Demande d'aide à la désinfection

Résolu
mwa1 -  
 Utilisateur anonyme -
Bonjour, j'ai un problème que je n'arrive pas à résoudre et j'ai cru comprendre que je pourrais trouver de l'aide ici.
voici mon probleme :
j'ai d'abord vu que le centre de sécurité windows était arrêté et impossible à redémarrer. après quelques recherches sur les forums d'aide informatique, je suis allé voir dans "services.msc" et il se trouve que les services correspondants au centre de sécurité et à windows defender se mettent automatiquement sur "type de démarrage : désactivé" après un certain temps .
donc j'ai fait un scan avec ZHPdiag, comme suggéré, mais maintenant j'aurais besoin d'un coup de pied pour décrypter tout ça .

voici le lien vers le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijKLsvV1W.txt

si une âme charitable pouvait penchait sur mon problème, ou bien m'indiquer où je peux apprendre à déchiffrer un log, je lui en serait reconnaissant.

53 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs utilisateurs rencontrent un dysfonctionnement du centre de sécurité Windows sur Windows 7 où les services du centre de sécurité et de Windows Defender passent automatiquement en démarrage désactivé après un certain temps. Des pistes proposent de vérifier les paramètres via services.msc et des outils comme ZHPDiag pour déceler des infections, puis de désinstaller des logiciels malveillants ou incompatibles et de redémarrer. La meilleure réponse préconise notamment de désinstaller proprement Antivir et de réconfigurer Windows Defender, puis de suivre des procédures de nettoyage et de scanner à nouveau avant de restaurer la protection. En cas de doute, certains répondants suggèrent aussi des outils complémentaires comme MBAM, USBFix ou MBRCheck et demandent de partager les rapports pour orienter le diagnostic.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Re,

    1/
    * Télécharge, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:

    * http://www.geekstogo.com/forum/files/file/441-mbrcheck/
    * https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
    * http://www.kernelmode.info/MBRCheck.exe

    * Fermer tout et cliquer sur MBRCheck.exe

    * S'il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
    * S'il te demande de taper sur la touche "entrée" seulement, fais le
    * S'il te demande 1, 2 ou 3, Appuie sur 2

    * Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_07.21.10_18.08.06.txt).

    2/ Trojan.FakeAlert

    *Télécharges Malwarebytes' (mbam)

    ICI >> Malwarebytes' (mbam)

    * installes + mise a jour
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lances--> Malwarebytes (MBAM)
    * Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
    * puis "Rechercher"
    * Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
    * S'il t' es demandé de redémarrer, clique sur "oui "
    * aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
    !!! Ne pas vider la quarantaine de MBAM sans avis !!!

    3/
    * Telecharge et install UsbFix par El Desaparecido , C_XX & Chimay8

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    - Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

    :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

    automatiquement

    -Clique sur "Recherche"

    - Laisse travailler l'outil

    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi

    sauvegardé a la racine du disque dur)

    @+

    -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
    Membre, Contributeur

    -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
    0
  2. mwa1
     
    Merci d'avoir répondu aussi vite.

    Je n'ai pas réussi à installer correctement zeb-help-process (j'obtiens le message d'erreur suivant: "Network initialization failed. File or directory does not exist. File:C:\PDOXUSRS.NET Permission denied. Directory: C:\.")

    voila le rapport mbam :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijwRt2hk6.txt

    celui d'usbfix :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijD7lrM5e.txt

    et MBRcheck :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijCPUqyGg.txt

    pour MBRcheck, après avoir entré "y" et "2", il me demande "enter the physical disk number to fix (0-99, -1 to cancel) : je dois mettre quelque chose ?
    0
  3. Utilisateur anonyme
     
    Re,

    1/
    Pour malwarebytes :

    No action taken: infection non supprimée!!

    Relance malwarebytes et à la fin de l'analyse clique sur "Afficher le résultat" puis sur "supprimer la sélection"

    2/
    Pour USBFix :

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    - Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

    :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

    automatiquement

    -Clique sur "Suppression"

    - Laisse travailler l'outil

    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi

    sauvegardé a la racine du disque dur)

    3/
    Pour mbrcheck refais ce qui est demandé

    * Ensuite, vous verrez ceci :

    Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

    Tapez le chiffre 0 puis valide avec [Entrée]
    * Vous aurez maintenant un choix à faire, avec des codes de MBR :

    Available MBR codes:

    [ 0] Default (Windows XP)

    [ 1] Windows XP

    [ 2] Windows Server 2003

    [ 3] Windows Vista

    [ 4] Windows 2008

    [ 5] Windows 7

    [-1] Cancel

    Tapez le chiffre correspondant à votre système d'exploitation puis validez avec [Entrée]
    * Ensuite, vous aurez ceci :

    Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

    tapez YES puis valide avec [Entrée]
    * En principe, vous devriez maintenant voir ceci (ajouté au bout de la ligne) :

    Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
    ...suivi de "Please reboot your computer to complete the fix."
    * A la suite de ça, redémarrez votre ordinateur
    * Postez le rapport obtenu si vous vous faîtes aider

    @+
    0
  4. mwa1
     
    Re,

    les scans en ligne n'ont rien trouvé

    voilà les nouveaux rapports :

    MBRcheck:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijcxNDAzx.txt

    mbam:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijlROPTsZ.txt

    usbfix:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijlROPTsZ.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re,

    Tu as envoyé le rapport de Malwarebytes 2 fois

    Il manque donc le rapport USBFix (suppression)
    0
  7. mwa1
     
    oups voilà le bon (je crois)

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijkEPCRIR.txt

    autres symptôme :
    - agencement des marque-pages et menus boutons de firefox sont modifié au redémarrage du programme
    - firefox/google me trouve parfois une erreur 404 et l'en-tête de l'onglet est vide

    je sais pas si ça peux aider...
    0
  8. Utilisateur anonyme
     
    Re,

    Prépare un nouveau rapport ZHPDiag stp
    0
  9. mwa1
     
    le voilà :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijF7BT8Rv.txt
    0
  10. Utilisateur anonyme
     
    Re,

    Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
    M2 - MFEP: prefs.js [Sephiroth - z6qekt75.default\o2cplayer@eleco.com] [] O2CPlayer Plugin v2.0.0.58 (.ELECO Software GmbH.) 
    O4 - HKLM\..\Wow6432Node\Run: [ToshibaServiceStation] Clé orpheline
    O23 - Service:  (0073651292347634mcinstcleanup) - Clé orpheline
    O42 - Logiciel: FATE - (.WildTangent.) [HKLM][64Bits] -- WT083945    => WildTangent Game
    O42 - Logiciel: Polar Bowler - (.WildTangent.) [HKLM][64Bits] -- WT083959    => WildTangent Game
    O42 - Logiciel: WildTangent ORB Game Console - (.WildTangent.) [HKLM][64Bits] -- TOSHIBA Game Console    => WildTangent
    O43 - CFD: 15/12/2010 - 05:26:28 - [3422] ----D- C:\ProgramData\regid.1986-12.com.adobe
    O43 - CFD: 15/12/2010 - 05:26:28 - [3422] ----D- C:\ProgramData\regid.1986-12.com.adobe 
    O43 - CFD: 07/06/2011 - 19:41:08 - [118081352] ----D- C:\Program Files (x86)\ESET     
    [HKCU\Software\ESET]    
    [HKLM\Software\Eset]   
    FirewallRAZ
    EmptyTemp
    EmptyFlash


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur le bouton GO

    Copie/Colle le rapport à l'écran dans ton prochain message.

    @+
    0
    1. Utilisateur anonyme
       
      A demain

      Bonne nuit
      0
  11. mwa1
     
    voilà le rapport ZHPFix:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijOVgJVyA.txt

    bonne nuit et merci.
    0
  12. Utilisateur anonyme
     
    Bonjour,

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu


    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Le rapport à l'héberger (comme tu as fait pour le rapport ZHPDiag)

    @+

    -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
    Membre, Contributeur

    -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
    0
  13. mwa1
     
    Bonjour,

    je ne sais pas si le pre-scan s'est déroulé normalement car, à la fin, il m'a laissé le bureau fermé et seulement la fenêtre "bibliothèques" ouverte.

    en tout cas deux fichiers sont apparus sur le bureau :

    desktop.ini et le pre-scan.txt, que voici :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijdAvIiZB.txt
    0
  14. Utilisateur anonyme
     
    Re,

    Relance ton navigateur et dis moi y'a t'il encore des problèmes ?

    @+
    -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
    Membre, Contributeur

    -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
    0
  15. mwa1
     
    Apparement le centre de sécurité / windows defender refonctionnent correctement ainsi que firefox, par contre le scan automatique antivir de ce midi à trouvé ça :

    (image)
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijy0jkK0F.jpg

    j'ai aussi trouvé des choses bizarres :

    - autorun.inf dans "C:\ " à été bloqué par le module guard d'avira

    - le dossier kill'em au même endroit

    - certains dossiers comme "documents and settings" verrouillés ( j'ai d'abord le message "vous ne disposez pas des autorisations requises pour accéder à ce dossier" puis après avoir cliqué " l'accès à ce dossier vous à été refusé"
    0
  16. Utilisateur anonyme
     
    Re,

    1/
    - autorun.inf dans "C:\ " pour les alertes d'avira, tu peux désactiver la fonction qui contrôle l'autorun :

    http://www.cijoint.fr/cj201106/cijziT9VkF.jpg

    2/ Est ce que tu utilises ce PC comme administrateur ou simple utilisateur ?

    3/
    Prépare un autre rapport ZHPDiag stp en tant qu'administrateur pour vérifier encore ton PC

    @+
    0
  17. mwa1
     
    J'utilise bien le PC en administrateur

    voilà le rapport ZHPDiag (exécuté en tant qu'administrateur) :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijzhSBDIj.txt
    0
  18. Utilisateur anonyme
     
    Re,

    1/
    * inscris toi sur le forum afin de rendre tes liens lisibles

    * ICI >> Forum comment ca marche

    2/
    Pour bien vérifier que le fichier ci-dessous est infecté rend toi sur ce site

    Virus Total

    Colle directement le chemin du fichiers dans l'espace "Parcourir" :

    C\Windows\Syswow64\KBDA2F.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation

    actuelle : en cours d'analyse" est affiché.

    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand

    nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser

    la page.

    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine

    réponse.

    Vérifies bien que le fichier indiqué par Avira est celui que je t'ai donné à analyser!


    @+
    0
  19. mwa1 Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
     
    Je n'ai pas réussi à trouver le fichier donc j'ai vérifié que c'était bien le même qu'avira avait trouvé et là j'ai vu ça :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cij5pBpdxs.jpg

    donc je crois que le fichier à été supprimé après redémarrage de l'ordi

    Edit*

    au redémarrage j'avais eu droit à un message " profil introuvable " ( ou quelque chose dans ce goût là )
    0
  20. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello, pour avancer padawan :)
    pourrais-tu mettre à jour MBAM et refaire une analyse?
    0
  21. mwa1 Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
     
    Mise à jour effectuée, scan en cours .

    en ouvrant l'invité de commande je suis tombé sur des entrées suspectes :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cij5pBpdxs.jpg

    serait-ce un petit malin ayant accès à mon PC qui s'amuse ou est-ce que c'est les virus qui font ça ?
    0
  • 1
  • 2
  • 3