[Résolu] Blocage antivirus et Windows Update

[deltad]

Bonsoir, j'ai besoin de votre aide pour résoudre deux problèmes apparemment causés par un malware.

 

1) Tout d'abord, la protection temps réel de l'antivirus, en l'occurence le "guard" d'Antivir, ne fonctionne plus. J'ai essayé avec d'autres antivirus (Avast, McAfee) en désinstallant systématiquement les antivirus précédents et je rencontre le même problème : je peux faire des scans, mais impossible d'activer la protection temps réel.

 

2) Ensuite, je ne peux pas non plus faire les mises à jour windows. Quand je lance Windows Update j'obtiens ce message :

"Windows Update ne peut pas actuellement rechercher des mises à jour car le service n'est pas en cours d'execution. Il vous faudra peut-être redémarrer votre ordinateur."

J'ai téléchargé un utilitaire depuis le site microsoft qui n'a pas fonctionné non plus, et l'assistant de résolution des problèmes "Fix It" (microsoft aussi) a planté au moment de l'execution.

 

 

Dans l'hypothèse ou un malware était à l'origine de ces problèmes j'ai fait un scan Antivir qui a déplacé quelques fichiers en quarantaine. J'ai ensuite utilisé Malwarebytes Anti-malware qui m'a trouvé huit éléments:

 

Je les ai tous supprimés. Pour finir, j'ai effectué le scan rapide de Dr. Web qui n'a rien donné.

 

En cas de besoin, voici mon rapport HiJackThis : Lien CJoint.com BHotjcTF49E

 

Ces deux problèmes persistent et je ne sais pas si ils sont l'effet de virus persistants, ou les conséquences des dégats causés par les malwares supprimés, qu'il faudrait réussir à réparer.

Merci pour votre aide éventuel!

Modifié le 16 août 2012 par deltad

[bernard53]

Bonsoir

Fait ceci comme rapport plus complet s.t.p

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

[deltad]

Merci de ton aide.

Au passage, c'est indiqué dans le rapport mais j'ai tout de même oublié de préciser que le pc tournait sous windows 7 64bits

 

Voici le rapport OTL :

Lien CJoint.com 0HoxcnCPs2O

 

et Extras.txt :

Lien CJoint.com 0Hoxf7tN1yi

[bernard53]

Ceci s.t.p

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

PRC - File not found

PRC - C:\Program Files\Lexmark\ErrorApp\lmab1err.exe ( )

IE - HKLM\..\SearchScopes,DefaultScope = {F501CBC9-4614-4315-A9C0-5ED15F08114B}

IE - HKLM\..\SearchScopes\{F501CBC9-4614-4315-A9C0-5ED15F08114B}: "URL" = {searchTerms} - Bing

IE - HKLM\..\SearchScopes,DefaultScope = {5FE7C5D5-77CE-4394-B9CA-D2384E41FD5E}

IE - HKLM\..\SearchScopes\{5FE7C5D5-77CE-4394-B9CA-D2384E41FD5E}: "URL" = {searchTerms} - Bing

IE - HKCU\..\SearchScopes,DefaultScope = {5FE7C5D5-77CE-4394-B9CA-D2384E41FD5E}

IE - HKCU\..\SearchScopes\{BC01F631-BBDE-469B-9C3A-5DC1CB4BBF42}: "URL" = {searchTerms} | eBay

FF - user.js - File not found

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM\..\Run: [] File not found

O4 - HKCU\..\Run: [AdobeBridge] File not found

[2012/08/14 22:19:53 | 000,000,216 | ---- | M] () -- C:\Windows\tasks\AutoKMS.job

[2012/08/13 11:18:00 | 000,000,220 | ---- | M] () -- C:\Windows\tasks\AutoKMSDaily.job

[2011/05/19 18:03:33 | 000,151,552 | ---- | C] () -- C:\Windows\KMSEmulator.exe

:Commands

[emptytemp]

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

 

Ensuite :

Tu as trop de chose au démarrage du pc.

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

Télécharger Starter

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

O4 - HKLM\..\Run: [00TCrdMain] C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)

O4 - HKLM\..\Run: [HSON] C:\Program Files\TOSHIBA\TBS\HSON.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] C:\Windows\KHALMNPR.Exe (Logitech, Inc.)

O4 - HKLM\..\Run: [RtHDVBg] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (Realtek Semiconductor)

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)

O4 - HKLM\..\Run: [smartFaceVWatcher] C:\Program Files\Toshiba\SmartFaceV\SmartFaceVWatcher.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [smoothView] C:\Program Files\Toshiba\SmoothView\SmoothView.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [Teco] C:\Program Files\TOSHIBA\TECO\Teco.exe (TOSHIBA Corporation) =

O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaReminder.exe (Toshiba Europe GmbH)

O4 - HKLM\..\Run: [Toshiba TEMPRO] C:\Program Files (x86)\Toshiba TEMPRO\TemproTray.exe (Toshiba Europe GmbH)

O4 - HKLM\..\Run: [TosReelTimeMonitor] C:\Program Files\TOSHIBA\ReelTime\TosReelTimeMonitor.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [TosVolRegulator] C:\Program Files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [TosWaitSrv] C:\Program Files\TOSHIBA\TPHM\TosWaitSrv.exe (TOSHIBA Corporation)

O4 - HKLM\..\Run: [TPwrMain] C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE (TOSHIBA Corporation)

O4 - HKLM\..\Run: [WrtMon.exe] C:\Windows\SysNative\spool\drivers\x64\3\WrtMon.exe ()

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated) =

O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found =

O4 - HKLM\..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) =

O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\Utilities\HWSetup.exe (TOSHIBA Electronics, Inc.)

O4 - HKLM\..\Run: [KeNotify] C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe (TOSHIBA CORPORATION)

O4 - HKLM\..\Run: [NBAgent] c:\Program Files (x86)\Nero\Nero 10\Nero BackItUp\NBAgent.exe (Nero AG)

O4 - HKLM\..\Run: [startCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)

O4 - HKLM\..\Run: [sVPWUTIL] C:\Program Files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe (TOSHIBA)

O4 - HKLM\..\Run: [switchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe (RealNetworks, Inc.)

O4 - HKLM\..\Run: [TWebCamera] C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe (TOSHIBA CORPORATION.)

O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)

O4 - HKCU\..\Run: [LMab1err] C:\Program Files\Lexmark\ErrorApp\LMab1err.exe ( )

O4 - HKCU\..\Run: [Pidgin] C:\Program Files (x86)\Pidgin\pidgin.exe (The Pidgin developer community)

O4 - HKCU\..\Run: [spotify Web Helper] C:\Program Files (x86)\Spotify\Data\SpotifyWebHelper.exe ()

O4 - HKCU\..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\TOPI.exe (TOSHIBA)

O4 - Startup: C:\Users\LOUIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\LOUIS\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)

 

 

Redémarres le pc ensuite pour constater le mieux.

 

Puis:

 

Télécharge WinUpdateFix de Xplode sur le bureau

Téléchargements - Outils de Xplode - WinUpdateFix

 

Lance-le en cliquant sur l'icône, il ne nécessite pas d'installation.

Sous Vista/7, faire un clic droit sur l'icône et Exécuter en tant qu'administrateur.

 

Clique sur le bouton Démarrer pour les trois cadres Services - BITS - Service de cryptographie si nécessaire.

Coche les cases devant les lignes suivantes (en gras) en appuyant sur Tous :

-Effacer le catalogue des mises à jour

-Réinscire les DLL

-Vider le dossier SoftwareDistribution

-Réinitialiser les paramètres Winsock

-Supprimer les fichiers temporaires

-Réinitialiser les descripteurs de sécurité

-Supprimer le proxy

-Restaurer les policies

-Effacer la file d'attente BITS

 

 

 

 

Clique sur le bouton Exécuter

Un message t'avertira de la réussite de l'opération.

Il te sera demandé de redémarrer dans le cas d'une réinitialisation des paramètres Winsocks, fais-le en validant par OK

 

 

Pour tester le résultat :

Sous Vista/7 : Dans le panneau de configuration, Windows Update, clique sur Rechercher des mises à jour.

[deltad]

Je n'ai pas pu executer le code que tu m'as donné: OTL se bloquait sur la ligne "PRC - File not found" même au bout de dix minutes... Je pense réessayer ce midi en le laissant plus longtemps.

En retirant cette ligne, j'ai obtenu ce rapport :

Lien CJoint.com 0HpmfF6aXqx

 

J'ai réalisé les autres étapes sans difficulté, notamment WinUpdateFix mais les deux problèmes sont toujours là.

 

J'ai ce message d'erreur pour windows update :

Le "en savoir sur les logiciels gratuits de (null)" ne laisse présager rien de bon non plus...

 

De même impossible d'activer la protection résidente :

 

 

Je tente de refaire OTL... EDIT : Toujours bloqué au bout d'une heure

 

EDIT 2 : Je ne peux plus activer le pare-feu windows non plus "Le pare-feu windows ne peut pas modifier certains de vos paramètres Code d'erreur 0x80070424"

Modifié le 15 août 2012 par deltad

[bernard53]

fait ceci s.t.p.

Windows Update - Reset - Windows 7 Forums

[deltad]

J'ai essayé l'option 3 (la totale): ça ne marche pas (en mode admnistrateur il bloque, en mode administrateur + mode sans échec il va jusqu'au bout mais ça ne change rien).

En fait tout ce passe comme si le service windows update "wuauserv" avait été supprimé. Quand j'essaie cette commande uniquement "net start wuauserv" (présente dans le fichier) j'obtiens "le nom de service n'est pas valide".

 

Sinon, penses-tu que la desinfection proprement dite est terminée ?

[deltad]

Je crois enfin avoir réussi à m'en débarasser Merci pour ton soutien. Il s'agissait d'un rootkit particulièrement tenace!

 

Je suis passé par RogueKiller qui m'a redirigé sur se programme : TDSSKiller (outil de Kasperky).

Ce outil a été efficace dans mon cas, donc il pourrait sûrement l'être pour d'autres:

Anti-rootkit utility TDSSKiller

[bernard53]

Ok super