Se connecter / S'enregistrer
Votre question
Résolu

Ordi lent et piratage

Tags :
  • Piratage
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Octobre 2013 12:53:40

Bonjour,
depuis quelques semaines mon ordi se fige par moments, est beaucoup plus lent, s'éteint parfois tout seul. Je me suis aussi faite pirater ma CB.
Pouvez-vous m'aider à le nettoyer ?
Merci d'avance

Autres pages sur : ordi lent piratage

1 Octobre 2013 13:23:22

Bonjour.
Ces lenteurs sont-elles survenues à la suite de l'installation d'un programme, d'une modification ou bien après avoir cliqué sur un lien reçu par e-mail par exemple ?

Avez-vous essayer de passer un coup de CCleaner (gratuit et plutôt efficace pour le nettoyage). En dernier recours, je dirai le formatage.

En ce qui concerne votre carte bleu avez-vous fais opposition auprès de la banque ? Pour éviter que cela se reproduise faites très attention à ça et ne communiquez pas vos informations bancaires à des sites qui ne sont pas sécurisés (faire des recherches au préalable sur internet, s'assurer du "https" dans le lien, etc).
m
0
l
a c 614 8 Sécurité
1 Octobre 2013 19:42:58

Bonsoir,

@Babounet40 : merci d'éviter de prendre en charge des sujets dans cette section, réservée aux désinfections, pour proposer un formatage comme solution ...
Relire les règles :
http://www.tomsguide.fr/forum/id-398832/regles-bonne-co...

@ Judorange : pour faire un premier bilan :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec votre système : 32 ou 64bits.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    Contenus similaires
    1 Octobre 2013 22:52:36

    hyunkel30 a dit :
    Bonsoir,

    @Babounet40 : merci d'éviter de prendre en charge des sujets dans cette section, réservée aux désinfections, pour proposer un formatage comme solution ...
    Relire les règles :
    http://www.tomsguide.fr/forum/id-398832/regles-bonne-co...


    Houla pas de soucis, inutile de le prendre ainsi, j'aurai pas cru que ce soit aussi restrictif ici.
    En tout cas ça ne coûte rien de l'encourager vivement à ce qu'il fasse attention avec ses coordonnées bancaires (ça ne semble pas intégré dans votre protocole que de donner des conseils).

    Bonne résolution.
    m
    0
    l
    a c 614 8 Sécurité
    1 Octobre 2013 23:02:11

    Re,

    Effectivement, rootkit zeroaccess, cela peut expliquer le piratage (pas obligatoirement, mais faut nettoyer dans tous les cas)


    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.

    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !

    ~~~~~~~~~~~~~~~~~~~~

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, et que tu as visité des sites vecteurs comme le streaming ou le téléchargement illégal. On s'en occupera en fin de procédure.

    ~~~~~~~~~~~~~~~~~~~~~~

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Ask Toolbar Updater (inutile)
    - iGraal Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)
    - Java(TM) 6 Update 6 (version obsolète et vulnérable, tu possèdes une plus récente)

    [Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
    Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] ATTENTION! ====> ZeroAccess?
      Toolbar: HKCU - No Name - {724D43A0-0D85-11D4-9908-00400523E39A} - No File
      S1 dqgpmdiz; \??\C:\Windows\system32\drivers\dqgpmdiz.sys [x]
      C:\$Recycle.Bin\S-1-5-21-1517606227-2943767172-301774227-1000\$e741795269d82c57ce4bce9e8f803aac
      C:\$Recycle.Bin\S-1-5-18\$e741795269d82c57ce4bce9e8f803aac
      C:\Users\Corail\AppData\Local\Temp\0.7974093075006842.exe
      C:\Users\Corail\AppData\Local\Temp\AdobeUpdater12345.exe
      C:\Users\Corail\AppData\Local\Temp\ApnStub.exe
      C:\Users\Corail\AppData\Local\Temp\AutoRun.exe
      C:\Users\Corail\AppData\Local\Temp\AutoRunGUI.dll
      C:\Users\Corail\AppData\Local\Temp\cacaonew013e6e.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew067eed.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew06ad1e.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew0d5870.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew1945a4.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew222ade.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew2e85e1.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew321fff.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew4d69d2.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew50e94a.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew6a2530.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew6dc78a.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew6eea80.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew737a38.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew785b33.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew79cf9e.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew7a1cf9.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew8ab390.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew8b4fd1.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonew9d7548.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewb0ae30.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewb3bfc0.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewb5586a.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewb574cd.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewbb288a.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewc83c37.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewcd65fb.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewcf43fe.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewd0e427.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewd8a270.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewe46bfb.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewee572b.exe
      C:\Users\Corail\AppData\Local\Temp\cacaonewf65023.exe
      C:\Users\Corail\AppData\Local\Temp\converter.exe
      C:\Users\Corail\AppData\Local\Temp\DWPUpgradeInstaller.exe
      C:\Users\Corail\AppData\Local\Temp\EAD620C.exe
      C:\Users\Corail\AppData\Local\Temp\EAD85A3.exe
      C:\Users\Corail\AppData\Local\Temp\EAD9867.exe
      C:\Users\Corail\AppData\Local\Temp\EAD9AF7.exe
      C:\Users\Corail\AppData\Local\Temp\EADA524.exe
      C:\Users\Corail\AppData\Local\Temp\EADA543.exe
      C:\Users\Corail\AppData\Local\Temp\EADBB81.exe
      C:\Users\Corail\AppData\Local\Temp\EADCBC6.exe
      C:\Users\Corail\AppData\Local\Temp\eauninstall.exe
      C:\Users\Corail\AppData\Local\Temp\extension1615593350018696413.dll
      C:\Users\Corail\AppData\Local\Temp\extension5151678755775565442.dll
      C:\Users\Corail\AppData\Local\Temp\fsprod.dll
      C:\Users\Corail\AppData\Local\Temp\fssfm.dll
      C:\Users\Corail\AppData\Local\Temp\InstallFlashPlayer.exe
      C:\Users\Corail\AppData\Local\Temp\install_flash_player.exe
      C:\Users\Corail\AppData\Local\Temp\jre-1.6.0_20-windows-i586-iftw.exe_90744722.exe
      C:\Users\Corail\AppData\Local\Temp\jre-6u20-windows-i586-jinstall_uac.exe
      C:\Users\Corail\AppData\Local\Temp\jre-6u24-windows-i586-iftw-rv.exe
      C:\Users\Corail\AppData\Local\Temp\jre-6u26-windows-i586-iftw-rv.exe
      C:\Users\Corail\AppData\Local\Temp\jre-6u29-windows-i586-iftw-rv.exe
      C:\Users\Corail\AppData\Local\Temp\jre-6u30-windows-i586-iftw-rv.exe
      C:\Users\Corail\AppData\Local\Temp\jre-6u31-windows-i586-iftw-rv.exe
      C:\Users\Corail\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
      C:\Users\Corail\AppData\Local\Temp\MSETUP4.EXE
      C:\Users\Corail\AppData\Local\Temp\NL-1387409554.dll
      C:\Users\Corail\AppData\Local\Temp\ose00000.exe
      C:\Users\Corail\AppData\Local\Temp\preconfig.exe
      C:\Users\Corail\AppData\Local\Temp\SimCity 4 Deluxe_uninst.exe
      C:\Users\Corail\AppData\Local\Temp\UninstallEADM.dll
      C:\Users\Corail\AppData\Local\Temp\WLM2011Installer.exe
      C:\Users\Corail\AppData\Local\Temp\WLM_2011.exe
      C:\Users\Corail\AppData\Local\Temp\{9C7496A6-B331-498e-B0E8-1FB0947ED823}-ConsumerInputUpdate.exe
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~

    ~Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    2 Octobre 2013 14:35:58

    Ok c'est bon, ya juste windows live que j''ai pas réussi à supprimer.
    Voila le fixlog :
    http://up.security-x.fr/file.php?h=R1928a82d125c54a6fe0...

    Et le rapport de roguekiller :

    RogueKiller V8.7.0 [Sep 30 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Corail [Droits d'admin]
    Mode : Recherche -- Date : 10/02/2013 13:28:13
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
    [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Inline] EAT @explorer.exe (FwDoNothingOnObject) : FirewallAPI.dll -> HOOKED (Unknown @ 0x3621D966)
    [Inline] EAT @explorer.exe (FwEnableMemTracing) : FirewallAPI.dll -> HOOKED (Unknown @ 0x3621D966)
    [Inline] EAT @explorer.exe (FwSetMemLeakPolicy) : FirewallAPI.dll -> HOOKED (Unknown @ 0x3621D966)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts


    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - TOSHIBA MK4055GSX +++++
    --- User ---
    [MBR] 3fe87afdf1099c90418d8f9079d0b30a
    [BSP] 0aa7929ada388a3f0c542b070450cc53 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 190776 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 393783296 | Size: 189277 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_10022013_132813.txt >>

    Merci beaucoup
    m
    0
    l
    a c 614 8 Sécurité
    2 Octobre 2013 14:57:27

    Re,

    Ok pour les rapports.

    Tu m'expliques le souci avec Windows Live ?
    Tu as eu une erreur à la suppression ? Laquelle ?
    Tu ne trouve pas comment supprimer ?

    à suivre :

    Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    2 Octobre 2013 20:42:03

    Quand j'essaye de désinstaller window live il me demande mon autorisation pour continuer et c'est tout. Rien ne se fait.

    Voici le rapport de farbar :
    Farbar Service Scanner Version: 13-09-2013
    Ran by Corail (administrator) on 02-10-2013 at 20:38:36
    Running from "C:\Users\Corail\Desktop"
    Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================
    "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" registry key does not exist.


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Security Center:
    ============

    Security Center Notification Icon =====> Unable to open HKLM\...\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} key. The key does not exist.


    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Windows Defender:
    ==============
    WinDefend Service is not running. Checking service configuration:
    The start type of WinDefend service is OK.
    The ImagePath of WinDefend service is OK.
    The ServiceDll of WinDefend service is OK.


    Windows Defender Disabled Policy:
    ==========================
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
    "DisableAntiSpyware"=DWORD:1


    Other Services:
    ==============
    Checking FirewallRules of SharedAccess: ATTENTION!=====> Unable to open "SharedAccess\Defaults\FirewallPolicy\FirewallRules" registry key. The key does not exist.


    File Check:
    ========
    C:\Windows\system32\nsisvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\afd.sys => MD5 is legit
    C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
    C:\Windows\system32\Drivers\tcpip.sys
    [2013-08-14 23:00] - [2013-07-05 05:20] - 0914880 ____A (Microsoft Corporation) 6D0D344F643E28B31262AC2682109A3C

    C:\Windows\system32\dnsrslvr.dll => MD5 is legit
    C:\Windows\system32\mpssvc.dll => MD5 is legit
    C:\Windows\system32\bfe.dll => MD5 is legit
    C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\system32\SDRSVC.dll => MD5 is legit
    C:\Windows\system32\vssvc.exe => MD5 is legit
    C:\Windows\system32\wscsvc.dll => MD5 is legit
    C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
    C:\Windows\system32\wuaueng.dll => MD5 is legit
    C:\Windows\system32\qmgr.dll => MD5 is legit
    C:\Windows\system32\es.dll => MD5 is legit
    C:\Windows\system32\cryptsvc.dll => MD5 is legit
    C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
    C:\Windows\system32\ipnathlp.dll => MD5 is legit
    C:\Windows\system32\iphlpsvc.dll => MD5 is legit
    C:\Windows\system32\svchost.exe => MD5 is legit
    C:\Windows\system32\rpcss.dll => MD5 is legit


    **** End of log ****
    m
    0
    l
    a c 614 8 Sécurité
    2 Octobre 2013 22:16:09

    Re,

    Citation :
    Quand j'essaye de désinstaller window live il me demande mon autorisation pour continuer et c'est tout. Rien ne se fait.


    Essaye si ce n'est pas fait de redémarrer le pc, puis retenter la suppression, parfois ça plante.
    Sinon, on fera autrement ;) 

    ~~~~~~~~~~~~~~

    Quelques réparations à faire suite à l'infection du rootkit :

    1) Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Va directement à l'onglet "step 3"

  • Clique sur le bouton Do It, et laisse le scan s'effectuer.

  • Ferme le programme et redémarre le PC

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.

    ~~~~~~~~~~~~~~~~

    Relance FRST :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    3 Octobre 2013 22:59:18

    Bonsoir,
    voila le dernier rapport :

    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Windows Defender:
    ==============
    WinDefend Service is not running. Checking service configuration:
    The start type of WinDefend service is OK.
    The ImagePath of WinDefend service is OK.
    The ServiceDll of WinDefend service is OK.


    Windows Defender Disabled Policy:
    ==========================
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
    "DisableAntiSpyware"=DWORD:1


    Other Services:
    ==============


    File Check:
    ========
    C:\Windows\system32\nsisvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\afd.sys => MD5 is legit
    C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
    C:\Windows\system32\Drivers\tcpip.sys
    [2013-08-14 23:00] - [2013-07-05 05:20] - 0914880 ____A (Microsoft Corporation) 6D0D344F643E28B31262AC2682109A3C

    C:\Windows\system32\dnsrslvr.dll => MD5 is legit
    C:\Windows\system32\mpssvc.dll => MD5 is legit
    C:\Windows\system32\bfe.dll => MD5 is legit
    C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\system32\SDRSVC.dll => MD5 is legit
    C:\Windows\system32\vssvc.exe => MD5 is legit
    C:\Windows\system32\wscsvc.dll => MD5 is legit
    C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
    C:\Windows\system32\wuaueng.dll => MD5 is legit
    C:\Windows\system32\qmgr.dll => MD5 is legit
    C:\Windows\system32\es.dll => MD5 is legit
    C:\Windows\system32\cryptsvc.dll => MD5 is legit
    C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
    C:\Windows\system32\ipnathlp.dll => MD5 is legit
    C:\Windows\system32\iphlpsvc.dll => MD5 is legit
    C:\Windows\system32\svchost.exe => MD5 is legit
    C:\Windows\system32\rpcss.dll => MD5 is legit


    **** End of log ****


    Pour window live je n'arrive toujours pas à le supprimer.
    Merci bonne soirée
    m
    0
    l
    a c 614 8 Sécurité
    4 Octobre 2013 10:32:38

    Re,

    Ok pour les réparations.

    Concernant Windows Live :

    Pour voir ce qui peut bloquer :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Scan.
    • L'outil va créer deux rapports nommés FRST.txt et addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 614 8 Sécurité
    5 Octobre 2013 11:43:41

    Re,

    Rien de particulier mentionné en erreur ou autre lié à la désinstallation de Windows Live

    Tu tentes bien de supprimer en commençant par :
    Windows Live Bêta
    Dans ta liste des programmes ?
    m
    0
    l
    5 Octobre 2013 13:08:04

    Oui, je fais clic droit sur window live béta et désinstaller. Il me demande mon autorisation et c'est tout.
    m
    0
    l
    5 Octobre 2013 21:12:54

    C'est fait il a réussi à le désinstaller.
    C'est tout bon ?
    m
    0
    l
    a c 614 8 Sécurité
    5 Octobre 2013 22:12:41

    Re,

    Bonne nouvelle ;) 

    Pour conclure donc :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~

    Tu peux supprimer manuellement :
    - Tweaking.com - Windows Repair (All in One) (dans ta liste des programmes)

    ~~~~~~~~~~~~~~~~

    2) Mise à jour du système et des logiciels :

    /!\ Cette étape est très important, l'infection est arrivé sur ton système car celui-ci et les logiciels n'étaient pas à jour /!\

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java 7 Update 25

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 8.3.1 - Français

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ~~~~~~~~~~~~~~

    Dis-moi si tout est ok niveau mise à jour et nous terminerons par quelques conseils de sécurité.

    :jap: 
    m
    0
    l
    6 Octobre 2013 23:19:53

    Bonsoir :
    voici le rapport de delfix :
    # DelFix v10.4 - Rapport créé le 06/10/2013 à 22:41:18
    # Mis à jour le 19/07/2013 par Xplode
    # Nom d'utilisateur : Corail - PC-DE-CORAIL
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\FRST
    Supprimé : C:\Users\Corail\Desktop\RK_Quarantine
    Supprimé : C:\Users\Corail\Desktop\Addition.txt
    Supprimé : C:\Users\Corail\Desktop\Fixlog.txt
    Supprimé : C:\Users\Corail\Desktop\FRST.exe
    Supprimé : C:\Users\Corail\Desktop\FRST.txt
    Supprimé : C:\Users\Corail\Desktop\FSS.exe
    Supprimé : C:\Users\Corail\Desktop\FSS.txt
    Supprimé : C:\Users\Corail\Desktop\RKreport[0]_S_10022013_132813.txt
    Supprimé : C:\Users\Corail\Desktop\RogueKiller.exe

    ~ Purge de la restauration système ...

    Supprimé : RP #1673 [Point de contrôle planifié | 09/25/2013 11:55:51]
    Supprimé : RP #1674 [Point de contrôle planifié | 09/26/2013 11:52:58]
    Supprimé : RP #1675 [Windows Update | 09/27/2013 17:45:13]
    Supprimé : RP #1676 [Point de contrôle planifié | 09/29/2013 08:25:27]
    Supprimé : RP #1677 [Windows Update | 09/30/2013 19:32:04]
    Supprimé : RP #1678 [Point de contrôle planifié | 10/01/2013 10:44:21]
    Supprimé : RP #1680 [Revo Uninstaller's restore point - Ask Toolbar Updater | 10/02/2013 10:47:05]
    Supprimé : RP #1681 [Removed Java(TM) 6 Update 6 | 10/02/2013 10:53:00]
    Supprimé : RP #1682 [Octobre 2013 | 10/02/2013 11:12:25]
    Supprimé : RP #1683 [Tweaking.com - Windows Repair | 10/03/2013 19:59:43]
    Supprimé : RP #1684 [Windows Update | 10/04/2013 19:21:06]
    Supprimé : RP #1685 [Point de contrôle planifié | 10/05/2013 12:09:54]
    Supprimé : RP #1687 [Point de restauration avant Clés de Registre de correctif endommagées | 10/05/2013 19:08:48]
    Supprimé : RP #1688 [Point de contrôle planifié | 10/06/2013 10:45:11]

    Nouveau point de restauration créé !

    ########## - EOF - ##########

    Java c'est bon.
    Adobe reader j'ai du le faire manuellement mais il me dit toujours qu'il n'est pas à jour (j'ai cliqué sur le lien pourtant) j'ai la version 10.1.4.
    Impossible de mettre à jour flash : pas de fenetre qui s'ouvre.
    :( 
    m
    0
    l
    a c 614 8 Sécurité
    7 Octobre 2013 19:43:01

    Re,

    Ok alors déjà, on va regarder un truc :

    Relance SXCU :

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Rapport à droite. Et poste-moi le contenu du bloc-note qui va s'ouvrir.

    Ferme le programme via "Quit"
    m
    0
    l
    7 Octobre 2013 23:00:32

    voila :
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows Vista 32 bits
    Service Pack : 2
    UserName : Corail
    07/10/2013
    22:59:56
    version = v0.3.5
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer ActiveX
    Version : 11.8.800.175
    Flash Player ActiveX est à jour

    Name : FlashPlayer Plugin
    Version : 10.0.32.18
    Flash Player Plugin n'est pas à jour! (11.8.800.168)

    Java Information :
    Nom : Java 7 Update 40
    Version : 7.0.400
    Java 7 Update 40 est à jour

    Nom : Adobe Reader X (10.1.4) - Français
    Version : 10.1.4
    Adobe Reader n'est pas à jour! (10.1.8)

    Nom (svc) : Internet Explorer
    Version : 9.0.8112.16421
    m
    0
    l
    a c 614 8 Sécurité
    8 Octobre 2013 08:42:25

    Re,

    Ok, alors :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    - Adobe Flash Player 10 Plugin
    - Adobe Reader X (10.1.4)

    ~~~~~~~~~~~~~~

    En fait tu n'avais plus besoin de Flash Player en plugin, car tu n'as pas Firefox.

    Pour reader, va ensuite ici pour télécharger la nouvelle version :

    http://get.adobe.com/fr/reader/

    /!\ Pense à décocher le sponsor proposé (McAfee / Chrome)


    Dis-moi si c'est ok.
    m
    0
    l
    8 Octobre 2013 21:51:31

    Je ne peux télécharger que la version X (10.1.4)
    m
    0
    l
    a c 614 8 Sécurité
    8 Octobre 2013 22:30:39

    Re,

    Effectivement, c'est lié à Vista, mais on mettra à jour ensuite, dis-moi quand c'est installé.
    m
    0
    l
    9 Octobre 2013 13:18:19

    Installé c'est bon :) 
    m
    0
    l
    a c 614 8 Sécurité
    9 Octobre 2013 13:43:57

    Re,

    Ok, tente une mise à jour maintenant, normalement menu du haut "Aide" -> Rechercher les mises à jour.

    Dis-moi s'il trouve quelque chose ou pas, ou s'il n'arrive pas à l'installer, etc ...
    m
    0
    l
    10 Octobre 2013 12:57:33

    Voila mise à jour effectuée et tout est ok sur sxcu !
    m
    0
    l

    Meilleure solution

    a c 614 8 Sécurité
    10 Octobre 2013 13:37:59

    :D  Ce fut laborieux, mais on y arrive ;) 

    Tu peux supprimer SXCU ou le conserver pour voir si tes logiciels sont à jour.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en validant une "meilleure réponse" (en bas à droite de ce message, ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    10 Octobre 2013 15:11:26

    C'est fini ? super, je vais tacher de faire attention maintenant :) 
    Merci beaucoup !!!
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS