 fois.
Avatar du membre
par g3n-h@ckm@n
#182524
il y'en a dans différents dossiers , pas uniquement dans un seul donc c'est possible que tu les voies en plusieurs fois
quand ca sera fini la fenetre se fermera toute seule.
tu zipperas le fichier texte dans c: et tu mettras le zip sur cjoint que je voie de quoi il en retourne
Avatar du membre
par guitar.bruno
#182525
Oops!

Je ne sais pas si tu as vu ma modif de réponse...

Mais bientôt 12 heures de scan, avec un PC pas trop mal en ressources processeur (3,2 GHZ) , je me disais que c'était incroyablement long franchement.... :reflexion:
Avatar du membre
par g3n-h@ckm@n
#182532
tu as vu combien il y a de fichiers executables ? lol

on va faire autrement . on va déjà faire une liste de tous les dossiers , comme ca je mettrai un maximum de dossiers légitimes en bypass ca nous fera gagner encore plus de temps (j'ai déjà whitelisté les principaux légitimes sûrs à 100%)

vu que t'es gavé de logiciels de musique et qu'ils sont énormes ( style image-line fruity loops ou ableton ou du genre.....)

execute ca : http://gen-hackman.ddns.net:8123/Temp/Search_Files.exe

et quand la fenetre se barre ( moins de 5 mn logiquement) , envoie c:\List.txt : http://gen-hackman.ddns.net:8123/Upload/
  • 1
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

Elevate your online presence with our expert wiki […]

Message d'erreur

Bonjour, Je viens de reconditionner un PC portable[…]

C'est formidable que l'édition gratuite de […]

La pharmacie en ligne Panda.Healthcare semble simp[…]