FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Victor69]

J'ai un problème ,mon ordinateur s'éteint tout seul quand j'ai environ joué dessus 10 minutes c'est aléatoire car défois je peut rester 30 minutes dessus ou même 5 minutes.
C'est plutôt l'écran qui devient noir, j'ai beau attendre, éteindre et rallumé l'écran rien a faire il reste noir alors que le bouton est bleu donc allumé

[Victor69]

Merci
Apres avoir écris shutdown /a la console me répond:
Le système n'étant pas en cours d'arrêt, il est impossible d'annuler l'arrêt du système.(1116)
Est-ce normale?

[g3n-h@ckm@n]

salut

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.telecharger.sosvirus.net/dow ... ut_module/
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le petit "u" en bas à droite pour le desinstaller totalement

[Victor69]

Merci de votre aide
Je vous dirais si se que vous m'avez dit de faire a fonctionner ou pas.

[g3n-h@ckm@n]

on aura pas fini il faudra que tu fournisses le rapport demandé

[Victor69]

J'ai un problème car j'ai lancé le logiciel sosvirus qui a analyser mon PC mais 65% le logiciel plante, je le relance et il plante a 75% je le relance encore une fois et il plante a 90% et je n'arrive donc pas a analyser mon ordinateur au dessus de 90% je vais ressayer un dernier fois .

[Victor69]

Le logiciel c'est encore bloquer a 90%

[g3n-h@ckm@n]

fais clic droit sur shortcut_module , propriétés puis donne le numéro de version stp

[Victor69]

Voici le lien de l'analyse du logiciel:

http://cjoint.com/confirm.php?cjoint=DGhno59beqa

Je ressayer une fois a l'instant le logiciel puis il ne c'est pas arrêter.

[g3n-h@ckm@n]

hello c'est OK

tu as une autre infection non traitée par cet outil , donc :

• Télécharge UsbFix (de El Desaparecido) sur ton Bureau !
• Branche toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Choisis l'option Nettoyage
  
  
• Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

[Victor69]

Voila l'analyse du second logiciel (usbfix) :

http://cjoint.com/confirm.php?cjoint=0GhrjClHfSF

[g3n-h@ckm@n]

ok le fichier doit être absent alors

on va faire un diag pour virer cette clé pourrie via un script ensuite

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\PSS\* /s
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\syswow64\Tasks\*
      %systemroot%\syswow64\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Victor69]

Lien du rapport OTL :

http://upload.sosvirus.net/www/?a=di=7fmvWdQ5T1

Lien du rapport Extras :

http://upload.sosvirus.net/www/?a=di=Jfpcpkncv9

[Victor69]

Alors? le problème vient d'un Virus?

[g3n-h@ckm@n]

re

colle-ca en bas d'OTL puis clique sur correction et fournis le nouveau rapport


:OTL
CHR - default_search_provider: search_url = http://mysearch.avg.com/search?cid={6F6 ... 2014-04-18 19:01:07v=18.0.5.292pid=safeguardsg=sap=dspq={searchTerms}
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-265527554-2580259061-1047047247-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-265527554-2580259061-1047047247-1000\..\Run: [Microsoft Delayed Launcher] %AppData%\Microsoft\svchost.exe File not found
O7 - HKU\S-1-5-21-265527554-2580259061-1047047247-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Delayed Launcher = %AppData%\Microsoft\svchost.exe
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\7YbSnucnTqLz\Svchost.exe) -  File not found
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\7YbSnucnTqLz\Svchost.exe) -  File not found
O20 - HKU\S-1-5-21-265527554-2580259061-1047047247-1000 Winlogon: Shell - (%AppData%\Microsoft\svchost.exe) -  File not found
O27 - HKLM IFEO\cltmngsvc.exe: Debugger -  File not found
[2014/07/02 21:47:59 | 000,000,000 | ---D | C] -- C:\Users\petits nicolas\AppData\Roaming\.allfightpvp
[2014/07/07 13:19:02 | 000,000,036 | ---- | M] () -- C:\Users\petits nicolas\AppData\Roaming\DOK52P4Q3J.dat
[2013/05/19 22:12:40 | 000,186,744 | ---- | C] () -- C:\Program Files (x86)\39res.dll
[2014/07/05 12:05:06 | 000,000,000 | ---D | M] -- C:\Users\petits nicolas\AppData\Roaming\wi_upd
[2013/05/09 19:17:31 | 000,000,040 | ---- | M] () -- C:\9E4E20D960E3
[2013/05/09 19:17:31 | 000,000,112 | ---- | M] () -- C:\EF9306DAF7F1
[2013/11/03 15:45:25 | 000,000,000 | ---D | M] -- C:\ProgramData\bb265ed769a9a3fe
[2013/08/09 18:10:13 | 000,000,000 | ---D | M] -- C:\ProgramData\APN   
[2013/11/03 15:45:57 | 000,000,000 | ---D | M] -- C:\ProgramData\DownloAAd Keeper
[2013/11/03 15:45:55 | 000,000,000 | ---D | M] -- C:\ProgramData\YoutubeAdblocker
[2013/05/19 21:34:05 | 000,000,000 | ---D | M] -- C:\Users\petits nicolas\AppData\Local\Software   
[2013/05/17 18:05:49 | 000,708,168 | ---- | M] (MindSpark) -- C:\Program Files (x86)\39Uninstall MapsGalaxy.dll
[2013/11/03 15:45:54 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Ss.Helper   
[2014/07/05 11:09:56 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Software   
[2013/11/03 15:45:50 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\YoutubeAdblocker

:reg
[-HKEY_CURRENT_USER\Software\39682InstEnd]
[-HKEY_CURRENT_USER\Software\Condut]   
[-HKEY_CURRENT_USER\Software\System32]
[-HKEY_CURRENT_USER\Software\Win]
[-HKEY_LOCAL_MACHINE\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}]   
[-HKEY_LOCAL_MACHINE\Software\AdvertisingSupport] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0

:commands
[emptytemp]

[Victor69]

Voici le lien de la correction:

http://upload.sosvirus.net/www/?a=di=9eRi5yFebH

[g3n-h@ckm@n]

bonsoir tu l'as fait deux fois ?

[Victor69]

Oui car la première fois je me suis dit mince j'ai pas fait les changement qu'il m'avait dit de faire pendant l'analyse. Puis je vais pour le refaire avec ses changement et je me suis que si il ne m'a pas demander de faire des changement je rajoute juste se qu'il ma dit de rajoutez, donc je l'ai fait 2 fois
Est-ce que tu veus la première correction?

[g3n-h@ckm@n]

non ca ira je sais ce que l'outil a fait par contre y'a une clé qui m'intrigue qui a été re-supprimée donc on va controler ca

refais une analyse normale stp

[Victor69]

Voila l'analyse:

http://upload.sosvirus.net/www/?a=di=8vreqLnON6

[g3n-h@ckm@n]

re

c'est pas le bon log que tu m'as donné c'est celui qui date du 7 ^^

[Victor69]

Oui mais quand j'ai fait l'analyse sa met crée le 07/07/14 modifié le 12/07/14 donc c'est la bonne analyse.

[g3n-h@ckm@n]

il faut que la premier ligne soit ca OTL logfile created on: (le jour de scan)/7/2014

modifié le 12 car tu y as accédé le 12 mais le scan date bien du 7

[Victor69]

Voila je vien de faire l'analyse a l'instant .

http://upload.sosvirus.net/www/?a=di=MJVWph0PpR

[g3n-h@ckm@n]

Utilisation de DrWeb

Télécharger drWeb , et l’enregistrer sur le bureau , grace à ce lien :

https://www.freedrweb.com/download+cureit+free/?lng=fr

Branche tous tes periphériques USB (mp3 , mp4 , disques durs externes , clés usb , appareil photo….) , tout ce qui a pu etre connecté à l’ordinateur.

Lance DrWeb CureIt , un écran comme celui-ci s’affiche :

Le programme va vérifier qu’il soit bien à jour.

Coche la case « j’accepte de participer blablabla…… , puis clique sur continuer



Sur la page d’accueil , clique sur « sélectionner des objets pour l’analyse »

Coche tout à gauche , puis selectionne « Cliquez ici pour selectionner des fichiers et dossiers » .



Coche « Mon ordinateur » , ce qui aura pour effet de cocher tous les stockages de mémoires préalablement branchés comme précité , puis clique sur « OK »



Clique sur "OK" puis sur « lancer l’analyse »

L’analyse complète s’ effectue ….

Une fois terminée , laisser toutes les infections trouvées sur « Désinfecter » , puis cliquer sur « neutraliser »

DrWeb va neutraliser les menaces et afficher le résultat

DrWeb va demander de redémarrer l’ordinateur pour parfaire le nettoyage , faites-le

Pour poster le rapport ensuite , se rendre dans :

C:(généralement)\\La session\DrWeb

Dans ce dossier se trouve « CureIt.log« .

Cliquer droit dessus puis sélectionner « envoyer vers » = dossiers compressés

Héberger l’archive ainsi créée sur http://cjoint.com et donner le lien sur le forum où l’on s’est fait aider.

Aide cjoint : http://www.security-helpzone.com/blog/c ... s-109.html

[Victor69]

Désolé pour le temps que j'ai mis a répondre mais voila:

http://cjoint.com/?DGpsBDaI1zH

[g3n-h@ckm@n]

tu m'as envoyé un raccourci du log et non le fichier réel , tu imagines la distance entre le raccourci et son fichier ? mdr !

[Victor69]

Pourtant j'ai suivis vos instruction ...
Je vais le refaire.

[Victor69]

Cette fois si sa doit être bon car j'ai moi même vérifié le contenus de ce que j'ai envoyé .

http://cjoint.com/?DGqs7Da6rmk

[g3n-h@ckm@n]

à mon avis tu dois faire envoyer vers (le bureau) et le compresser de là alors qu'il faut compresser le fichier qui se trouve dans c:\users\ta session\Dr Web\ => cureit.log

[Victor69]

C'est bon?

http://cjoint.com/?DGrvnJxp6Qk

[g3n-h@ckm@n]

non c'est toujours un raccourci que tu m'envoies