Sshnas21 - Pubs internet explorer

Max62 -  
Mask62 Messages postés 29 Statut Membre -
Bonjour,

Je fais appel à vous car, depuis hier, lors du démarrage de mon pc j'ai un message d'erreur me disant qu'il me manque sshnas21.dll, ensuite j'ai toujours des pages de pubs qui s'ouvrent sur internet explorer, le volet windows s'affiche mal, et pourtant, lors de scans par avast ou spybot, rien n'est détecté!
Quelqu'un peut-il m'aider?
Merci d'avance

36 réponses

  • 1
  • 2
Résumé de la discussion

Un démarrage Windows Vista présente un message d'erreur manquant sshnas21.dll et des pubs qui s'ouvrent dans Internet Explorer, malgré des scans Avast et Spybot ne détectant rien.
Plusieurs outils de détection et de nettoyage ont été évoqués, notamment ZHPDiag et Combofix, suivis par des scans antivirus comme ESET ou Avast qui ont trouvé et mis en quarantaine des éléments infectés.
Des rapports techniques, y compris des liens vers des analyses ZHPDiag et Combofix, ont été fournis pour vérification des éléments nettoyés et de l'état du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec

    puis

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  2. Max62
     
    Info de dernière minute, ad-aware que je viens de telecharger vient de bloquer le processus idh.exe, si ça peut aider...
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    up
    0
  4. Max62
     
    j'ai lancé l'analyse avec malwarebytes et je suis en train de télécharger zhpdiag...
    (2 éléments infectés pour l'instant...)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Max62
     
    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5358

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 9.0.7930.16406

    19/12/2010 23:05:37
    mbam-log-2010-12-19 (23-05-27).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 147610
    Temps écoulé: 7 minute(s), 16 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe (Security.Hijack) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.FakeAlert) -> Value: Metropolis -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FakeAlert) -> Value: JP595IR86O -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Windows\Temp\Ldg.exe (Rootkit.Agent) -> No action taken.
    c:\Windows\Temp\Ldi.exe (Rootkit.Agent) -> No action taken.
    c:\Windows\System32\secushr.dat (Malware.Trace) -> No action taken.
    c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
    c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> No action taken.
    0
  7. Max62
     
    on dirait que cijoint.fr a un problème en ce moment...
    https://www.petit-fichier.fr/2010/12/19/zhpdiag/
    ca devrait marcher...
    (je me suis inscrit sur commentcamarche ^^ )
    0
    1. Mask62 Messages postés 29 Statut Membre
       
      Par contre Max62 était pris donc maintenant je m'appelle Mask62!
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as supprimé ce qui a été trouvé par malwarebyte?
    0
  9. Mask62 Messages postés 29 Statut Membre
     
    oui, vous voulez que je réessaye?
    0
  10. Mask62 Messages postés 29 Statut Membre
     
    En fait j'ai pas du le faire, désolé,

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5358

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 9.0.7930.16406

    20/12/2010 16:18:40
    mbam-log-2010-12-20 (16-18-40).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 147372
    Temps écoulé: 6 minute(s), 50 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe (Security.Hijack) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.FakeAlert) -> Value: Metropolis -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FakeAlert) -> Value: JP595IR86O -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Windows\Temp\Ldi.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
    c:\Windows\System32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.
    c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    0
    1. Mask62 Messages postés 29 Statut Membre
       
      Je redémarre l'ordinateur et je lance l'analyse ZHPdiag...
      0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok je regarde demain

    sinon comment va le pc?
    0
    1. Mask62 Messages postés 29 Statut Membre
       
      beaucoup mieux, le volet windows s'affiche normalement, plus de fenêtres intempestives et lors du redémarrage du pc, je n'ai pas eu d'erreur sshnas21.dll!
      Par contre en voulant l'éteindre j'ai un écran qui dit que le programme "F" empêche l'extinction... il faut cliquer sur éteindre maintenant (ou quelque chose comme ça...)
      0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    colle un rapport de nettoyage avec le logiciel ad remover
    0
    1. Mask62 Messages postés 29 Statut Membre
       
      j'ai fait un nettoyage et redémarré le pc mais je ne retrouve pas le rapport...
      0
  13. Mask62 Messages postés 29 Statut Membre
     
    Ah! Je l'ai!

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 08/12/10 à 10:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:23:12 le 21/12/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    maxime@PC-DE-MAXIME (TOSHIBA Satellite A200)

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
    Fichier supprimé: C:\Users\maxime\AppData\Roaming\Mozilla\FireFox\Profiles\aq4jdv5a.default\searchplugins\askcom.xml
    Dossier supprimé: C:\Users\maxime\AppData\LocalLow\Kiwee Toolbar

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\maxime\AppData\Roaming\Mozilla\FireFox\Profiles\aq4jdv5a.default\Prefs.js --
    Ligne supprimée:
    Ligne supprimée:
    Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
    Ligne supprimée: user_pref("extensions.asktb.cbid", "GX");
    Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&...
    Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYB3FR");
    Ligne supprimée: user_pref("extensions.asktb.l", "dis");
    Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR");
    Ligne supprimée: user_pref("extensions.asktb.o", "15443");
    Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\BHO.PSHelper
    Clé supprimée: HKLM\Software\Classes\BHO.PSHelper.1
    Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé supprimée: HKCU\Software\Binary Noise\mPlayer\kiwee_toolbar_installer.exe
    Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
    Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Users\maxime\AppData\Roaming\Mozilla\FireFox\Profiles\aq4jdv5a.default\Prefs.js --
    browser.search.defaultenginename, Rechercher MyStart
    browser.search.defaulturl, hxxp://search.sweetim.com/search.asp?src=2&q=
    browser.search.selectedEngine, Google
    browser.startup.homepage, hxxp://ecofree.org
    browser.startup.homepage_override.buildID, 20101104131838
    browser.startup.homepage_override.mstone, rv:1.9.2.13
    keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

    ========================================

    ** Internet Explorer Version [9.0.7930.16406] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 21/12/2010 (3881 Octet(s))

    Fin à: 11:24:47, 21/12/2010

    ============== E.O.F ==============
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. Mask62 Messages postés 29 Statut Membre
       
      J'ai essayé plusieurs fois, je l'ai telechargé plusieurs fois, mais à chaque fois, il me met:
      "Some installation files are corrupt.
      Please download a fresh copy of ComboFix.exe."
      Je dois partir, je réessayerai demain.
      0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok un un rapport avec un des 4 premiers antivirus en ligne (<- ici)

    et dis comment va ton ordinateur

    a plus
    0
    1. Mask62 Messages postés 29 Statut Membre
       
      Internet explorer ne, fonctionne plus: il ne charge plus les pages qui restent blanches et j'ai toujours des messages d'erreur "adobe flash player installer/uninstaller 10.1 r102 a cessé de fonctionner" toutes les 2min dès le démarrage...
      J'ai lancé eset online scanner...
      0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok j'attend le rapport d'eset

    sinon
    tu peux tenter de reinitialiser les navigateurs comme ceci

    https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

    ou reinstaller internet explorer

    et réparer windows comme ceci
    https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/
    0
    1. Mask62 Messages postés 29 Statut Membre
       
      je ne pourrai pas réinitialiser IE car je n'ai pas accès à "options internet" qui est comme grisé, je vais donc le réinstaller...
      La réparation windows du lien fonctionne aussi avec vista?
      Hier, eset a planté à 26% donc je le relance... le rapport arrive tout à l'heure...
      0
    2. Mask62 Messages postés 29 Statut Membre
       
      Pour IE, est-il possible de le désinstaller complètement avant? Parce que là, j'ai le message "une version plus récente est déjà installée"
      0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    cela est possible via le panneau de configuration

    sinon mets internet explorer 9 par dessus
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    cela marche la reparation avec vista il faut pas aller dans executer mais taper directement dans RECHERCHE situé dans le menu DEMARRER
    0
  19. Mask62 Messages postés 29 Statut Membre
     
    je viens de finir le scan avec eset, il a trouvé 2 fichiers infectés:

    C:\ProgramData\Spybot - Search & Destroy\Recovery\WinSpyneta1.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
    C:\Users\maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\561d6c2a-317fefe9 une variante probable de Win32/Agent.LMMBFXF cheval de troie nettoyé par suppression - mis en quarantaine

    par contre je n'ai pas trouvé de "rapport" comme avec les autres logiciels...
    0
  • 1
  • 2