problème de boot et winlogon.exe

[pear]

Bonjour,

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

Killall::

File::

C:\lky.exe

C:\whi.com

C:\_OTMoveIt

C:\ToolBar SD

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Java n'est pas à jour,donc moins sécurisé.

 

Téléchargez JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.

* Décompressez le fichier sur le bureau (clic droit > Extraire tout)

* Double-cliquer sur le répertoire JavaRa

* Puis double-cliquer sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)

* Cliquez sur Search For Updates

* Sélectionner Update Using jucheck.exe puis cliquer sur Search

* Autorisez le processus à se connecter s'il le demande, cliquer sur Install et suivre les instructions d'installation qui prennent quelques minutes.

* L'installation est terminée, revenez à l'écran de JavaRa et cliquez sur Remove Older Versions

* Cliquez sur Oui pour confirmer. Laissez travailler et cliquez ensuite sur Ok, puis une deuxième fois sur Ok.

* Un rapport va s'ouvrir à copier-coller dans la prochaine réponse.

* Fermer l'application

Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log .

 

[abidou]

Bonjour,

 

je n'arrive pas à lancer l'update de JavaRa. lorsque je clic sur search, je reçois un message qui m'indique que je ne peux effectuer l'update avec les paramètres de connexion internet actifs de mon système.

 

voici le rapport ComboFix:

 

ComboFix 08-11-21.02 - abdelwouhab 2008-11-24 8:05:32.10 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1508 [GMT 0:00]

Lancé depuis: c:\documents and settings\abdelwouhab.AWB.000\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\abdelwouhab.AWB.000\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

C:\_OTMoveIt

C:\lky.exe

C:\ToolBar SD

C:\whi.com

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\lky.exe

C:\whi.com

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-24 au 2008-11-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-21 15:09 . 2008-11-21 15:09 <REP> d-------- c:\program files\Avira

2008-11-21 14:23 . 2008-11-21 14:23 <REP> d-------- C:\_OTMoveIt

2008-11-20 16:41 . 2008-11-20 16:42 <REP> d-------- C:\rsit

2008-11-20 16:41 . 2008-11-04 13:56 401,720 --a------ C:\abdelwouhab.exe

2008-11-13 21:27 . 2008-11-21 14:28 85,504 --------- c:\windows\system32\gasretyw1.dll

2008-11-04 19:07 . 2008-11-04 19:07 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-11-04 19:07 . 2008-11-04 19:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-04 19:07 . 2008-11-04 19:07 <REP> d-------- c:\documents and settings\abdelwouhab.AWB.000\Application Data\Malwarebytes

2008-11-04 19:07 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-04 19:07 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-04 13:56 . 2008-11-04 13:56 401,720 --a------ C:\HiJackThis.exe

2008-11-03 15:27 . 2008-11-21 14:44 <REP> d-------- C:\ToolBar SD

2008-11-03 15:19 . 2008-11-03 15:19 <REP> d-------- c:\documents and settings\Administrateur.AWB\Application Data\Thunderbird

2008-11-03 15:19 . 2008-11-03 15:19 <REP> d-------- c:\documents and settings\Administrateur.AWB\Application Data\Talkback

2008-11-03 14:55 . 2008-11-03 14:55 <REP> d-------- c:\documents and settings\Administrateur.AWB\Application Data\Bitdefender

2008-11-03 14:18 . 2008-11-03 14:18 <REP> d-------- c:\documents and settings\abdelwouhab.AWB.000\Application Data\MSNInstaller

2008-11-03 14:10 . 2008-11-03 14:10 <REP> d-------- c:\documents and settings\abdelwouhab.AWB.000\Application Data\Talkback

2008-11-03 12:28 . 2008-11-03 12:28 <REP> d-------- c:\documents and settings\abdelwouhab.AWB.000\Application Data\vlc

2008-11-03 11:53 . 2008-11-03 15:22 <REP> d-------- c:\program files\Mozilla Thunderbird

2008-11-03 11:53 . 2008-11-03 11:53 <REP> d-------- c:\documents and settings\abdelwouhab.AWB.000\Application Data\Thunderbird

2008-10-29 10:55 . 2008-10-29 10:56 <REP> d-------- c:\program files\McDonaldsFairies

2008-10-29 10:47 . 2008-10-29 10:48 <REP> d-------- c:\program files\McDonaldsDragons

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-24 08:04 81,984 ----a-w c:\windows\system32\bdod.bin

2008-11-21 15:09 --------- d-----w c:\documents and settings\All Users\Application Data\Avira

2008-11-11 05:25 --------- d-----w c:\documents and settings\abdelwouhab.AWB.000\Application Data\LimeWire

2008-11-03 14:21 --------- d-----w c:\program files\Planning Manager

2008-11-03 14:19 --------- d-----w c:\program files\Zelda Return of the Hylian

2008-11-03 14:19 --------- d-----w c:\program files\ZC2.10

2008-11-03 14:19 --------- d-----w c:\program files\solarus

2008-11-03 14:18 --------- d-----w c:\program files\AEBBadge

2008-11-03 14:15 --------- d-----w c:\program files\Sony

2008-11-03 14:07 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2008-11-03 14:01 --------- d-----w c:\program files\Awbgest2007

2008-11-03 13:02 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-10-07 16:01 --------- d-----w c:\program files\Sun

2008-10-07 16:00 410,976 ----a-w c:\windows\system32\deploytk.dll

2008-10-07 16:00 --------- d-----w c:\program files\Java

2008-09-29 01:21 --------- d-----w c:\documents and settings\abdelwouhab.AWB.000\Application Data\Azureus

2007-12-06 01:32 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat

2007-02-12 19:10 2,682,880 ------w c:\documents and settings\All Users\VCREDI~3.EXE

2007-05-22 19:14 8,784 ----a-w c:\program files\mozilla firefox\plugins\ractrlkeyhook.dll

2007-05-22 19:17 245,408 ----a-w c:\program files\mozilla firefox\plugins\unicows.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-11-03_18.31.39.71 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-05-09 13:15:51 45,376 ----a-w c:\windows\system32\drivers\avgntdd.sys

+ 2008-01-21 18:11:28 22,336 ----a-w c:\windows\system32\drivers\avgntmgr.sys

+ 2008-06-27 15:03:55 75,072 ----a-w c:\windows\system32\drivers\avipbb.sys

+ 2007-03-01 10:34:22 28,352 ----a-w c:\windows\system32\drivers\ssmdrv.sys

- 2008-10-21 14:12:16 3,297,576 ----a-w c:\windows\system32\FNTCACHE.DAT

+ 2008-11-21 15:27:56 3,315,008 ----a-w c:\windows\system32\FNTCACHE.DAT

- 2008-11-03 18:20:29 215,230 ----a-w c:\windows\system32\inetsrv\MetaBase.bin

+ 2008-11-24 08:14:36 215,237 ----a-w c:\windows\system32\inetsrv\MetaBase.bin

- 2008-11-03 14:57:56 90,496 ----a-w c:\windows\system32\perfc009.dat

+ 2008-11-18 13:58:29 90,496 ----a-w c:\windows\system32\perfc009.dat

- 2008-11-03 14:57:56 106,198 ----a-w c:\windows\system32\perfc00C.dat

+ 2008-11-18 13:58:29 106,198 ----a-w c:\windows\system32\perfc00C.dat

- 2008-11-03 14:57:56 490,688 ----a-w c:\windows\system32\perfh009.dat

+ 2008-11-18 13:58:29 490,688 ----a-w c:\windows\system32\perfh009.dat

- 2008-11-03 14:57:56 564,264 ----a-w c:\windows\system32\perfh00C.dat

+ 2008-11-18 13:58:29 564,264 ----a-w c:\windows\system32\perfh00C.dat

+ 2008-11-24 08:14:23 16,384 ----atw c:\windows\temp\Perflib_Perfdata_71c.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-10-07 144792]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"atwtusb"="atwtusb.exe" [2005-09-21 c:\windows\system32\ATWTUSB.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2007-05-23 25214]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=sockspy.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^Abdelwouhab^Menu Démarrer^Programmes^Démarrage^CCC.lnk]

path=c:\documents and settings\Abdelwouhab\Menu Démarrer\Programmes\Démarrage\CCC.lnk

backup=c:\windows\pss\CCC.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Acrobat Speed Launcher.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Acrobat Speed Launcher.lnk

backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BTTray.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\BTTray.lnk

backup=c:\windows\pss\BTTray.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Desktop Manager.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Desktop Manager.lnk

backup=c:\windows\pss\Desktop Manager.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DVD Check.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DVD Check.lnk

backup=c:\windows\pss\DVD Check.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]

--a------ 2008-04-23 02:08 483328 c:\program files\Adobe\Adobe Acrobat 7.0\Distillr\acrotray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]

--a------ 2007-05-25 19:55 290816 c:\progra~1\Softwin\BITDEF~1\bdmcon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2004-08-05 12:00 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

--a------ 2008-08-08 12:11 490952 c:\program files\DAEMON Tools Lite\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]

--a----t- 2008-09-25 08:42 133104 c:\documents and settings\abdelwouhab.AWB.000\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPWQTOOLBOX]

--a------ 2005-06-03 05:18 335872 c:\program files\Hewlett-Packard\HP Deskjet 9800 Series\Toolbox\HPWQTBX.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2007-04-27 09:25 257088 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 16:24 1694208 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-04-27 07:41 282624 c:\program files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

--a------ 2005-05-20 07:11 925696 c:\program files\Analog Devices\Core\smax4pnp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

--a------ 2006-11-10 11:35 90112 c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-03-14 01:43 83608 c:\program files\Java\jre1.6.0_01\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2007-01-12 12:36 827392 c:\program files\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

--a------ 2004-11-04 16:40 98394 c:\program files\Synaptics\SynTP\SynTPLpr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-05-26 10:29 185896 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]

--a------ 2006-03-31 11:58 184320 c:\program files\InterVideo\DVD Check\DVDCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"LIVESRV"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Research In Motion\\BlackBerry\\DesktopMgr.exe"=

"c:\\WINDOWS\\system32\\msiexec.exe"=

"c:\\Program Files\\Hewlett-Packard\\HP Deskjet 9800 Series\\Toolbox\\HPWQTBX.exe"=

"c:\\Program Files\\Azureus\\Azureus.exe"=

"c:\\Program Files\\Macromedia\\Dreamweaver 8\\Dreamweaver.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"d:\\Football Manager 2005\\fm2005.exe"=

 

R3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys [2007-05-23 88192]

S1 aiptektp;HyperPen;c:\windows\system32\DRIVERS\aiptektp.sys [2008-02-26 22272]

S3 HPFXBULK;HPFXBULK;c:\windows\system32\drivers\hpfxbulk.sys [2006-06-12 9344]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{859a03a3-86fc-11dc-b93b-001a6b2a1035}]

\Shell\AutoRun\command - F:\LaunchU3.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-11-24 c:\windows\Tasks\GoogleUpdateTaskUser.job

- c:\documents and settings\abdelwouhab.AWB.000\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-25 08:42]

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-24 08:14:59

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\system32\scardsvr.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

c:\windows\system32\inetsrv\inetinfo.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

c:\program files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

c:\program files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

c:\program files\Softwin\BitDefender10\vsserv.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\Acrobat_sl.exe

.

**************************************************************************

.

Heure de fin: 2008-11-24 8:20:36 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-24 08:20:28

ComboFix2.txt 2008-11-21 19:15:23

ComboFix3.txt 2008-11-04 17:05:00

ComboFix4.txt 2008-11-04 16:46:13

ComboFix5.txt 2008-11-24 08:04:26

 

Avant-CF: 7,756,488,704 octets libres

Après-CF: 7,741,558,784 octets libres

 

212

[abidou]

Bonjour Pear,

 

Cela fait deux jours que je n'ai pas de nouvelles de vous concernant mon problème. J'espère que vous vous portez bien. Je tenais à vous à dire que malgré toutes les actions déjà effectuées, antivir continue de manière régulière à m'indiquer une infection par VundoGen. J'ai téléchargé VundoFix de Atribune et j'ai effectué un scan. Au début, j'ai fait le scan sans désactivé l'antivirus. l'utilitaire n'a rien détecté mais en scannant le répertoire System32 de windows, antivir s'est déchaîné et pas moins de 15 fenêtres se sont ouvertes pour m'indiquer que VundoGen Trojan a été détecté. Pourtant, à la fin du scan, VundoFix m'a indiqué qu'il n'avait trouvé aucun fichier infecté. Je me suis dit que cela était du à l'antivirus. j'ai donc refait le scan en désactivant antivir mais, idem, aucun fichier infecté.

 

merci et à bientôt j'espère