Service RPC + SearchProtect by Conduit
ph423
Messages postés
15
Statut
Membre
-
ph423 Messages postés 15 Statut Membre -
ph423 Messages postés 15 Statut Membre -
Bonjour à tous,
J'ai été infecté par SearchProtect de Conduit (découvert par diagnostique de Hijackthis), et je le suspecte d'avoir désactiver le service RPC, ainsi que plusieurs autres. Mon système d'opération fonctionne correctement (malgré le fait qu'il empire de minute en minute), ne présentant pas les problèmes récurrents lors de la désactivation du service RPC. Cependant, en ouvrant la fenêtre des services, j'ai bien vu que RPC était désactivé. Je l'ai ainsi réactivé (automatique), obtenant le message « Le service Plug and Play ou un autre service sont indisponibles ». J'ai ensuite vérifié l'état des autres services et réactivé les services importants (selon mes connaissances relativement limitées).
Après recherches, j'ai découvert que SearchProtect ne pouvait pas être supprimé en mode de démarrage normal, car lorsque actif, il peut se répliquer dans une autre clé de registre s'il voit qu'il est attaqué.
Afin de m'assurer de bien le supprimer, j'ai tenté de transferrer au mode diagnostique, mais msconfig ne fonctionne plus car mes droits d'administrateur m'ont été subjugués (même sous le profil administrateur intégré à la config).
J'ai présentement tous les outils (je pense) qui me seront nécessaire pour détruire la menace une fois en safe boot (MalwareBytes, SuperAntiMalware, AdwCleaner, HijackThis, EEK).
Peut-être que ces deux problèmes ne sont pas reliés, mais dans tous les cas, je vous demande votre aide, afin que je puisse apprendre un peu plus sur les ordinateurs tout en réparant cette galère.
Il serait bon de considérer que j'ai des images de backup (incrémentées et pleines) au cas où rien ne vient à bout de mes problèmes. Cependant, c'est une solution de dernier recours.
Donc je m'en tiens à votre aide! Merci de votre soutien technique!
Cordialement,
ph423
A voir également:
- Service RPC + SearchProtect by Conduit
- Service spouleur - Guide
- To be filled by o.e.m - Forum Windows
- Customer service epoch ✓ - Forum Vos droits sur internet
- Numéro service client orange - Guide
- Message bounced by administrator - Forum Mail
23 réponses
cabrier,
malheureusement, il semblerait que le site internet de windows update ne veuille pas trouver les mises a jour (barre de chargement interminable - plusieurs heures), et le service ne semble pas installer les mises a jour deja telechargees non plus.
ph423
malheureusement, il semblerait que le site internet de windows update ne veuille pas trouver les mises a jour (barre de chargement interminable - plusieurs heures), et le service ne semble pas installer les mises a jour deja telechargees non plus.
ph423
Bonjour ph423
Désolé j'ai du m'absenter.
Effectivement certains services ne fonctionnent pas sur ton PC.
- SharedAccess ---> Parefeu
Télécharge : http://windowsxp.mvps.org/reg/shared access.reg.
Sélectionne tout ---> Copier ----> Coller dans ton Bloc Note et Enregistre le sur le bureau sous le nom de shared.reg
Maintenant double clic dessus et accepte la fusion.
Redémarre ton PC.
Démarrer ---> Exécuter ---> Tous les Programmes ---Accesssoires ----> Invite de commande.
Dans la fenêtre "DOS" tape en respectant les espaces représentés par un point (?), Netsh? Firewall?Reset
Valide par <Entrée>
--------------------------
- Winmgmt 666Centre de sécurité
Ouvre "DOS" (Démarrer/exécuter/CMD <entrée>), puis tape les commandes suivantes l'une après l'autre :
cd /d %windir%\system32\wbem <entrée>
net stop ccmexec /y <entrée>
net stop sharedaccess /y <entrée>
net stop winmgmt /y <entrée>
rd /S /Q repository <entrée>
rundll32 wbemupgd, UpgradeRepository <entrée>
Nota : il se peut que certains services tels que CCMEXEC ou SHAREDACCESS n'existent pas sur ta configuration, ça ne posera pas de problème pour la suite de la réparation.
Une fois que la dernière commande de réparation sera terminée, Redémarre. C'est tout.
------------------------------------
- wscsvc ----> Centre de Sécurité
Télécharge le fichier wscsvc.txt :
https://pjjoint.malekal.com/files.php?id=20130827_l9l69s7b10
sur ton bureau et renomme le en wscsvc.reg
Double clic dessus, accepte la fusion.
Redémarre ton PC.
--------------------------------------
A+
Désolé j'ai du m'absenter.
Effectivement certains services ne fonctionnent pas sur ton PC.
- SharedAccess ---> Parefeu
Télécharge : http://windowsxp.mvps.org/reg/shared access.reg.
Sélectionne tout ---> Copier ----> Coller dans ton Bloc Note et Enregistre le sur le bureau sous le nom de shared.reg
Maintenant double clic dessus et accepte la fusion.
Redémarre ton PC.
Démarrer ---> Exécuter ---> Tous les Programmes ---Accesssoires ----> Invite de commande.
Dans la fenêtre "DOS" tape en respectant les espaces représentés par un point (?), Netsh? Firewall?Reset
Valide par <Entrée>
--------------------------
- Winmgmt 666Centre de sécurité
Ouvre "DOS" (Démarrer/exécuter/CMD <entrée>), puis tape les commandes suivantes l'une après l'autre :
cd /d %windir%\system32\wbem <entrée>
net stop ccmexec /y <entrée>
net stop sharedaccess /y <entrée>
net stop winmgmt /y <entrée>
rd /S /Q repository <entrée>
rundll32 wbemupgd, UpgradeRepository <entrée>
Nota : il se peut que certains services tels que CCMEXEC ou SHAREDACCESS n'existent pas sur ta configuration, ça ne posera pas de problème pour la suite de la réparation.
Une fois que la dernière commande de réparation sera terminée, Redémarre. C'est tout.
------------------------------------
- wscsvc ----> Centre de Sécurité
Télécharge le fichier wscsvc.txt :
https://pjjoint.malekal.com/files.php?id=20130827_l9l69s7b10
sur ton bureau et renomme le en wscsvc.reg
Double clic dessus, accepte la fusion.
Redémarre ton PC.
--------------------------------------
A+
Vous ne me devez aucune excuse. J'apprecie grandement ce service que vous me rendez. Il me serait tres arrogant de vous imposer un horaire, alors que vous ne faites que vivre votre vie.
Si quelqu'un devrait s'excuser, ce serait bien moi, car je vous fait attendre alors que vous etes pret a continuer la demarche.
Depuis que j'ai effectue la derniere modification (celle precedant votre derniere reponse), j'ai observe les changements suivants:
1. Sous l'utilisateur *USERNAME*, une fenetre d'installateur s'ouvre d'elle meme pour tenter de reparer quelconque trouble associe au fax. Cette fenetre demande d'inserer un CD d'installation afin d'aller chercher les fichiers necessaires a la reparation. Pourtant, mon imprimante fonctionne bien (a priori). Cette fenetre ne peut etre fermee par le x ou en cliquant sur Annuler, car la procedure d'installation est relancee automatiquement. Je dois utiliser taskmgr.exe pour tuer l'application. Je n'ai pas le nom du processus en tete, mais si je me souviens bien, j'avais fait une recherche quant au danger probable de ce processus et il semble sur. La fenetre reapparait dans les 15 minutes suivant l'arret force du processus. D'autres fenetres d'installation plus rares font leur apparitions momentanement.
2. Sous l'utilisateur Administrateur, c'est une fenetre de Windows Installer vide qui s'affiche des le demarrage. Elle aussi doit etre terminee a l'aide de taskmgr.exe. Le processus en question est hpqtra08.exe. Elle ne se rallume pas cependant.
3. Le service "Themes" ne semble pas fonctionner de facon stable. En effet mon ordinateur afficher un GUI Win2k au lieu du GUI WinXP. J'ai remarque par le fait meme que mon GUI wanna be Win7 n'est plus disponible non plus, probablement desinstalle au cours de la reparation.
4. Mes musiques et alertes sonores Windows que j'avais remplacees par des alertes personnalisees ne sont plus toutes fonctionnelles. Certaines jouent les sons originaux de WinXP tandis que d'autres jouent les sons modifies. Pourtant, je n'ai pas effectue de modification dans les musiques depuis plus d'un an.
Suite aux modifications demandees dans votre derniere reponse, voici le diagnostique:
1. Voici un log cree a partir de cmd relatant les etapes effectuees:
http://www.cjoint.com/confirm.php?cjoint=0HFwn38MsHF
2. Apres l'installation de wscsvc.reg et le reboot, je remarque les symptomes de la desactivation du service d'appel de procedures distantes (RPC). Notamment, ma barre de langue est disparue et mes applications ne s'affichent pas dans la barre demarrer (et winword ne peut plus enregistrer pour x raison que j'ignore). explorer.exe fonctionne correctement et affiche le bureau sans probleme. J'ai tente de repartir le processus appel de procedures distantes dans la fenetre services.msc, mais celle-ci ne peut pas afficher correctement. Ensuite j'ai essaye cmd "net start rpcss", mais cela a echoue et cmd m'a renvoye la reponse suivante: "L'erreur systeme 1068 s'est produite".
Voila. En attente de votre reponse :)
Bonne journee!
Si quelqu'un devrait s'excuser, ce serait bien moi, car je vous fait attendre alors que vous etes pret a continuer la demarche.
Depuis que j'ai effectue la derniere modification (celle precedant votre derniere reponse), j'ai observe les changements suivants:
1. Sous l'utilisateur *USERNAME*, une fenetre d'installateur s'ouvre d'elle meme pour tenter de reparer quelconque trouble associe au fax. Cette fenetre demande d'inserer un CD d'installation afin d'aller chercher les fichiers necessaires a la reparation. Pourtant, mon imprimante fonctionne bien (a priori). Cette fenetre ne peut etre fermee par le x ou en cliquant sur Annuler, car la procedure d'installation est relancee automatiquement. Je dois utiliser taskmgr.exe pour tuer l'application. Je n'ai pas le nom du processus en tete, mais si je me souviens bien, j'avais fait une recherche quant au danger probable de ce processus et il semble sur. La fenetre reapparait dans les 15 minutes suivant l'arret force du processus. D'autres fenetres d'installation plus rares font leur apparitions momentanement.
2. Sous l'utilisateur Administrateur, c'est une fenetre de Windows Installer vide qui s'affiche des le demarrage. Elle aussi doit etre terminee a l'aide de taskmgr.exe. Le processus en question est hpqtra08.exe. Elle ne se rallume pas cependant.
3. Le service "Themes" ne semble pas fonctionner de facon stable. En effet mon ordinateur afficher un GUI Win2k au lieu du GUI WinXP. J'ai remarque par le fait meme que mon GUI wanna be Win7 n'est plus disponible non plus, probablement desinstalle au cours de la reparation.
4. Mes musiques et alertes sonores Windows que j'avais remplacees par des alertes personnalisees ne sont plus toutes fonctionnelles. Certaines jouent les sons originaux de WinXP tandis que d'autres jouent les sons modifies. Pourtant, je n'ai pas effectue de modification dans les musiques depuis plus d'un an.
Suite aux modifications demandees dans votre derniere reponse, voici le diagnostique:
1. Voici un log cree a partir de cmd relatant les etapes effectuees:
http://www.cjoint.com/confirm.php?cjoint=0HFwn38MsHF
2. Apres l'installation de wscsvc.reg et le reboot, je remarque les symptomes de la desactivation du service d'appel de procedures distantes (RPC). Notamment, ma barre de langue est disparue et mes applications ne s'affichent pas dans la barre demarrer (et winword ne peut plus enregistrer pour x raison que j'ignore). explorer.exe fonctionne correctement et affiche le bureau sans probleme. J'ai tente de repartir le processus appel de procedures distantes dans la fenetre services.msc, mais celle-ci ne peut pas afficher correctement. Ensuite j'ai essaye cmd "net start rpcss", mais cela a echoue et cmd m'a renvoye la reponse suivante: "L'erreur systeme 1068 s'est produite".
Voila. En attente de votre reponse :)
Bonne journee!
