Problème centre de sécurité - Possible infection ? Résolu/Fermé

Question

Bonjour,

Je crois avoir une infection sur l'ordinateur (Windows XP SP3). Voici les symptômes:

Lorsque je clique sur le Centre de sécurité dans le panneau de configuration, j'ai le message suivant: "Le Centre de sécurité est actuellement indisponible car le service Centre de sécurité n'a pas démarré ou a été arrêté."

Lorsque je passe par services.msc pour démarrer le Centre de sécurité, j'ai le message: "Impossible de démarrer le service Centre de sécurité sur Ordinateur local. Erreur 1068: Le service ou le groupe de dépendance n'a pas pu démarrer."

Parfois, en redémarrant l'ordinateur, le centre de sécurité est fonctionnel, mais j'ai un message qui me dit qu'aucun antivirus n'est installé (pourtant, j'ai Avast et il est fonctionnel).

De plus, Avast a bloqué un cheval de troie au moment où j'ai démarré l'ordinateur, et ce dernier est lent à ouvrir des logiciels. Parfois, des popup apparaissent sur internet.

Je poste le rapport HijackThis ci-dessous. Merci pour votre aide!

-------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:21:33, on 2013-08-27
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)


Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
D:\TVR\Scheduled.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSI\TV@Anywhere Utilities\P3XRCtl.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre7\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Famille\Bureau\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\Microsoft\BingBar\7.2.233.0\BingExt.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\7.2.233.0\BingExt.dll (file missing)
O3 - Toolbar: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PVR Agent] D:\TVR\Scheduled.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\RunOnce: [AvgRemover] C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\Content.IE5\CYDGOW18\avg_remover_stf_x86_2012_2125[1].exe /run_number=2 /avgdir="C:\Program Files\AVG\AVG8" /avgdatadir="C:\Documents and Settings\All Users\Application Data\avg8" /ndis_nextstep=1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-1275210071-1450960922-839522115-1006\..\Run: [PowerBar]  (User '?')
O4 - HKUS\S-1-5-21-1275210071-1450960922-839522115-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\MSI\TV@Anywhere Utilities\P3XRCtl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1353376239812
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: vToolbarUpdater14.0.1 - Unknown owner - C:\Program Files\Fichiers communs\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

End of file - 9057 bytes

Malekal_morte- · Answer

Salut,  


[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

GrifOli · Answer

Merci pour ton aide. Cependant, pendant le préscan, l'ordinateur redémarre subitement. Ça a fait cela les 2 fois où j'ai lancé RogueKiller. Est-ce normal?

GrifOli · Answer

Sur le bureau, il y a un dossier nommé RK_Quarantine et il y avait ce rapport à l'intérieur:

[00:00:0078]	***** Global Init *****
[00:00:0078]	Has crashed before : 1
[00:00:0078]	Create mutex : RogueKiller
[00:01:0141]	Mutex Created : 0x234
[00:01:0157]	Fill lists
[00:01:0157]	OS Language : French
[00:01:0172]	Take Privileges
[00:01:0172]	Modify Token
[00:01:0172]	Set priority to HIGH
[00:01:0188]	Getting Operating System
[00:01:0188]	Os Getted : Windows XP (5.1.2600 Service Pack 3) 32 bits version
[00:01:0188]	***** Global Init OK *****
[00:01:0188]	***** GUI Init *****
[00:01:0297]	***** GUI Init OK *****
[00:01:0297]	Get build number
[00:01:0297]	build number : RogueKiller(TM) v8.6.6 [Aug 19 2013] (x64 : 0)
[00:01:0297]	***** PreScan *****
[00:01:0313]	Clear ListViews
[00:01:0313]	[Check Window] TF_FloatingLangBar_WndTitle
[00:01:0313]	[Check Window] CiceroUIWndFrame
[00:01:0313]	[Check Window] SysFader
[00:01:0313]	[Check Window] Menu Démarrer
[00:01:0313]	[Check Window] ALSMTray
[00:01:0313]	[Check Window] Outils de désinfection
[00:01:0313]	[Check Window] RogueKiller(TM) v8.6.6
[00:01:0313]	[Check Window] ActiveMovie Window
[00:01:0313]	[Check Window] DDE Server Window
[00:01:0344]	[Check Window] Connections Tray
[00:01:0344]	[Check Window] WinAMRestoreWnd
[00:01:0344]	[Check Window] Jauge d'énergie
[00:01:0344]	[Check Window] LG Firmware Main Tray
[00:01:0344]	[Check Window] Remote Control
[00:01:0344]	[Check Window] HelperMsgListenerWnd
[00:01:0344]	[Check Window] .NET-BroadcastEventWindow.1.0.5000.0.4.0
[00:01:0344]	[Check Window] LG ODD Auto Firmware Update
[00:01:0360]	[Check Window] ATI video bios poller client
[00:01:0360]	[Check Window] ATI video bios poller
[00:01:0360]	[Check Window] 200
[00:01:0360]	[Check Window] MS_WebcheckMonitor
[00:01:0360]	[Check Window] Scheduled Recording Agent
[00:01:0360]	[Check Window] Scheduled Agent
[00:01:0360]	[Check Window] aswServ helper window
[00:01:0360]	[Check Window] SecureLineTrayIcon
[00:01:0360]	[Check Window] CAvastTrayIcon
[00:01:0360]	[Check Window] DDE Server Window
[00:01:0360]	[Check Window] Program Manager
[00:01:0360]	[Check Window] M
[00:01:0360]	[Check Window] Default IME
[00:01:0360]	[Check Window] Default IME
[00:01:0360]	[Check Window] Default IME
[00:01:0360]	[Check Window] M
[00:01:0360]	[Check Window] Default IME
[00:01:0375]	[Check Window] Default IME
[00:01:0375]	[Check Window] M
[00:01:0375]	[Check Window] Default IME
[00:01:0375]	[Check Window] Default IME
[00:01:0375]	[Check Window] Default IME
[00:01:0375]	[Check Window] Default IME
[00:01:0375]	[Check Window] Default IME
[00:01:0375]	[Check Window] Default IME
[00:01:0375]	[Check Window] Default IME
[00:01:0407]	[Check Window] Default IME
[00:01:0407]	[Check Window] Default IME
[00:01:0407]	[Check Window] Default IME
[00:01:0407]	[Check Window] M
[00:01:0407]	[Check Window] Default IME
[00:01:0407]	[Check Window] Default IME
[00:01:0407]	[Check Window] Default IME
[00:01:0422]	[Check Window] M
[00:01:0422]	[Check Window] Default IME
[00:01:0422]	[Check Processes] Service PID : 720
[01:03:0969]	[Check Processes] [0][_0] [System Process] : 
[01:03:0969]	[CHECK] WhiteDLL
[01:03:0969]	[CHECK] Whitelist
[01:03:0969]	[CHECK] WellKnown
[01:03:0969]	[Check Processes] [4][_0] System : 
[01:03:0969]	[CHECK] WhiteDLL
[01:03:0969]	[CHECK] Whitelist
[01:03:0969]	[CHECK] WellKnown
[01:03:0969]	[Check Processes] [600][_4] smss.exe : C:\WINDOWS\System32\smss.exe
[01:03:0969]	[CHECK] WhiteDLL
[01:03:0969]	[CHECK] Whitelist
[01:03:0985]	[CHECK] WellKnown
[01:03:0985]	[CHECK] WhitelistPath
[01:03:0985]	[CHECK] HijackName
[01:03:0985]	[Check Processes] _KILLING_ [600] smss.exe {HJNAME:}
[01:03:0985]	[KILL] Trying to kill...
[01:03:0985]	[KILL] Try TerminateProcess...
[01:03:0985]	[KILL] Open Snap...
[01:03:0985]	[KILL] Snap -> 0x2b0
[01:03:0985]	[KILL] Terminate process...
[01:03:0985]	[KILL] OK!
[01:03:0985]	[KILL] Killed : 1
[01:03:0985]	[KILL] Kill finished : 1
[01:03:0985]	[KILL] [600] smss.exe -> TUÉ [TermProc]

Malekal_morte- · Answer

Ce n'est pas le rapport de suppression de RogueKiller. 
y a un bouton rapport à droite.

GrifOli · Answer

J'ai essayé en mode sans échec avec prise en charge réseau et avec le mode sans échec ordinaire, mais dans les deux cas, dès que RogueKiller tue le processus smss.exe, l'ordinateur redémarre encore subitement... as-tu une autre solution?

Malekal_morte- · Answer

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

GrifOli · Answer

Aucun malware trouvé.

Voici le rapport complet:

https://pjjoint.malekal.com/files.php?id=20130902_c15j10v14w9y15


--------------------------------------

Et voici ce rapport également:

Malwarebytes Anti-Rootkit BETA 1.07.0.1005
www.malwarebytes.org

Database version: v2013.09.02.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Famille :: REV-758140C981C [administrator]

2013-09-02 16:28:53
mbar-log-2013-09-02 (16-28-53).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 278340
Time elapsed: 24 minute(s), 

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Malekal_morte- · Answer

Passe un coup d'Eset Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=

vois ce que cela donne.

Menu Démarrer, dans la barre de recherche, tape services.msc
Dans la liste, est-ce que les deux services suivants sont démarrés ?
+ Appel de procédure distante (RPC) 
+ Infrastructure de gestion Windows  

Si c'est pas le cas, clic droit / démarrer, ça passe ?

GrifOli · Answer

J'ai passé Eset Repair, j'ai redémarré l'ordinateur, j'ai vérifié dans la liste de services.msc, Appel de procédure distante (RPC) est démarré, mais Infrastructure de gestion Windows ne l'est pas. Lorsque je tente de le démarrer, j'ai le message suivant:

"Impossible de démarrer le service Infrastructure de gestion Windows sur Ordinateur local. Erreur 126: le module spécifié est introuvable".

GrifOli · Answer

Salut,

Finalement, j'ai perdu patience avec les lenteurs de l'ordinateur et d'autres problèmes liés à la lecture de DVD. Bref, j'ai formatté le disque dur et j'ai réinstallé Windows XP Édition familiale. Tout fonctionne à merveille maintenant, incluant le Centre de sécurité de Windows.

Merci pour ton aide!

Malekal_morte- · Answer

ok :)

Problème centre de sécurité - Possible infection ?

11 réponses

Discussions similaires