[RESOLU]Démarrage impossible

jpm3102 · le 2 janvier 2010

Bonjour et bonne année

Mon fils voulant mettre des morceaux de musique sur son MP3 (Noël) et voulant supprimer les DRM à fait ce qu'il ne fallait pas faire...en résumé, accés PtoP, téléchargement d'un keygen, lancement de cet exécutable, avast a été tué, son ordi s'est tranquillement arrêté. Impossible de le faire repartir, il dit quelque chose comme MAC adress error des chiffres (la mac adress j'imagine) puis des --- et une sorte d'étoile qui tourne puis il s'arrête.

J'ai récupéré son disque dur (avec XP) et je l'ai rajouté à mon portable (vista); En lançant avast sur les deux partitions une alerte à eu lieu à propos de wfsintwq.sys.

D'après mes recherches il se pourrait que ce soit "bagle" ? J'ai essayé ELIBAGLA mais je n'arrive pas à le télécharger.

J'ai installé un vieux disque dur sur son ordinateur portable qui à une partition avec XP, j'arrive quelques fois à l'écran noir écrit en blanc qui me propose plusieurs alternatives de démarrage mais rien ne fonctionne (même le mode sans échec), l'arrêt intempestif de l'ordi arrive rapidement.

Voilà voilà....comme début d'année.

Si quelqu'un peut me donner une piste, à part d'expliquer à mon fils sa ******de ********* (à part que je suis d'accord avec lui pour maudire les DRM) .

Modifié le 13 avril 2010 par jpm3102

Apollo · le 2 janvier 2010

Bonjour,

Télécharge FindyKill de Chiquitine29 sur ton bureau :

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

! Déconnecte toi et ferme toutes applications en cours !

Double clique sur "Setup.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

>>> (Sous Vista, clic droit/exécuter en temps qu'administrateur).

Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

@++

jpm3102 · le 2 janvier 2010

Voilà je rapport, mais je l'ai fait sur cet ordi sur le quel j'ai branché le disque dur de l'ordi qui a planté (deux partitions E: et F:)???? le prend t il en compte comme un disque système ??? J'ai déjà fait cela hier avec le même résultat, ce matin en redémarrant il a tenté d'éliminer le virus, mais n'a manifestement rien trouvé)

Je ne peux rien faire avec l'ordi incriminé puisqu'il ne démarre plus.

Merci

############################## | FindyKill V5.023 |

# User : JP (Utilisateurs) # PC-DE-MADELEINE

# Update on 31/12/2009 by El Desaparecido

# Start at: 08:26:46 | 02/01/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

# Intel® Celeron® CPU 900 @ 2.20GHz

# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2

# Internet Explorer 7.0.6002.18005

# Windows Firewall Status : Disabled

# FW : ZoneAlarm Firewall[ Enabled ]7.1.254.000

# C:\ # Disque fixe local # 222,88 Go (148,64 Go free) [OS] # NTFS

# D:\ # Disque CD-ROM

# E:\ # Disque fixe local # 26,77 Go (6,08 Go free) [ACER] # FAT32

# F:\ # Disque fixe local # 26,94 Go (16,64 Go free) [ACERDATA] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\PrevxCSI\prevxcsi.exe

C:\Windows\system32\FsUsbExService.Exe

C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Windows\system32\conime.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\PLFSetI.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Windows\System32\wpcumi.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\Samsung\EmoDio\SMSTray.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Vista Start Menu\VistaStartMenu.exe

C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe

C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

C:\Windows\system32\igfxext.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Apoint2K\ApMsgFwd.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Windows\ehome\ehmsas.exe

C:\Users\JP\AppData\Local\Temp\RtkBtMnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\explorer.exe

C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |

################## | C:\Windows |

################## | C:\Windows\system32 |

################## | C:\Windows\system32\drivers |

################## | C:\Users\JP\AppData\Roaming |

################## | Temporary Internet Files |

################## | Registre / Clés infectieuses |

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# windefend -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

"F:\$RECYCLE.BIN\$RN0PP8P\key_generator.exe"

08/02/2004 03:10 |Size 851968 |Crc32 76530740 |Md5 416e823819a01fc3f459c295ed0ed34a

################## | ! Fin du rapport # FindyKill V5.023 ! |

Apollo · le 2 janvier 2010

Re,

Pour le pc qui ne démarre plus:

http://www.freedrweb.com/livecd/

Graver l'image ISO telle quelle sur un CDRW de préférence, de manière à pouvoir l'effacer par la suite) Un CD-R fera l'affaire mais ne pourra servir qu'une seule fois.

Graver une image iso avec Nero ou à défaut avec Active ISO Burner.

http://www.ntfs.com/iso_burner_free.htm

Pour effacer un CDRW ou un DVDRW: http://www.ntfs.com/dvd_eraser.htm

Dr.Web LiveCD est un disque de secours antivirus qui permet de restaurer le système atteint par l'activité des virus sur les postes de travail et serveurs sous Windows\Unix. Dans le cas où le redémarrage depuis le disque dur ne peut être effectué, Dr.Web LiveCD vous aidera non seulement à nettoyer votre machine pas il va également essayer de neutraliser et réparer les objets infectés.

1) Vérifier si votre PC va démarrer depuis le lecteur de CD-ROM où se trouve votre Dr.Web LiveCD ou depuis un autre support avec Dr.Web LiveCD enregistré.

2) Au démarrage, une boîte de dialogue va s'afficher et là vous pouvez choisir un mode de lancement : standard ou sans échec (safe mode).

3) A l’aide des touches flèches du clavier sélectionnez un élément du menu et cliquez sur [Enter]:

Afin de lancer la version du scanner avec GUI, sélectionnez le mode standard de lancement de DrWeb-LiveCD.

Pour lancer le scanner avec l'interface en ligne de commande (mode console), sélectionner le mode sans échec de lancement de DrWeb-LiveCD (Safe Mode).

Sélectionnez Local HDD si vous souhaitez démarrer depuis le disque dur sans lancer Dr.Web LiveCD.

[Tuto de Nardino

On repassera findyKill sur ce pc si le pc retrouve son démarrage après le LiveCD.

Le disque dur malade doit être remis en master sur le pc d'origine, qui doit booter sur le CD. (en First Boot dans le bios).

@++

Modifié le 2 janvier 2010 par Apollo

jpm3102 · le 2 janvier 2010

OK je m'y mets et je reviens quand c'est fait. Merci vraiment.

jpm3102 · le 2 janvier 2010

Super bravo pour DOCTEUR WEB LIVE.

Gravure OK

Démarrage à partir du cd ok

Doc a démarré son travail mais au bout de quelques minutes l'ordi s'est arrêté d'un seul coup.

J'ai redémarré, il m'a proposé un menu plus conséquent que d'habitude pour redémarrer Windows (écran noir, écrit en blanc)

J'ai choisi de tenter le démarrage normal - un peu long mais ok

Firefox se bloque au démarrage

j'ai pris findykill sur une clé usb et je l'ai lancé - manifestement il a trouvé beaucoup de chose, du peu que je comprends cela ressemble bien à bagle(?).

j'attends les ordres mais j'imagine qu'il faut relancer findykill option éradication.

Appolo = efficacité maximun

Merci encore

############################## | FindyKill V5.023 |

# User : Big Boss (Administrateurs) # ACER

# Update on 31/12/2009 by El Desaparecido

# Start at: 00:09:43 | 02/01/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

# Mobile AMD Sempron Processor 2800+

# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 7.0.5730.13

# Windows Firewall Status : Enabled

# AV : avast! antivirus 4.8.1368 [VPS 091231-0] 4.8.1368 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 26,77 Go (6,12 Go free) [ACER] # FAT32

# D:\ # Disque fixe local # 26,94 Go (16,15 Go free) [ACERDATA] # FAT32

# E:\ # Disque CD-ROM # 106,07 Mo (0 Mo free) [DrWebLiveCD] # CDFS

# I:\ # Disque amovible # 251,34 Mo (25,92 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\CtrlVol.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\neuf Talk\neuf Talk.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Big Boss\Application Data\drivers\winupgro.exe

C:\Documents and Settings\Big Boss\Application Data\Map Maker\MMManager.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

############################## | Processus infectieux stoppés |

"C:\Documents and Settings\Big Boss\Application Data\drivers\winupgro.exe" (2200)

################## | C: |

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\Prefetch\KEY_GENERATOR.EXE-2A3CD2C4.pf

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\srosa2.sys

Présent ! C:\WINDOWS\system32\wfsintwq.sys

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\Big Boss\Application Data |

Présent ! C:\Documents and Settings\Big Boss\Application Data\drivers

Présent ! C:\Documents and Settings\Big Boss\Application Data\drivers\downld

Présent ! C:\Documents and Settings\Big Boss\Application Data\drivers\winupgro.exe

################## | Temporary Internet Files |

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]

Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]

Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]

Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]

Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]

Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]

Présent ! [HKCU\Software\bisoft]

Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Présent ! [HKU\S-1-5-21-3935779851-956019606-2470200731-1005\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Présent ! [HKU\S-1-5-21-3935779851-956019606-2470200731-1005\Software\bisoft]

Présent ! [HKCU\Software\Local AppWizard-Generated Applications\hldrrr]

Présent ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]

Présent ! [HKCU\Software\Local AppWizard-Generated Applications\nideiect]

Présent ! [HKCU\Software\Local AppWizard-Generated Applications\Vocabulary_Worksheet_Factory_3.7.2_[serial]]

Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

Présent ! [HKU\S-1-5-21-3935779851-956019606-2470200731-1005\Software\Local AppWizard-Generated Applications\hldrrr]

Présent ! [HKU\S-1-5-21-3935779851-956019606-2470200731-1005\Software\Local AppWizard-Generated Applications\key_generator]

Présent ! [HKU\S-1-5-21-3935779851-956019606-2470200731-1005\Software\Local AppWizard-Generated Applications\nideiect]

Présent ! [HKU\S-1-5-21-3935779851-956019606-2470200731-1005\Software\Local AppWizard-Generated Applications\Vocabulary_Worksheet_Factory_3.7.2_[serial]]

Présent ! [HKU\S-1-5-21-3935779851-956019606-2470200731-1005\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )

# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

"D:\$RECYCLE.BIN\$RN0PP8P\key_generator.exe"

08/02/2004 03:10 |Size 851968 |Crc32 76530740 |Md5 416e823819a01fc3f459c295ed0ed34a

################## | ! Fin du rapport # FindyKill V5.023 ! |

Apollo · le 2 janvier 2010

Yes!

! Déconnecte toi et ferme toutes applications en cours ( navigateur compris ) .

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

Le pc va redémarrer automatiquement ...

le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

@++

jpm3102 · le 2 janvier 2010

J'ai relancé findykill avec la vrai configuration que mon fils vient de me donner, il manquait quelques disques durs.

Désolé

############################## | FindyKill V5.023 |

# User : Big Boss (Administrateurs) # ACER

# Update on 31/12/2009 by El Desaparecido

# Start at: 00:29:51 | 02/01/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

# Mobile AMD Sempron Processor 2800+

# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 7.0.5730.13

# Windows Firewall Status : Enabled

# AV : avast! antivirus 4.8.1368 [VPS 091231-0] 4.8.1368 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 26,77 Go (6,13 Go free) [ACER] # FAT32

# D:\ # Disque fixe local # 26,94 Go (16,15 Go free) [ACERDATA] # FAT32

# E:\ # Disque CD-ROM # 106,07 Mo (0 Mo free) [DrWebLiveCD] # CDFS

# F:\ # Disque fixe local # 465,65 Go (373,78 Go free) [My Book] # FAT32

# G:\ # Disque fixe local # 53,2 Go (12,88 Go free) [ACER] # FAT32

# H:\ # Disque fixe local # 53,69 Go (38,27 Go free) [ACERDATA] # FAT32

# I:\ # Disque amovible # 251,34 Mo (25,91 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\CtrlVol.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\neuf Talk\neuf Talk.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Big Boss\Application Data\Map Maker\MMManager.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Présent ! F:\autorun.inf