Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 12 Nov 2006 à 17:05 Sujet du message: probleme winlogon.exe |
|
|
Voila j ai un gros probleme a cause de ce programme ... Merci d'avance pour votre aide.
Mon ordi plante a un moment et me met un écran tout bleu avec marqué : Stop c000021a {Erreur syst irrécupérable} le processus système windows Logon Process s'est terminé de façon inattendue avec l'état 0xc0000005 (0x00000000 0x00000000). L esystème a été arrêté.
Voici mon log hijackthis
|
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 12 Nov 2006 à 17:31 Sujet du message: |
|
|
Bonjour pippin90
J'adore cette ligne
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] FIFA Football 2007
Dans un premier temps on va tenter de supprimer egdaccess présent dans les lignes 016 de ton log
Ensuite un petit scan en ligne histoire de vérifier si des traces ou d'autres invités ne se cachent quelque part ce qui, a mon avis, est plus que probable
=> Autorise l'affichage des fichiers et dossiers cachés
* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre
- Télécharge Brute Force Uninstaller (BFU) (de Merijn). http://www.merijn.org/files/bfu.zip
* Décompresse-le dans un dossier à la racine du disque systeme (c:\BFU)
- Télécharge EGDACCESS.bfu http://metallica.geekstogo.com/EGDACCESS.bfu (Metallica)
* Fais un click droit sur ce lien puis choisis enregistrer sous ou enregistrer la cible sous
* enregistre le dans le même dossier que BFU (c:\BFU)
attention il est important que l'entension soit .bfu et non .txt (EDGACCESS.BFU) renomme le fichier si besoin
- Lance Brute Force Uninstaller en double-cliquant BFU.exe
Sous scriptline to execute fais un copier coller de c:\bfu\EGDACCESS.bfu
Clique sur execute
/!\ Si tu as enregistrer les fichiers dans un autre dossier il faudra mettre le bon chemin d'acces /!\
- Attendre que complete script execution apparaîsse et clique sur OK
Quitte BFU
=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://www.pandasoftware.fr/Activescan/Activescan.html
-- Clique sur l'image Analyser votre PC
-- Complète ou rempli les champs demandés (province et E-mail)
-- Clique sur l'image analyser gratuitement maintenant pour continuer
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur consulter le rapport (en haut) puis sur le bouton sauvegarder le rapport
-- Pour le retrouver facilement met le sur le bureau
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. je te conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- Si besoin tu trouveras un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368
a+ |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 12 Nov 2006 à 18:10 Sujet du message: |
|
|
Merci beacoup de ton aide je fait cela tout de suite masi sa va etre long car sa fait plus d'une demi heure que je scanne et il n'ets meme pas encore a la moitié :content: |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 12 Nov 2006 à 18:43 Sujet du message: |
|
|
Je ne sais pas si sa va car au bout d'un moment il a était marqué un logiciel malveillant a était détecté et c est a mis comme si c'était fini mais bon ...
voici quand meme le raport:
Citation: |
Incident Statut Analyse
Adware:adware/secure32 No Désinfecté c:\program files\secure32.html
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[fl01.ct2.comclick.com/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.bs.serving-sys.com/]
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.overture.com/]
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\thierry\Application Data\Mozilla\Firefox\Profiles\l7eyakk4.default\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@atwola[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@drivecleaner[2].txt
Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@fe.lea.lycos[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@overture[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@stats.drivecleaner[2].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@stats1.reliablestats[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@weborama[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@www.drivecleaner[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@xiti[1].txt
Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\thierry\Cookies\thierry@zedo[1].txt
Outil indésirable:Application/InternetGameBox No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc242.exe[InternetGameBox.exe]
Dialer:Dialer.IIB No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc3.dll
Spyware:Cookie/2o7 No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@2o7[2].txt
Spyware:Cookie/Falkag No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@as1.falkag[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@bluestreak[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@drivecleaner[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@stats.drivecleaner[2].txt
Spyware:Cookie/Weborama No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@weborama[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@www.drivecleaner[1].txt
Spyware:Cookie/Zedo No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc37\thierry@zedo[1].txt
Dialer:Dialer.HYC No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc4.dll
Dialer:Dialer.ICT No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc5.dll
Dialer:Dialer.IIB No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc6.dll
Dialer:Dialer.IFT No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc8.exe
Dialer:Dialer.IJB No Désinfecté C:\RECYCLER\S-1-5-21-1779201598-3752674179-4113039014-1006\Dc9.exe
|
|
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 12 Nov 2006 à 21:34 Sujet du message: |
|
|
=> Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
-- Décompresse le sur ton bureau
* lance smitfraudfix.cmd et choisis l'option 1 puis valide par la touche [Entrée]
* Un rapport sera généré sauvegarde le
Note :
-- Si l'affichage des extensions n'est pas autorisé tu verras apparaitre smitfraudfix au lieu de smitfraudfix.cmd
- process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus. |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 17 Nov 2006 à 21:25 Sujet du message: |
|
|
Désolé pour le retard mais bon je susi interne donc j'ai pas pu me connecté avant voici la réponse :
|
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 17 Nov 2006 à 21:40 Sujet du message: |
|
|
Bonjour,
=> Lance smitfraudfix.cmd
* choisis l'option 2 puis valide par la touche [entrée]
-- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection.
* Le fix déterminera si le fichier wininet.dll est infecté.
-- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu.
-- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.
-- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse
Note:
-- Cette étape élimine les fichiers infectieux détectés à l'étape #1
-- Important : l'option 2 de l'outil supprime le fond d'écran !
Refais un nouveau log Hijackthis pour traiter tout ce qu'il voudra bien nous montrer |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 17 Nov 2006 à 21:49 Sujet du message: |
|
|
Et voila
|
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 17 Nov 2006 à 23:58 Sujet du message: |
|
|
Re,
Manque un nouveau rapport Hijackthis STP. |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 18 Nov 2006 à 10:42 Sujet du message: |
|
|
A oui désolé le voila
|
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 18 Nov 2006 à 12:47 Sujet du message: |
|
|
Bonjour,
Bon on va attaquer un nettoyage qui sera plus efficace que des doses homéopathiques.
- Je te propose une procédure regroupant quelques opérations afin de nettoyer ton système. Cette procédure peut paraitre fastidieuse au premier abord mais cela n'est absolument pas le cas, il suffit de suivre les indications et tout se passera bien.
- N'hésites pas à poser des questions même si une question peut paraitre "idiote". Il vaut mieux paraitre idiot 5 minutes en posant une question que de le rester toute sa vie sans jamais avoir la réponse !
- Une partie de cette procédure s'effectuera en mode sans échec. Je te recommande d'imprimer ce qui suit ou en faire un copier coller dans un fichier texte que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec (Le bureau par exemple)
- J'attire également ton attention sur l'importance de communiquer les résultats obtenus même si les symptômes ont disparus.
* l'absence de symptômes ne confirme en rien une absence d'infection.
Bon assez de blabla et attaquons ce nettoyage !
=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec
=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.
- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php
=> Télécharge AVG AntiSpyware .
http://www.ewido.net/en/download/
-- Installe le
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware
Note :
AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.
- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html
=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.
- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.
Note :
-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.
-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.
=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] FIFA Football 2007
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab
---- Clique sur Fix cheked
-- Quitte Hijackthis
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner
=> Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok
* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre
* Clique sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Clique en bas sur Supprimer puis Fermer
* quitte Jv16
=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse
=> Redémarre en mode normal
=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566
=> Résultat
- Post les différents rapports obtenus
-- Kaspersky online
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.
Bon courage. |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 18 Nov 2006 à 14:54 Sujet du message: |
|
|
Voila le premier rapport c'est a dire AVG
Citation: |
---------------------------------------------------------
Log supprimé
|
La je suis entrain de faire le scan en ligne |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 18 Nov 2006 à 17:03 Sujet du message: |
|
|
Le scan en ligne se bloc a 1% DONC ;;; IL NE CONTINUE PLUS APR7S ;;; QUE FAIRE , |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 18 Nov 2006 à 17:35 Sujet du message: |
|
|
Bonjour,
Et Panda tu y arrive ? |
|
Revenir en haut de page |
|
|
pippin90
Inscrit le: 12 Nov 2006 Messages: 13
|
Posté le: 18 Nov 2006 à 19:20 Sujet du message: |
|
|
Oui panda sa marche je suis entrain de scanner |
|
Revenir en haut de page |
|
|
Ajouter à :
|
|