[Réglé] Centre de sécurité

[Ask to Old Man]

Bonjour tout le monde! J'ai un petit souci je sais pas si c'est un virus ou pas mais quand j'allume mon ordinateur au démarrage sur le bureau je vois toujours le centre de sécurité qui dit que mon antivirus antivir n'est pas reconnu . Je l'active mais a chaque fois démarrage de l'ordinateur il s'affiche
Comment enlever sa ?

Merci de votre aide

Ordinateur: vista

[TheCrow]

Bonjour,

ton antivirus reste activé tout le temps ? ou tu est obligé de l'activé a chaque démarrage ?

Et tu voudrais retirer la petite fenêtre quand ta session s'ouvre ?

Clic sur exécuter, tu tape msconfig et tu va dans démarrage si je me souvient bien.

Tiens nous au courant...

[surfer0]

Bonjour TheCrow

Oui mon antivirus antivir reste activer tout le temps , je vois le parapluie qui est activer mais a chaque ouverture de session enfin presque y a le centre de sécurité qui s'affiche en disant que mon antivirus est désactivé alors que c'est faut.
Je voudrais réglet le problème pour plus voir le centre de sécurité me dire que mon antivirus n'est pas activer

Merci

[danakil]

Salut tout le monde!

surfer0
Tu es sous Vista ou Seven?

[surfer0]

Bonsoir danakil

Si on regarde dans mon premier message tout en bas j'ai écris vista ^^

[danakil]

C'est ca de lire en zig zag!

Fais ceci :
> Rends toi dans le Panneau de Configuration > Clique sur Sécurité et ensuite sur Centre de Sécurité
> Dans la fenêtre ouverte du Centre de Sécurité > Regarde dans la fenêtre de gauche et clique sur :

Modifier la manière dont le Centre de sécurité m'avertit

> Clique enfin Ne pas m'avertir et ne pas afficher l'icône
> Si demandé, redémarre le PC.

Cela devrait régler ce problème de notification!

Maintenant il serait bien que l'on contrôle ton PC afin de savoir si derrière tout cela tu n'as pas une infection majeur présente et qui influence le comportement de ce PC.

Fais ceci pour vérifier en cliquant sur ce lien :
preparer-demande-aide-desinfection-vt-54149.html

[surfer0]

Ne tkt pas

bah si je fais sa le centre de sécurité va rester en bas a droite , il sera toujours présent en me disant que le centre n'est pas active

et merci pour ton lien je vais le faire toute suite

[surfer0]

Voici le rapport du lien que ma donner Dankil

j'en ai reçu qu'un .
http://www.cijoint.fr/cjlink.php?file=c ... X9mHoJ.txt

[danakil]

bah si je fais sa le centre de sécurité va rester en bas a droite

Ne pas m'avertir et ne pas afficher l'icône

Je regarde ton rapport - tu as déjà utilisé OTL auparavant?

[surfer0]

Oui j'ai déjà utiliser mais y a longtemps

[danakil]

Salut!

Concernant le Centre de sécurité, celui-ci sera toujours actif - C'est simplement la notification qui sera neutralisée le temps de savoir ce qu'il se passe sur ton PC.

Fais ceci dans l'ordre :
Télécharge ToolsCleaner de A.Rothstein & dj QUIOU sur ton Bureau.
Double-clics dessus pour lancer.
Si l'UAC est activé, fais un clic droit dessus > Exécuter en tant qu'Administrateur ...

Clique sur le bouton "Recherche" et laisse le scan se dérouler (il peut durer quelques minutes).

* Durant le scan de recherche, ne clique pas dans la fenêtre active, cela provoquerait un bug du programme.
* Si la mention "ne réponds pas" apparaît dans la fenêtre de ToolsCleaner, ne t'en soucis pas et laisse le programme se terminer.

A la fin de la recherche, Clique sur le bouton "Suppression".

Enfin Poste ici le contenu du rapport.


... ensuite et seulement le passage de ToolsCleaner ...

• Télécharge ZHPDiag de Nicolas coolman sur ton Bureau.
• Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut (Coche "Créer une icône sur le bureau")
• Lance ZHPDiag en double cliquant sur l'icône présente sur ton Bureau [Clique droit -> Exécuter en tant qu'Administrateur ( Vista/seven )]
• Clique sur la loupe en haut à gauche, puis laisse l'outil scanner le PC.
• Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton Bureau.
• Poste le contenu du rapport dans ta prochaine réponse en utilisant ce site : http://www.cijoint.fr/

> ... sur le site de cijoint :
• Clique sur Parcourir pour rechercher le rapport puis sur Cliquez ici pour déposer le fichier
• Copie et colle ici le lien web qui te sera donné.
• Il est de type : http://www.cijoint.fr/cjlink.php?file=c ... 8MD0zB.txt

[surfer0]

Bonjour

Encore merci pour ton aide

Voici les rapports que tu as demander

toolscleaner2

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\Users\Yoann\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: trouvé !
C:\Users\Yoann\Downloads\ComboFix.exe: trouvé !
C:\Users\Yoann\Downloads\Programs\UsbFix.exe: trouvé !
C:\_OTL\MovedFiles\01032011_224442\C_\Qoobox: trouvé !

---------------------------------
--> Suppression:

C:\Users\Yoann\Downloads\ComboFix.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\Users\Yoann\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: supprimé !
C:\Users\Yoann\Downloads\Programs\UsbFix.exe: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\_OTL\MovedFiles\01032011_224442\C_\Qoobox: supprimé !


rapport ZHPdiag

http://www.cijoint.fr/cjlink.php?file=c ... ZBSi1c.txt

Merci

[danakil]

Salut!

Je suspecte la présence d'un RootKit sur ton PC.
Extrait de la définition d'un RootKit :

Les rootkits sont une variété de malwares (disons pour simplifier, virus) apparue d'abord dans le monde Unix/Linux puis, plus récemment, dans celui de Windows.
Les rootkits sont des malwares qui peuvent être très difficiles à démasquer et parfois, à éradiquer. En effet ils possèdent deux caractéristiques originales :
- d'une part ils modifient en profondeur le fonctionnement du système d'exploitation (éventuellement son noyau) ;
- d'autre part ils se rendent invisibles à ce système d'exploitation.
Ils peuvent même rendre invisibles divers autres parasites qu'ils auront installés : spyware, portes dérobée, cheval de Troie... et c'est ce qui constitue en général la raison majeure de leur existence.

1/ Vérifications.

• Télécharge mbr.exe de Gmer sur ton Bureau.
  > Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
  
• Lance mbr.exe par un clic droit > Exécuter en tant qu'Administrateur.
  > Un rapport sera généré : mbr.log

> En cas d'infection, ce message "MBR rootkit code detected" va apparaître.
Si c'est le cas ...
> Dans le menu Démarrer - Exécuter (Recherche) tape ou copie\colle le code ci-dessous :

Code: Tout sélectionner

"%userprofile%\Desktop\mbr" -f

> Dans le mbr.log cette ligne apparaîtra "Original MBR restored successfully !"
> Réactive tes protections et poste moi son rapport.

2/ Effectue un deuxième lancement de mbr.exe pour vérifier la suppression du RootKit.
> Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit ...

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

> Confirme en réponse ici.

3/ Relance un scan de ZHPDiag et poste moi son rapport.

[surfer0]

Bonjour

Merci pour ta réponse

Alors je n'ai pas eu de message en m'indiquant que j'ai eu une infection enfin je crois pas tu va me le dire
Voici le rapport de MBR

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD50 rev.02.0 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

et puis voici le rapport de ZHPDiag

http://www.cijoint.fr/cjlink.php?file=c ... C8XHnp.txt

[danakil]

OK!
On a eu affaire à un faux positif (Nom d'un programme, logiciel, ... ressemblant à une infection).

Maintenant fais ceci :

• Sur ton Bureau tu dois avoir une icône nommé "ZHPFix" > Ouvre cet exécutable.
• Dans la fenêtre d'application (blanche et vierge) copie et colle ceci dedans :
> Procédure :
Clique sur TOUT SELECTIONNER > ensuite clic droit sur la sélection > Copier

Code: Tout sélectionner

[HKCU\Software\Spointer]     
[MD5.780D14604D49E3C634200C523DEF8351] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yoann\AppData\Local\Temp\bassmod.dll   [9728]     
[HKLM\Software\Iminent]
O43 - CFD: 03/08/2010 - 21:03:14 ----D- C:\Program Files\Iminent
O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Audio Layer-3 Codec for MSACM.) -- C:\Windows\System32\l3codecp.acm
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter]  oobefldr.dll     
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter]  oobefldr.dll     
O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe     
O53 - SMSR:HKLM\...\startupreg\swg  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe     
O64 - Services: CurCS - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour (Bonjour Service)  .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
SR - | Auto 27/07/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe     


... Ouvre ZHPFix
• En haut dans la barre de commandes clique sur --> H ...
... afin d'activer les lignes Helpers.
(Contrôle que le code soit identique).

• Clique enfin sur OK, puis sur Tous, et pour terminer le lancement sur Nettoyer.
(Cela sera rapide et tu obtiendras un rapport de nettoyage).

• Copie et colle ici ce rapport en réponse.