Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27257
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par angelique » 04 août 2015 20:31

Poussé par PUP/Amonetize :

Image

bsdriver.sys & cherimoya.sys et abengine

Voir aussi : Supprimer bsdriver.sys et cherimoya.sys.

bsdriver.sys & cherimoya.sys sont 2 infections détectées par Adwcleaner et ZHPCleaner.
installées par l'adware Shopper* mais ils n'en viennent pas à bout, frst non plus ...sur un SE 64 Bits
R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2015-08-07] ()
2015-08-07 04:43 - 2015-06-18 12:08 - 00061336 _____ (Cherimoya Ltd) C:\Windows\system32\Drivers\cherimoya.sys
Les détections - ces derniers sont signés Cupuacu Labs :
SHA256: d50a83cf83fe2a80dd7f6efc2b82c8a31144f0b0b047d7c90857e1767f0dff32
Nom du fichier : cherimoya.sys
Ratio de détection : 4 / 56
Date d'analyse : 2015-08-20 21:01:08 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVG Generic.4D9 20150820
Bkav W32.HfsAdware.C501 20150820
ESET-NOD32 a variant of Win32/NetFilter.A potentially unsafe 20150820
Malwarebytes PUP.Optional.Shopperz.A 20150820
SHA256: efb325a6073c78ab0bd3ebd980aaa26b724ad8863299f650b46616537793eb8a
Nom du fichier : bsdriver.sys
Ratio de détection : 3 / 56
Date d'analyse : 2015-08-20 21:09:38 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVG Generic.4D9 20150820
Bkav W32.HfsAdware.C501 20150820
Malwarebytes PUP.Optional.Shopperz.A 20150820
Accompagné de :
2015-08-07 04:43 - 2015-08-06 22:07 - 00351072 _____ (Abengine) C:\Windows\system32\acengine64.dll
2015-08-07 04:46 - 2015-08-07 04:46 - 00034712 _____ () C:\Windows\system32\Drivers\bsdriver.sys
2015-08-07 04:44 - 2015-08-07 04:57 - 00000000 ____D C:\Users\camille\AppData\Local\26860
2015-08-07 04:44 - 2015-08-07 04:44 - 00010272 _____ C:\Windows\system32\acengineOff.ini
Exemple de détections des fichiers de l'Adware.Shopperz :
SHA256: 379cce9c263a3aabea9f6bed6d291f13f64ce5b67a31cdcdc93a7bcb4763a913
Nom du fichier : Fhmirzy.exe
Ratio de détection : 7 / 55
Date d'analyse : 2015-08-20 21:06:55 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Antiy-AVL RiskWare[WebToolbar:not-a-virus]/Win32.Perinet 20150820
Ikarus not-a-virus:WebToolbar.Agent 20150820
Kaspersky not-a-virus:AdWare.Win32.Dagava.c 20150820
NANO-Antivirus Trojan.Win32.BPlug.dsnbkv 20150820
Panda Trj/Genetic.gen 20150820
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150820
Symantec Suspicious.Cloud.7.F 20150820
SHA256: 21cf4c3ab98094bdc136a16c10be90c83f17a9df72f289c38fa433bc655435d2
Nom du fichier : sprz.exe
Ratio de détection : 7 / 56
Date d'analyse : 2015-08-20 21:07:27 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Agnitum PUA.Toolbar.Agent! 20150820
Avast Win32:Malware-gen 20150820
Baidu-International PUA.Win32.Perion.K 20150820
DrWeb Trojan.BPlug.955 20150820
ESET-NOD32 a variant of Win32/Toolbar.BitCocktail.C potentially unwanted 20150820
Malwarebytes PUP.Optional.Shopperz.A 20150820
NANO-Antivirus Trojan.Win32.BPlug.dsnbkv 20150820
Des hook Shopperz :
PCHunter_Adware_shopperz_bsdriver_cherimoya.png
bsdriver.sys & cherimoya.sys : abengine

Apparemment - ex MyOSProtect / WebProtect / PCWatch.
Par exemple sur ce sujet, on retrouve Abengine
Winsock: Catalog9 01 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 02 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 03 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 04 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 15 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9-x64 01 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 02 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 03 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 04 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 05 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 06 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 07 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 08 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 19 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 20 C:\Windows\system32\abengine64.dll File Not found ()
ou
Winsock: Catalog9 01 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 02 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 03 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 04 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 23 C:\Windows\system32\acengine.dll [299296] (Abengine)
Exemple de publicités Ads by Shopperz :
Adware_shopperz_bsdriver_cherimoya.png
bsdriver.sys & cherimoya.sys : abengine
Lorsque l'on passe la souris sur une image, une publicité Ads by Shopperz arrive.
Ads_Shopperz.png
Ads Shopperz
Abengine détourne les certificats HTTPs en chargeant ses propres certificats d'autorités (voir la page Comprendre le HTTPs et à quoi sert le HTTPs, ceci afin de contrôler le traffic HTTPs sur la machine :

Image

Image


Solution pour supprimer bsdriver.sys & cherimoya.sys et abengine

supprimer bsdriver.sys & chirimoya.sys avec HitmanPro

HitmanPro doit faire le job, se reporter à la fiche Hitman Pro pour son utilisation : Hitman Pro

Image

supprimer bsdriver.sys & chirimoya.sys avec PCHunter

Tentez PCHunter

Sur l'onglet Kernel Module, faites un clic droit sur bsdriver.sys puis delete driver
De même sur cherimoya.sys
PCHunter_Adware_shopperz_bsdriver_cherimoya_2.png
bsdriver.sys & cherimoya.sys : abengine
Supprimer bsdriver.sys & chirimoya.sys avec un CD Live

➫ booter sur un live cd, clef USB quelconque Gnu-LInux, PE ѡindows et supprimer c:\windows\systeme32\drivers\bsdriver.sys et c:\windows\systeme32\drivers\cherimoya.sys

➫ relancer Adwcleaner qui supprimera alors les entrées de services de registre sans souçis.

Cas rencontré ce soir chez un particulier :x

Liens internes :
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 07 août 2015 16:16

Edité pour ajouter des informations, j'en ai eu un sur CCM.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27257
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par angelique » 07 août 2015 20:08

PDT_018 , merci Mak ;)
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: acengine / abengine

Message par Malekal_morte » 13 août 2015 18:02

Nouveau radical abengine avec le driver acwfp64.sys et la lib acengine64.dll , toujours accompagné de l'adware Shopperz :
R2 acwfp; C:\WINDOWS\system32\Drivers\acwfp64.sys [45784 2015-08-06] (Abengine)
2015-08-12 17:56 - 2015-08-06 22:10 - 00045784 _____ (Abengine) C:\WINDOWS\system32\Drivers\acwfp64.sys
2015-08-12 17:56 - 2015-08-06 22:07 - 00351072 _____ (Abengine) C:\WINDOWS\system32\acengine64.dll

Winsock: Catalog9 01 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 02 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 03 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 04 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 16 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
EDIT - autre cas avec FastSearch :

Poussé par des cracks/keygen qui refilent des PUPs/Adwares.

Image
R2 acengine; C:\Program Files\FastSearch\acengine.exe [1839728 2015-08-11] (Abengine) [File not signed]
(Abengine) C:\Program Files\FastSearch\acengine.exe
R2 acengine; C:\Program Files\FastSearch\acengine.exe [1839728 2015-08-11] (Abengine) [File not signed]
2015-08-16 13:38 - 2015-08-16 13:38 - 00000000 ____D () C:\Program Files\FastSearch
2015-08-16 13:38 - 2015-08-11 16:50 - 00299296 _____ (Abengine) C:\Windows\system32\acengine.dll
2015-08-16 13:38 - 2015-08-16 13:38 - 00010400 _____ () C:\Windows\system32\acengineOff.ini

Winsock: Catalog9 01 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 02 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 03 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 04 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 23 C:\Windows\system32\acengine.dll [299296] (Abengine)
Les drivers acwfp64.sys et acwfp.sys se trouve dans le dossier C:\Program Files (x86)\FastSearch

Image

Niveau détection, c'est le drame :
SHA256: 731b32e87203f9e02ad51abf5a72fd8310f4e5c12c71f30d7d51437602ebcae1
Nom du fichier : acengine.exe
Ratio de détection : 0 / 56

Date d'analyse : 2015-08-16 13:04:03 UTC (il y a 1 minute)
SHA256: fceaa7531e2f10e4d4a555e7f68dc44acbffdd96eb2168cff047324a0474ec0c
Nom du fichier : acengine.dll
Ratio de détection : 0 / 55

Date d'analyse : 2015-08-16 13:03:44 UTC (il y a 2 minutes)
SHA256: 116ed8a69581e3834cbed4464eaeaa1e7de816f005022a401dc67b4a0cb0df80
Nom du fichier : acwfp64.sys
Ratio de détection : 0 / 56

Date d'analyse : 2015-08-16 13:04:18 UTC (il y a 1 minute)
SHA256: 82be9f8b6841dd894cd46d23a6287ee79322fafaab9691c94c84f6c674d1afa9
Nom du fichier : acwfp.sys
Ratio de détection : 0 / 56

Date d'analyse : 2015-08-16 13:04:02 UTC (il y a 1 minute)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 20 août 2015 23:10

Choppé sur une VM - message initial édité pour apporter des informations.
PCHunter a pu supprimer les drivers.

La DLL est bien acengine.dll maintenant - toujours pas détectée.
HKLM\...\Run: [shopperz200820151215] => C:\Program Files\shopperz200820151215\Urhkaj.exe [428720 2015-08-20] ()
Winsock: Catalog9 01 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 02 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 03 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 04 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 23 C:\Windows\system32\acengine.dll [299296] (Abengine)

R3 0D8A755D-F647-49BB-9578-8D6AB60A978A; C:\Program Files\shopperz200820151215\Fhmirzy.exe [280752 2015-08-20] ()
R2 acengine; C:\Program Files\FastSearch\acengine.exe [1839728 2015-08-11] (Abengine) [File not signed]
R3 csrcc; C:\Program Files\shopperz200820151215\csrcc.exe [1444016 2015-08-20] ()
R3 Piiujkau; C:\Program Files\shopperz200820151215\Piiujkau.exe [2043736 2015-08-20] ()
R2 TunsePosxe; C:\Program Files\shopperz200820151215\GaupJomfiw.exe [171864 2015-08-20] ()


R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [30112 2015-08-20] ()
R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56480 2015-08-20] (Cherimoya Ltd)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 25 août 2015 19:08

Probablement un autre radical abengine Uiviuuj / Rofdhowal.

Vu entre autre ce sujet :
Winsock: Catalog9 01 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 02 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 03 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 04 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 16 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9-x64 01 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 02 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 03 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 04 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 05 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 06 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 07 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 08 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 20 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 21 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()


2015-08-19 13:55 - 2015-08-19 14:03 - 00004672 _____ C:\Windows\SysWOW64\Uiviuuj.ini
2015-08-19 13:55 - 2015-08-19 14:03 - 00002384 _____ C:\Windows\SysWOW64\UiviuujOff.ini
2015-08-19 13:55 - 2015-08-19 14:03 - 00002384 _____ C:\Windows\system32\UiviuujOff.ini
2015-08-19 13:55 - 2015-08-12 10:45 - 00353608 _____ C:\Windows\system32\Uiviuuj64.dll
2015-08-19 13:55 - 2015-08-12 10:45 - 00283464 _____ C:\Windows\SysWOW64\Uiviuuj.dll
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 01 sept. 2015 10:01

Antivir a ajouté une détection en ADWARE/Komodia - seul Antivir détecte le fichier :
SHA256: 731b32e87203f9e02ad51abf5a72fd8310f4e5c12c71f30d7d51437602ebcae1
Nom du fichier : acengine.exe
Ratio de détection : 1 / 56
Date d'analyse : 2015-09-01 08:10:45 UTC (il y a 0 minute)

Avira ADWARE/Komodia.1839728 20150901
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 11 sept. 2015 10:53

Quelques détections Malwarebytes Anti-Malware relatives à cette infection

PUP.Optional.Abengine et PUP.Optional.HijackBoot

Malwarebyte détecte abengine.dll en PUP.Optional.Abengine

Image

les autres DLL en PUP.Optional.HijackBoot :

Image

PUP.Optional.Perion et PUP.Optional.Komodia

Du côté Shopperz,

On a du PUP.Optional.Perion

Image

et PUP.Optional.Komodia :

Image

Rootkit.Agent.A pour bsdriver.sys & cherimoya.sys

Les pilotes bsdriver.sys & cherimoya.sys sont détecté en Rootkit.Agent.A

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 08 nov. 2015 21:44

Nouvelle variante de shopperz qui change de nom sous groover : infecté par groover
BHO: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg64.dll [2015-11-08] ()
BHO-x32: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg.dll [2015-11-08] ()
R3 316A5129-5BCD-4EC5-8FC3-5F92F752B475; C:\Program Files\groover081120151117\Siccaonp.exe [250192 2015-11-08] ()
R3 csrcc; C:\Program Files\groover081120151117\csrcc.exe [1513808 2015-11-08] ()
R2 groover081120151117 Updater; C:\Program Files\groover081120151117\Qyvcuf.exe [150864 2015-11-08] ()
2015-11-08 11:19 - 2015-11-08 19:51 - 00000000 ____D C:\Program Files\groover081120151117
du coup on retrouve avec bsdriver.sys et cherimoya.sys

Image

Pour noel, groover affiche des publicités Holiday Sale :

http://www.supprimer-trojan.com/wp-cont ... y_sale.png
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 18 nov. 2015 14:35

Edition du topic original avec :
HitmanPro fait le job, se reporter à la fiche Hitman Pro pour son utilisation : Hitman Pro
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 25 nov. 2015 15:52

Les drivers bsdriver.sys et cherimoy.sys sont maintenant majoritairement détectés en Adware.NetFilter :
SHA256: ef2d454f85cab466344d87fffcd2bf6bb69c37411e1a45363fdf04490e778992
File name: bsdriver.sys
Detection ratio: 24 / 55
Analysis date: 2015-11-25 13:39:17 UTC ( 3 minutes ago )

Antivirus Result Update
ALYac Adware.NetFilter.X 20151125
AVG Generic.4D9 20151125
AVware NetFilter (fs) 20151124
Ad-Aware Adware.NetFilter.X 20151125
Antiy-AVL Trojan/Win32.TSGeneric 20151125
Arcabit PUP.Adware.Cupuacu 20151125
BitDefender Adware.NetFilter.X 20151125
Bkav W32.HfsAdware.C501 20151125
ClamAV Win.Adware.Netfilter-771 20151125
Cyren W32/S-eb03eabd!Eldorado 20151125
DrWeb Adware.Shopper.989 20151125
ESET-NOD32 a variant of Win32/Toolbar.Perion.AB potentially unwanted 20151125
Emsisoft Adware.NetFilter.X (B) 20151125
F-Prot W32/S-eb03eabd!Eldorado 20151125
F-Secure Adware.NetFilter.X 20151125
GData Adware.NetFilter.X 20151125
Ikarus not-a-virus:RiskTool.NetFilter 20151125
K7AntiVirus Unwanted-Program ( 004d63221 ) 20151125
K7GW Unwanted-Program ( 004d63221 ) 20151125
Malwarebytes PUP.Optional.Shopperz.BrwsrFlsh 20151125
MicroWorld-eScan Adware.NetFilter.X 20151125
VIPRE NetFilter (fs) 20151125
Zillya Adware.BrowseFox.Win32.126343 20151123
nProtect Adware.NetFilter.X 20151125
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 10 déc. 2015 01:10

variante zcengine :
R2 zcengine; C:\Program Files\QuickSearch\zcengine.exe [2435623 2015-12-05] (zcengine) [Fichier non signé]
2015-12-05 12:01 - 2015-12-05 12:01 - 00260919 _____ (zcengine) C:\Windows\system32\zcengine.dll
2015-12-05 12:01 - 2015-12-05 12:01 - 00009648 _____ C:\Windows\system32\zcengineOff.ini
Winsock: Catalog9 01 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 02 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 03 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 04 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 23 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Fast Search est devenu QuickSearch.

Le blocage Web de Malwarebytes Anti-Malware peut générer des détections de blocage zencine.exe - par exemple sur cdn.visadd.com sur la capture suivante :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : zdengine

Message par Malekal_morte » 08 avr. 2016 21:52

zdengine maintenant, toujours avec bsdriver.sys et cherimoya.sys
2016-04-08 20:40 - 2016-04-08 20:58 - 00010976 _____ C:\Windows\SysWOW64\zdengineOff.ini
2016-04-08 20:40 - 2016-04-08 20:58 - 00010976 _____ C:\Windows\system32\zdengineOff.ini
2016-04-08 20:40 - 2016-04-08 20:40 - 00346005 _____ (zdengine) C:\Windows\system32\zdengine64.dll
2016-04-08 20:40 - 2016-04-08 20:40 - 00297109 _____ (zdengine) C:\Windows\SysWOW64\zdengine.dll
2016-04-08 20:40 - 2016-03-04 16:13 - 00046352 _____ (zdengine) C:\Windows\system32\Drivers\zdwfp64.sys
R2 zdwfp; C:\Windows\system32\Drivers\zdwfp64.sys [46352 2016-03-04] (zdengine)
S1 judenqpl; \??\C:\Windows\system32\drivers\judenqpl.sys [X]
R3 SMUpdd; \??\C:\Program Files\Common Files\Soobzo\GDUpdate\smw.sys [X]
R2 zdengine; C:\Program Files (x86)\QuickSearch\zdengine.exe [1798773 2016-04-08] (zdengine) [Fichier non signé]
R2 zdwfp; C:\Windows\system32\Drivers\zdwfp64.sys [46352 2016-03-04] (zdengine)
S1 judenqpl; \??\C:\Windows\system32\drivers\judenqpl.sys [X]
R3 SMUpdd; \??\C:\Program Files\Common Files\Soobzo\GDUpdate\smw.sys [X]
R2 zdengine; C:\Program Files (x86)\QuickSearch\zdengine.exe [1798773 2016-04-08] (zdengine) [Fichier non signé]
zdengine.png
zdengine
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 18 avr. 2016 09:22

Nouvelle variante Joje qui s'accompagne de bsdriver et cherimoya
BHO: Joje -> {09E4E758-CA9F-4273-aC0F-F488FF6EF018} -> C:\Program Files\Joje\Pumgox.dll [2016-04-12] ()
R2 Jappo; C:\Users\Marjorie\AppData\Roaming\UsorPask\Ulhwefwo.exe [125776 2016-04-16] ()
R2 Joje Updater; C:\Program Files\Joje\Chlhib.exe [168784 2016-04-12] ()
R3 MufNakr; C:\Program Files\Joje\MufNakr.exe [425296 2016-04-12] ()
2016-04-12 10:55 - 2016-04-12 10:55 - 00000000 ____D C:\Program Files\Joje
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 22 avr. 2016 20:42

Dernière variante Jukmismuuoa
BHO: Jukmismuuoa -> {AE8E924F-CDC6-40CB-803D-939A15CE45E2} -> C:\Program Files\Jukmismuuoa\Icyvru.dll [2016-04-22] ()
R3 CaoaLijir; C:\Program Files\Jukmismuuoa\CaoaLijir.exe [425304 2016-04-22] ()
R3 EE9FECB9-9323-4F4B-8CD0-243BC973C77F; C:\Program Files\Jukmismuuoa\Hhkiilg.exe [232280 2016-04-22] ()
R2 Jukmismuuoa Updater; C:\Program Files\Jukmismuuoa\Ghsaqeoi.exe [169304 2016-04-22] ()
2016-04-22 19:18 - 2016-04-22 19:18 - 00000000 ____D C:\Program Files\Jukmismuuoa
et des pubs Jukmismuuoa Ads
Jukmismuuoa _Ads.png
Jukmismuuoa Ads
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Adwares et PUPs (programmes indésirables) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités