Votre question
Résolu

.exe dans appdata impossible a supprimer charge des pub audio et video en boucle

Tags :
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Avril 2018 20:15:29

Bonjour à tous!

Je vous remercie d'avance pour l'aide que vous pourriez éventuellement m'apporter pour résoudre le problème auquel je suis confronté!

Actuellement il y a sur mon pc (windows10) un logiciel malveillant qui s'est introduit un peu partout dans mes dossiers. Je l'ai reperé et je l'ai supprimé manuellement de plusieurs endroits ou il était accessible.

Il reste cependant un fichier nomme "dinsmore.exe" (je pense que c'est un nom random) dans /appdata qu'il m'est impossible de supprimer, impossible de mettre en quarantaine avec eset... j'ai réussi à le supprimer à un moment mais il est revenu...

J'avais donc des processus "Jim.exe" un peu partout qui ralentissaient fortement la machine, et maintenant ce "dinsmore.exe" increvable et très handicapant qui me charge des fenetres de pub video et audio tres gourmandes en ressources...

Quelqu'un aura t il l'amabilité de bien vouloir m'assister?

Autres pages sur : exe appdata impossible supprimer charge pub audio video boucle

Meilleure solution

a c 334 8 Sécurité
21 Avril 2018 07:38:14

Bonjour,

  • Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

    Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

    32 ou 64 bits - Comment savoir ?

  • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).

  • Coche la case Addition.txt.

  • Clique sur le bouton Analyser.

  • Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.

  • Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
    partage
    Contenus similaires
    Pas de réponse à votre question ? Demandez !
    a c 334 8 Sécurité
    21 Avril 2018 10:25:51

    Citation :
    ProxyServer: [S-1-5-21-2640461294-3955530465-1064381673-1001] => 64.37.169.11:80

    --> Ce proxy est voulu ?

    Citation :
    FF Extension: (Browser Safety) - C:\Users\Pascal\AppData\Roaming\Mozilla\Firefox\Profiles\91znpkol.default-1473250618556-1520180631774\Extensions\extension@browser-safety.org.xpi [2018-04-19]

    --> Même question pour cette extension sur Firefox.

    Citation :
    C:\WINDOWS\system32\osrss.dll

    --> Peux-tu zipper ce fichier et me l'envoyer sur destrio5@free.fr ?
    m
    0
    l
    21 Avril 2018 11:42:40

    Merci pour la réponse!

    Alors le proxy n'est pas voulu
    L'extension non plus

    j'envoie le fichier immediatement
    m
    0
    l
    a c 334 8 Sécurité
    21 Avril 2018 13:35:10

    Tu as entre autres l'infection DotDo, les fichiers que tu as repéré en font partie, les noms sont en effet aléatoires.

    • Ouvre le Bloc-notes.
    • Copie-colle le texte encadré ci-dessous dans le Bloc-notes :

      start
      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\Run: [gulick] => "C:\Program Files (x86)\Himes\Dinsmore.exe" sft
      C:\Program Files (x86)\Himes
      HKLM\...\Run: [gulicktomei] => "C:\Program Files (x86)\grueling\jim.exe" sft
      C:\Program Files (x86)\grueling
      HKLM\...\Run: [gulickgulick] => "C:\Program Files (x86)\Shopkeeper\Dinsmore.exe" sft
      C:\Program Files (x86)\Shopkeeper
      HKU\S-1-5-21-2640461294-3955530465-1064381673-1001\...\Run: [maxis] => "C:\Program Files (x86)\balusters\maxis.exe" sft
      C:\Program Files (x86)\balusters
      Startup: C:\Users\Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\categorizing.lnk [2018-04-19]
      ShortcutTarget: categorizing.lnk -> C:\Program Files (x86)\Himes\Dinsmore.exe (Pas de fichier)
      Startup: C:\Users\Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\categorizingcategorizing.lnk [2018-04-19]
      ShortcutTarget: categorizingcategorizing.lnk -> C:\Program Files (x86)\grueling\jim.exe (Pas de fichier)
      GroupPolicy: Restriction - Chrome <==== ATTENTION
      GroupPolicy\User: Restriction <==== ATTENTION
      ProxyServer: [S-1-5-21-2640461294-3955530465-1064381673-1001] => 64.37.169.11:80
      HKU\S-1-5-21-2640461294-3955530465-1064381673-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoH_F-zjl_VoQxUM1SXufMKgPbj1jbFisddnneC6nav8xgbsr7KX77-ujalA9PukRTVfd0IbMXoZra3ihhPQJEoGApaqR_INuiR7EPy4U4xYe_EITi1r4txWLc_NdbMoUaIviVamZgHVNQsrVyI91y-IOHQLmywWYHgKm2w,,&q={searchTerms}
      HKU\S-1-5-21-2640461294-3955530465-1064381673-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoH_F-zjl_VoQxUM1SXufMKgPbj1jbFisddnneC6nav8xgbsr7KX77-ujalA9PukRTVfd0IbMXoZra3it6UGeIf6xUZqmIsCEEE3FKQX8i0xhj604iXXIuuQMUVCh0_pLosOSc4YNxy1OmbNMbBA8Tn-xG-TBXDba5AzuIA,,
      SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
      SearchScopes: HKU\S-1-5-21-2640461294-3955530465-1064381673-1001 -> DefaultScope {ielnksrch} URL =
      BHO: Pas de nom -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Pas de fichier
      FF NewTab: Mozilla\Firefox\Profiles\91znpkol.default-1473250618556-1520180631774 -> C:\\ProgramData\\Quoteexs\\ff.NT
      C:\\ProgramData\\Quoteexs
      FF Session Restore: Mozilla\Firefox\Profiles\91znpkol.default-1473250618556-1520180631774 -> est activé.
      FF Extension: (Browser Safety) - C:\Users\Pascal\AppData\Roaming\Mozilla\Firefox\Profiles\91znpkol.default-1473250618556-1520180631774\Extensions\extension@browser-safety.org.xpi [2018-04-19]
      FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{5C3FD6D1-9185-4195-B5E1-FAB622427F59} [2017-09-10] [Legacy] [non signé]
      FF HKLM\...\Firefox\Extensions: [support@geticommerce.com] - C:\Program Files (x86)\Up Pro\up_pro-1.5.16.1-an+fx-windows.xpi => non trouvé(e)
      C:\Program Files (x86)\Up Pro
      FF HKLM-x32\...\Firefox\Extensions: [support@geticommerce.com] - C:\Program Files (x86)\Up Pro\up_pro-1.5.16.1-an+fx-windows.xpi => non trouvé(e)
      FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\secure_cert.js [2018-04-20]
      FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2018-04-19]
      C:\Users\Pascal\AppData\Local\Google\Chrome
      C:\Users\Pascal\AppData\Roaming\Opera Software\Opera Stable\Extensions\egafjhhpbipcmpoiomegbckljbbbphoj
      C:\Users\Pascal\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd
      U2 glory; pas de ImagePath
      U2 snare; pas de ImagePath
      C:\Program Files (x86)\ytSetupEU
      C:\WINDOWS\universally.exe
      C:\WINDOWS\b0d9d9585d58c8ffbddb8144f48e7cf7.exe
      C:\WINDOWS\b5136589
      C:\Program Files (x86)\Werrerphstehercult
      C:\Program Files (x86)\Reerdly
      C:\Program Files (x86)\Gheech
      C:\ProgramData\tw39491015.exe
      Task: {001B18EC-6780-472F-BB14-95E43E452D06} - \FastDataX Task -> Pas de fichier <==== ATTENTION
      Task: {149A2796-CA3E-4BD1-8047-E1BDF3902A95} - System32\Tasks\Sapalatine_remeasuredpalatine_remeasured => C:\Program Files (x86)\Shopkeeper\Dinsmore.exe
      Task: {1543CE5B-CEA9-4C14-B94D-68D69B9E3FF0} - System32\Tasks\fc1c3fc3f3e4c09719c0c4784d1656cc => sc start fc1c3fc3f3e4c09719c0c4784d1656cc <==== ATTENTION
      Task: {3109DD85-8451-4C19-8F09-E76AA41E2105} - System32\Tasks\d0360a325ee318664d2a83bf2c6d555c => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\WINDOWS\d0360a325ee318664d2a83bf2c6d555c.ps1" <==== ATTENTION
      Task: {6B0398F6-9F57-4766-B426-4E50A3F23A61} - System32\Tasks\Sanowadays-offendnowadays-offend => C:\Program Files (x86)\grueling\jim.exe
      Task: {7409D52D-A6BB-4644-B1E3-0623733B5F1F} - System32\Tasks\Sazweig_theoremszweig_theorems => C:\Users\Pascal\AppData\Local\jim.exe
      C:\Users\Pascal\AppData\Local\jim.exe
      Task: {758FABB4-19C3-4FDD-B722-4DE5A3F89E31} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Windows\Manager.exe
      C:\Windows\Manager.exe
      Task: {815DBFFE-6161-4ED7-8AC1-FE17CA9078BB} - \SoftUpgrade -> Pas de fichier <==== ATTENTION
      Task: {C435AD2D-6BAF-433B-9214-F592BFA5B013} - System32\Tasks\Saairtimeairtime => C:\Program Files (x86)\Himes\Dinsmore.exe
      Task: {CAC748EA-6DEB-44D0-936C-1D312DCD872F} - System32\Tasks\Sainitiate mcmastersinitiate mcmasters => C:\Program Files (x86)\Shopkeeper\jim.exe
      Task: {DB067CE2-6796-4E49-B79A-72A749A33893} - System32\Tasks\Samotorcyclesmotorcycles => C:\Program Files (x86)\resetting\resetting.exe
      C:\Program Files (x86)\resetting
      Task: {DCE92D13-462B-44FE-8B19-41A8A73B4388} - System32\Tasks\Microsoft\Windows\Multimedia\Logon => C:\Users\Pascal\AppData\Roaming\Windows_x64_nheqminer-5c\Zcash.exe
      C:\Users\Pascal\AppData\Roaming\Windows_x64_nheqminer-5c
      Task: {FA0530B2-CEEF-41FD-BCFA-351B4FA49988} - System32\Tasks\Sauncrossed alberni acidityuncrossed alberni acidity => C:\Users\Pascal\AppData\Local\Dinsmore.exe [2018-04-19] ()
      C:\Users\Pascal\AppData\Local\Dinsmore.exe
      Shortcut: C:\Users\Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe ()
      Shortcut: C:\Users\Pascal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe ()
      AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
      AlternateDataStreams: C:\ProgramData\TEMP:302A9871 [103]
      AlternateDataStreams: C:\ProgramData\TEMP:FB6C2A47 [135]
      AlternateDataStreams: C:\ProgramData\TEMP:FCA8C9CD [116]
      FirewallRules: [{4A685D1F-2D30-4B90-9776-123247188126}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
      C:\Program Files (x86)\Firefox
      Hosts:
      RemoveProxy:
      EmptyTemp:
      end

    • Enregistre le fichier au même endroit que le programme FRST sous le nom fixlist.txt
    • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
    • Clique sur Corriger. Patiente le temps de la correction.

      Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.

    • Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
    • Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
    m
    0
    l
    a c 334 8 Sécurité
    21 Avril 2018 19:33:06

    Je voudrais un nouveau rapport d'analyse FRST (et Addition) s'il te plaît (pour vérifier).

    Citation :
    C:\Program Files (x86)\Mozilla Firefox\firefox334.exe

    --> Ton Firefox a été bidouillé par une infection, désinstalle / réinstalle-le.

    Citation :
    Windows 10 Home Version 1607

    --> Il n'est pas à jour, tu as une erreur dans Windows Update ?
    m
    0
    l
    a c 334 8 Sécurité
    22 Avril 2018 10:28:14

    Ok ;) 

    Pas utile selon moi de garder SUPERAntiSpyware, tu as Malwarebytes.

    Comme bloqueur de pubs, tu peux installer l'extension uBlock Origin :
    https://addons.mozilla.org/fr/firefox/addon/ublock-orig...

    Pour finir :


    1/

    * Lance CCleaner. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures puis dans Surveillance, décoche les deux cases.
    * Va dans Nettoyeur et lance le nettoyage.


    2/

    ---> Télécharge DelFix sur ton Bureau puis lance-le.
    * Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
    * Clique sur Exécuter.
    * Poste le rapport (C:\DelFix.txt).


    ==Prévention==

    "Java 8 Update 144"

    --> Mets-le à jour ou désinstalle-le si tu n'en as pas besoin :
    https://www.java.com/fr/download/

    Adware Prevention permet de t'entraîner à ne pas accepter de PUPs / adwares lors d'installations de logiciels :
    http://security-x.fr/~guigui0001/

    http://www.malekal.com/detection-puplpi-potentially-unw...

    Un dossier sur la prévention et sécurité sur Internet est disponible ici.


    ==Problème résolu ?==

    Si tu estimes que ton problème est résolu, clique sur un des boutons Sélectionner comme meilleure solution présents en bas de mes réponses.
    m
    0
    l
    a c 334 8 Sécurité
    22 Avril 2018 19:37:03

    Ok pour DelFix.

    Bonne soirée ;) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS