[Résolu] Pirrit Suggestor

Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.

101 messages

Répondre

Pirrit Suggestor#140689

par Naoh67 - mar. 5 août 2014 13:40

- mar. 5 août 2014 13:40 #140689

Frozen office ? Je n'ai aucun logiciel de ce nom ( http://puu.sh/aFAbR/ff6d5f70c5.png )

Pirrit Suggestor#140697

par g3n-h@ckm@n - mar. 5 août 2014 14:00

- mar. 5 août 2014 14:00 #140697

MMMM.....KPC tu sais ce que c'est ?

Pirrit Suggestor#140700

par Naoh67 - mar. 5 août 2014 14:02

- mar. 5 août 2014 14:02 #140700

Oui c'est le logiciel de Lecture vidéo ( MPC / KPC c'est la même )

Pirrit Suggestor#140701

par g3n-h@ckm@n - mar. 5 août 2014 14:05

- mar. 5 août 2014 14:05 #140701

ah crotte je l'ai fait sauter attends on le récupère

relance adsfix , puis clique sur options , puis restaure fichiers/dossiers , puis selectionne :

C:\Program Files (x86)\KCP

puis clique sur restaurer

===

ensuite si c'est pas toi qui as installé FrozenOffice , on va le dégager :

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

FrozenOffice

relance AdsFix puis clique sur options , puis script
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant les modifications s'il y a lieu.

le nettoyage repartira de lui-même.

poste enfin le nouveau rapport

Pirrit Suggestor#140710

par g3n-h@ckm@n - mar. 5 août 2014 15:13

- mar. 5 août 2014 15:13 #140710

ca a pas fonctionné supprime le dossier frozenoffice manuellement

Pirrit Suggestor#140711

par Naoh67 - mar. 5 août 2014 15:20

- mar. 5 août 2014 15:20 #140711

http://cjoint.com/?3HfpoVLKFMv

J'ai pas effectué la manip pour restauré KCP par peur de faire une gaffe je l'installerai manuellement plus tard

Pirrit Suggestor#140737

par g3n-h@ckm@n - mar. 5 août 2014 17:47

- mar. 5 août 2014 17:47 #140737

Télécharge http://general-changelog-team.fr/fr/dow ... -xx/6-seaf SEAF.exe de C_XX

*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape FrozenOffice

dans cette fenêtre

confirme la recherche "également" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

Pirrit Suggestor#140758

par Naoh67 - mar. 5 août 2014 20:30

- mar. 5 août 2014 20:30 #140758

http://cjoint.com/?3HfuDY3M5VR

Pirrit Suggestor#140766

par g3n-h@ckm@n - mar. 5 août 2014 21:09

- mar. 5 août 2014 21:09 #140766

ca marche

Copie le script ci dessous :

HKCU\Software
HKCU\Software\AppDataLow /s
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
%Homedrive%\*
%Homedrive%\*.
%Homedrive%\Recycler\*.exe /s
%Homedrive%\Recycler\*.scr /s
%Homedrive%\Recycler\*.pif /s
%Homedrive%\Recycler\*.vb* /s
%Homedrive%\$Recycle.bin\*.exe /s
%Homedrive%\$Recycle.bin\*.scr /s
%Homedrive%\$Recycle.bin\*.pif /s
%Homedrive%\$Recycle.bin\*.vb* /s
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\*
%Userprofile%\Local Settings\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%programFiles%\*
%programFiles%\*.
%programfiles%\Google\Desktop\*.
%ProgramFiles%\Common Files\*.
%ProgramFiles(X86)%\Common Files\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\PSS\* /s
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\syswow64\Tasks\*
%systemroot%\syswow64\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir %Homedrive%\* /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT
Télécharge OTL (by OldTimer) sur ton bureau.
Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
Coche/Sélectionne les cases comme l'image ci dessous
Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
Clique sur Analyse
Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

http://www.sosvirus.net/comment-heberge ... 82463.html

Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

En cas de problème avec SOSUpload, utiliser Cjoint

Pirrit Suggestor#140814

par Naoh67 - mer. 6 août 2014 12:20

- mer. 6 août 2014 12:20 #140814

OTL =>http://upload.sosvirus.net/www/?a=di=ytAaLPtaU9

Extras = http://upload.sosvirus.net/www/?a=di=Qbia9g5tQD

Pirrit Suggestor#140868

par g3n-h@ckm@n - mer. 6 août 2014 22:32

- mer. 6 août 2014 22:32 #140868

re

désinstalle Java 7 Update 21

==========================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\System32\drivers\afd.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

^^^^^^^^^^^^^^^^^^^^^^^^^^^^

colle ca en bas d'OTL puis clique sur correction et poste le rapport qui s'ouvrira au redemarrage :

:OTL
SRV - [2014/07/19 20:06:55 | 000,060,965 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\ClipboardMinimalSamba\ClipboardMinimalSamba.exe -- (ClipboardMinimalSamba)
SRV - [2014/07/19 20:06:37 | 000,098,341 | ---- | M] () [Auto | Running] -- C:\Users\katia\AppData\Local\FrozenOfficeOS\FrozenOfficeOS.exe -- (FrozenOfficeOS.exe)
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:52130;https=127.0.0.1:52130
IE - HKU\S-1-5-21-2871681583-3559444103-132582219-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKU\S-1-5-21-2871681583-3559444103-132582219-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-2871681583-3559444103-132582219-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = ;*origin.com;*ea.com;*akamaihd.net
IE - HKU\S-1-5-21-2871681583-3559444103-132582219-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25298
[2013/04/11 17:54:38 | 000,199,543 | ---- | M] () (No name found) -- C:\Users\katia\AppData\Roaming\Mozilla\Firefox\Profiles\extensions\putlockerdownloader3@putlockerdownloader.com.xpi
CHR - Extension: No name found = C:\Users\katia\AppData\Local\Google\Chrome\User Data\Default\Extensions\hfmkllfplegemejikoabfpjdaoncphip\1.2_0\
O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2014/07/19 20:06:54 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\ClipboardMinimalSamba
[2014/07/19 20:06:34 | 000,000,000 | ---D | C] -- C:\Users\katia\AppData\Local\FrozenOfficeOS
[2014/07/19 20:33:37 | 000,003,336 | ---- | M] () -- C:\Windows\SysWow64\${LOGFILE}
[2013/11/01 15:44:45 | 000,000,054 | ---- | C] () -- C:\Windows\JQHApp.dat

:reg
[-HKEY_CURRENT_USER\Software\(null)]
[-HKEY_CURRENT_USER\Software\Store]
[-HKEY_LOCAL_MACHINE\Software\aTube Catcher]
[-HKEY_LOCAL_MACHINE\Software\Iminent]
[-HKEY_LOCAL_MACHINE\Software\Upt]
[-HKEY_LOCAL_MACHINE\Software\SI-App]
[-HKEY_LOCAL_MACHINE\Software\WinUpd]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0

:files
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*

:commands
[emptytemp]