Votre question

Nettoyage de mon PC - Résolu

Tags :
  • Pare-feu
  • Windows XP
  • Windows
  • PC
  • Rootkit
  • zeroaccess
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Avril 2013 21:40:27

Bonjour,
Je suis sous Windows XP SP3 et IE 8.
Depuis peu j'ai 2 soucis :
- a chaque demarrage du PC, mon antivirus Micorsoft Security Essentials est desactivé et il est impossible de l'activer (impossible de demarrer le service spécifié, le service spécifié n'existe pas en tant que service installé)
- sur certains sites, il m'est signalé que les cookies ne sont pas activés et que je ne peux pas me connecter, alors que je n'ai rien changé à mes parametres internet...
Et d'une maniere generale la navigation sur internet devient difficile sur mon pc.
Merci d'avance pour votre aide

Autres pages sur : nettoyage resolu

a c 614 8 Sécurité
a b 9 Windows
8 Avril 2013 10:10:32

Bonjour,

Ces problème ne sont pas forcément lié à une infection.

On va faire un tour d'inventaire du système pour voir :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    Contenus similaires
    a c 614 8 Sécurité
    a b 9 Windows
    8 Avril 2013 16:00:17

    Re,

    Ah ben j'ai rien dis ... rootkit zeroaccess ...

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, et que tu as visité des sites de streaming. On s'en occupera en fin de procédure. Évite pendant la procédure de naviguer sur des sites dangereux.

    Je vois que tu as l'outil ZHPdiag, tu as déjà été pris en charge ici ou sur un autre forum récemment pour une infection, de type "gendarmerie" par exemple ?


    1) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)



    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O3 - HKU\S-1-5-21-823518204-1085031214-725345543-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    [2013/04/07 21:30:50 | 000,005,120 | -HS- | M] () -- C:\WINDOWS\assembly\GAC\Desktop.ini

    :Files
    C:\RECYCLER\S-1-5-21-823518204-1085031214-725345543-1003\$2c765a14f32b221fca9719cb96b8809c\n.
    C:\RECYCLER\S-1-5-21-823518204-1085031214-725345543-1003\$2c765a14f32b221fca9719cb96b8809c
    C:\RECYCLER\S-1-5-18\$2c765a14f32b221fca9719cb96b8809c\n.
    C:\RECYCLER\S-1-5-18\$2c765a14f32b221fca9719cb96b8809c

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    8 Avril 2013 21:04:55

    j'ai retouvé dans mes archives que tu m'avais aidé en juillet 2012 pour le meme rootkit zeroaccess...
    à l'epoque tu m'avais fait utiliser combofix
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    8 Avril 2013 21:54:16

    Re,

    Juillet dernier, et en début d'année tu avais été pris en charge, et on t'avais déjà rappelé de maintenir à jour ces plugins ... (adobe reader, flash player, java ...)
    Il faudra vraiment y penser dorénavant, c'est très dangereux, comme tu le vois ...

    1) Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)


    Puis tu feras les étapes non faites précédemment avec OTL et FSS

    :jap: 
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    8 Avril 2013 22:37:21

    Re,

    Refais un étape en "suppression" avec roguekiller s'il te plait, puis oui, tu fais les étapes avec OTL et FSS
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    8 Avril 2013 23:31:19

    Re,

    OK, pour l'infection c'est bon, on va passer aux réparations système car cette infection endommage de nombreux services (ce qui provoque les erreurs que tu décrivais au début)

    As-tu un CD original de windows XP sp3 sous la main ou pas ?

    (on pourra peut-être faire sans, mais au cas où, mieux vaut l'avoir ...)
    m
    0
    l
    8 Avril 2013 23:34:04

    j'ai seulement le cd de reinstallation de windows xp media center edition, livré avac mon pc Dell...
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    9 Avril 2013 10:20:43

    Re,

    Ok, tant pis, on devra faire sans alors :

    1) Télécharge Services Repair (de Eset) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ServicesRepair.exe pour le lancer.

  • L'outil va te demander de confirmer le lancement, accepte avec le bouton "Yes"
  • Laisser-le travailler (cela peut prendre quelques minutes)
  • Une nouvelle fenêtre va apparaitre pour demander de redémarrer le PC, accepte avec "Yes"

  • Au redémarrage, un dossier aura été crée sur ton bureau, nommé CC Support
  • Poste-moi dans la prochaine réponse le rapport qui se trouve ici : CC Support\Logs\SvcRepair.txt


    Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    9 Avril 2013 14:51:32

    Re,

    Les réparations ne se sont pas déroulées correctement, on va tester un autre outil :

    Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.

  • Va directement sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start" et accepte les sauvegardes proposées
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.


    2) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    9 Avril 2013 22:24:59

    Re,

    Ah, c'est bien mieux ;) 

    Tu peux vérifier maintenant pour Micrososft security essentials s'il est réactivé ?

    Puis dis-moi si tu rencontres encore des soucis sur ce pc avant qu'on passe au nettoyage et mises à jour.

    :jap: 
    m
    0
    l
    9 Avril 2013 22:41:29

    non je n'arrive toujours pas a activer Micrososft security essentials , pas plus que le pare feu de Windows...
    m
    0
    l
    9 Avril 2013 22:43:49

    oops, excuse moi, pour le pare-feu c'est bon !

    et là quand je rafraichis cette page, il me met en bas "terminé, mais il existe des erreurs sur la page"...
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    9 Avril 2013 22:48:37

    Re,

    Pour Microsoft security Essential, il va falloir le réinstaller probablement, car l'infection vise et endommage les solutions de sécurité

    Donc tu désinstalles dans ta liste des programmes, puis tu vas le télécharger de nouveau ici :
    http://windows.microsoft.com/fr-fr/windows/security-ess...
    m
    0
    l
    9 Avril 2013 23:02:08

    ok Microsoft security Essential réinstallé et opérationnel :) 
    est ce que ce programme est bien efficace pour detecter des rootkit du type zeroaccess ?
    je remarque que depuis que j'utilse Microsoft security Essential j'ai des soucis d'infection que je n'avais pas auparavant avec McAfee...
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    9 Avril 2013 23:14:04

    Re,

    Aucun antivirus ne te protègera de ce type d'infection, car c'est ta responsabilité comme je le disais, de ne pas avoir tenu à jour tes plugins (Java en l'occurence ...) et d'avoir visité des sites infecté (généralement site de streaming)
    L'infection s'est propagé via une faille logiciel, les antivirus ni peuvent strictement rien.

    On passe au nettoyage et surtout mise à jour donc :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement les logiciels si encore présent :
    - FSS.exe
    - ServicesRepair.exe
    - Windows repair (all in one) (se désinstalle dans ta liste des programmes)

    --------------

    2) Mise à jour des logiciels :

    /!\ Cette étape est très importante, tu as été infecté car ce plugin n'était pas à jour !

    Met à jour le programme suivant :
    - Java vers la version 7 update 17 (pense à supprimer les anciennes version dans ajout/suppression des programmes : Java 7 Update 11 )

    Note : pour réduire les risques tu peux désactiver Java dans tes navigateurs, et le réactiver au besoin sur un site le nécessitant : http://www.java.com/fr/download/help/disable_browser.xm...

    -------------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    9 Avril 2013 23:40:33

    purge d'outils faite
    mise a jour java faite
    (à ce sujet, j'etais bien conscient de la necessité de tenir Java à jour, et j'avais donc coché la case "automatiser la recherche des mises à jour" du panneau de configuration Java, avec vérification hebdomadaire...
    Mais cela n'a pas fonctionné semble t-il...

    d'autre part tu m'avais parlé de adobe reader flash... comment fait on pour les mettre a jour ?
    m
    0
    l
    10 Avril 2013 08:22:39

    re
    mon navigateur par defaut a ete modifié
    maintenant il s'agit de google chrome
    comment revenir a IE par defaut ?
    merci
    m
    0
    l
    a c 614 8 Sécurité
    a b 9 Windows
    10 Avril 2013 09:51:08

    Re,

    Flash player semble à jour sur ton système. ;) 

    Concernant Java, parfois on ne remarque pas la petite icône en bas dans la barre des tâche qui signale les mises à jour, il faut y être attentif, ce n'est pas comme Flash ou adobe reader justement, fait "automatiquement" ...

    Pour remettre IE en navigateur par défaut :
    Démarrer -> panneau de configuration -> Option Internet
    Onglet "programmes" puis appuie sur "Utiliser par défaut"
    (Tu peux cocher la case pour signaler s'il n'est pas par défaut si tu le souhaites)

    :jap: 
    m
    0
    l
    10 Avril 2013 12:25:07

    OK
    merci pour ton aide ! :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS