Centre de sécurité Windows bloqué [Résolu]

[lyoncanut]

Bonjour,

Tout d'abord, je suis désolé pour le message sous forme de réponse dans le post existant. Je ferai attention à bien respecter les règles du forum à l'avenir.

Passons au problème lui-même. Depuis quelques semaines déjà, le service centre de sécurité windows refuse de s'activer. Je pensais que c'était dû à un virus et après plusieurs tentatives de désinfection avec différents anti-virus, je me retrouve toujours au même point.

Ce qui m'a amené sur votre forum où j'ai découvert un post traitant de ce problème.

J'ai donc suivi la procédure indiquée dans ce post, désinstallé tous les logiciels qui n'avaient aucun lien avec nos activités, créé un point de restauration, et chargé l'application FRST64.exe .

Ensuite, j'ai lancé l'édition des deux fichiers suivants :

[L’extension txt a été désactivée et ne peut plus être affichée.]

[L’extension txt a été désactivée et ne peut plus être affichée.]

Voilà, j'espère que tous ces éléments seront suffisants pour trouver une solution !!!

En attendant, je vous souhaite de bonnes fêtes à tous.


A bientôt.

Fab

[chantal11]

Bonjour,

En plus des adwares, présence d'un rootkit.


Il y a 2 antivirus actifs sur ton système.
Non seulement cela ne t'apportera aucune protection supplémentaire, mais c'est en plus une source de conflits et de dysfonctionnements.
Il te faut donc choisir entre Microsoft Security Essentials et Avira et en désinstaller un par le Panneau de configuration.



Il faut être plus vigilant sur ce qui est validé lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec. Il faut décocher les cases des sponsors.
Stop la pub !
Exemple sur l'Installation d'une application sponsorisée, les pièges à éviter !

Tu appliques les procédures dans l'ordre où elles sont présentées.

--------------------------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

Bandoo
Better Experience
Internet Updater
SaveSense
Software Version Updater
Updater
Yahoo! Detect

Si un programme ne veut pas se désinstaller, tu passes au suivant.

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  

  start
  CreateRestorePoint:
  CloseProcesses:
  HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$332288f79ca2d7536ee2abfbf7d0170d\n.
  HKU\S-1-5-21-2479517998-692649388-632813716-1003\...\Run: [Updater] => C:\ProgramData\Updater\updater.exe [486264 2013-12-18] (Updater)
  HKU\S-1-5-21-2479517998-692649388-632813716-500\...\Run: [Updater] => C:\ProgramData\Updater\updater.exe [486264 2013-12-18] (Updater)
  AppInit_DLLs: C:\PROGRA~3\Wincert\WIN64C~1.DLL => C:\ProgramData\Wincert\win64cert.dll [8704 2012-12-20] ()
  AppInit_DLLs-x32: C:\PROGRA~3\Wincert\WIN32C~1.DLL => C:\ProgramData\Wincert\win32cert.dll [7168 2012-12-20] ()
  AppInit_DLLs-x32: c:\progra~2\bandoo\bndhook.dll => c:\Program Files (x86)\Bandoo\BndHook.dll [68032 2010-06-08] (Discordia Limited)
  Startup: C:\Users\Véro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk
  ShortcutTarget: Notification de cadeaux MSN.lnk -> C:\Users\Administrateur\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe (No File)
  GroupPolicy: Group Policy on Chrome detected
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction
  CHR HKU\S-1-5-21-2479517998-692649388-632813716-1003\SOFTWARE\Policies\Google: Policy restriction
  URLSearchHook: HKU\S-1-5-21-2479517998-692649388-632813716-1000 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No File
  URLSearchHook: HKU\S-1-5-21-2479517998-692649388-632813716-500 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No File
  SearchScopes: HKLM-x32 -> {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL = http://www.searchqu.com/web?src=ieb&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2479517998-692649388-632813716-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2479517998-692649388-632813716-1000 -> {F2077B1B-CD0E-4C6C-8014-2C9B8ACD5B9B} URL = http://services.zinio.com/search?s={sel ... sonyslices
  SearchScopes: HKU\S-1-5-21-2479517998-692649388-632813716-1003 -> {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL =
  SearchScopes: HKU\S-1-5-21-2479517998-692649388-632813716-500 -> {BA55A1B2-E636-46D3-8BBA-12D972BBD705} URL = http://services.zinio.com/search?s={sel ... sonyslices
  BHO-x32: No Name -> {44ed99e2-16a6-4b89-80d6-5b21cf42e78b} -> No File
  Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
  Toolbar: HKU\S-1-5-21-2479517998-692649388-632813716-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
  Toolbar: HKU\S-1-5-21-2479517998-692649388-632813716-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
  Toolbar: HKU\S-1-5-21-2479517998-692649388-632813716-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File
  Toolbar: HKU\S-1-5-21-2479517998-692649388-632813716-1003 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
  Toolbar: HKU\S-1-5-21-2479517998-692649388-632813716-1003 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File
  Toolbar: HKU\S-1-5-21-2479517998-692649388-632813716-500 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
  Toolbar: HKU\S-1-5-21-2479517998-692649388-632813716-500 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File
  FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\SearchquWebSearch.xml
  FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox
  FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox
  FF HKLM-x32\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox
  FF HKLM-x32\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox
  FF HKU\S-1-5-21-2479517998-692649388-632813716-1000\...\Firefox\Extensions: [firefox@bandoo.com] - C:\Users\VRO~1\AppData\Roaming\Mozilla\Firefox\Profiles/4h020vll.default\extensions\firefox@bandoo.com
  FF HKU\S-1-5-21-2479517998-692649388-632813716-1003\...\Firefox\Extensions: [firefox@bandoo.com] - C:\Users\VRO~1\AppData\Roaming\Mozilla\Firefox\Profiles/4h020vll.default\extensions\firefox@bandoo.com
  FF HKU\S-1-5-21-2479517998-692649388-632813716-500\...\Firefox\Extensions: [firefox@bandoo.com] - C:\Users\VRO~1\AppData\Roaming\Mozilla\Firefox\Profiles/4h020vll.default\extensions\firefox@bandoo.com
  CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
  CHR HKU\S-1-5-21-2479517998-692649388-632813716-1003\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\VRO~1\AppData\Local\mysearchdial-speeddial.crx [2014-02-03]
  CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [igjjkeeamkpihpncmmbgdkhdnjpcfmfb] - C:\ProgramData\BetterExperience\Chrome\common.crx [2014-02-01]
  C:\$Recycle.Bin\S-1-5-21-2479517998-692649388-632813716-1003\$332288f79ca2d7536ee2abfbf7d0170d
  C:\$Recycle.Bin\S-1-5-18\$332288f79ca2d7536ee2abfbf7d0170d
  C:\Program Files\IB Updater
  c:\Program Files (x86)\Bandoo
  C:\Program Files (x86)\eoRezo
  C:\ProgramData\Wincert
  C:\ProgramData\Updater
  C:\ProgramData\RHelpers
  C:\ProgramData\BetterExperience
  C:\Users\Véro\AppData\Roaming\~ruoaxxn.exe
  C:\Users\VRO~1\AppData\Roaming\MYSEAR~1
  C:\Users\Véro\AppData\Local\SwvUpdater
  Task: {37DE853D-6DD7-4751-9614-E4E74B7A0652} - System32\Tasks\4603 => Wscript.exe C:\Users\VRO~1\AppData\Local\Temp\launchie.vbs //B
  Task: {3C1B1C82-5273-4693-A12D-D78D8C48551B} - System32\Tasks\{1A11EA2D-985B-463E-98FB-83074698130D} => pcalua.exe -a "C:\Program Files (x86)\eoRezo\unins000.exe"
  Task: {6F8A4CA4-AD8E-4DB0-9C1E-4E3729A098DF} - System32\Tasks\0 => Iexplore.exe
  Task: {763324AC-BAD4-4F1D-8FCF-44E740667257} - System32\Tasks\wp_update => C:\Users\Véro\AppData\Roaming\~ruoaxxn.exe [2014-01-30] ()
  Task: {F60BE77D-AB34-4670-B147-9C564EC248E7} - System32\Tasks\MySearchDial => C:\Users\VRO~1\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE
  Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Véro\AppData\Local\SwvUpdater\Updater.exe
  Task: C:\Windows\Tasks\MySearchDial.job => C:\Users\VRO~1\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE
  EmptyTemp:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Scanner :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).txt

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
RogueKiller-Recherche
AdwCleaner-Scanner

@+

[lyoncanut]

Bonjour,

Effectivement, tout le monde a bien ici qu'il fallait bien faire attention à ce qui était susceptible d'être installé... pour ça, la leçon a bien été retenue !!

Bon, voici le premier fichier :

[L’extension txt a été désactivée et ne peut plus être affichée.]

Pour info, j'ai supprimé l'anti-virus de Microsoft. J'avoue avoir un peu de mal à choisir un anti-virus, tant les site comparatifs semblent tous différents.

Je m'attaque à Roguekiller maintenant.

[lyoncanut]

OK, j'ai lancé Roguekiller, qui a planté une première fois lors du scan. Je l'ai relancé une fois le PC redémarré, et voilà le rapport édité :

[L’extension log a été désactivée et ne peut plus être affichée.]

Je m'attaque maintenant à ADWcleaner

[lyoncanut]

Et voilà pour le dernier fichier, celui du logiciel ADWcleaner :

[L’extension txt a été désactivée et ne peut plus être affichée.]

Je viens de m'apercevoir que j'ai certainement désinstallé le logiciel Bonjour qui apparemment était utilisé pour la maintenance de windows comme indiqué dans le panneau de configuration..

Après essai, le service centre de sécurité windows refuse toujours de s'activer, comme le centre de maintenance (plus de logiciel Bonjour).

[chantal11]

Bonjour,

J'avais demandé de lancer AdwCleaner qu'avec l'option Scanner, il peut y avoir des faux-positifs.

j'ai certainement désinstallé le logiciel Bonjour qui apparemment était utilisé pour la maintenance de windows

L'application Bonjour n'a rien à voir avec la maintenance de Windows.
C'est un logiciel Apple assez intrusif et qui crée parfois des dysfonctionnements.
Si tu n'en as pas besoin, autant le désinstaller en effet.

Nous allons utiliser cet outil pour vérifier au niveau du rootkit :

TDSSKiller :

• Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
• Double-clique sur TDSSKiller.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
  Il faut le valider en cliquant sur Reboot now.
• Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
  L'outil TDSSKiller se relance.
• Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
• Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
• En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
  - Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
  - Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
  - Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
  - Si Suspicious object est indiqué, l'option Skip soit cochée
• Clique ensuite sur Continue, puis clique sur Reboot computer (si l'option est proposée)
• Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
  Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt
  note : 3 rapports TDSSKiller sont enregistrés sous C:\ - il faut poster le plus important en taille

Tutoriel d'utilisation TDSSKiller en images

@+

[lyoncanut]

Bonjour !!

Je parlais de Bonjour car le centre de maintenance de windows indiquait qu'il y avait un problème avec ce logiciel, donc je croyais qu'ils étaient liés tous les deux. Tant mieux alors s'il est supprimé !!

Le logiciel n'a rien détecté à priori, voici le lien vers le rapport édité (la taille était trop importante pour être chargé directement sur le post) :

http://up.security-x.fr/file.php?h=R515 ... 435ac1d180


@+

[chantal11]

Re,

OK pour le rapport.
Nous voilà débarrassé de ZeroAccess

Nous continuons, avec une analyse générale avec Malwarebytes, puis avec un outil pour évaluer les dégâts causés par ZeroAccess.

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium". La case Exécuter Malwarebytes Anti-Malware reste cochée.
• Clique sur Terminer. Malwarebyte's s'ouvre
• Pour mettre en français, dans Settings, puis General Settings, dans Language, sélectionne French
• Dans Version de la base de données, clique sur le lien Mettre à jour pour installer les mises à jour et laisse l'outil les installer
• Dans Paramètres, puis Détection et protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
• Dans Examen, coche Examen "Menaces" puis clique sur Examiner maintenant
• Si l'outil te propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
• Patiente le temps de l'analyse
• Pour supprimer les éléments détectés, clique sur Tout mettre en quarantaine
• Si un redémarrage est demandé, clique sur Yes
• Au redémarrage, relance Malwarebytes
• Dans Historique, clique sur Journaux de l'application
• Sélectionne le journal d'examen le plus récent, puis clique sur Afficher
• Clique sur Exporter puis sur Fichier texte (*.txt)
• Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
  Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Tutoriel d'utilisation Malwarebytes en images

--------------------------------------------------------------------------------------------------------------

Farbar Service Scanner :

• Télécharge Farbar Service Scanner et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône FSS.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Coche toutes les options et clique sur Scan
  
• Poste le rapport FSS.txt dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Sont attendus les rapports
Malwarebytes
FSS

@+

[lyoncanut]

Cool, ça fait plaisir de voir que le cas n'est pas désespéré !!

Voici les rapports demandés :

[L’extension txt a été désactivée et ne peut plus être affichée.]

[L’extension txt a été désactivée et ne peut plus être affichée.]

@+

[chantal11]

Re,

ZeroAccess a corrompu beaucoup de services.

Nous allons réparer avec cet outil :

---------------------------------------------------------------------------------------------

Windows Repair :

• Sur cette page Tweaking.com, télécharge la version portable Windows Repair et enregistre le fichier sur le Bureau
• Décompresse le fichier tweaking.com_windows_repair_aio.zip (clic-droit -> Extraire tout)
• Double-clique sur l'icône Repair_Windows.exe pour lancer l'outil
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur l'onglet Step 4 puis sur Do It et laisse l'outil procéder à la vérification et réparation des fichiers système
  
• A la fin de l'analyse, referme Windows Repair et redémarre le PC
• Au redémarrage, relance Windows Repair, clique sur l'onglet Step 5, puis sur Create sous System Restore pour créer un point de restauration
• Clique sur l'onglet Start Repairs puis sur Start
• Clique de nouveau sur Start et coche exactement les mêmes options indiquées ci-dessous
  
• Ferme toutes les applications, y compris ton navigateur et clique sur Start
• Laisse l'outil travailler et redémarre le PC si cela ne s'est pas fait automatiquement

Tutoriel d'utilisation Windows Repair en images

---------------------------------------------------------------------------------------------

Ensuite, tu relances FSS et tu postes le nouveau rapport obtenu.

@+