Virus

conidu57 comme le dit gen si tu reviens pour un autre pc ouvre un nouveau sujet afin que cela soit plus claire pour tous le monde !! tu peux si tu le veux nous le dire ici et si on peut on viendra !!

mais la ,sur ton pc celui que nous venons de désinfecter , il reste des choses , comme des mises à jour importantes , et la purge de la restauration système

1) pour tes mises à jour

java est plus sur la dernière version , désinstalles ta version actuel et installes cette version https://www.java.com/fr/download/

adobe reader pareil , désinstalles adobe reader car pas à jour et telecharges et installes cette version :
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/

et puis mozilla tu devrais le mettre à jour car la version 4 est disponible :
https://www.commentcamarche.net/telecharger/web-internet/9879-securite-firefox-deux-failles-graves-corrigees-en-urgence/

2) une fois tes mises à jour faite sur ce pc , et pour pas faire remonter l'infection au cas ou la restauration système serait utilisé il faut la purger


Après une désinfection il est utile de supprimer tous les points de restauration système de façon à ne pas remonter, par mégarde, un point de restauration infecté.

Pour cela, il faut désactiver la restauration système (ce qui aura pour conséquence de supprimer tous les points de restauration existants) puis la réactiver juste après pour que Windows continue à faire des points de sauvegarde réguliers.


Dans Panneau de configuration/sytème, cliquez sur le lien Protection du système (sur la gauche de la fenêtre).

Sous Points de restauration automatiques

décochez toutes les cases dans la liste des disques disponibles.

Ceci afin de désactiver la fonction de restauration du système.

Vista va vous demander confirmation pour cette opération.

Confirmez en cliquant sur le bouton Désactiver la restauration du système.

Tous les points de restauration système existants seront supprimés.

Cliquez sur OK pour fermer la fenêtre.


Cliquez de nouveau sur Protection du système,

recochez toutes les cases dans la liste des disques disponibles puis cliquez sur OK.

Ceci aura pour conséquence de remettre la restauration système en fonction.

Vous pourrez alors, créer un point de restauration tout neuf en cliquant sur le bouton Créer.

Le système se chargera ensuite de créer les autres à intervalles réguliers.


source: http://www.vista-xp.fr/forum/topic243.html

Bonjour, postes un zhpdiag pour les identifier précisément et te proposer les outils les plus appropriés , merci

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/

tu veux dire que par cijoint pas possible essais avec celui ci http://pjjoint.malekal.com/ sinon dans mon prifil tu as mon Email potes le en piéce jointes je le metrais ici pour toi !!
mais mets bien que c'est de conidu57 afin que je sache bien !!

merci quand même

salut gen !! ok tu as surement encore une fois raison , donc conidu57 compresse le fichier et postes le sur mon Email !!
mais puisque gen nous dit TDSS tu fais cela , merci


Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
Clique sur [Start Scan] pour démarrer l'analyse.
Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
Un rapport s'ouvrira au redémarrage de l'ordinateur.
Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

je lance TDSSKiller alors?

ok j'ai bien reçu ton rapport , peux tu faire ce qui est demandé dans le message 12 , merci

PS pour gen et autre qui suive le sujet le rapport est ICI

bon gen avait encore raison , tu as bien fais redémarrer le pc depuis ??
la tu fais un examen complet de ton pc avec malwarebytes

si vous avez Vista ou seven, vous devez désactiver l'UAC le temps de la désinfection.

pour vista suivre ce tuto si besoin : http://www.teamxscript.org/uacvista.html

pour seven celui ci : http://www.teamxscript.org/uacseven.html




!! ATTENTION !!! près de 2 heures de scan !!!

Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX

. enregistres le sur le bureau
. Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

oui !! passes malwarebytes , pour INTERNAL_POWER_ERROR j'essais de trouver une solution je recherche sur google , mais si mon ami gen à une solution elle sera la bien venue !!

ok peux tu faire ad-remover et poster un nouveau zhpdiag pour contrôle , merci

1) fais ad-remover mode NETTOYER

Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau: (Merci à l'équipe TeamXscript)

http://www.teamxscript.org/adremoverTelechargement.html

ou:

https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )



2) postes un nouveau zhpdiag

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/

et le lien https://www.cjoint.com/?3FfsHbqAh9R cette fois j'ai pu joindre le fichier sans compresser

bonjour, tu as antivir OK mais je vois windows defender d'actif sur ton pc et normalement si tu as la dernière version de antivir la 10 tu aurais du être obliger de éactiver la garde résidente de windows défender pour une bonne installation de antivir et éviter les conflit , car avec la version 10 de antivir tu as un anti-spyware intégré !!!

tu me diras si tu as bien la version 10 de antivir

bon la tu fais zhpfix commeexpliqué et puis tu passes préscan

1) fais zhpfix comme expliqué

. Copie les lignes suivantes en GRAS entre les deux lignes


__________________________________________________________

SysRestore
O4 - HKUS\S-1-5-18\..\Run: [Metropolis] C:\Windows\system32\sshnas21.dll (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{22116563-108C-42c0-A7CE-60161B75E508}] (.Pas de propriétaire.) -- C:\Windows\TEMP\Dlh.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{810401E2-DDE0-454e-B0E2-AA89C9E5967C}] (.Pas de propriétaire.) -- C:\Windows\TEMP\Dlg.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}] (.Pas de propriétaire.) -- C:\Windows\TEMP\Dli.exe (.not file.)
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
C:\Users\Gaétan\AppData\Roaming\Adobe\plugs
C:\Users\Gaétan\AppData\Roaming\Adobe\shed
FirewallRAZ
EmptyFlash
EmptyTemp
HostFix
MBRFix

___________________________________________________________________


. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport



2) passes pré-scan

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

? Clique sur Parcourir et cherche le fichier ci-dessus.

? Clique sur Ouvrir.

? Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

? Copie ce lien dans ta réponse.

Rapport de ZHPFix 1.12.3296 par Nicolas Coolman, Update du 04/06/2011
Fichier d'export Registre :
Run by Gaétan at 05/06/2011 19:04:08
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME StartupReg: Adobe Reader Speed Launcher
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Metropolis
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {22E143AC-DABD-49A5-B918-9F08F3ECD2C7}

========== Dossier(s) ==========
SUPPRIME c:\users\gaétan\appdata\roaming\adobe\plugs
SUPPRIME c:\users\gaétan\appdata\roaming\adobe\shed
SUPPRIME Flash Cookies: 3
SUPPRIME Temporaires Windows: : 76

========== Fichier(s) ==========
ABSENT File: c:\windows\system32\sshnas21.dll
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 4

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: Hitachi_ rev.FB4O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully

Disk trace:
kernel: MBR read successfully
user & kernel MBR OK

Resultat après le fix :
Master Boot Record non infecté

========== Tache planifiée ==========
SUPPRIME {22116563-108C-42c0-A7CE-60161B75E508}
SUPPRIME {810401E2-DDE0-454e-B0E2-AA89C9E5967C}
SUPPRIME {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
6 : Valeur(s) du Registre
4 : Dossier(s)
3 : Fichier(s)
3 : Tache planifiée
1 : Master Boot Record
1 : Restauration Système


End of the scan

ok il faudra installer la dernière version http://www.commentcamarche.net/download/telecharger-55-antivir d'ailleur normalement antivir doit t'afficher un message régulièrement pour passer à la nouvelle version avant une certaine date sinon après plus de mise à jour ??

ok continu avec zhpfix et pré-scan

ok comment va le pc ?? tu as qui comme fournisseur d'acès internet ?? installe la dernière version de antivir

ok , mais gen aurais tu une idée pour cela INTERNAL_POWER_ERROR car même si on a terminer la désinfection je doute que le problème soit résolu ??

condu57 pour installer antivir perso j'ai jamais supprimer l'ancienne version tu installe directement et normalement il reprendra tes réglages perso si tu en as mis ?

sinon toujours le problème INTERNAL_POWER_ERROR

je vais verifier si j'ai toujours le INTERNAL_POWER_ERROR

c'est reglé pour INTERNAL_POWER_ERROR le pc s'éteind correctement

c'est le rootkit qui induisait les services en erreur :)

merci gen je vais me coucher moins c!! se soir !!

non mais presque as tu installer antivir 10 ?? après poste un dernier zhpdiag pour être sur et on finalisera le nettoyage , merci à gen-hackman pour son aide et son savoir !!