Impossible de réactiver le Centre de sécurité de windows suite à Trojan Mbam [RESOLU]

[stovan]

Ma config :
Alimentation : ANTEC TRUEPOWER NEW 650W
Carte Mère : ASUS P7P55D
Ventirad : C OOLER MASTER HYPER 212 PLUS
Processeur : INTEL I5 750
Carte graphique : 660 GTX MSI
Disque Dur : Samsung F3 500 GB SATA II 7200 RPM 16 MB
Système d’exploitation : Windows 7 64 bits


Bonsoir,

Hier soir j'ai été victime du trojan mbam "Interpol" qui m'a bloqué windows et même en redémarrant j'avais cette page qui me bloquait tout et impossible de faire ctrl alt suppr. Après plusieurs essais j'ai réussi à bloquer le chargement de cette page et j'ai pu lancer MalwareBytes qui m'a identifié ce trojan :
http://hpics.li/bc84cb0

J'ai aussi lancé Avast qui m'a identifié ce virus : http://hpics.li/e126227

J'ai bien entendu supprimé ces virus avec Malwarebytes et Avast.

Au redémarrage de windows j'ai ce message d'erreur : http://hpics.li/c36cd22

Et j'ai surtout un message d'alerte me disant que le Centre de Sécurité est désactivé et en allant dans les services et en essayant d'activer le Centre de sécurité manuellement j'obtiens une erreur 1068 : http://hpics.li/fdc7c4b

Je suis allé dans la base de registre et j'ai changé une valeur dans HKEY LOCAL MACHINE/SYSTEM/Current controlSet/services/wscsvc : dans DelayAutoStart j'ai mis 1 à la place de 0 : http://hpics.li/f8b5a5f
Puis j'ai redémarré mais celà n'a rien changé.

Quand j'essaye de cliquer sur "activer maintenant" il me dit "impossible de démarrer le service centre de sécurité Windows :
http://hpics.li/61f2759

Ce qui est bizarre c'est que le Pare Feu, windows defender et les mises à jour windows fonctionne sans problème.

J'ai bien entendu ténté de restaurer windows à une date antèrieure mais celà a échoué.

Chose importante je n'ai pas encore installé le service pack 1 pour windows 7 64 bits j'ai encore le verison classique.

Savez-vous comment je pourrais faire pour réactiver le centre de sécurité de windows ?

Merci pour vos réponses.

[chantal11]

Bonjour,

Infection par un ransomware + ZeroAccess ce qui n'est pas étonnant, vu que ton système Windows 7 n'est pas à jour, il est donc très vulnérable .... ça n'a pas loupé !

Il faudra impérativement changer tous tes mots de passe (Administrations, banques, messageries, réseaux sociaux, FAI .......) après la désinfection.

---------------------------------------------------------------------------------------------

Recommandations pour la désinfection :

• La procédure de désinfection nécessite parfois l'utilisation d'une succession d'outils puissants avec des procédures spécifiques.
  Les indications sont détaillées pour chaque procédure, n'hésite pas à demander des précisions en cas de doute et à signaler tout problème rencontré.
• Tant que la désinfection n'est pas terminée, n'utilise ton PC que pour un strict minimum, juste pour appliquer les procédures indiquées, évite de surfer sur le net et n'installe aucun autre programme (hormis les outils indiqués)
• Suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
• Signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• Selon l'infection, un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles dès que c'est possible (il est, de toutes façons, recommandé de sauvegarder régulièrement ses données personnelles)
• Il faut aller jusqu'au bout de la désinfection.
  Que les symptomes ne se manifestent plus ne signifie pas que le système soit totalement désinfecté. Il y a d'autre part des mises à jour à faire pour éviter la ré-infection.
  Un système qui n'est pas à jour présente des failles de sécurité importantes et est une cible de choix pour les malwares.

---------------------------------------------------------------------------------------------

Pour commencer, nous allons établir un rapport de diagnostic avec cet outil :

FRST :

• Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
  
  Pour un système en 32 bits -> FRST
  Pour un système en 64 bits -> FRST64
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
  Rappel : FRST doit être enregistré sur ton Bureau <-- Important
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

@+

[stovan]

Merci pour ta réponse chantal :

Voici les liens pour les rapports FRST :

Addition.txt : http://up.security-x.fr/file.php?h=R80e ... 47ababacca

FRST.txt : http://up.security-x.fr/file.php?h=R4d0 ... 48ba4c0840

[stovan]

J'ai également fait un scan avec "RogueKiller" et voilà le résultat :
http://hpics.li/e6362eb

Dans c:ProgramData j'ai un fichier suspect intitulé : 428z7tvq.fee
http://hpics.li/5345e74

[chantal11]

Re,

Je vais te demander d'arrêter de lancer des outils de ta propre initiative ou de faire des manipulations de ton côté, au risque de planter le système.
Merci de suivre la procédure de désinfection telle qu'elle est indiquée.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

ces adwares/hijackers/toolbars/programmes indésirables sponsorisés :
OfferBox

Si un programme ne veut pas se désinstaller, tu passes au suivant.

---------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de ce correctif hébergé ici -> http://textup.fr/85283O9
  dans le Bloc-notes
• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

AdwCleaner - Scanner :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).txt

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports :
Fixlog
RogueKiller-Recherche
AdwCleaner-Scanner

@+

[stovan]

Je viens de faire la première partie celle concernant le FRST Correctif et voilà le rapport de correctif Fixlog.txt : http://up.security-x.fr/file.php?h=Rfb0 ... c7dda8c066

Je précise qu'à la fin de l'installation du Fix il m'a demandé de redémarrer le PC et qu'en redémarrant le message d'erreur avait disparu et encore mieux le Centre de sécurité marche à nouveau tu es une crack Chantal !!

Bon je te tiens au courant pour la suite je vais te donner le rapport de Rogue je te demande juste 2 petite minutes.

[stovan]

Voilà le rapport Rogue Killer : http://up.security-x.fr/file.php?h=R913 ... 0c5d3461bd

Je passe à la dernière partie.

[stovan]

Pour terminer voici le rapport adwcleaner.txt : http://up.security-x.fr/file.php?h=Refa ... 9410d7896f

[chantal11]

Re,

Je précise qu'à la fin de l'installation du Fix il m'a demandé de redémarrer le PC et qu'en redémarrant le message d'erreur avait disparu et encore mieux le Centre de sécurité marche à nouveau

C'est parfait

OK pour les autres rapports.

Il faudra réactiver le Contrôle de Compte Utilisateur, c'est une mesure sécuritaire.
Le Contrôle de Compte Utilisateur (UAC) sous Windows 7

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Nettoyer :

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
• Patiente le temps de l'analyse et valide le message d'informations
• Un redémarrage est demandé, valider par OK
• Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).txt

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

--------------------------------------------------------------------------------------------------------------

Ensuite, nous allons vérifier l'état des services souvent endommagés par ce type d'infection :

Farbar Service Scanner :

• Télécharge Farbar Service Scanner et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône FSS.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Coche toutes les options et clique sur Scan
  
• Poste le rapport FSS.txt dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
AdwCleaner-Nettoyer
FSS

@+

[stovan]

Voici le rapport adwcleaner après nettoyage et redémarrage : http://up.security-x.fr/file.php?h=R553 ... f919a08aee

Je m'occupe de la suite avec Farbar