Forum d'Entraide Informatique (FEI) 

Site d'assistance et de sécurité informatique.

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
Avatar de l’utilisateur
par guitar.bruno
#179667
Bonjour à tous,

J'ai appris à connaitre ce logiciel chinois (source Wikipedia) qui n'est pas très perturbant pour mon système mais après diverses manipulations et procédures de désinstallation conseillées sur certains sites, Tencent/QQ Accel.exe revient sans cesse! :cry:

J'ai regardé sur ce forum et j'ai vu que certains étaient ennuyés avec ça , j'ai vu la procédure avec le scan d' ADSfix et je vous joins le rapport de scan ici en même temps:

http://www.cjoint.com/c/FImmu4AwFmP

Je précise que tout ou presque y est passé, ADW Cleaner, MAM, Hitman Pro, Zemana, C Cleaner, mon antivirus perso Kingsoft, House Call TrendMicro...

Auparavant j'ai été victime de Yeabests et Searching.com qui se mettaient en force en page d'accueil, mais je pense avoir résolu complètement ces deux soucis.

je possède Win 7 64 bits Intégral.

Merci à vous

Bruno
Avatar de l’utilisateur
par g3n-h@ckm@n
#179683
hello tu as toujours le souci en fin de compte ?
Avatar de l’utilisateur
par Invité
#179696
Oui en effet, QQ Accel.exe revient sans cesse à chaque démarrage.

Il se met dans les processus mais ne s'active jamais. Soit je l'élimine pour la forme mais parfois il disparait des processus sans mon intervention. Je l'élimine aussi des éléments de démarrage.

Rien dans la base de registre pour Tencent et QQ Accel.

Est-ce celà aussi qui bouffe ma RAM de moitié?... un svhost qui prend 25 % du processus...

Voilà où j'en suis.
Avatar de l’utilisateur
par g3n-h@ckm@n
#179702
re

je peux avoir le rapport de malwarebytes ?
Avatar de l’utilisateur
par Invité
#179737
Une indication supplémentaire : à chaque démarrage, QQ Accel.exe varie! Je peux avoir toutes les lettres de l'alphabet entre Accel et .exe (ex: QQ Accela.exe, QQ Accelb.exe....)
Avatar de l’utilisateur
par g3n-h@ckm@n
#179743
hello

désactive ton antivirus le temps du scan
Télécharge quickDiag ici : http://www.telecharger.sosvirus.net/download/quickdiag/
lance-le

clique sur "Quick" puis une fois terminé :
heberge le rapport sur http://cjoint.com
donne le lien obtenu dans ta prochaine réponse
note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible dans ton disque système ( logiquement C: )
Avatar de l’utilisateur
par g3n-h@ckm@n
#179757
Hello désinstalle superantispyware il sert à rien

=====

tu as des restes de norton utilise l outil fait pour , pour les virer :

http://assiste.com/Norton_Removal_Tool.html

=====

copie ce texte en entier :

Code : Tout sélectionner
Driver::
qnhwop

Key::
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]|""|REG_SZ|""
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\!SASCORE]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\423CD7A2C8960C3B6663FAD68099E536]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Chromium]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\SUPERAntiSpyware.com]
[HKLM\Software\xvb`lj]
[HKLM\Software\WOW6432Node\xvb`lj]
[HKLM\Software\WOW6432Node\Symantec]

File::
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Registration-Activation.lnk
C:\KRECYCLE
C:\Windows.old
C:\SpaceCake
C:\Users\Bruno\AppData\Local\UCBrowser
C:\Users\Bruno\AppData\Roaming\Tencent
C:\Users\Bruno\AppData\Local\Symantec_Corporation
C:\ProgramData\Norton
C:\ProgramData\SecTaskMan
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spy Protector.lnk
C:\Program Files (x86)\UCBrowser

ADS::
C:\ProgramData\Temp

Clean::
yes



Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
Avatar de l’utilisateur
par guitar.bruno
#179759
Bonjour,

"--------------- QuickScript | g3n-h@ckm@n | 2_13.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 18/09/2016 12:43:41

Updated 13/09/2016 | 14.45 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : qnhwop Not Deleted !
HKLM\.\ControlSet001\Services\qnhwop Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_qnhwop Deleted Successfully
HKLM\.\ControlSet002\Services\qnhwop Not Deleted !
HKLM\.\ControlSet002\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\MountedDevices\Services\qnhwop Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\RNG\Services\qnhwop Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Select\Services\qnhwop Not Deleted !
HKLM\.\Select\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Setup\Services\qnhwop Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Software\Services\qnhwop Not Deleted !
HKLM\.\Software\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\WPA\Services\qnhwop Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\CurrentControlSet\Services\qnhwop Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_qnhwop Not Deleted !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] Deleted Successfully
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[] : -> Set Successfully
Key : [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE] Deleted Successfully
Key : [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\!SASCORE] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\423CD7A2C8960C3B6663FAD68099E536] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Chromium] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\SUPERAntiSpyware.com] Deleted Successfully
Key : [HKLM\Software\xvb`lj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\xvb`lj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Symantec] Deleted Successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Registration-Activation.lnk Moved Successfully
C:\KRECYCLE Moved Successfully
C:\Windows.old Moved Successfully
C:\SpaceCake Not Found !
C:\Users\Bruno\AppData\Local\UCBrowser Moved Successfully
C:\Users\Bruno\AppData\Roaming\Tencent Moved Successfully
C:\Users\Bruno\AppData\Local\Symantec_Corporation Moved Successfully
C:\ProgramData\Norton Moved Successfully
C:\ProgramData\SecTaskMan Moved Successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spy Protector.lnk Moved Successfully
C:\Program Files (x86)\UCBrowser Moved Successfully

-------------- | ADS

Deleted : @C:\ProgramData\Temp:07BF512B

-------------- | CleanDisk :

FreeSpace : 41137
Cleaning.......
FreeSpace : 41139




----------(EOF)----------

Superantispyware désinstallé, Nortonremoval fait.

Merci encore, bon dimanche! :)
Avatar de l’utilisateur
par guitar.bruno
#179760
--------------- QuickScript | g3n-h@ckm@n | 2_13.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 18/09/2016 12:43:41

Updated 13/09/2016 | 14.45 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : qnhwop Not Deleted !
HKLM\.\ControlSet001\Services\qnhwop Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_qnhwop Deleted Successfully
HKLM\.\ControlSet002\Services\qnhwop Not Deleted !
HKLM\.\ControlSet002\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\MountedDevices\Services\qnhwop Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\RNG\Services\qnhwop Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Select\Services\qnhwop Not Deleted !
HKLM\.\Select\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Setup\Services\qnhwop Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Software\Services\qnhwop Not Deleted !
HKLM\.\Software\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\WPA\Services\qnhwop Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\CurrentControlSet\Services\qnhwop Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_qnhwop Not Deleted !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] Deleted Successfully
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[] : -> Set Successfully
Key : [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE] Deleted Successfully
Key : [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\!SASCORE] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\423CD7A2C8960C3B6663FAD68099E536] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Chromium] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\SUPERAntiSpyware.com] Deleted Successfully
Key : [HKLM\Software\xvb`lj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\xvb`lj] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\Symantec] Deleted Successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Registration-Activation.lnk Moved Successfully
C:\KRECYCLE Moved Successfully
C:\Windows.old Moved Successfully
C:\SpaceCake Not Found !
C:\Users\Bruno\AppData\Local\UCBrowser Moved Successfully
C:\Users\Bruno\AppData\Roaming\Tencent Moved Successfully
C:\Users\Bruno\AppData\Local\Symantec_Corporation Moved Successfully
C:\ProgramData\Norton Moved Successfully
C:\ProgramData\SecTaskMan Moved Successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spy Protector.lnk Moved Successfully
C:\Program Files (x86)\UCBrowser Moved Successfully

-------------- | ADS

Deleted : @C:\ProgramData\Temp:07BF512B

-------------- | CleanDisk :

FreeSpace : 41137
Cleaning.......
FreeSpace : 41139

----------(EOF)----------

Sans texte lumineux! ;)
Avatar de l’utilisateur
par g3n-h@ckm@n
#179777
refais-le en mode sans echec sans prise en charge reseau stp
Avatar de l’utilisateur
par guitar.bruno
#179784
refais-le en mode sans echec sans prise en charge reseau stp


Fait !


-------------- QuickScript | g3n-h@ckm@n | 2_13.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 19/09/2016 14:41:17

Updated 13/09/2016 | 14.45 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk0\Partition2
Boot : SafeMode
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Service : qnhwop Not Deleted !
HKLM\.\ControlSet001\Services\qnhwop Not Deleted !
HKLM\.\ControlSet001\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\ControlSet002\Services\qnhwop Not Deleted !
HKLM\.\ControlSet002\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\MountedDevices\Services\qnhwop Not Deleted !
HKLM\.\MountedDevices\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\RNG\Services\qnhwop Not Deleted !
HKLM\.\RNG\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Select\Services\qnhwop Not Deleted !
HKLM\.\Select\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Setup\Services\qnhwop Not Deleted !
HKLM\.\Setup\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\Software\Services\qnhwop Not Deleted !
HKLM\.\Software\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\WPA\Services\qnhwop Not Deleted !
HKLM\.\WPA\.\Root\LEGACY_qnhwop Not Deleted !
HKLM\.\CurrentControlSet\Services\qnhwop Not Deleted !
HKLM\.\CurrentControlSet\.\Root\LEGACY_qnhwop Not Deleted !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] Deleted Successfully
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]~[] : -> Set Successfully
Key : [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE] Not Found !
Key : [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\!SASCORE] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\423CD7A2C8960C3B6663FAD68099E536] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Chromium] Not Found !
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\SUPERAntiSpyware.com] Not Found !
Key : [HKLM\Software\xvb`lj] Not Found !
Key : [HKLM\Software\WOW6432Node\xvb`lj] Not Found !
Key : [HKLM\Software\WOW6432Node\Symantec] Not Found !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Registration-Activation.lnk Not Found !
C:\KRECYCLE Moved Successfully
C:\Windows.old Not Found !
C:\SpaceCake Not Found !
C:\Users\Bruno\AppData\Local\UCBrowser Not Found !
C:\Users\Bruno\AppData\Roaming\Tencent Moved Successfully
C:\Users\Bruno\AppData\Local\Symantec_Corporation Not Found !
C:\ProgramData\Norton Not Found !
C:\ProgramData\SecTaskMan Not Found !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spy Protector.lnk Not Found !
C:\Program Files (x86)\UCBrowser Not Found !

-------------- | ADS


-------------- | CleanDisk :

FreeSpace : 41425
Cleaning.......
FreeSpace : 41190

----------(EOF)----------
g3n-h@ckm@n a écrit :refais-le en mode sans echec sans prise en charge reseau stp
Avatar de l’utilisateur
par g3n-h@ckm@n
#179796
hello

Télécharge Seaf >> http://www.aht.li/2665300/SEAF.exe de C_XX

dans l'espace prévu à cet effet , tape ou colle : qnhwop

coche "recherche également dans le registre"

puis lance la recheche.

heberge le rapport sur http://upload.sosvirus.net puis donne le lien obtenu pour aller le consulter
Avatar de l’utilisateur
par g3n-h@ckm@n
#179823
hello prends http://cjoint.com
Avatar de l’utilisateur
par guitar.bruno
#179850
Hello,

Du nouveau: QQ Accel.exe semble avoir disparu mais une nouveauté à signaler, qui disparait aussi des processus après 10 minutes environ, c'est AdantiHS.exe, ce qui est bizarre du fait que dans l'onglet "description", c'est écrit en idéogrammes chinois... il apparait dans : C: >Appdata>Roaming>Adanti...
Avatar de l’utilisateur
par g3n-h@ckm@n
#179861
bonjour tu fais quoi avec ton pc pendant la désinfection ?
Avatar de l’utilisateur
par guitar.bruno
#179863
g3n-h@ckm@n a écrit :bonjour tu fais quoi avec ton pc pendant la désinfection ?


Je désactive systématiquement mon antivirus, je laisse scanner. J'ajoute que je ne me sers pas de mon PC pendant ce temps, au risque d'invalider le scan! Je suppose ta question orientée dans ce sens-là ;)
Avatar de l’utilisateur
par g3n-h@ckm@n
#179912
bonjour refais quickdiag stp j'ai du oublier quelque chose
Avatar de l’utilisateur
par g3n-h@ckm@n
#179950
bonjour le programme a été mis à jour entre temps , télécharge la derniere version stp
Avatar de l’utilisateur
par g3n-h@ckm@n
#179984
salut désinstalle zemana antimalware il déteecte n'importe quoi et ne se fie pas à la signature des fichiers

=====

copie ce texte en entier :

Code : Tout sélectionner
Key::
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]|"C:\Users\Bruno\Downloads\ReimageRepair.exe"
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]|"C:\Users\Bruno\Downloads\RegistryReviverSetup.exe"
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]|"C:\Users\Bruno\Downloads\rcsetup153.exe"
[HKLM\Software\360Safe]
[HKLM\Software\Symantec]
[HKLM\Software\WOW6432Node\360Safe]
[HKLM\Software\WOW6432Node\423CD7A2C8960C3B6663FAD68099E536]
[HKLM\Software\WOW6432Node\LiveUpdate360]

File::
C:\3e64f89d8a9d62f85fe25e1562c095
C:\e3ae8d52c7a42996ed3a05df
C:\sh_backup
C:\Windows\39937b294b9c16ab99c5f68c3abdad2e.exe
C:\Windows\Reimage.ini
C:\Windows\ZAM.krnl.trace
C:\Windows\ZAM_Guard.krnl.trace
C:\Windows\zoek-delete.exe
C:\Users\Bruno\AppData\Roaming\AdAnti
C:\Users\Bruno\AppData\Local\Tempfolder
C:\ProgramData\SecTaskMan
C:\Program Files (x86)\Common Files\Symantec Shared

CMD::
sc delete DiagTrack
###

ADS::
C:\ProgramData\Temp

Clean::
yes



Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ensuite tu refermes après vérification ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
#179988
Hello,

Zemana était désinstallé déjà et j'ai vérifié avec regedit, plus de trace de ce logiciel.

Pour info, je désinstalle mes logiciels avec Revo Uninstaller.

Et ZHPDiag fait:

--------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 01/10/2016 11:09:59

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]~[C:\Users\Bruno\Downloads\ReimageRepair.exe] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]~[C:\Users\Bruno\Downloads\RegistryReviverSetup.exe] Deleted Successfully
Value : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]~[C:\Users\Bruno\Downloads\rcsetup153.exe] Deleted Successfully
Key : [HKLM\Software\360Safe] Deleted Successfully
Key : [HKLM\Software\Symantec] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\360Safe] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\423CD7A2C8960C3B6663FAD68099E536] Deleted Successfully
Key : [HKLM\Software\WOW6432Node\LiveUpdate360] Deleted Successfully
C:\3e64f89d8a9d62f85fe25e1562c095 Moved Successfully
C:\e3ae8d52c7a42996ed3a05df Moved Successfully
C:\sh_backup Moved Successfully
C:\Windows\39937b294b9c16ab99c5f68c3abdad2e.exe Moved Successfully
C:\Windows\Reimage.ini Moved Successfully
C:\Windows\ZAM.krnl.trace Moved Successfully
C:\Windows\ZAM_Guard.krnl.trace Moved Successfully
C:\Windows\zoek-delete.exe Moved Successfully
C:\Users\Bruno\AppData\Roaming\AdAnti Moved Successfully
C:\Users\Bruno\AppData\Local\Tempfolder Moved Successfully
C:\ProgramData\SecTaskMan Moved Successfully
C:\Program Files (x86)\Common Files\Symantec Shared Moved Successfully

-------------- | ADS

Deleted : @C:\ProgramData\Temp:07BF512B

-------------- | CleanDisk :

FreeSpace : 42778
Cleaning.......
FreeSpace : 42775

----------(EOF)----------
#179990
A toute fin utile, par curiosité j'ai redémarré le PC et cet AdantiHS s'accroche et revient encore dans les processus, :x son dossier d'appartenance est indiqué en idéogramme chinois, si tu souhaites que je prenne une photo, tu m'en fais part , car impossible de copier/coller cette indication.

A noter aussi, au bout de 5 mn maxi, voire moins, ce processus AdantiHS.exe disparait de lui même mais bien-sûr est toujours présent dans "C:\Users\Bruno\AppData\Roaming\AdAnti"
Avatar de l’utilisateur
par g3n-h@ckm@n
#180010
coucou je veux bien la capture d'écran oui

ou copie/colle lon nom du dossier avec son chemin ici :

S1 - ZAM (ZAM Helper Driver) -> \??\C:\Windows\System32\drivers\zam64.sys
S1 - ZAM_Guard (ZAM Guard Driver) -> \??\C:\Windows\System32\drivers\zamguard64.sys

ceci sont deux services qui tournent dans ton pc et qui sont en relation avec zemana si je ne m'abuse
#180022
Hello, voici la capture pour le processus AdantiHS.exe:

http://www.cjoint.com/c/FJcnGYz0LNP

Le chemin t'a déjà été donné ou je n'ai pas compris ta demande... : C:\Users\Bruno\AppData\Roaming\AdAnti

S1 - ZAM (ZAM Helper Driver) -> \??\C:\Windows\System32\drivers\zam64.sys
S1 - ZAM_Guard (ZAM Guard Driver) -> \??\C:\Windows\System32\drivers\zamguard64.sys

ceci sont deux services qui tournent dans ton pc et qui sont en relation avec zemana si je ne m'abuse


Oui en effet, Zam = Zemana anti malware

Il faut les éliminer je suppose?
Avatar de l’utilisateur
par g3n-h@ckm@n
#180035
hello tu fais des restauration systèmes ou quoi ? c'est un truc de fou ce machin.... et il est toujours dans le meme dossier ?
#180041
hello tu fais des restauration systèmes ou quoi ?


Non jamais de restauration système et comme tu vois, ça revient sans cesse cet AdAnti....

et il est toujours dans le meme dossier ?


Oui, absolument, on a beau l'effacer et ce dossier avec AdAnti revient toujours au même endroit après chaque démarrage.

Avec regedit, je viens de vérifier, pas de trace d'AdAnti...
#180058
Hello,

Pas d'autre solution que de rappeler une sauvegarde? Encore faut-il qu'elle soit faite avant ce problème , ce que je pense car jamais je n'aurais fait cette bourde de faire une sauvegarde avec un système infecté! Mon voisin peut-être! :lol: L'exception confirmant la règle! ^^
#180078
Hello,

Du nouveau cependant: je me suis permis de relancer un coup de AdAware et Adanti est détecté et info à mon avis intéressante, à moins que tu l'aies vue déjà, il existe un site chinois du nom de http://www.hao123.com qui se met dans le DOM storage de IE . AdAware les élimine et au redémarrage demandé, paf! ça revient!

J'ai aussi paramétré AVAST pour empêcher le processus AdAnti.exe d'être chargé au démarrage mais le bougre arrive encore à passer! :x

J'ai aussi reparamétré "process blocker" et rien de mieux également...
  • 1
  • 2
  • 3
  • 4
  • 5
  • 9
problème d,ordi qui bloque

Re.., Tu vas me refaire un ZhpFix,je te remet le […]

Bonjour à tous, J'essaye en vain depuis quelques […]

Impossible de lancer Black and White 2

Je suis sous Seven et voudrait rejouer à Black &am[…]

Salut ^^ J'essaye désespérément de réparer mon or[…]