Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 29551
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par angelique » 04 août 2015 20:31

Poussé par PUP/Amonetize :

Image

bsdriver.sys & cherimoya.sys et abengine

Voir aussi : Supprimer bsdriver.sys et cherimoya.sys.

bsdriver.sys & cherimoya.sys sont 2 infections détectées par Adwcleaner et ZHPCleaner.
installées par l'adware Shopper* mais ils n'en viennent pas à bout, frst non plus ...sur un SE 64 Bits
R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2015-08-07] ()
2015-08-07 04:43 - 2015-06-18 12:08 - 00061336 _____ (Cherimoya Ltd) C:\Windows\system32\Drivers\cherimoya.sys
Les détections - ces derniers sont signés Cupuacu Labs :
SHA256: d50a83cf83fe2a80dd7f6efc2b82c8a31144f0b0b047d7c90857e1767f0dff32
Nom du fichier : cherimoya.sys
Ratio de détection : 4 / 56
Date d'analyse : 2015-08-20 21:01:08 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVG Generic.4D9 20150820
Bkav W32.HfsAdware.C501 20150820
ESET-NOD32 a variant of Win32/NetFilter.A potentially unsafe 20150820
Malwarebytes PUP.Optional.Shopperz.A 20150820
SHA256: efb325a6073c78ab0bd3ebd980aaa26b724ad8863299f650b46616537793eb8a
Nom du fichier : bsdriver.sys
Ratio de détection : 3 / 56
Date d'analyse : 2015-08-20 21:09:38 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVG Generic.4D9 20150820
Bkav W32.HfsAdware.C501 20150820
Malwarebytes PUP.Optional.Shopperz.A 20150820
Accompagné de :
2015-08-07 04:43 - 2015-08-06 22:07 - 00351072 _____ (Abengine) C:\Windows\system32\acengine64.dll
2015-08-07 04:46 - 2015-08-07 04:46 - 00034712 _____ () C:\Windows\system32\Drivers\bsdriver.sys
2015-08-07 04:44 - 2015-08-07 04:57 - 00000000 ____D C:\Users\camille\AppData\Local\26860
2015-08-07 04:44 - 2015-08-07 04:44 - 00010272 _____ C:\Windows\system32\acengineOff.ini
Exemple de détections des fichiers de l'Adware.Shopperz :
SHA256: 379cce9c263a3aabea9f6bed6d291f13f64ce5b67a31cdcdc93a7bcb4763a913
Nom du fichier : Fhmirzy.exe
Ratio de détection : 7 / 55
Date d'analyse : 2015-08-20 21:06:55 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Antiy-AVL RiskWare[WebToolbar:not-a-virus]/Win32.Perinet 20150820
Ikarus not-a-virus:WebToolbar.Agent 20150820
Kaspersky not-a-virus:AdWare.Win32.Dagava.c 20150820
NANO-Antivirus Trojan.Win32.BPlug.dsnbkv 20150820
Panda Trj/Genetic.gen 20150820
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150820
Symantec Suspicious.Cloud.7.F 20150820
SHA256: 21cf4c3ab98094bdc136a16c10be90c83f17a9df72f289c38fa433bc655435d2
Nom du fichier : sprz.exe
Ratio de détection : 7 / 56
Date d'analyse : 2015-08-20 21:07:27 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Agnitum PUA.Toolbar.Agent! 20150820
Avast Win32:Malware-gen 20150820
Baidu-International PUA.Win32.Perion.K 20150820
DrWeb Trojan.BPlug.955 20150820
ESET-NOD32 a variant of Win32/Toolbar.BitCocktail.C potentially unwanted 20150820
Malwarebytes PUP.Optional.Shopperz.A 20150820
NANO-Antivirus Trojan.Win32.BPlug.dsnbkv 20150820
Des hook Shopperz :
bsdriver.sys & cherimoya.sys : abengine
bsdriver.sys & cherimoya.sys : abengine

Apparemment - ex MyOSProtect / WebProtect / PCWatch.
Par exemple sur ce sujet, on retrouve Abengine
Winsock: Catalog9 01 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 02 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 03 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 04 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9 15 C:\Windows\system32\abengine.dll File Not found ()
Winsock: Catalog9-x64 01 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 02 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 03 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 04 C:\Windows\system32\abengine64.dll File Not found ()
Winsock: Catalog9-x64 05 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 06 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 07 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 08 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 19 C:\Windows\system32\MyOSProtect64.dll File Not found ()
Winsock: Catalog9-x64 20 C:\Windows\system32\abengine64.dll File Not found ()
ou
Winsock: Catalog9 01 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 02 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 03 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 04 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 23 C:\Windows\system32\acengine.dll [299296] (Abengine)
Exemple de publicités Ads by Shopperz :
bsdriver.sys & cherimoya.sys : abengine
bsdriver.sys & cherimoya.sys : abengine
Lorsque l'on passe la souris sur une image, une publicité Ads by Shopperz arrive.
Ads Shopperz
Ads Shopperz
Abengine détourne les certificats HTTPs en chargeant ses propres certificats d'autorités (voir la page Comprendre le HTTPs et à quoi sert le HTTPs, ceci afin de contrôler le traffic HTTPs sur la machine :

Image

Image


Solution pour supprimer bsdriver.sys & cherimoya.sys et abengine

supprimer bsdriver.sys & chirimoya.sys avec HitmanPro

HitmanPro doit faire le job, se reporter à la fiche Hitman Pro pour son utilisation : Hitman Pro

Image

supprimer bsdriver.sys & chirimoya.sys avec PCHunter

Tentez PCHunter

Sur l'onglet Kernel Module, faites un clic droit sur bsdriver.sys puis delete driver
De même sur cherimoya.sys
bsdriver.sys & cherimoya.sys : abengine
bsdriver.sys & cherimoya.sys : abengine
Supprimer bsdriver.sys & chirimoya.sys avec un CD Live

➫ booter sur un live cd, clef USB quelconque Gnu-LInux, PE ѡindows et supprimer c:\windows\systeme32\drivers\bsdriver.sys et c:\windows\systeme32\drivers\cherimoya.sys

➫ relancer Adwcleaner qui supprimera alors les entrées de services de registre sans souçis.

Cas rencontré ce soir chez un particulier :x

Liens internes :


Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite


Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 07 août 2015 16:16

Edité pour ajouter des informations, j'en ai eu un sur CCM.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 29551
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par angelique » 07 août 2015 20:08

PDT_018 , merci Mak ;)
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: acengine / abengine

Message par Malekal_morte » 13 août 2015 18:02

Nouveau radical abengine avec le driver acwfp64.sys et la lib acengine64.dll , toujours accompagné de l'adware Shopperz :
R2 acwfp; C:\WINDOWS\system32\Drivers\acwfp64.sys [45784 2015-08-06] (Abengine)
2015-08-12 17:56 - 2015-08-06 22:10 - 00045784 _____ (Abengine) C:\WINDOWS\system32\Drivers\acwfp64.sys
2015-08-12 17:56 - 2015-08-06 22:07 - 00351072 _____ (Abengine) C:\WINDOWS\system32\acengine64.dll

Winsock: Catalog9 01 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 02 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 03 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 04 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
Winsock: Catalog9 16 C:\WINDOWS\SysWOW64\acengine.dll [299296 2015-08-13] (Abengine)
EDIT - autre cas avec FastSearch :

Poussé par des cracks/keygen qui refilent des PUPs/Adwares.

Image
R2 acengine; C:\Program Files\FastSearch\acengine.exe [1839728 2015-08-11] (Abengine) [File not signed]
(Abengine) C:\Program Files\FastSearch\acengine.exe
R2 acengine; C:\Program Files\FastSearch\acengine.exe [1839728 2015-08-11] (Abengine) [File not signed]
2015-08-16 13:38 - 2015-08-16 13:38 - 00000000 ____D () C:\Program Files\FastSearch
2015-08-16 13:38 - 2015-08-11 16:50 - 00299296 _____ (Abengine) C:\Windows\system32\acengine.dll
2015-08-16 13:38 - 2015-08-16 13:38 - 00010400 _____ () C:\Windows\system32\acengineOff.ini

Winsock: Catalog9 01 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 02 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 03 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 04 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 23 C:\Windows\system32\acengine.dll [299296] (Abengine)
Les drivers acwfp64.sys et acwfp.sys se trouve dans le dossier C:\Program Files (x86)\FastSearch

Image

Niveau détection, c'est le drame :
SHA256: 731b32e87203f9e02ad51abf5a72fd8310f4e5c12c71f30d7d51437602ebcae1
Nom du fichier : acengine.exe
Ratio de détection : 0 / 56

Date d'analyse : 2015-08-16 13:04:03 UTC (il y a 1 minute)
SHA256: fceaa7531e2f10e4d4a555e7f68dc44acbffdd96eb2168cff047324a0474ec0c
Nom du fichier : acengine.dll
Ratio de détection : 0 / 55

Date d'analyse : 2015-08-16 13:03:44 UTC (il y a 2 minutes)
SHA256: 116ed8a69581e3834cbed4464eaeaa1e7de816f005022a401dc67b4a0cb0df80
Nom du fichier : acwfp64.sys
Ratio de détection : 0 / 56

Date d'analyse : 2015-08-16 13:04:18 UTC (il y a 1 minute)
SHA256: 82be9f8b6841dd894cd46d23a6287ee79322fafaab9691c94c84f6c674d1afa9
Nom du fichier : acwfp.sys
Ratio de détection : 0 / 56

Date d'analyse : 2015-08-16 13:04:02 UTC (il y a 1 minute)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 20 août 2015 23:10

Choppé sur une VM - message initial édité pour apporter des informations.
PCHunter a pu supprimer les drivers.

La DLL est bien acengine.dll maintenant - toujours pas détectée.
HKLM\...\Run: [shopperz200820151215] => C:\Program Files\shopperz200820151215\Urhkaj.exe [428720 2015-08-20] ()
Winsock: Catalog9 01 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 02 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 03 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 04 C:\Windows\system32\acengine.dll [299296] (Abengine)
Winsock: Catalog9 23 C:\Windows\system32\acengine.dll [299296] (Abengine)

R3 0D8A755D-F647-49BB-9578-8D6AB60A978A; C:\Program Files\shopperz200820151215\Fhmirzy.exe [280752 2015-08-20] ()
R2 acengine; C:\Program Files\FastSearch\acengine.exe [1839728 2015-08-11] (Abengine) [File not signed]
R3 csrcc; C:\Program Files\shopperz200820151215\csrcc.exe [1444016 2015-08-20] ()
R3 Piiujkau; C:\Program Files\shopperz200820151215\Piiujkau.exe [2043736 2015-08-20] ()
R2 TunsePosxe; C:\Program Files\shopperz200820151215\GaupJomfiw.exe [171864 2015-08-20] ()


R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [30112 2015-08-20] ()
R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56480 2015-08-20] (Cherimoya Ltd)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 25 août 2015 19:08

Probablement un autre radical abengine Uiviuuj / Rofdhowal.

Vu entre autre ce sujet :
Winsock: Catalog9 01 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 02 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 03 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 04 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9 16 C:\Windows\SysWOW64\Uiviuuj.dll [283464 2015-08-24] ()
Winsock: Catalog9-x64 01 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 02 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 03 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 04 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()
Winsock: Catalog9-x64 05 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 06 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 07 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 08 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 20 C:\Windows\system32\Rofdhowal64.dll [349184 2015-07-29] ()
Winsock: Catalog9-x64 21 C:\Windows\system32\Uiviuuj64.dll [353608 2015-08-24] ()


2015-08-19 13:55 - 2015-08-19 14:03 - 00004672 _____ C:\Windows\SysWOW64\Uiviuuj.ini
2015-08-19 13:55 - 2015-08-19 14:03 - 00002384 _____ C:\Windows\SysWOW64\UiviuujOff.ini
2015-08-19 13:55 - 2015-08-19 14:03 - 00002384 _____ C:\Windows\system32\UiviuujOff.ini
2015-08-19 13:55 - 2015-08-12 10:45 - 00353608 _____ C:\Windows\system32\Uiviuuj64.dll
2015-08-19 13:55 - 2015-08-12 10:45 - 00283464 _____ C:\Windows\SysWOW64\Uiviuuj.dll
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 01 sept. 2015 10:01

Antivir a ajouté une détection en ADWARE/Komodia - seul Antivir détecte le fichier :
SHA256: 731b32e87203f9e02ad51abf5a72fd8310f4e5c12c71f30d7d51437602ebcae1
Nom du fichier : acengine.exe
Ratio de détection : 1 / 56
Date d'analyse : 2015-09-01 08:10:45 UTC (il y a 0 minute)

Avira ADWARE/Komodia.1839728 20150901
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: bsdriver.sys & cherimoya.sys : abengine

Message par Malekal_morte » 11 sept. 2015 10:53

Quelques détections Malwarebytes Anti-Malware relatives à cette infection

PUP.Optional.Abengine et PUP.Optional.HijackBoot

Malwarebyte détecte abengine.dll en PUP.Optional.Abengine

Image

les autres DLL en PUP.Optional.HijackBoot :

Image

PUP.Optional.Perion et PUP.Optional.Komodia

Du côté Shopperz,

On a du PUP.Optional.Perion

Image

et PUP.Optional.Komodia :

Image

Rootkit.Agent.A pour bsdriver.sys & cherimoya.sys

Les pilotes bsdriver.sys & cherimoya.sys sont détecté en Rootkit.Agent.A

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 08 nov. 2015 20:44

Nouvelle variante de shopperz qui change de nom sous groover : infecté par groover
BHO: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg64.dll [2015-11-08] ()
BHO-x32: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg.dll [2015-11-08] ()
R3 316A5129-5BCD-4EC5-8FC3-5F92F752B475; C:\Program Files\groover081120151117\Siccaonp.exe [250192 2015-11-08] ()
R3 csrcc; C:\Program Files\groover081120151117\csrcc.exe [1513808 2015-11-08] ()
R2 groover081120151117 Updater; C:\Program Files\groover081120151117\Qyvcuf.exe [150864 2015-11-08] ()
2015-11-08 11:19 - 2015-11-08 19:51 - 00000000 ____D C:\Program Files\groover081120151117
du coup on retrouve avec bsdriver.sys et cherimoya.sys

Image

Pour noel, groover affiche des publicités Holiday Sale :

http://www.supprimer-trojan.com/wp-cont ... y_sale.png
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 18 nov. 2015 13:35

Edition du topic original avec :
HitmanPro fait le job, se reporter à la fiche Hitman Pro pour son utilisation : Hitman Pro
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 25 nov. 2015 14:52

Les drivers bsdriver.sys et cherimoy.sys sont maintenant majoritairement détectés en Adware.NetFilter :
SHA256: ef2d454f85cab466344d87fffcd2bf6bb69c37411e1a45363fdf04490e778992
File name: bsdriver.sys
Detection ratio: 24 / 55
Analysis date: 2015-11-25 13:39:17 UTC ( 3 minutes ago )

Antivirus Result Update
ALYac Adware.NetFilter.X 20151125
AVG Generic.4D9 20151125
AVware NetFilter (fs) 20151124
Ad-Aware Adware.NetFilter.X 20151125
Antiy-AVL Trojan/Win32.TSGeneric 20151125
Arcabit PUP.Adware.Cupuacu 20151125
BitDefender Adware.NetFilter.X 20151125
Bkav W32.HfsAdware.C501 20151125
ClamAV Win.Adware.Netfilter-771 20151125
Cyren W32/S-eb03eabd!Eldorado 20151125
DrWeb Adware.Shopper.989 20151125
ESET-NOD32 a variant of Win32/Toolbar.Perion.AB potentially unwanted 20151125
Emsisoft Adware.NetFilter.X (B) 20151125
F-Prot W32/S-eb03eabd!Eldorado 20151125
F-Secure Adware.NetFilter.X 20151125
GData Adware.NetFilter.X 20151125
Ikarus not-a-virus:RiskTool.NetFilter 20151125
K7AntiVirus Unwanted-Program ( 004d63221 ) 20151125
K7GW Unwanted-Program ( 004d63221 ) 20151125
Malwarebytes PUP.Optional.Shopperz.BrwsrFlsh 20151125
MicroWorld-eScan Adware.NetFilter.X 20151125
VIPRE NetFilter (fs) 20151125
Zillya Adware.BrowseFox.Win32.126343 20151123
nProtect Adware.NetFilter.X 20151125
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 10 déc. 2015 00:10

variante zcengine :
R2 zcengine; C:\Program Files\QuickSearch\zcengine.exe [2435623 2015-12-05] (zcengine) [Fichier non signé]
2015-12-05 12:01 - 2015-12-05 12:01 - 00260919 _____ (zcengine) C:\Windows\system32\zcengine.dll
2015-12-05 12:01 - 2015-12-05 12:01 - 00009648 _____ C:\Windows\system32\zcengineOff.ini
Winsock: Catalog9 01 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 02 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 03 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 04 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Winsock: Catalog9 23 C:\Windows\system32\zcengine.dll [260919 2015-12-05] (zcengine)
Fast Search est devenu QuickSearch.

Le blocage Web de Malwarebytes Anti-Malware peut générer des détections de blocage zencine.exe - par exemple sur cdn.visadd.com sur la capture suivante :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : zdengine

Message par Malekal_morte » 08 avr. 2016 21:52

zdengine maintenant, toujours avec bsdriver.sys et cherimoya.sys
2016-04-08 20:40 - 2016-04-08 20:58 - 00010976 _____ C:\Windows\SysWOW64\zdengineOff.ini
2016-04-08 20:40 - 2016-04-08 20:58 - 00010976 _____ C:\Windows\system32\zdengineOff.ini
2016-04-08 20:40 - 2016-04-08 20:40 - 00346005 _____ (zdengine) C:\Windows\system32\zdengine64.dll
2016-04-08 20:40 - 2016-04-08 20:40 - 00297109 _____ (zdengine) C:\Windows\SysWOW64\zdengine.dll
2016-04-08 20:40 - 2016-03-04 16:13 - 00046352 _____ (zdengine) C:\Windows\system32\Drivers\zdwfp64.sys
R2 zdwfp; C:\Windows\system32\Drivers\zdwfp64.sys [46352 2016-03-04] (zdengine)
S1 judenqpl; \??\C:\Windows\system32\drivers\judenqpl.sys [X]
R3 SMUpdd; \??\C:\Program Files\Common Files\Soobzo\GDUpdate\smw.sys [X]
R2 zdengine; C:\Program Files (x86)\QuickSearch\zdengine.exe [1798773 2016-04-08] (zdengine) [Fichier non signé]
R2 zdwfp; C:\Windows\system32\Drivers\zdwfp64.sys [46352 2016-03-04] (zdengine)
S1 judenqpl; \??\C:\Windows\system32\drivers\judenqpl.sys [X]
R3 SMUpdd; \??\C:\Program Files\Common Files\Soobzo\GDUpdate\smw.sys [X]
R2 zdengine; C:\Program Files (x86)\QuickSearch\zdengine.exe [1798773 2016-04-08] (zdengine) [Fichier non signé]
zdengine
zdengine
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 18 avr. 2016 09:22

Nouvelle variante Joje qui s'accompagne de bsdriver et cherimoya
BHO: Joje -> {09E4E758-CA9F-4273-aC0F-F488FF6EF018} -> C:\Program Files\Joje\Pumgox.dll [2016-04-12] ()
R2 Jappo; C:\Users\Marjorie\AppData\Roaming\UsorPask\Ulhwefwo.exe [125776 2016-04-16] ()
R2 Joje Updater; C:\Program Files\Joje\Chlhib.exe [168784 2016-04-12] ()
R3 MufNakr; C:\Program Files\Joje\MufNakr.exe [425296 2016-04-12] ()
2016-04-12 10:55 - 2016-04-12 10:55 - 00000000 ____D C:\Program Files\Joje
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine

Message par Malekal_morte » 22 avr. 2016 20:42

Dernière variante Jukmismuuoa
BHO: Jukmismuuoa -> {AE8E924F-CDC6-40CB-803D-939A15CE45E2} -> C:\Program Files\Jukmismuuoa\Icyvru.dll [2016-04-22] ()
R3 CaoaLijir; C:\Program Files\Jukmismuuoa\CaoaLijir.exe [425304 2016-04-22] ()
R3 EE9FECB9-9323-4F4B-8CD0-243BC973C77F; C:\Program Files\Jukmismuuoa\Hhkiilg.exe [232280 2016-04-22] ()
R2 Jukmismuuoa Updater; C:\Program Files\Jukmismuuoa\Ghsaqeoi.exe [169304 2016-04-22] ()
2016-04-22 19:18 - 2016-04-22 19:18 - 00000000 ____D C:\Program Files\Jukmismuuoa
et des pubs Jukmismuuoa Ads
Jukmismuuoa Ads
Jukmismuuoa Ads
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Adwares et PUPs (programmes indésirables) »