Votre question
Résolu

impossible de demarrer le centre de securite + redirection sur des pages bizarres lors de la navigation internet

Tags :
  • redirection
  • centre de sécurité
  • Navigation
  • Sécurité
  • Internet
Dernière réponse : dans Sécurité et virus
27 Février 2013 18:46:19

Bonjour, ca fait une semaine que je ne peux plus activer le pare feu de windows 7 ( 64b). Et depuis, à chaque fois que je navigue sur internet, je suis redirigé sur des pages louches... ca sent le zeroaccess à plein nez, mais j'ai pas trouvé la parade... si une bonne ame veut m'aider, ce serait vraiment sympa.

Autres pages sur : impossible demarrer centre securite redirection pages bizarres navigation internet

a c 1009 8 Sécurité
a c 273 2 Internet
27 Février 2013 19:06:20

Bonjour,

Citation :
ca sent le zeroaccess à plein nez


Oui, comme tu dis :) 

On va vérifier le système :

OTL :

  • Télécharge OTL de OldTimer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Coche la case Tous les utilisateurs
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
    netsvcs
    safebootminimal
    safebootnetwork
    msconfig
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\Tasks\*.* /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique ensuite sur Analyse et patiente le temps du scan



  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont sauvegardés sur le Bureau.


  • ----------------------------------------------------------------------------------------------

    RogueKiller :

    • Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Patiente le temps du Prescan, puis clique sur Scan

    • Clique sur Rapport et poste ce rapport dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • RogueKiller-Recherche


  • @+

    m
    0
    l
    27 Février 2013 23:30:12

    tout d'abord un grand merci de t'etre penchée sur mon probleme.
    J'ai procédé comme tu l'as demandé.
    Voici le lien pour le rapport OTL
    http://security-x.fr/up/file.php?h=R2244fa54a6d61ae3a65...
    Celui pour le rapport Extra
    http://security-x.fr/up/file.php?h=R8a5c2d35d57497d6898...
    Enfin, le rapport RK :
    RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueK...
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : admin [Droits d'admin]
    Mode : Recherche -- Date : 27/02/2013 23:21:07
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [Microsoft][HJNAME] notepad.exe -- C:\Windows\System32\notepad.exe [7] -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
    [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts



    ¤¤¤ MBR Verif: ¤¤¤

    J'attends de tes nouvelles, si tu veux bien.
    m
    0
    l
    Contenus similaires
    a c 1009 8 Sécurité
    a c 273 2 Internet
    28 Février 2013 09:03:57

    Bonjour,

    Merci pour les rapports.

    On continue.

    ---------------------------------------------------------------------------------------------

    TDSSKiller :

    • Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
    • Double-clique sur TDSSKiller.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
      Il faut le valider en cliquant sur Reboot now.
    • Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
      L'outil TDSSKiller se relance.
    • Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
    • Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
    • En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
      - Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
      - Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
      - Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
      - Si Suspicious object est indiqué, l'option Skip soit cochée
    • Clique ensuite sur Continue, puis clique sur Reboot computer (si l'option est proposée)
    • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
      Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt


  • Tutoriel d'utilisation TDSSKiller en images

    ---------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL) (Sélectionner -> Clic-droit -> Copier)
      :OTL
      O2:[b]64bit:[/b] - BHO: (Top Affaires) - {2E5630C2-CF58-43c8-85E6-31BDE8300D9C} - c:\NP\ie\64\TopAffairesTB.dll File not found
      O2 - BHO: (no name) - {F74E10BB-A169-4399-B121-183935962F67} - No CLSID value found.
      [2013/02/26 14:37:55 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
      [2013/02/26 14:37:17 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Wise Installation Wizard
      [2013/02/22 14:21:14 | 000,159,744 | RHS- | C] () -- C:\Windows\SysWow64\stclienti.dll
      [2013/02/22 14:21:14 | 000,000,310 | ---- | C] () -- C:\Windows\tasks\mxihv.job
      [2011/03/04 19:35:15 | 002,405,880 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02463.0
      [2011/03/04 19:35:15 | 000,646,112 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02463.JPG
      [2011/03/04 19:34:55 | 000,912,854 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02462.JPG
      [2011/03/04 19:34:54 | 002,494,011 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02462.0
      [2011/03/04 19:32:40 | 002,752,213 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02469.0
      [2011/03/04 19:32:40 | 000,637,929 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02469.JPG
      [2011/03/04 19:13:01 | 002,850,426 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02807.0
      [2011/03/04 19:13:01 | 000,929,851 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02807.JPG
      [2011/03/04 19:06:50 | 002,753,537 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02762.0
      [2011/03/04 19:06:50 | 000,789,752 | ---- | C] () -- C:\Users\admin\AppData\Local\tmpDSC02762.JPG
      [2012/05/26 20:22:46 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Babylon

      :files
      ipconfig /flushdns /c

      :Commands
      [EMPTYTEMP]
      [CREATERESTOREPOINT]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction



    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Ensuite tu relances OTL pour effectuer cette recherche :

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur le bouton Aucun (écrit en gris)
    • Dans le cadre Personnalisation, copie-colle ce qui suit
      /md5start
      notepad.exe
      /md5stop

    • Clique ensuite sur Analyse et patiente le temps du scan
    • Poste le contenu du nouveau rapport OTL.txt dans ta prochaine réponse.


  • ----------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • TDSSKiller.Version_Date_Heure_log.txt
    • C:\_OTL\MovedFiles\********_******.log
    • nouveau OTL.txt


  • @+
    m
    0
    l
    1 Mars 2013 00:21:22

    Bonjour, voici le lien pour le rapport tdsskiller:
    http://security-x.fr/up/file.php?h=Rff16a134fdea2e537b9...



    Le rapport OTL moved files:
    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F74E10BB-A169-4399-B121-183935962F67}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F74E10BB-A169-4399-B121-183935962F67}\ not found.
    C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.
    C:\Program Files\Enigma Software Group\SpyHunter\Data folder moved successfully.
    C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.
    C:\Program Files\Enigma Software Group folder moved successfully.
    C:\Program Files (x86)\Common Files\Wise Installation Wizard folder moved successfully.
    C:\Windows\SysWOW64\stclienti.dll moved successfully.
    C:\Windows\Tasks\mxihv.job moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02463.0 moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02463.JPG moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02462.JPG moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02462.0 moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02469.0 moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02469.JPG moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02807.0 moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02807.JPG moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02762.0 moved successfully.
    C:\Users\admin\AppData\Local\tmpDSC02762.JPG moved successfully.
    C:\Users\admin\AppData\Roaming\Babylon folder moved successfully.
    ========== FILES ==========
    < ipconfig /flushdns /c >
    Configuration IP de Windows
    Cache de r‚solution DNS vid‚.
    C:\Users\admin\Desktop\cmd.bat deleted successfully.
    C:\Users\admin\Desktop\cmd.txt deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: admin
    ->Temp folder emptied: 4741486 bytes
    ->Temporary Internet Files folder emptied: 580911 bytes
    ->FireFox cache emptied: 4951004 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 54129 bytes

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 402 bytes
    ->Flash cache emptied: 53632 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 47930 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 10,00 mb

    Restore point Set: OTL Restore Point

    OTL by OldTimer - Version 3.2.69.0 log created on 02282013_235510

    Files\Folders moved on Reboot...
    C:\Users\admin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...


    Et enfin le rapport OTL:
    OTL logfile created on: 01/03/2013 00:00:22 - Run 2
    OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\admin\Desktop
    64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.7601.17514)
    Locale: 0000040c | Country: France | Language: FRA | Date Format: dd/MM/yyyy

    4,00 Gb Total Physical Memory | 2,62 Gb Available Physical Memory | 65,62% Memory free
    8,00 Gb Paging File | 6,17 Gb Available in Paging File | 77,19% Paging File free
    Paging file location(s): ?:\pagefile.sys [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
    Drive C: | 684,64 Gb Total Space | 629,40 Gb Free Space | 91,93% Space Free | Partition Type: NTFS
    Drive D: | 13,90 Gb Total Space | 2,45 Gb Free Space | 17,63% Space Free | Partition Type: NTFS

    Computer Name: HP6212 | User Name: admin | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

    ========== Custom Scans ==========

    < MD5 for: NOTEPAD.EXE >
    [2009/07/14 02:14:27 | 000,179,712 | ---- | M] (Microsoft Corporation) MD5=D378BFFB70923139D6A4F546864AA61C -- C:\Windows\SysWOW64\notepad.exe
    [2009/07/14 02:14:27 | 000,179,712 | ---- | M] (Microsoft Corporation) MD5=D378BFFB70923139D6A4F546864AA61C -- C:\Windows\winsxs\wow64_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_d5642974be118415\notepad.exe
    [2009/07/14 02:39:25 | 000,193,536 | ---- | M] (Microsoft Corporation) MD5=F2C7BB8ACC97F92E987A2D4087D021B1 -- C:\Windows\notepad.exe
    [2009/07/14 02:39:25 | 000,193,536 | ---- | M] (Microsoft Corporation) MD5=F2C7BB8ACC97F92E987A2D4087D021B1 -- C:\Windows\SysNative\notepad.exe
    [2009/07/14 02:39:25 | 000,193,536 | ---- | M] (Microsoft Corporation) MD5=F2C7BB8ACC97F92E987A2D4087D021B1 -- C:\Windows\winsxs\amd64_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_cb0f7f2289b0c21a\notepad.exe
    [2009/07/14 02:39:25 | 000,193,536 | ---- | M] (Microsoft Corporation) MD5=F2C7BB8ACC97F92E987A2D4087D021B1 -- C:\Windows\winsxs\amd64_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_9ebebe8614be1470\notepad.exe

    < End of report >
    m
    0
    l
    a c 1009 8 Sécurité
    a c 273 2 Internet
    1 Mars 2013 08:54:21

    Bonjour,

    OK pour les rapports.

    Comment se comporte le système maintenant ?
    Toujours des redirections ?


    Nous allons vérifier l'état des services :

    ---------------------------------------------------------------------------------------------

    Farbar Service Scanner :

    • Télécharge Farbar Service Scanner et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône FSS.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Coche toutes les options et clique sur Scan

    • Poste le rapport FSS.txt dans ta prochaine réponse.


  • ---------------------------------------------------------------------------------------------

    Est attendu le rapport FSS.txt

    @+

    m
    0
    l
    1 Mars 2013 09:37:13

    Bonjour, il semble que les redirections ont disparu. En revanche, toujours impossible d'activer le pare feu de windows.
    Voici le rapport de Farbar service scanner:

    Farbar Service Scanner Version: 20-02-2013
    Ran by admin (administrator) on 01-03-2013 at 09:34:59
    Running from "C:\Users\admin\Desktop"
    Windows 7 Home Premium Service Pack 1 (X64)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.
    IE proxy is enabled.



    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Action Center:
    ============
    wscsvc Service is not running. Checking service configuration:
    The start type of wscsvc service is set to Disabled. The default start type is Auto.
    The ImagePath of wscsvc service is OK.
    The ServiceDll of wscsvc service is OK.


    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Windows Defender:
    ==============
    WinDefend Service is not running. Checking service configuration:
    The start type of WinDefend service is set to Disabled. The default start type is Auto.
    The ImagePath of WinDefend service is OK.
    The ServiceDll of WinDefend service is OK.


    Windows Defender Disabled Policy:
    ==========================
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
    "DisableAntiSpyware"=DWORD:1


    Other Services:
    ==============


    File Check:
    ========
    C:\Windows\System32\nsisvc.dll => MD5 is legit
    C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\System32\dhcpcore.dll => MD5 is legit
    C:\Windows\System32\drivers\afd.sys => MD5 is legit
    C:\Windows\System32\drivers\tdx.sys => MD5 is legit
    C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
    C:\Windows\System32\dnsrslvr.dll => MD5 is legit
    C:\Windows\System32\mpssvc.dll => MD5 is legit
    C:\Windows\System32\bfe.dll => MD5 is legit
    C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\System32\SDRSVC.dll => MD5 is legit
    C:\Windows\System32\vssvc.exe => MD5 is legit
    C:\Windows\System32\wscsvc.dll => MD5 is legit
    C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
    C:\Windows\System32\wuaueng.dll => MD5 is legit
    C:\Windows\System32\qmgr.dll => MD5 is legit
    C:\Windows\System32\es.dll => MD5 is legit
    C:\Windows\System32\cryptsvc.dll => MD5 is legit
    C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
    C:\Windows\System32\ipnathlp.dll => MD5 is legit
    C:\Windows\System32\iphlpsvc.dll => MD5 is legit
    C:\Windows\System32\svchost.exe => MD5 is legit
    C:\Windows\System32\rpcss.dll => MD5 is legit


    **** End of log ****
    m
    0
    l
    a c 1009 8 Sécurité
    a c 273 2 Internet
    1 Mars 2013 09:46:52

    Re,

    Citation :
    il semble que les redirections ont disparu


    Une bonne nouvelle donc :) 


    Citation :
    En revanche, toujours impossible d'activer le pare feu de windows


    On va tenter de réparer avec cet outil :

    ---------------------------------------------------------------------------------------------

    Services Repair :

    • Télécharge Services Repair de Eset et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur ServicesRepair.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Valide par Yes pour confirmer le lancement de l'outil
    • Laisse l'outil travailler (cela peut prendre quelques minutes)
    • Valide par Yes pour redémarrer le PC
    • Au redémarrage, le dossier CC Support a été crée sur ton bureau
    • Poste le rapport SvcRepair.txt, qui se trouve dans CC Support\Logs dans ta prochaine réponse


  • ---------------------------------------------------------------------------------------------

    Ensuite tu relances Farbar Service Scanner pour générer un nouveau rapport FSS.txt

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • SvcRepair.txt
    • FSS.txt


  • @+
    m
    0
    l
    1 Mars 2013 12:09:21

    Voici le rapport se service repair:

    Log Opened: 2013-03-01 @ 12:00:12
    12:00:12 - -----------------
    12:00:12 - | Begin Logging |
    12:00:12 - -----------------
    12:00:12 - Fix started on a WIN_7 X64 computer
    12:00:12 - Prep in progress. Please Wait.
    12:00:13 - Prep complete
    12:00:13 - Repairing Services Now. Please wait...
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\BFE.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\SubLayer>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\Provider>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\Filter>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\BootTime\Filter>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\BootTime>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\BITS.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Performance>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\iphlpsvc.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Teredo>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Teredo\{FA88062C-9A61-4C1E-AC45-7143F8F01AAD}>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Teredo>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Isatap\{8AD2FB26-F91E-44F1-9B24-3C0AE56C9CE0}>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Isatap>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\IPHTTPS>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Interfaces>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\config>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\MpsSvc.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\Teredo>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\DHCP>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\SharedAccess.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\GloballyOpenPorts>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\AuthorizedApplications>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Epoch2>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Epoch>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\WinDefend.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\TriggerInfo\0>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\TriggerInfo>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\wscsvc.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\wuauserv.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv>

    SetACL finished successfully.
    12:00:14 - Services Repair Complete.
    12:01:21 - Reboot Initiated
    m
    0
    l
    1 Mars 2013 12:10:10

    et le rapport FSS:
    Farbar Service Scanner Version: 20-02-2013
    Ran by admin (administrator) on 01-03-2013 at 12:05:04
    Running from "C:\Users\admin\Desktop"
    Windows 7 Home Premium Service Pack 1 (X64)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.
    IE proxy is enabled.



    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Action Center:
    ============

    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Windows Defender:
    ==============
    WinDefend Service is not running. Checking service configuration:
    The start type of WinDefend service is set to Demand. The default start type is Auto.
    The ImagePath of WinDefend service is OK.
    The ServiceDll of WinDefend service is OK.


    Windows Defender Disabled Policy:
    ==========================
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
    "DisableAntiSpyware"=DWORD:1


    Other Services:
    ==============


    File Check:
    ========
    C:\Windows\System32\nsisvc.dll => MD5 is legit
    C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\System32\dhcpcore.dll => MD5 is legit
    C:\Windows\System32\drivers\afd.sys => MD5 is legit
    C:\Windows\System32\drivers\tdx.sys => MD5 is legit
    C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
    C:\Windows\System32\dnsrslvr.dll => MD5 is legit
    C:\Windows\System32\mpssvc.dll => MD5 is legit
    C:\Windows\System32\bfe.dll => MD5 is legit
    C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\System32\SDRSVC.dll => MD5 is legit
    C:\Windows\System32\vssvc.exe => MD5 is legit
    C:\Windows\System32\wscsvc.dll => MD5 is legit
    C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
    C:\Windows\System32\wuaueng.dll => MD5 is legit
    C:\Windows\System32\qmgr.dll => MD5 is legit
    C:\Windows\System32\es.dll => MD5 is legit
    C:\Windows\System32\cryptsvc.dll => MD5 is legit
    C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
    C:\Windows\System32\ipnathlp.dll => MD5 is legit
    C:\Windows\System32\iphlpsvc.dll => MD5 is legit
    C:\Windows\System32\svchost.exe => MD5 is legit
    C:\Windows\System32\rpcss.dll => MD5 is legit


    **** End of log ****
    m
    0
    l
    a c 1009 8 Sécurité
    a c 273 2 Internet
    1 Mars 2013 12:20:29

    Re,

    OK, il y a donc une amélioration sur le dernier rapport FSS.

    Tu as tenté de réactiver le Centre de Sécurité ?

    @+
    m
    0
    l
    4 Mars 2013 10:04:56

    Le centre de securité est accessible et le pare feu s'active normalement. Tout a l'air nickel. Un grand MERCI.
    m
    0
    l
    a c 1009 8 Sécurité
    a c 273 2 Internet
    4 Mars 2013 11:18:48

    Bonjour,

    Citation :
    Le centre de securité est accessible et le pare feu s'active normalement. Tout a l'air nickel.


    Très bonne nouvelle donc :) 

    Avant de finaliser, nous allons nous occuper de la mise à jour des applications sensibles aux failles de sécurité.

    ---------------------------------------------------------------------------------------------

    Mets à jour Firefox :

    Télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

    ---------------------------------------------------------------------------------------------

    Mise à jour d'Internet Explorer :

    Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE10.
    Téléchargez Internet Explorer 10

    ---------------------------------------------------------------------------------------------

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
    • Poste le rapport_SX.txt dans ta prochaine réponse.


  • Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport_SX.txt

    @+
    m
    0
    l
    5 Mars 2013 11:49:11

    Bonjour, j'ai suivi tes indications.
    Voici le rapport SX:
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : admin
    05/03/2013
    11:45:17
    version = v0.3.2
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer Plugin FF
    Version : 11.6.602.171
    Flash Player Plugin FF est à jour

    Name : FlashPlayer Plugin
    Version : 11.6.602.171
    Flash Player Plugin est à jour

    Nom : Google Chrome
    Version : 25.0.1364.97

    Nom : Mozilla Firefox 19.0 (x86 fr)
    Version : 19.0

    Nom : Adobe Reader X (10.1.6) - Français
    Version : 10.1.6
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.10.9200.16521

    m
    0
    l

    Meilleure solution

    a c 1009 8 Sécurité
    a c 273 2 Internet
    5 Mars 2013 12:14:26

    Bonjour,

    C'est parfait, nous allons donc pouvoir finaliser la procédure.

    ---------------------------------------------------------------------------------------------

    Purge points de restauration :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous

      :Commands
      [CLEARALLRESTOREPOINTS]
      [EMPTYTEMP]

    • Colle l'intégralité du code dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction
    • Si l'outil te demande de redémarrer le PC, tu acceptes


  • ---------------------------------------------------------------------------------------------

    Désinstallation des outils utilisés :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Purge d'outils



    • Valide l'avertissement par OK et laisse le pc redémarrer


    • Supprime SXCU et Services Repair de ton Bureau
    • Supprime tous les rapports générés restants


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
      Pourquoi et comment je me fais infecter ?

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu

      /!\ Par précaution, change tous tes mots de passe


    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
      Maintenir Java, Adobe Reader et le player Flash à jour
      Exploitation SWF/PDF et Java - système non à jour = danger


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.
    partage
    5 Mars 2013 14:25:06

    un grand MERCI
    m
    0
    l
    a c 1009 8 Sécurité
    a c 273 2 Internet
    5 Mars 2013 15:02:32

    Bonne continuation
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS