Service RPC + SearchProtect by Conduit

ph423 Messages postés 15 Statut Membre -  
ph423 Messages postés 15 Statut Membre -

Bonjour à tous,
J'ai été infecté par SearchProtect de Conduit (découvert par diagnostique de Hijackthis), et je le suspecte d'avoir désactiver le service RPC, ainsi que plusieurs autres. Mon système d'opération fonctionne correctement (malgré le fait qu'il empire de minute en minute), ne présentant pas les problèmes récurrents lors de la désactivation du service RPC. Cependant, en ouvrant la fenêtre des services, j'ai bien vu que RPC était désactivé. Je l'ai ainsi réactivé (automatique), obtenant le message « Le service Plug and Play ou un autre service sont indisponibles ». J'ai ensuite vérifié l'état des autres services et réactivé les services importants (selon mes connaissances relativement limitées).
Après recherches, j'ai découvert que SearchProtect ne pouvait pas être supprimé en mode de démarrage normal, car lorsque actif, il peut se répliquer dans une autre clé de registre s'il voit qu'il est attaqué.
Afin de m'assurer de bien le supprimer, j'ai tenté de transferrer au mode diagnostique, mais msconfig ne fonctionne plus car mes droits d'administrateur m'ont été subjugués (même sous le profil administrateur intégré à la config).
J'ai présentement tous les outils (je pense) qui me seront nécessaire pour détruire la menace une fois en safe boot (MalwareBytes, SuperAntiMalware, AdwCleaner, HijackThis, EEK).

Peut-être que ces deux problèmes ne sont pas reliés, mais dans tous les cas, je vous demande votre aide, afin que je puisse apprendre un peu plus sur les ordinateurs tout en réparant cette galère.
Il serait bon de considérer que j'ai des images de backup (incrémentées et pleines) au cas où rien ne vient à bout de mes problèmes. Cependant, c'est une solution de dernier recours.

Donc je m'en tiens à votre aide! Merci de votre soutien technique!
Cordialement,
ph423

23 réponses

  • 1
  • 2
  1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonjour ph423,

    Et si faisais une restauration système avant que ne se produisent tes problèmes ?

    Sinon :

    Télécharge sur le bureau Roguekiller (by tigzy)
    Choisis la version correspondant à ta machine (x64 si 64 bits)
    * Quitte tous les programmes en cours
    * Lance RogueKiller.exe.
    * Attends que le Prescan ait fini ...
    Une fenêtre apparait sur l'accord de licence "Accepte"
    * Clique sur Scan.

    Clique sur Rapport et copie/colle le contenu du notepad

    (le rapport est également sur le bureau)

    * Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe

    Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
    ====================
    Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/

    ---> Pour RPC tu peux également voir cette page !
    http://www.hotline-pc.org/services.htm

    --------Contributeur Sécurité---------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  2. ph423 Messages postés 15 Statut Membre
     
    Bonjour cabrier et merci pour votre reponse. Je suis desole du delais de ma reponse.

    Mon ordinateur principal sous XP ne peut plus maintenant acceder a Internet.

    Ainsi, j'ai effectues les scans suivants (en mode Administrateur):

    RogueKiller

    <div id="spoiler" style="display:none">
    RogueKiller V8.6.5 [Aug  5 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/
    
    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : Recherche -- Date : 08/20/2013 10:58:15
    | ARK || FAK || MBR |
    
    ¤¤¤ Processus malicieux : 0 ¤¤¤
    
    ¤¤¤ Entrees de registre : 8 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\.DEFAULT\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-1225391310-1367574455-808590265-500\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-18\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> TROUVÉ
    [HJ SECU] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
    [HJ SECU] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
    [HJ SECU] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    
    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012UA.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> TROUVÉ
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012Core.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /c [7] -> TROUVÉ
    
    ¤¤¤ Entrées Startup : 0 ¤¤¤
    
    ¤¤¤ Navigateurs web : 0 ¤¤¤
    
    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    
    ¤¤¤ Driver : [CHARGE] ¤¤¤
    
    ¤¤¤ Ruches Externes: ¤¤¤
    
    ¤¤¤ Infection :  ¤¤¤
    
    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts
    
    
    127.0.0.1       localhost
    
    
    ¤¤¤ MBR Verif: ¤¤¤
    
    +++++ PhysicalDrive0:  +++++
    --- User ---
    [MBR] 1e3bf29b3c930a05437940e22c27c069
    [BSP] fbfdca22617b1b71c7ffb141ea939b7b : Linux MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 236135 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 483606528 | Size: 230600 Mo
    2 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 955877374 | Size: 10202 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!
    
    Termine : << RKreport[0]_S_08202013_105815.txt >>
    
    

    </div>
    <button title="Cliquez pour afficher/cacher le contenu" type="button" onclick="if(document.getElementById('spoiler') .style.display=='none') {document.getElementById('spoiler') .style.display=''}else{document.getElementById('spoiler') .style.display='none'}">Show/hide</button>

    SuperAntiSpyware

    <div id="spoiler" style="display:none">
    SUPERAntiSpyware Scan Log
    https://www.superantispyware.com/
    
    Generated 08/20/2013 at 11:52 AM
    
    Application Version : 5.6.1030
    
    Core Rules Database Version : 10686
    Trace Rules Database Version: 8498
    
    Scan type       : Complete Scan
    Total Scan Time : 00:40:10
    
    Operating System Information
    Windows XP Professional 32-bit, Service Pack 2 (Build 5.01.2600)
    Administrator
    
    Memory items scanned      : 463
    Memory threats detected   : 0
    Registry items scanned    : 35947
    Registry threats detected : 3
    File items scanned        : 62879
    File threats detected     : 848
    
    Disabled.SecurityCenterOption
    	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
    	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
    	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY
    
    Adware.Tracking Cookie
    
    (Bon, pas necessaire de lister tous les cookies, c'est pas ca qui va regler quoi que ce soit)
    
    Adware.Yontoo
    	C:\DOCUMENTS AND SETTINGS\*USERNAME*\BUREAU\BACKUPS\BACKUP-20130816-132917-213.DLL
    	C:\SYSTEM VOLUME INFORMATION\_RESTORE{15C3368B-41B9-422B-9D5B-8E6129D8D164}\RP438\A0083264.DLL
    	C:\SYSTEM VOLUME INFORMATION\_RESTORE{15C3368B-41B9-422B-9D5B-8E6129D8D164}\RP439\A0083530.DLL
    

    </div>
    <button title="Cliquez pour afficher/cacher le contenu" type="button" onclick="if(document.getElementById('spoiler') .style.display=='none') {document.getElementById('spoiler') .style.display=''}else{document.getElementById('spoiler') .style.display='none'}">Show/hide</button>

    MBAM

    <div id="spoiler" style="display:none">
    Malwarebytes Anti-Malware (Trial) 1.75.0.1300
    www.malwarebytes.org
    
    Database version: v2013.04.04.07
    
    Windows XP Service Pack 2 x86 NTFS
    Internet Explorer 7.0.5730.11
    Administrateur :: PHILIPPEPC [administrator]
    
    Protection: Enabled
    
    2013-08-20 12:11:03
    MBAM-log-2013-08-20 (13-33-18).txt
    
    Scan type: Full scan (C:\|D:\|)
    Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
    Scan options disabled: P2P
    Objects scanned: 429757
    Time elapsed: 1 hour(s), 18 minute(s), 58 second(s)
    
    Memory Processes Detected: 0
    (No malicious items detected)
    
    Memory Modules Detected: 0
    (No malicious items detected)
    
    Registry Keys Detected: 0
    (No malicious items detected)
    
    Registry Values Detected: 0
    (No malicious items detected)
    
    Registry Data Items Detected: 3
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    Folders Detected: 0
    (No malicious items detected)
    
    Files Detected: 0
    (No malicious items detected)
    
    (end)
    

    </div>
    <button title="Cliquez pour afficher/cacher le contenu" type="button" onclick="if(document.getElementById('spoiler') .style.display=='none') {document.getElementById('spoiler') .style.display=''}else{document.getElementById('spoiler') .style.display='none'}">Show/hide</button>

    Voila! Suite a la lecture de ces diagnostiques, je ne comprends toujours pas pourquoi j'eprouve des problemes (notamment Seagate DiscWizard: RPC not available (error number 1722), Avast!: Les mises a jours n'ont pu etre faites car un ou plusieurs services relies au RPC sont desactives, et maintenant internet (aucune reconnaissance de reseau), sans parler des ralentissements de toutes les applications, ainsi que des crashs du navigateur chrome.
    0
    1. ph423 Messages postés 15 Statut Membre
       
      *Semble-t -il que mes balises HTML ne fonctionnent pas
      0
  3. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonjour ph423,

    Pourquoi écris-tu en HTML ?

    Les rapports courts tu les colle tout simplement.

    ---> Ceux plus longs il te faut les héberger
    Dépôt de fichiers :
    - Pour transmettre les rapports que tu obtiens à la suite du passage d'outils tu clique sur un de ces liens :
    cijoint ou pjoint
    - Tu clique ensuite sur Parcourir et cherche le fichier du rapport, en principe on t'indique ou il est.
    - Tu clique sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme: http://cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt
    est ajouté dans la page ou (suivant le site) il faut cliquer sur "créer le lien".
    - C'est ce lien que tu as à transmettre et uniquement cela.

    Ceci dit Relance RogueKiller et clique sur [Suppression]

    Poste moi le rapport résultant.

    Laisse tomber SuperAntiSpyware---> sert à rien ! la preuve !

    -----------------------------------

    ---> Télécharge et lance AdwCleaner (merci à Xplode)

    http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

    ---> Clique sur [Scan], et poste le rapport sur le forum.

    ---> Si le rapport ne s'est pas affiché, il se trouve aussi dans : C:\AdwCleaner[R_].txt.

    A+
    0
  4. ph423 Messages postés 15 Statut Membre
     
    Bonjour Cabrier,

    Je voulais utiliser le HTML pour effectuer une mise en spoiler du code afin de faciliter la lecture de mon post.

    Concernant les rapports:

    RogueKiller

    RogueKiller V8.6.5 [Aug  5 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/
    
    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : Suppression -- Date : 08/20/2013 21:43:24
    | ARK || FAK || MBR |
    
    ¤¤¤ Processus malicieux : 0 ¤¤¤
    
    ¤¤¤ Entrees de registre : 8 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKUS\.DEFAULT\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-1225391310-1367574455-808590265-500\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> [0x2] Le fichier spécifié est introuvable. 
    [RUN][SUSP PATH] HKUS\S-1-5-18\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> [0x2] Le fichier spécifié est introuvable. 
    [HJ SECU] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
    [HJ SECU] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
    [HJ SECU] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    
    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012UA.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> SUPPRIMÉ
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012Core.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /c [7] -> SUPPRIMÉ
    
    ¤¤¤ Entrées Startup : 0 ¤¤¤
    
    ¤¤¤ Navigateurs web : 0 ¤¤¤
    
    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    
    ¤¤¤ Driver : [CHARGE] ¤¤¤
    
    ¤¤¤ Ruches Externes: ¤¤¤
    
    ¤¤¤ Infection :  ¤¤¤
    
    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts
    
    
    127.0.0.1       localhost
    
    
    ¤¤¤ MBR Verif: ¤¤¤
    
    +++++ PhysicalDrive0:  +++++
    --- User ---
    [MBR] 1e3bf29b3c930a05437940e22c27c069
    [BSP] fbfdca22617b1b71c7ffb141ea939b7b : Linux MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 236135 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 483606528 | Size: 230600 Mo
    2 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 955877374 | Size: 10202 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!
    
    Termine : << RKreport[0]_D_08202013_214324.txt >>
    RKreport[0]_S_08202013_105815.txt;RKreport[0]_S_08202013_214024.txt
    
    


    AdwCleaner

    # AdwCleaner v2.306 - Rapport créé le 20/08/2013 à 21:39:11
    # Mis à jour le 19/07/2013 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
    # Nom d'utilisateur : Administrateur - *USERNAME*PC
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\Maintenance tools\adwcleaner.exe
    # Option [Recherche]
    
    
    ***** [Services] *****
    
    
    ***** [Fichiers / Dossiers] *****
    
    Dossier Présent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\accdhiflhegabmiojoondnnjaojpbhod
    Dossier Présent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\accdhiflhegabmiojoondnnjaojpbhod
    
    ***** [Registre] *****
    
    Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\accdhiflhegabmiojoondnnjaojpbhod
    Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\accdhiflhegabmiojoondnnjaojpbhod
    Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchProtectAll]
    
    ***** [Navigateurs] *****
    
    -\\ Internet Explorer v7.0.6000.16574
    
    [OK] Le registre ne contient aucune entrée illégitime.
    
    -\\ Google Chrome v [Impossible d'obtenir la version]
    
    Fichier : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
    
    Présente [l.2514] : homepage = "hxxp://search.conduit.com/?ctid=CT3282499&SearchSource=48&CUI=UN41508749311741250&UM=2",
    
    Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
    
    [OK] Le fichier ne contient aucune entrée illégitime.
    
    *************************
    
    AdwCleaner[R1].txt - [11691 octets] - [16/08/2013 20:49:25]
    AdwCleaner[R2].txt - [7793 octets] - [17/08/2013 20:58:18]
    AdwCleaner[R3].txt - [942 octets] - [20/08/2013 10:32:34]
    AdwCleaner[R4].txt - [1907 octets] - [20/08/2013 21:39:11]
    AdwCleaner[S1].txt - [7959 octets] - [17/08/2013 20:59:14]
    
    ########## EOF - C:\AdwCleaner[R4].txt - [2027 octets] ##########
    


    Voila, en attente de la prochaine manoeuvre, capitaine :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonjour,

    OK pour RogueKiller en Suppression,

    Relance AdwCleaner et idem ---> [Nettoyer] puis [Rapport] si c'est la version 3 !

    On va faire un scan complet de ton PC :

    * Télécharge >ZHPDiag< (de Nicolas Coolman) sur ton bureau,
    /!\Il est très important de l'enregistrer sur le bureau / !\
    * Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
    /!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
    /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
    * A l'ouverture le programme te proposes "Rechercher" et "Configurer" - Clique sur "Configurer"
    * Des icônes apparaissent en bas de la fenêtre. Clique sur le tournevis en bas à droite et choisis "Tous" puis "OK"
    * Maintenant clique sur "Rechercher".
    * ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
    * Laisse l'outil travailler, il peut être assez long.
    * Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).
    * Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.
    * Rappel des dépôts : cijoint ou pjoint

    PS Voici un tuto pour t'aider si besoin !
    http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html

    A+

    0
  7. ph423
     
    Bonjour,

    Rapport AdwCleaner
    http://cjoint.com/?0HvtmM1OxMP

    Rapport ZHPDiag
    http://cjoint.com/?0HvtEI7Sc01

    Merci encore pour le soutien technique!
    ph423
    0
  8. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    ph423,

    Attends tu en retard d'une guerre !

    XP tu es en SP 2 ! La SP 3 est sortie depuis bien longtemps.

    IE tu es en V7 ! Normalement la V8 est accessible sur du XP

    Adobe reader X ! La XI est aussi sortie depuis quelques temps.

    Si tu ne mets pas à jour tes logiciels tu risque les exploits sur site Web.
    https://forum.malekal.com/viewtopic.php?t=3563&start=

    A part quelques barres d'outils inutiles, rien de dangereux sur ton PC.

    On verra plus tard !

    * Télécharge Malwaresbytes anti malware ici
    * Choisis la version -Download Now-
    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
    * Tu as un tuto si tu en as besoin : tuto

    * Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

    * /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
    * Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
    * Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
    * Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
    * Lorsque le scan est terminé clique sur "Afficher les résultats"
    * Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

    PS : Redémarre ta machine pour achever le nettoyage.

    * Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou pjoint

    * Envoie-moi le lien fourni dans ta prochaine réponse.

    A+
    0
  9. ph423
     
    Bonjour cabrier,

    C'est bien drole tout cela, car en parallele je suis en train de faire la mise a niveau vers Windows XP SP3! :P
    J'eprouve de nombreux problemes et j'essaie tant bien que mal de progresser.
    Voici ce que j'ai fait jusqu'a maintenant (je suis en cours de faire la demarche):

    http://cjoint.com/?CHvvJmy3t2E

    Donc je vais rebooter et continuer mes demarches.

    Concernant MBAM, il est deja installe et mis a jour. Je ferai le scan une fois que j'ai mis a jour mon OS. Je vous donnerai des nouvelles lorsque j'en serai rendu la ;)

    Merci!
    0
  10. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    C'est quoi ton truc là ?

    Tu t'est servi de Windows Update ?

    Sinon : http://www.microsoft.com/fr-fr/download/details.aspx?id=25129

    Et si problème :

    https://support.microsoft.com/en-us/help/2970908/how-to-use-microsoft-easy-fix-solutions

    A+

    --------Contributeur Sécurité---------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  11. ph423
     
    Le fichier que je vous ai envoye est en fait une description des etapes suivies afin de resoudre le probleme du Windows Update Installer, dont le resultat s'est avere negatif.
    Ces manipulations n'auraient pas eu lieu d'etre si justement FixIt fonctionnait sur SP2. Il faut obligatoirement updater a SP3 pour qu'il fonctionne (je n'ai pas trouve de version anterieure qui gere la compatibilite avec SP2).

    Donc je vais sauter sur l'occasion du package pour SP3 xD
    Si j'avais su que cela existait, ca m'aurait eviter bien des manipulations (raah la bon, j'ai pas a me plaindre; c'est pas super desagreable d'en apprendre un peu plus sur son ordinateur).

    ph423
    0
  12. ph423 Messages postés 15 Statut Membre
     
    Voici mon log de MBAM:
    https://www.cjoint.com/?0Hwegy7C2oR

    J'ai bel et bien effectue la mise a niveau vers SP3. Il me reste cependant a effectuer toutes les mises a jours de securite de Microsoft (galere) ainsi que les patchs critiques de Oracle Java. Merci encore pour ce lien au combien utile!

    ph423
    0
  13. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    ph423,

    MBAM
    Tu n'a pas fait "supprimer la sélection" dans les onglets, ce qui fait que tu n'as rien nettoyé :

    C:\RECYCLER\S-1-5-21-1225391310-1367574455-808590265-1012\Dc355.exe (PUP.Optional.OpenCandy) -> No action taken.

    Donc relance MBAM et cette fois ---> Supprime !

    Maintenant on va vérifier si tous les services fonctionnent :
    Vérifions les services de Windows :

    Télécharge Farbar Service Scanner sur ton Bureau.

    * Coche les cases suivantes :

    Internet Services
    Windows Firewall
    System Restore
    Security Center
    Windows Update
    Windows Defender
    Others Services

    * Clique sur "Scan".
    * Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

    Héberge le rapport sur cijoint ou pjoint et poste le lien obtenu en retour.

    A+
    0
  14. ph423 Messages postés 15 Statut Membre
     
    MBAM: Les elements ont etes supprimes. En fait j'attendais la confirmation pour supprime; mon ordinateur etait en mode sommeil avec la console de MBAM et le rapport toujours ouvert.

    Rapport FSS.txt a partir du compte Administrateur
    https://www.cjoint.com/?0HwpDqwDd0T

    Rapport FSS4.txt a partir du compte *USERNAME*
    https://www.cjoint.com/?0HwpENuK5oS

    (Deux rapports car je ne suis pas sur s'il y a une difference d'un utilisateur a un autre lorsque l'on parle des services)

    Merci,
    ph423
    0
  15. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    ph423,

    Certains services ne fonctionnent pas :

    ? Télécharge Service Repair (Eset) sur ton Bureau.

    ? Exécute le, clique sur Yes dans la boite de dialogue.
    ? A la fin, clique sur Yes pour autoriser le redémarrage.
    ? L'outil va créer un dossier CC Support dans le dossier où l'outil a été exécuté.
    ? Héberge le rapport CC Support\Logs\SvcRepair.txt sur cijoint ou pjoint et poste le lien obtenu en échange

    ------------------------------------------------------

    Pour contrôle :

    Refais une vérification des services Windows.

    a+
    0
  16. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    ph423

    Un petit dernier ZHPDiag de contrôle ?

    A+
    0
  17. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    ph423,

    Tu as encore une mise à jour de sécurité pour XP qui n'a pas été faite :
    http://www.microsoft.com/fr-fr/download/details.aspx?id=29804

    Avast 5 et Avast 8, tu as fait quoi ?

    Si c'est la version free, désinstalle tout et refais une installation propre avec Avast 8 !

    Un nom de dossier bizarre ici :
    [HKLM\Software\1516] Tu connais ?

    Par contre tu dois avoir quelques barres d'outils inutiles :
    - Avast
    - Yahoo
    - Conduit
    - Freemake
    - Google
    Tu veux garder tout ça ?

    Attention a ce que tu télécharge par le P2P !

    Sinon rien de vraiment particulier.

    A+
    0
  18. ph423 Messages postés 15 Statut Membre
     
    Bonjour cabrier,

    concernant la mise a jour, celle-ci a echoue, me donnant le rapport suivant:
    https://www.cjoint.com/?0Hzqc4TLSeT

    De plus, le programme Belarc Advisor m'a donne la liste suivante de mise a jour de securite a effectuer:
    https://www.cjoint.com/?0Hzp56Ockzf

    Qu'en penses-tu?

    Concernant avast!, je ne comprend pas pourquoi j'aurais eu deux versions differentes, car mon panneau de config en affichait qu'une (avast! 8). J'ai tout de meme desinstalle et reinstalle le tout.

    Pour ce qui est du dossier suspect, je ne sais pas ce dont il s'agit.

    En ce qui concerne les barres d'outils, je n'ai aucune barre d'outil sous Chrome et seulement Freemake sous Firefox (tout simplement parce que je ne peux pas la supprimer d'apres le menu des extensions). Par rapport a IE, j'en ai sincerement rien a faire.

    Pour le P2P, j'en fais que tres rarement, mais je ferai plus attention a l'avenir.

    Hier soir j'ai eu une anomalie. Mon ordinateur s'est allume de lui-meme, sans que je n'y fasse quoi que ce soit. Il s'est allume a 00:00 pile et n'a pas ensuite eu de comportement suspect (il a boote automatiquement sous Linux Ubuntu 12.04 - ce qui est normal compte-tenu de mon BIOS). Aurais-tu une idee de la raison pour laquelle ceci ce serait produit?

    Merci encore pour ton soutien technique,
    ph423
    0
  19. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    ph423

    Ton windows update fonctionne normalement ?

    A+

    0
  • 1
  • 2