[Résolu] Suspicion attaque virale

[Fullzx14r]

Bonjour,

Depuis hier soir j'ai systématiquement la page ouvrir avec qui apparait au démarrage de Windows.

Un attaque virale ou un programme qui tourne en tâche de fond ?

Merci pour un coup de main de diagnostique.

Cdt

Modifié le 16 novembre 2014 par Fullzx14r

[pear]

Bonjour
Lancez cet outil de diagnostic:

Télécharger Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.



Sous XP, double clic sur l'icône ZhpDiag
Sous Vista et +, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le bouton Complet

Patientez quelques instants
Le rapport ZhpDiag.txt apparaitra sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Noter que le copier/coller de l'adresse ne fonctionne pas sous Firefox.
Dans ce cas, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

[Fullzx14r]

Bonjour et merci de prendre en charge ma demande d'assistance.

Voici le rapport ZHP :

http://cjoint.com/?DKlluAxvyEb

J'attends vos éventuelles instructions

CDT

BQ

Modifié le 11 novembre 2014 par Fullzx14r

[pear]

---\\ Logiciels de protection du système
Malwarebytes Anti-Malware version 1.75.0.1300
Windows Defender W7 (Deactivate)

 

Eset, censé se lancer au démarrage ne semble pas installé, s'il faut en croire l'extrait ci-dessus.

 

Pas d'infection visible,seulement des importunités:

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix,
Sur le bureau ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

Cliquer sur l'icône Zhpfix
Sous Vista et + clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquersur Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre




Script ZHPFix

[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001Core] (.Facebook Inc..) -- C:\Users\Bruno QUESNEL\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001UA] (.Facebook Inc..) -- C:\Users\Bruno QUESNEL\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.00000000000000000000000000000000] [APT] [{51678E0F-CE35-46DC-9401-2600B28FBE86}] (...) -- C:\Users\Bruno QUESNEL\Downloads\Nikon\D5100\ViewNX\S-VNX2__-020801WF-EURFR-32BIT_.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{E257D565-F061-4700-84E8-755DED22B9D7}] (...) -- C:\Users\Bruno QUESNEL\Downloads\Copytrans\Install_CopyTrans_Suite.exe (.not file.) [0]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001Core - (.Facebook Inc..) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001Core.job [938]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001Core - (.Facebook Inc..) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001Core [938]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001UA - (.Facebook Inc..) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001UA.job [960]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001UA - (.Facebook Inc..) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1313761182-3003511097-2797167022-1001UA [960]
O43 - CFD: 30/11/2013 - 13:27:17 - [] ----D C:\Program Files\McAfee Security Scan
O43 - CFD: 30/09/2014 - 14:48:17 - [] ----D C:\ProgramData\boost_interprocess
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\ESETOlmarikOlmascoCleaner.sys . (...) -- C:\Windows\System32\Drivers\ESETOlmarikOlmascoCleaner.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\ESETOlmarikOlmascoCleaner.sys . (...) -- C:\Windows\System32\Drivers\ESETOlmarikOlmascoCleaner.sys (.not file.)
O51 - MPSK:{1c26a481-5b59-11e4-b3b9-0015f20298cf}\AutoRun\command. (...) -- G:\Startme.exe (.not file.)

EmptyPrefetch
EmptyFlash
EmptyClsid
FirewallRaz
Ifeofix
Proxyfix
ShortcutFix
Sysrestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt



Mises à jour Java et Flash:

JavaUpdate

Java peut mettre en péril la sécurité de votre ordinateur.
Il vous est fortement conseillé de le désactiver de vos navigateurs WEB, si vous en avez pas l'utilité.
Lorsqu'une application Java se présentera, un message d'avertissement vous demandera d'installer Java ou d'activer le plug-in.
Vous le désactiverez dès que vous aurez fini d'utiliser l'application écrite en Java.

Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.
Un rapport apparait sur le bureau
Les fichiers supprimés sont dans la corbeille.
Cela donne la possibilité de replacer les fichiers supprimés par erreur dans leur dossier original.
Il suffit de faire un clic droit sur le fichier concerné => Restaurer.
Pour les supprimer, clic droit sur la corbeille => Vider la corbeille.

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyer sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Noter que le copier/coller de l'adresse ne fonctionne pas sous Firefox.
Dans ce cas, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

Modifié le 11 novembre 2014 par pear

[Fullzx14r]

Voici les rapports demandés:

http://cjoint.com/?DKlmKNJsRqx

http://cjoint.com/?DKlmNnCfn3Q

 

A noter qu'avant de lancer les opérations que vous avez recommandé, j'ai eu par 2x un plantage avec écran bleu et redémarrage du pc !!

 

Pour information je ne comprends pas comment Eset n'apparait pas installé ???

Il est bien en place et détecte systématiquement quand j'active une page interdite où à risque.

Bizarre

Modifié le 11 novembre 2014 par Fullzx14r

[pear]

 

j'ai eu par 2x un plantage avec écran bleu et redémarrage du pc !

Ecran bleu et reboot

Prérequis:

Poste de travail->Propriétés->Avancé->Paramères->Démarrage et Récupération

Vérifier qu' Image partielle est sélectionnée sinon il n'y aura pas de minidump

Et que Redémarrer automatiquement soit décoché, ce qui vous permetra de lire l'écran bleu

 

Retenez le numéro d'erreur Stop 0x00000000 et si possible le drivers en cause.

 

WhoCrashed est un petit outil qui va éclairer votre lanterne en analysant le dernier plantage de votre machine, afin de vous en donner les causes.

 

Télécharger Whocrashed

 

Installez le

Cliquez Analyse

Un rapport apparait au bas de la fenêtre Conclusion

[Fullzx14r]

J'ai téléchargé Whocrashed.

voila ce qu'il voit

Conclusion

 

 

4 crash dumps have been found and analyzed. 2 third party drivers have been identified to be causing system crashes on your computer. It is strongly suggested that you check for updates for these drivers on their company websites. Click on the links below to search with Google for updates for these drivers:

hal.sys
ntkrpamp.exe

Que faire ???

Modifié le 11 novembre 2014 par Fullzx14r

[pear]

 

Que faire ???

Poster le rapport.

[Fullzx14r]

OK je pensais avoir envoyé ce qui était nécessaire. Désolé.

 

Voici ce qui s'affiche :

 

 

 

 

 

Welcome to WhoCrashed (HOME EDITION) v 5.02

 

 

 

 

This program checks for drivers which have been crashing your computer. If your computer has displayed a blue screen of death, suddenly rebooted or shut down then this program will help you find the root cause and possibly a solution.

Whenever a computer suddenly reboots without displaying any notice or blue screen of death, the first thing that is often thought about is a hardware failure. In reality, on Windows most crashes are caused by malfunctioning device drivers and kernel modules. In case of a kernel error, many computers do not show a blue screen unless they are configured for this. Instead these systems suddenly reboot without any notice.

This program will analyze your crash dumps with the single click of a button. It will tell you what drivers are likely to be responsible for crashing your computer. It will report a conclusion which offers suggestions on how to proceed in any situation while the analysis report will display internet links which will help you further troubleshoot any detected problems.

To obtain technical support visit www.resplendence.com/support

Click here to check if you have the latest version or if an update is available.

Just click the Analyze button for a comprehensible report ...

 

 

Home Edition Notice

 

 

This version of WhoCrashed is free for use at home only. If you would like to use this software at work or in a commercial environment you should get the professional edition of WhoCrashed which allows you to perform more thorough and detailed analysis. It also offers a range of additional features such as remote analysis on remote directories and remote computers on the network.

Click here for more information on the professional edition.
Click here to buy the the professional edition of WhoCrashed.

 

 

System Information (local)

 

 

computer name: FUJITSUPC1
windows version: Windows 7 Service Pack 1, 6.1, build: 7601
windows dir: C:\Windows
Hardware: A8NE-FM, FUJITSU SIEMENS, ASUSTek Computer INC.
CPU: AuthenticAMD AMD Athlon 64 X2 Dual Core Processor 4200+ AMD586, level: 15
2 logical processors, active mask: 3
RAM: 3220758528 total

 

 

Crash Dump Analysis

 

 

Crash dump directory: C:\Windows\Minidump

Crash dumps are enabled on your computer.

On Tue 11/11/2014 10:51:18 GMT your computer crashed
crash dump file: C:\Windows\Minidump\111114-28000-01.dmp
This was probably caused by the following module: hal.sys (hal+0x141BA)
Bugcheck code: 0x1000007E (0xFFFFFFFFC0000005, 0xFFFFFFFF834361BA, 0xFFFFFFFF8D927B7C, 0xFFFFFFFF8D927760)
Error: SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M
Bug check description: This indicates that a system thread generated an exception which the error handler did not catch.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: hal.sys .
Google query: hal.sys SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M



On Tue 11/11/2014 10:51:18 GMT your computer crashed
crash dump file: C:\Windows\memory.dmp
This was probably caused by the following module: ntkrpamp.exe (nt!KeBugCheckEx+0x1E)
Bugcheck code: 0x7E (0xFFFFFFFFC0000005, 0xFFFFFFFF834361BA, 0xFFFFFFFF8D927B7C, 0xFFFFFFFF8D927760)
Error: SYSTEM_THREAD_EXCEPTION_NOT_HANDLED
Bug check description: This bug check indicates that a system thread generated an exception that the error handler did not catch.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: ntkrpamp.exe .
Google query: ntkrpamp.exe SYSTEM_THREAD_EXCEPTION_NOT_HANDLED



On Tue 11/11/2014 00:31:46 GMT your computer crashed
crash dump file: C:\Windows\Minidump\111114-35640-01.dmp
This was probably caused by the following module: hal.sys (hal+0x19094)
Bugcheck code: 0xA (0xD80A, 0x4, 0x1, 0xFFFFFFFF83445094)
Error: IRQL_NOT_LESS_OR_EQUAL
Bug check description: This indicates that Microsoft Windows or a kernel-mode driver accessed paged memory at DISPATCH_LEVEL or above.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: hal.sys .
Google query: hal.sys IRQL_NOT_LESS_OR_EQUAL



On Mon 10/11/2014 14:19:58 GMT your computer crashed
crash dump file: C:\Windows\Minidump\111014-28203-01.dmp
This was probably caused by the following module: hal.sys (hal+0xB668)
Bugcheck code: 0x1000007E (0xFFFFFFFFC0000005, 0xFFFFFFFF8301F668, 0xFFFFFFFF8D91FB88, 0xFFFFFFFF8D91F760)
Error: SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M
Bug check description: This indicates that a system thread generated an exception which the error handler did not catch.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: hal.sys .
Google query: hal.sys SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M

 

 

Conclusion

 

 

4 crash dumps have been found and analyzed. 2 third party drivers have been identified to be causing system crashes on your computer. It is strongly suggested that you check for updates for these drivers on their company websites. Click on the links below to search with Google for updates for these drivers:

hal.sys
ntkrpamp.exe

If no updates for these drivers are available, try searching with Google on the names of these drivers in combination the errors that have been reported for these drivers and include the brand and model name of your computer as well in the query. This often yields interesting results from discussions from users who have been experiencing similar problems.


Read the topic general suggestions for troubleshooting system crashes for more information.

Note that it's not always possible to state with certainty whether a reported driver is responsible for crashing your system or that the root cause is in another module. Nonetheless it's suggested you look for updates for the products that these drivers belong to and regularly visit Windows update or enable automatic updates for Windows. In case a piece of malfunctioning hardware is causing trouble, a search with Google on the bug check errors together with the model name and brand of your computer may help you investigate this further.

[pear]

Les erreurs que vous indiquez peuvent être dues à une ram défectueuse.
vérifiez l'état de vos barrettes RAM avecMemtest:

Tuto ici

Téléchargement Memtest86+ 4.10:
Iso bootable 4.10
Il faut en graver l'image.
Key usb 4.10

Si vous avez plusieurs barrettes, il faut les tester ensemble et séparément.

Si une barrette est défectueuse, il faudra la changer.

Si cela ne suffisait pas:

 

Réparer Windows avec Windows Repair (All in One)

Suivez toutes les étapes de Step 1 à Step 5

Pour déterminer quels fichiers ne peuvent pas être réparés par l'outil Vérificateur des fichiers système :

Clic droit sur le bureau->Nouveau document texte
Copier/coller les lignes vertes

@echo off
findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log > %userprofile%\Desktop\sfcdetails.txt

Enregistrer sous Cbs.bat sur le bureau
Cliquer droit sur Cbs.bat-> Exécuter en tant qu'administrateur.

Le rapport sfcdetailsrepair.txt s'affiche,


Vérifiez si votre problème est résolu.

Dans le cas où le problème persiste:
allez à cette étape "Start Repairs"

Cliquer Unselect All en bas
Cochez les numéros suivants

01- Remettre les permissions du registre par défaut
02 - Remettre les permissions des fichiers par défaut
03 - Remettre les permissions des services par défaut (ajoute au besoin les permissions d'accès Administrators = Full, System = Full, TrustedInstaller = Full )
04 - Ré-enregistrer les fichiers systèmes
05 - Réparer le WMI (Windows Management Instrumentation : gestion du système)
08 - Réparer le MDAC (Microsoft Data Access Components) et Microsoft Jet
10 - Supprimer les restrictions systèmes mises par certaines infections (regedit, taskmanager, etc)
13 - Réparer Winsock et le cache DNS (problème connexion)
19 - Réparer le service des clichés instantanés système (Restauration système et "version précédentes" des fichiers)
21 - Réparer MSI (Windows Installer)

N'oubliez pas de cocher l'option "Restart/Shutdown pc when finished"
cliquer sur "Start" à droite.