Service RPC + SearchProtect by Conduit Fermé

Question

Configuration: Windows XP SP2 / Chrome 28.0.1500.95
Bonjour à tous,
J'ai été infecté par SearchProtect de Conduit (découvert par diagnostique de Hijackthis), et je le suspecte d'avoir désactiver le service RPC, ainsi que plusieurs autres. Mon système d'opération fonctionne correctement (malgré le fait qu'il empire de minute en minute), ne présentant pas les problèmes récurrents lors de la désactivation du service RPC. Cependant, en ouvrant la fenêtre des services, j'ai bien vu que RPC était désactivé. Je l'ai ainsi réactivé (automatique), obtenant le message « Le service Plug and Play ou un autre service sont indisponibles ». J'ai ensuite vérifié l'état des autres services et réactivé les services importants (selon mes connaissances relativement limitées).
Après recherches, j'ai découvert que SearchProtect ne pouvait pas être supprimé en mode de démarrage normal, car lorsque actif, il peut se répliquer dans une autre clé de registre s'il voit qu'il est attaqué.
Afin de m'assurer de bien le supprimer, j'ai tenté de transferrer au mode diagnostique, mais msconfig ne fonctionne plus car mes droits d'administrateur m'ont été subjugués (même sous le profil administrateur intégré à la config).
J'ai présentement tous les outils (je pense) qui me seront nécessaire pour détruire la menace une fois en safe boot (MalwareBytes, SuperAntiMalware, AdwCleaner, HijackThis, EEK).

Peut-être que ces deux problèmes ne sont pas reliés, mais dans tous les cas, je vous demande votre aide, afin que je puisse apprendre un peu plus sur les ordinateurs tout en réparant cette galère.
Il serait bon de considérer que j'ai des images de backup (incrémentées et pleines) au cas où rien ne vient à bout de mes problèmes. Cependant, c'est une solution de dernier recours.

Donc je m'en tiens à votre aide! Merci de votre soutien technique!
Cordialement,
ph423

cabrier · Answer

Bonjour ph423,


Et si faisais une restauration système avant que ne se produisent tes problèmes ?


Sinon :

Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)
*    Quitte tous les programmes en cours
*    Lance RogueKiller.exe.
*    Attends que le Prescan ait fini ...
Une fenêtre apparait sur l'accord de licence "Accepte"
*    Clique sur Scan.

Clique sur Rapport et copie/colle le contenu du notepad

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe 

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
====================
Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/ 



---> Pour RPC tu peux également voir cette page !
http://www.hotline-pc.org/services.htm


 
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

ph423 · Answer

Bonjour cabrier et merci pour votre reponse. Je suis desole du delais de ma reponse. Mon ordinateur principal sous XP ne peut plus maintenant acceder a Internet. Ainsi, j'ai effectues les scans suivants (en mode Administrateur): RogueKiller

RogueKiller V8.6.5 [Aug 5 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Administrateur [Droits d'admin] Mode : Recherche -- Date : 08/20/2013 10:58:15 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ [RUN][SUSP PATH] HKUS\.DEFAULT\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1225391310-1367574455-808590265-500\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-18\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> TROUVÉ [HJ SECU] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ [HJ SECU] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ [HJ SECU] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 2 ¤¤¤ [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012UA.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> TROUVÉ [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012Core.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /c [7] -> TROUVÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 1e3bf29b3c930a05437940e22c27c069 [BSP] fbfdca22617b1b71c7ffb141ea939b7b : Linux MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 236135 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 483606528 | Size: 230600 Mo 2 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 955877374 | Size: 10202 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_08202013_105815.txt >>

SuperAntiSpyware MBAM Voila! Suite a la lecture de ces diagnostiques, je ne comprends toujours pas pourquoi j'eprouve des problemes (notamment Seagate DiscWizard: RPC not available (error number 1722), Avast!: Les mises a jours n'ont pu etre faites car un ou plusieurs services relies au RPC sont desactives, et maintenant internet (aucune reconnaissance de reseau), sans parler des ralentissements de toutes les applications, ainsi que des crashs du navigateur chrome.

cabrier · Answer

Bonjour ph423,


Pourquoi écris-tu en HTML ?

Les rapports courts tu les colle tout simplement.

---> Ceux plus longs il te faut les héberger 
 Dépôt de fichiers :
- Pour transmettre les rapports que tu obtiens à la suite du passage d'outils tu clique sur un de ces liens : 
cijoint ou  pjoint
- Tu clique ensuite sur Parcourir et cherche le fichier du rapport, en principe on t'indique ou il est.
- Tu clique sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme:  http://cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt 
est ajouté dans la page ou (suivant le site) il faut cliquer sur "créer le lien".
- C'est ce lien que tu as à transmettre et uniquement cela.


Ceci dit Relance RogueKiller et clique sur [Suppression]

Poste moi le rapport résultant.

Laisse tomber SuperAntiSpyware---> sert à rien ! la preuve !



-----------------------------------

---> Télécharge et lance AdwCleaner (merci à Xplode)

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

---> Clique sur [Scan], et poste le rapport sur le forum.

---> Si le rapport ne s'est pas affiché, il se trouve aussi dans : C:\AdwCleaner[R_].txt.


A+

ph423 · Answer

Bonjour Cabrier, Je voulais utiliser le HTML pour effectuer une mise en spoiler du code afin de faciliter la lecture de mon post. Concernant les rapports: RogueKiller RogueKiller V8.6.5 [Aug 5 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Administrateur [Droits d'admin] Mode : Suppression -- Date : 08/20/2013 21:43:24 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> SUPPRIMÉ [RUN][SUSP PATH] HKUS\.DEFAULT\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> SUPPRIMÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1225391310-1367574455-808590265-500\[...]\Run : Google Update ("C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c [7]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-18\[...]\Run : SearchProtect (C:\Documents and Settings\LocalService\Application Data\SearchProtect\bin\cltmng.exe [x]) -> [0x2] Le fichier spécifié est introuvable. [HJ SECU] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0) [HJ SECU] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0) [HJ SECU] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Tâches planifiées : 2 ¤¤¤ [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012UA.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> SUPPRIMÉ [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1225391310-1367574455-808590265-1012Core.job : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Update\GoogleUpdate.exe - /c [7] -> SUPPRIMÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 1e3bf29b3c930a05437940e22c27c069 [BSP] fbfdca22617b1b71c7ffb141ea939b7b : Linux MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 236135 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 483606528 | Size: 230600 Mo 2 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 955877374 | Size: 10202 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_08202013_214324.txt >> RKreport[0]_S_08202013_105815.txt;RKreport[0]_S_08202013_214024.txt AdwCleaner # AdwCleaner v2.306 - Rapport créé le 20/08/2013 à 21:39:11 # Mis à jour le 19/07/2013 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits) # Nom d'utilisateur : Administrateur - *USERNAME*PC # Mode de démarrage : Normal # Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\Maintenance tools\adwcleaner.exe # Option [Recherche] ***** [Services] ***** ***** [Fichiers / Dossiers] ***** Dossier Présent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\accdhiflhegabmiojoondnnjaojpbhod Dossier Présent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\accdhiflhegabmiojoondnnjaojpbhod ***** [Registre] ***** Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\accdhiflhegabmiojoondnnjaojpbhod Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\accdhiflhegabmiojoondnnjaojpbhod Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchProtectAll] ***** [Navigateurs] ***** -\ Internet Explorer v7.0.6000.16574 [OK] Le registre ne contient aucune entrée illégitime. -\ Google Chrome v [Impossible d'obtenir la version] Fichier : C:\Documents and Settings\*USERNAME*\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences Présente [l.2514] : homepage = "hxxp://search.conduit.com/?ctid=CT3282499&SearchSource=48&CUI=UN41508749311741250&UM=2", Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences [OK] Le fichier ne contient aucune entrée illégitime. ************************* AdwCleaner[R1].txt - [11691 octets] - [16/08/2013 20:49:25] AdwCleaner[R2].txt - [7793 octets] - [17/08/2013 20:58:18] AdwCleaner[R3].txt - [942 octets] - [20/08/2013 10:32:34] AdwCleaner[R4].txt - [1907 octets] - [20/08/2013 21:39:11] AdwCleaner[S1].txt - [7959 octets] - [17/08/2013 20:59:14] ########## EOF - C:\AdwCleaner[R4].txt - [2027 octets] ########## Voila, en attente de la prochaine manoeuvre, capitaine :)

cabrier · Answer

Bonjour,

OK pour RogueKiller en Suppression,

Relance AdwCleaner et idem --->  [Nettoyer] puis [Rapport] si c'est la version 3 !

On va faire un scan complet de ton PC :


* Télécharge >ZHPDiag< (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* A l'ouverture le programme te proposes "Rechercher" et "Configurer" - Clique sur "Configurer"
* Des icônes apparaissent en bas de la fenêtre.  Clique sur le tournevis en bas à droite et choisis "Tous" puis "OK"
* Maintenant clique sur "Rechercher".
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* Laisse l'outil travailler, il peut être assez long. 
* Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 
* Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.
* Rappel des dépôts : cijoint ou  pjoint

PS Voici un tuto pour t'aider si besoin !
http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html




A+

ph423 · Answer

Bonjour,

Rapport AdwCleaner
http://cjoint.com/?0HvtmM1OxMP

Rapport ZHPDiag
http://cjoint.com/?0HvtEI7Sc01

Merci encore pour le soutien technique!
ph423

cabrier · Answer

ph423,


Attends tu en retard d'une guerre !

XP tu es en SP 2  ! La SP 3 est sortie depuis bien longtemps.

IE tu es en V7 ! Normalement la V8 est accessible sur du XP

Adobe reader X ! La XI est aussi sortie depuis quelques temps.

Si tu ne mets pas à jour tes logiciels tu risque les exploits sur site Web.
https://forum.malekal.com/viewtopic.php?t=3563&start=


A part quelques barres d'outils inutiles, rien de dangereux sur ton PC.

On verra plus tard !

* Télécharge Malwaresbytes anti malware ici
* Choisis la version -Download Now-
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
* Tu as un tuto si tu en as besoin : tuto

* Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

* /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
* Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
* Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
* Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
* Lorsque le scan est terminé clique sur "Afficher les résultats"
* Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

PS : Redémarre ta machine pour achever le nettoyage.

* Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou  pjoint

*  Envoie-moi le lien fourni dans ta prochaine réponse.

A+

ph423 · Answer

Bonjour cabrier,

C'est bien drole tout cela, car en parallele je suis en train de faire la mise a niveau vers Windows XP SP3! :P
J'eprouve de nombreux problemes et j'essaie tant bien que mal de progresser.
Voici ce que j'ai fait jusqu'a maintenant (je suis en cours de faire la demarche):

http://cjoint.com/?CHvvJmy3t2E

Donc je vais rebooter et continuer mes demarches.

Concernant MBAM, il est deja installe et mis a jour. Je ferai le scan une fois que j'ai mis a jour mon OS. Je vous donnerai des nouvelles lorsque j'en serai rendu la ;)

Merci!

cabrier · Answer

C'est quoi ton truc là ?

Tu t'est servi de Windows Update ?

Sinon :  http://www.microsoft.com/fr-fr/download/details.aspx?id=25129


Et si problème :

https://support.microsoft.com/en-us/help/2970908/how-to-use-microsoft-easy-fix-solutions


A+
 
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

ph423 · Answer

Le fichier que je vous ai envoye est en fait une description des etapes suivies afin de resoudre le probleme du Windows Update Installer, dont le resultat s'est avere negatif.
Ces manipulations n'auraient pas eu lieu d'etre si justement FixIt fonctionnait sur SP2. Il faut obligatoirement updater a SP3 pour qu'il fonctionne (je n'ai pas trouve de version anterieure qui gere la compatibilite avec SP2). 

Donc je vais sauter sur l'occasion du package pour SP3 xD
Si j'avais su que cela existait, ca m'aurait eviter bien des manipulations (raah la bon, j'ai pas a me plaindre; c'est pas super desagreable d'en apprendre un peu plus sur son ordinateur).

ph423

ph423 · Answer

Voici mon log de MBAM:
https://www.cjoint.com/?0Hwegy7C2oR

J'ai bel et bien effectue la mise a niveau vers SP3. Il me reste cependant a effectuer toutes les mises a jours de securite de Microsoft (galere) ainsi que les patchs critiques de Oracle Java. Merci encore pour ce lien au combien utile!

ph423

cabrier · Answer

ph423,

MBAM
Tu n'a pas fait "supprimer la sélection" dans les onglets, ce qui fait que tu n'as rien nettoyé :

C:\RECYCLER\S-1-5-21-1225391310-1367574455-808590265-1012\Dc355.exe (PUP.Optional.OpenCandy) -> No action taken. 

Donc relance MBAM et cette fois ---> Supprime !


Maintenant on va vérifier si tous les services fonctionnent :
Vérifions les services de Windows :

Télécharge Farbar Service Scanner sur ton Bureau.

* Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services

* Clique sur "Scan".
* Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur cijoint ou  pjoint et poste le lien obtenu en retour.

A+

ph423 · Answer

MBAM: Les elements ont etes supprimes. En fait j'attendais la confirmation pour supprime; mon ordinateur etait en mode sommeil avec la console de MBAM et le rapport toujours ouvert.

Rapport FSS.txt a partir du compte Administrateur
https://www.cjoint.com/?0HwpDqwDd0T

Rapport FSS4.txt a partir du compte *USERNAME*
https://www.cjoint.com/?0HwpENuK5oS

(Deux rapports car je ne suis pas sur s'il y a une difference d'un utilisateur a un autre lorsque l'on parle des services)

Merci,
ph423

cabrier · Answer

ph423,


Certains services ne fonctionnent pas :


? Télécharge Service Repair (Eset) sur ton Bureau.

? Exécute le, clique sur Yes dans la boite de dialogue.
? A la fin, clique sur Yes pour autoriser le redémarrage.
? L'outil va créer un dossier CC Support dans le dossier où l'outil a été exécuté.
? Héberge le rapport CC Support\Logs\SvcRepair.txt sur cijoint ou  pjoint et poste le lien obtenu en échange

------------------------------------------------------

Pour contrôle :

Refais une vérification des services Windows.
 
 a+

ph423 · Answer

Bonsoir cabrier,

CC Support/Logs/SvcRepair.txt
https://www.cjoint.com/?0Hxau34f7XR 

Scan ulterieur par FSS.exe
https://www.cjoint.com/?0HxawBuZJH0 

Merci encore de votre soutien technique,
ph423

cabrier · Answer

ph423



Un petit dernier ZHPDiag de contrôle ?

A+

ph423 · Answer

Bonjour Cabrier,

https://www.cjoint.com/?0HydyIT4dhf 

Merci!

cabrier · Answer

ph423,


Tu as encore une mise à jour de sécurité pour XP qui n'a pas été faite :
http://www.microsoft.com/fr-fr/download/details.aspx?id=29804

Avast 5 et Avast 8, tu as fait quoi ?
Si c'est la version free, désinstalle tout et refais une installation propre avec Avast 8 !

Un nom de dossier bizarre ici :
[HKLM\Software\1516] Tu connais ?

Par contre tu dois avoir quelques barres d'outils inutiles :
- Avast
- Yahoo
- Conduit
- Freemake
- Google
Tu veux garder tout ça ?

Attention a ce que tu télécharge par le P2P !


 Sinon rien de vraiment particulier.

A+

ph423 · Answer

Bonjour cabrier,

concernant la mise a jour, celle-ci a echoue, me donnant le rapport suivant:
https://www.cjoint.com/?0Hzqc4TLSeT 

De plus, le programme Belarc Advisor m'a donne la liste suivante de mise a jour de securite a effectuer:
https://www.cjoint.com/?0Hzp56Ockzf

Qu'en penses-tu?

Concernant avast!, je ne comprend pas pourquoi j'aurais eu deux versions differentes, car mon panneau de config en affichait qu'une (avast! 8). J'ai tout de meme desinstalle et reinstalle le tout.

Pour ce qui est du dossier suspect, je ne sais pas ce dont il s'agit.

En ce qui concerne les barres d'outils, je n'ai aucune barre d'outil sous Chrome et seulement Freemake sous Firefox (tout simplement parce que je ne peux pas la supprimer d'apres le menu des extensions). Par rapport a IE, j'en ai sincerement rien a faire.

Pour le P2P, j'en fais que tres rarement, mais je ferai plus attention a l'avenir.

Hier soir j'ai eu une anomalie. Mon ordinateur s'est allume de lui-meme, sans que je n'y fasse quoi que ce soit. Il s'est allume a 00:00 pile et n'a pas ensuite eu de comportement suspect (il a boote automatiquement sous Linux Ubuntu 12.04 - ce qui est normal compte-tenu de mon BIOS). Aurais-tu une idee de la raison pour laquelle ceci ce serait produit?

Merci encore pour ton soutien technique,
ph423

cabrier · Answer

ph423


Ton windows update fonctionne normalement ?

A+

ph423 · Answer

cabrier,

malheureusement, il semblerait que le site internet de windows update ne veuille pas trouver les mises a jour (barre de chargement interminable - plusieurs heures), et le service ne semble pas installer les mises a jour deja telechargees non plus.

ph423

cabrier · Answer

Bonjour ph423 Désolé j'ai du m'absenter. Effectivement certains services ne fonctionnent pas sur ton PC. - SharedAccess ---> Parefeu Télécharge : http://windowsxp.mvps.org/reg/shared access.reg. Sélectionne tout ---> Copier ----> Coller dans ton Bloc Note et Enregistre le sur le bureau sous le nom de shared.reg Maintenant double clic dessus et accepte la fusion. Redémarre ton PC. Démarrer ---> Exécuter ---> Tous les Programmes ---Accesssoires ----> Invite de commande. Dans la fenêtre "DOS" tape en respectant les espaces représentés par un point (?), Netsh? Firewall?Reset Valide par -------------------------- - Winmgmt 666Centre de sécurité Ouvre "DOS" (Démarrer/exécuter/CMD ), puis tape les commandes suivantes l'une après l'autre : cd /d %windir%\system32\wbem net stop ccmexec /y net stop sharedaccess /y net stop winmgmt /y rd /S /Q repository rundll32 wbemupgd, UpgradeRepository Nota : il se peut que certains services tels que CCMEXEC ou SHAREDACCESS n'existent pas sur ta configuration, ça ne posera pas de problème pour la suite de la réparation. Une fois que la dernière commande de réparation sera terminée, Redémarre. C'est tout. ------------------------------------ - wscsvc ----> Centre de Sécurité Télécharge le fichier wscsvc.txt : https://pjjoint.malekal.com/files.php?id=20130827_l9l69s7b10 sur ton bureau et renomme le en wscsvc.reg Double clic dessus, accepte la fusion. Redémarre ton PC. -------------------------------------- A+

ph423 · Answer

Vous ne me devez aucune excuse. J'apprecie grandement ce service que vous me rendez. Il me serait tres arrogant de vous imposer un horaire, alors que vous ne faites que vivre votre vie.
Si quelqu'un devrait s'excuser, ce serait bien moi, car je vous fait attendre alors que vous etes pret a continuer la demarche.

Depuis que j'ai effectue la derniere modification (celle precedant votre derniere reponse), j'ai observe les changements suivants:
1. Sous l'utilisateur *USERNAME*, une fenetre d'installateur s'ouvre d'elle meme pour tenter de reparer quelconque trouble associe au fax. Cette fenetre demande d'inserer un CD d'installation afin d'aller chercher les fichiers necessaires a la reparation. Pourtant, mon imprimante fonctionne bien (a priori). Cette fenetre ne peut etre fermee par le x ou en cliquant sur Annuler, car la procedure d'installation est relancee automatiquement. Je dois utiliser taskmgr.exe pour tuer l'application. Je n'ai pas le nom du processus en tete, mais si je me souviens bien, j'avais fait une recherche quant au danger probable de ce processus et il semble sur. La fenetre reapparait dans les 15 minutes suivant l'arret force du processus. D'autres fenetres d'installation plus rares font leur apparitions momentanement.
2. Sous l'utilisateur Administrateur, c'est une fenetre de Windows Installer vide qui s'affiche des le demarrage. Elle aussi doit etre terminee a l'aide de taskmgr.exe. Le processus en question est hpqtra08.exe. Elle ne se rallume pas cependant.
3. Le service "Themes" ne semble pas fonctionner de facon stable. En effet mon ordinateur afficher un GUI Win2k au lieu du GUI WinXP. J'ai remarque par le fait meme que mon GUI wanna be Win7 n'est plus disponible non plus, probablement desinstalle au cours de la reparation.
4. Mes musiques et alertes sonores Windows que j'avais remplacees par des alertes personnalisees ne sont plus toutes fonctionnelles. Certaines jouent les sons originaux de WinXP tandis que d'autres jouent les sons modifies. Pourtant, je n'ai pas effectue de modification dans les musiques depuis plus d'un an.

Suite aux modifications demandees dans votre derniere reponse, voici le diagnostique:
1. Voici un log cree a partir de cmd relatant les etapes effectuees:
http://www.cjoint.com/confirm.php?cjoint=0HFwn38MsHF
2. Apres l'installation de wscsvc.reg et le reboot, je remarque les symptomes de la desactivation du service d'appel de procedures distantes (RPC). Notamment, ma barre de langue est disparue et mes applications ne s'affichent pas dans la barre demarrer (et winword ne peut plus enregistrer pour x raison que j'ignore). explorer.exe fonctionne correctement et affiche le bureau sans probleme. J'ai tente de repartir le processus appel de procedures distantes dans la fenetre services.msc, mais celle-ci ne peut pas afficher correctement. Ensuite j'ai essaye cmd "net start rpcss", mais cela a echoue et cmd m'a renvoye la reponse suivante: "L'erreur systeme 1068 s'est produite".

Voila. En attente de votre reponse :)
Bonne journee!

Service RPC + SearchProtect by Conduit

23 réponses

Discussions similaires