[Résolu] Centre de... - FORUMS 01net.

Bonjour,

Le centre de sécurité de Windows 7 est désactivé sur mon poste.

J'ai beau l'activer manuellement, il se re-désactive tout seul.

Mes logiciels principaux sont :

Windows Seven SP1 original
Kaspersky Internet Sécurity

Pourriez-vous m'aider ?

Merci

Je désespère, suis incapable récupérer le centre de sécurité seul.

Help

Salut johnny93


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Faire la même chose avec l'autre rapport C:\rsit\info.txt


@++

Bonsoir dédétraqué

Merci de ton intervention.

Voici les 2 fichiers joints :

http://cjoint.com/?AErbkxIZWkM

http://cjoint.com/?AErblslAM5J

Salut johnny93


Télécharge et installe MalwareByte's Anti-Malware
http://www.01net.com/telecharger/windows/Securite/anti-spam/fiches/44096.html

Mets le à jour (Important)

Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
Clique sur Rechercher

Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php


@++

Re dédétraqué

J'ai lancer l'examen complet.

Apparemment il y en a pour un moment.

Pourrais-tu m'expliquer ce que tu as vu dans les log ci dessus, ça m'intéresse fortement où alors est-ce classé secret défense ?

Je mettrais le rapport demain matin, car c'est l'heure pour moi.

Merci et bonne nuit

Salut johnny93



Surement une nouvelle infection pas référencer sur ce nom :

http://www.google.fr/search?hl=fr&q=Media%20Get%20LLC&btnG=Recherche+(...)

Toi qui là installer?


@++

Bonjour dédétraqué

Oui c'est moi qui ai installé ce soft mais supprimé quelques heures après.

Voici le rapport mbam :

http://cjoint.com/?AErihLaA0AT

Je vais bosser. Je ne pourrais certainement répondre que ce soir

Bonne journée

Salut johnny93


On va faire un diagnostique du PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien ton rapport :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++

Re dédétraqué

Voici le fichier OTL :

http://cjoint.com/?AErokPLrRpv

par contre je ne trouve pas le fichier Extra.txt malgré une recherche complète sur le disque principal qui est le C:

Salut johnny93

Télécharge AD-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

Déconnecte-toi et ferme toutes applications en cours

Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).

Double-clique sur l'icône AD-Remover située sur ton Bureau.
(Vista/Seven - Faire un clique droit sur l'icône AD-Remover située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

Au menu principal, choisis l'option Scanner.

Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan).Txt

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Aide : http://security-domain.be/tutoriel_AD-Remover.html


@++  :)

Bonsoir dédétraqué

Voici le rapport de AD-R :

http://cjoint.com/?AEscm4WOAzq

Salut johnny93


Double clic sur OTL.exe pour le lancer.
(Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "




* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


-----


On va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
http://www.eset.com/onlinescan/

A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

Aide pour le scan : http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-online-scanner-t369(...)


@++

Bonjour dédétraqué

Voici le rapport OTL :

http://cjoint.com/?AEsieu2qB8E

Je fais le scan nod32 de suite.

Si cela est trop long, je te posterais le rapport ce soir à mon retour.

Bonne journée

Re dédétraqué

Voici le rapport ESET:

http://cjoint.com/?AEsrFXLKsmo

Je ne sais pas si je devais faire également la suppression via ESET mais en suivant le tutoriel donné c'est ce que j'avais compris.

Salut johnny93


Cela est bon, as-tu d'autre souci?


@++

Salut dédétraqué

Oui j'ai toujours mon problème, rien n'est résolu.

De plus j'ai remarqué que lorsque je vais sur certains site en faisant une recherche via www.google.fr j'ai des soucis. Apparemment ça serait lié à "goingonearth" car souvent mes pages de recherche sont redirigé.

Le problème de centre de sécurité Windows Seven et goingearth serait-il lié ?

Salut johnny93


Télécharge sur ton bureau TdssKiller de kaspersky , décompresse le et exécute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

Execute le , La fenêtre suivante va s'ouvrir :

Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.

Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:

Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

Tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=208280684


-----


Refais un scan avec OTL avec les mêmes paramètres, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


@++

Re dédétraqué

Voici le rapport TSSKiller :

http://cjoint.com/?AEtd1vLfeSf

Juste un driver de CD virtuel en suspect.

Voici le rapport OTL :

http://cjoint.com/?AEtd3v0KpVc

Merci pour ton aide

up

Salut johnny93


Télécharge RogueKiller (par tigzy) sur le bureau :
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

- Fermes les applications et programmes en cours.
- Double clique sur RogueKiller.exe pour lancer le programme
(Vista/Seven - Faire un clique droit sur RogueKiller.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme)
- Lorsque demandé, taper 1 et valider
- Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste le rapport
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


@++

Bonjour dédétraqué

Voici le rapport RogueKiller :

RogueKiller V5.1.4 [18/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Philippe [Droits d'admin]
Mode: Recherche -- Date : 20/05/2011 08:39:14

Processus malicieux: 0

Entrees de registre: 2
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

Je pars ce soir en week-end donc je risque de ne pas donné de réponse ces deux prochains jours.

Bonne journée et bon week end

Salut johnny93


OK bonne fin de semaine, rien ne presse


Relance RogueKiller avec l'option 2 et poste le rapport...


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Il te sera demandé d’installer la console si elle n’est pas installer, clique sur Oui

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++

Bonjour dédétraqué

Voici le rapport RogueKiller :

RogueKiller V5.1.4 [18/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Philippe [Droits d'admin]
Mode: Suppression -- Date : 22/05/2011 16:21:49

Processus malicieux: 0

Entrees de registre: 2
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt


Je lance combofix de suite.

Merci encore

Voici le rapport Combofix :

http://cjoint.com/?AEwqLFTkY5v

Salut johnny93


Faire un scan de ce fichier d3d11W.dll ici :

http://www.virustotal.com/fr/

Dans l'onglet Upload a file, clique sur Parcourir

Une nouvelle fenêtre va s'ouvrir, dans cette fenêtre dans le bas ou c'est marqué Nom de fichier tu copie/colle ceci :
c:\windows\SysWow64\d3d11W.dll

Après tu clique sur Ouvrir et sur Envoyer le fichier et attendre le résultat de l’analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton Reanalyse.

Attendre le résultat de l'analyse, poste le lien de la page quand le scan du fichier sera terminer.


-----


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :

:dir
c:\users\Philippe\AppData\Roaming\Bc /s

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++

Re dédétraqué

Pour le fichier c:\windows\SysWow64\d3d11W.dll il me dit que je n'ai pas les droits pour ouvrir ce fichier, j'ai dû le faire apparaître en cochant "affiché les fichiers systèmes" mais il y a un cadenas dessus.

Je n'ai donc pas utilisé SystemLook pour le moment.

Salut johnny93


OK, mettre ceci alors pour SystemLook :





@++

Bon !!!! SystemLook ne me trouve ni le fichier d3d11w.dll ni le répertoire cité.

Voici le rapport SystemLook :

SystemLook 04.09.10 by jpshortstuff
Log created at 17:22 on 22/05/2011 by Philippe
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== file ==========

c:\windows\SysWow64\d3d11W.dll - Unable to find/read file.

========== dir ==========

c:\users\Philippe\AppData\Roaming\Bc - Parameters: "/s"

---Files---
None found.

No folders found.

-= EOF =-

Salut johnny93


Non cela est bon, le fichier est bien présent mais SystemLook n'est pas capable de le scanner, et le dossier Bc installer en même temps que le fichier est vide.


Fais un clique droit sur le fichier et compresse-le(zip), envoie le sur cjoint et donne moi le lien...



@++

Désolé dédétraqué mais malgré toute ma bonne volonté 7zip refuse de me le compresser.

Lorsque je cherche à le compresser, j'ai le message d'erreur suivant :

0 Warning accès refusé
1 c:\windows\SysWow64\d3d11W.dll

Salut johnny93


Télécharge OTM (de Old_Timer) sur le bureau :

http://oldtimer.geekstogo.com/OTM.exe
http://www.itxassociates.com/OT-Tools/OTM.exe

Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en citation et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved



- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.

Faire un clique droit sur le dossier C:\_OTM et le compresser(zip), envoie le sur cjoint et donne moi le lien...


@++

c'est gonflant, je n'arrive pas à compresser le dossier. 7zip me donne le message suivant "cannot open file".

J'ai quand même réussi à le scanner avec VirusTotal en passant par le répertoire _OTM.

Voici le lien du rapport :

http://www.virustotal.com/file-scan/report.html?id=b6e2e39729a525548dd3079b28dbc924777ff1faca008e4f0934f57e12ac5ce3-1306084467

Voici également le rapport généré par OTM :

http://cjoint.com/?AEwtD4cHzyP

Salut johnny93


OK super, c'est en plein ce que je voulais faire

Bon le fichier est bien un virus et le voilà supprimer...

Et puis le centre de sécurité ce désactive t-il toujours seul?


On va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
http://www.eset.com/onlinescan/

A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

Aide pour le scan : http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-online-scanner-t369(...)


@++

Re dédétraqué

Le centre de sécurité ainsi que windows defender ne se désactivent apparemment plus.

Par contre il me reste un message d'erreur qui me dit que windows ne trouve aucun logiciel antivirus alors que j'ai Kaspersky Internet Security. je sais que je peux désactivé ce message via le centre de maintenance mais avant je n'avais pas ce message qui apparaissait.

Je lance le scan Eset qui risque d'être long. Merci encore

Encore moi

Dans le même temps, j'ai la restauration système qui est désactivé depuis que le centre de sécurité à eu des soucis alors que j'avais fait des points de restauration. Puis-je tenter de la réactivée de suite ou dois-je attendre encore ?

Salut johnny93


Tu peux le réactiver sans problème

Zut et rezut

Je n'ai pas fais attention mais la restauration système est déjà activée sur le disque C: où se trouve Windows 7 mais lorsque je veux voir mes points de restauration, Windows 7 me dit que la protection n'est pas activée.

Bon !!! je vais faire un tour dans les services voir si je trouve quelque chose

C'est bon j'ai trouvé. Dans les paramètres de configuration de la restauration système, il y a 3 options :

1 - restaurer les paramètres et les versions précédentes des fichiers
2 - ne restaurer que les versions précédentes des fichiers
3 - désactiver la restauration système

J'avais la 2ème option de cochée.

J'ai activer la 1ère option et je retrouve la restauration système sans problème. Sauf que.... mes points de restauration ont disparus.

Bon !!! je vais attendre que le scan de Eset se fasse et se termine pour tout réactiver correctement.

j'ai aussi un message du centre de sécurité qui m'informe que le pare feu windows est désactivé. Normal normalement puisque j'utilise le pare-feu de Kaspersky, mais c'est encore un message que je n'avais pas auparavant.