Extutil - Managera

mouss3 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention   -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour, j'ai un soucis avec Extutil et managera qui m'ont infecté mon ordi et je n'arrive pas a les effacer. Est ce que quelqu'un pourrait me venir en aide.

Merci.

10 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, On va faire un diagnostic de ton PC pour plus de renseignements
    • Télécharge ZHPDiag sur le site officiel de Nicolas Coolman : https://nicolascoolman.eu
    • lance le cela va te créer un icône sur ton bureau et faire apparaître l'interface.
    • Cliquez sur « Scanner » pour démarrer la recherche.
    • En cours de recherche, un compteur indique le nombre de détections.
    • Laisser s »effectuer la recherche jusqu'à ce que la barre de progression atteigne le 100%
    • A la fin de la recherche, un clic sur le bouton « Rapport » permet d'afficher le rapport dans le bloc-notes.


    "Pour annuler la recherche, cliquez sur la touche « Echap »."
    • Héberge le rapport ZHPDiag.txt présent sur ton bureau sur l'un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :


    https://www.cjoint.com/

    http://pjjoint.malekal.com/

    0
  2. mouss3 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour et merci pour votre aide. Voici le lien.

    http://www.cjoint.com/c/EIujx5WixfQ
    0
  3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, passes adwcleaner , adsfix et puis refait un nouveau zhpdiag , merci

    1) passes adwcleaner

    Désactive ton antivirus le temps du téléchargement et de l'utilisation.

    - Télécharge AdwCleaner (d'Xplode) sur ton bureau.

    - Lance le, clique sur Scanner puis patiente le temps du scan.

    - Une fois le scan fini, clique sur Nettoyer. Le PC sera redémarré automatiquement et le rapport apparaître à la fin du redémarrage : poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S??].txt

    Un tutoriel sur AdwCleaner est disponible ici : http://www.forum-entraide-informatique.com/support/adwcleaner-tutoriel-t875.html

    Canned speech issu de FEI : https://www.forum-entraide-informatique.com/

    2) passes adsfix

    Désactive ton antivirus le temps du téléchargement et de l'utilisation.

    Télécharge AdsFix sur ton bureau.

    https://www.sosvirus.net/telecharger/adsfix/

    Note : Enregistrer votre travail avant de continuer !

    Lance AdsFix

    Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger

    Inscrit ton pays

    Vas sur options et cliques sur débloquer la suppression

    Clique sur Nettoyer

    Note : Patiente le temps du scan

    Laisse travailler l'outil même s'il te parait bloqué, des fois plus de 2 heures pour faire le nettoyage

    Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"

    Héberge le rapport C:\AdsFix_date_heure.txt sur https://www.cjoint.com/ puis donne le lien obtenu.

    3) donnes des nouvelles de ton pc et postes un nouveau zhpdiag
    0
  4. mouss3 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
     
    0
    1. mouss3 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
       
      Merci c'est beaucoup mieux, les 2 programmes ont été viré. Le problème maintenant est lorsque j'ouvre une page internet, je clique sur la page, j'ai une autre page qui s'ouvre concernant des pubs et des programmes à installer. Comment puis je faire pour arrêter ces fenêtres intempestives?

      Merci de votre aide.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, tu fais zhpfix comme expliqué, tu postes le rapport etdes nouvelles du pc , concernant
     Le problème maintenant est lorsque j'ouvre une page internet, je clique sur la page, j'ai une autre page qui s'ouvre concernant des pubs et des programmes à installer. 

    c'est avec quoi comme navigateur et sur quoi comme page ??

    télécharge et installes zhpfix: https://nicolascoolman.eu

    - Copie les lignes en GRAS ci dessous :


    Script ZHPFix
    SysRestore
    ShortcutFix
    ProxyFix
    FirewallRAZ
    EmptyCLSID
    EmptyTemp
    EmptyFlash
    EmptyPrefetch
    [MD5.B3003818B9A05D75B45DBC49A712571F] - (.Microsoft Corporation - DNS DLL de l'API Client.) () -- C:\Windows\System32\dnsapi.dll [357888] ©
    [MD5.7C4EC427BB45F00EEB95937D580F2694] - (.Microsoft Corporation - DNS DLL de l'API Client.) () -- C:\Windows\Syswow64\dnsapi.dll [270336] ©
    O42 - Logiciel: GamesDesktop 001.005010090 - (.GAMESDESKTOP.) [HKLM][64Bits] -- gmsd_fr_005010090_is1
    O43 - CFD: 2015/09/19 19:45:40 - [] D -- C:\ProgramData\ZombieNews
    O43 - CFD: 2015/09/19 19:22:48 - [0] D -- C:\Users\mouss\AppData\Local\Installer
    O45 - LFCP:[MD5.9ED325567142D0AEE97E2FA7D7B9323C] 2015/02/12 11:48:37 A -- C:\Windows\Prefetch\BINKILAND.EXE-5E53D09E.pf
    O87 - FAEL: "{4F3607B7-D1EC-4AED-A880-B710DD5811D2}" [Out-None-P6-TRUE] .(...) -- C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe (.not file.)
    HKLM\SOFTWARE\Microsoft\Tracing\TomorrowGames_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\TomorrowGames_RASMANCS
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\ASPackage_RASAPI32
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\ASPackage_RASMANCS
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\MaxDrivrUpdater_RASAPI32
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\MaxDrivrUpdater_RASMANCS
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_fr_005010090_is1
    HKLM64\SOFTWARE\Microsoft\Tracing\TomorrowGames_RASAPI32
    HKLM64\SOFTWARE\Microsoft\Tracing\TomorrowGames_RASMANCS
    HKCU\SOFTWARE\Wastelands Interactive
    C:\ProgramData\ZombieNews
    C:\Users\mouss\AppData\Local\Installer
    C:\Windows\Prefetch\BINKILAND.EXE-5E53D09E.pf



    - Cliquer sur le raccourci ZHPFix sur le Bureau.

    - Cliquer sur le bouton "IMPORTER" pour coller le contenu du Presse-Papier de Windows.

    - Vérifier que toutes les lignes du script sont présentes,

    - Cliquer sur le bouton "GO" pour démarrer le nettoyage des lignes du script.

    - Une confirmation de nettoyage des lignes est demandée à l'utilisateur,

    - Une confirmation du nettoyage de la corbeille est demandée à l'utilisateur,

    . Copie/colle la totalité du rapport dans ta prochaine réponse si trop long postes par le biais de cjoint , merci

    tu le trouveras sur ton bureau et dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    0
  7. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, ok comment va le pc ??
    ton antivirus avast tu la acheté ou ??

    postes un nouveau zhpdiag, merci
    0
    1. mouss3 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
       
      J'ai des petites fenêtres grises qui s'affichent en haut au milieu de mes pages internet et je suis obligé d'appuyer sur ok pour les fermer.

      L'antivirus on me l'a prêté suite à mon problème.

      Lorsque je fais zhpdiag, il me trouve 4 petits insectes (qui sont des virus je pense).

      Voici le rapport:

      https://www.cjoint.com/c/EIvmQ2rrohQ

      Encore merci de ton aide.
      0
  8. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour,
    J'ai des petites fenêtres grises qui s'affichent en haut au milieu de mes pages internet
    et tu as cela avec quoi comme navigateur??

    L'antivirus on me l'a prêté suite à mon problème. 
    mais il est cracker ton avast !! et un cracks une fois installer sur le pc personne sauf celui qui la programmer peut savoir exactement se qu'il fait !!

    tu vas lancer une invite de commande en tant que administrateur pour vérifier et réparer si possible !!
    • Démarrer une invite de commandes en mode administrateur de la façon suivante:


    Cliquez sur Démarrer/(Tous les)Programmes/Accessoires

    cliquez droit sur Invite de commandes.

    Choisissez Exécuter en tant qu'Administrateur.
    • Dans la fenêtre noire qui s'ouvre, copiez-collez la commande suivante :


    sfc /scanfile="C:\Windows\System32\dnsapi.dll"

    tu valides avec entrée, une fois fini tu nous dira si il a dit qu'il avait pu réparer !!

    une fois fait tu fais pareil avec cette nouvelle commande :

    sfc /scanfile="C:\Windows\Syswow64\dnsapi.dll"

    0
  9. mouss3 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
     
    Merci j'ai fait ta premiere manip et maintenant je n'ai plus internet. Lecran en bas a droite presente un triangle jaune.
    0
  10. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    vas dans panneau de configuration , regarde dans centre de réseau et partage dans la collonne de droite modifier les paramètres de la carte , active la si déactiver !!

    sinon en invite de commande en tant que administrateur

    NETSH WINSOCK RESET ALL

    et il devrait te réparer la connection !!

    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      +1
      0
    2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      ah bon ? ca vient de dnsapi.dll ?

      soit dit en passant excellent ton lien !!!
      0
    3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      bon à titre info j'ai étudié cette dll, et ce qui est marrant c'est qu'elle pèse 665 Ko quand on la lit dans le system32 en fonctionnement ( ce qui est impossible à faire apparemment ) et si on la copie via un programme (tel que je l'ai fait dans mes tests avec quelques lignes d'autoit) pour la lire/modifier à un autre endroit , elle ne pèse plus que 522 Ko donc j'en conclus qu'elle est plus lourde en fonctionnement , et du coup les offsets ne se trouvent plus au même endroit donc pour la modifier c'st le foutoir.
      par contre si on la copie manuellement du system32 dans un autre endroit elle garde son poids initial et est lisible et modifiable

      j'ai fait un contrôle via les offsets et effectivement à une certaine ligne en lecture hexadécimale comme sur le lien de malekal on retrouve bien dnsapi : \drivers\etc\hosts

      d'ailleurs si on remonte plus haut dans la lecture en hexa , on s'apercoit qu'elle intègre les fonctions d'une dll api-ms-chépukoi donc si on veut réparer la dll via sfc , faut couper tous les services dont dépend le fonctionnement de la dll pour pas buter la couche reseau
      0