[Résolu] Ouverture de session impossible

[Exagone313]

Voilà le rapport.

[pear]

 

O59 - HSMI:Heuristic Search MagicControl Infection - (.Microsoft Corporation - Application d'ouverture de session Userinit.) -- C:\WINDOWS\system32\userinit.ex_

 

Là, il y a un problème!

 

1)

Il faut savoir que Spybot utilise une technologie dépassée.

Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....

Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.

 

 

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

 

 

Vaccination Spybot

Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"

cliquez sur "Vaccination" dans la colonne sur la gauche :

Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

 

Désinstaller Spybot

 

 

 

 

 

 

2)

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista/7/8 , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

 

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

 

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

 

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

3)Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

Cliquer sur l'icône Zhpfix

Sous Vista et +, clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Cliquer Importer

pour inscrire le texte dans la fenêrtre vide qui s'ouvre

 

Script Zhpfix

 

O59 - HSMI:Heuristic Search MagicControl Infection - (.Microsoft Corporation - Application d'ouverture de session Userinit.) -- C:\WINDOWS\system32\userinit.ex_

Spybot - Search & Destroy v2.0.12

O4 - GS\Program [AllUsers]: Spybot-S&D Start Center.lnk . (.Safer-Networking Ltd. - Start Center.) -- C:\Program Files\Spybot - Search & Destroy 2\SDWelcome.exe

O4 - GS\Program [Exagone]: etmin.lnk . (...) -- C:\Documents and Settings\Administrateur.ELOUWORLD\Menu Démarrer\Mes documents\Wolfenstein - Enemy Territory\etmin.exe (.not file.)

O4 - HKLM\..\Run: [userFaultCheck] Clé orpheline

O9 - Extra button: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -- Clé orpheline

O20 - Winlogon Notify: SDWinLogon . (...) -- SDWinLogon.dll

Pando Media Booster v2.6.0.8

P2P.Pando

O47 - AAKE:Key Export SP - "C:\Program Files\Pando Networks\Media Booster\PMB.exe" [Enabled] .(..) -- C:\Program Files\Pando Networks\Media Booster\PMB.exe

O47 - AAKE:Key Export DP - "C:\Program Files\Pando Networks\Media Booster\PMB.exe" [Enabled] .(..) -- C:\Program Files\Pando Networks\Media Booster\PMB.exe

O53 - SMSR:HKLM\...\startupreg\Pando Media Booster [Key] . (.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files\Pando Networks\Media Booster\PMB.exe

EmptyClsid

HiddenFix

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

SysRestore

 

 

Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

 

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt

 

 

 

Télécharger SFTGC.exe

sur le Bureau, impérativement sous peine de risquer un plantage

 

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.

Comment désactiver les protections résidentes

Bien évidemment, vous les rétablirez ensuite.

 

Sous XP, double cliquer sur le fichier.

Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport (SFT.txt) va s'ouvrir à la fin enregistré sur le bureau .

 

 

Comment poster les rapports

Aller sur le site :Ci-Joint

ou PIjoint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Lancer Secunia-personal-software-inspector

 

Solution de sécurité informatique gratuite , en français, qui identifie les vulnérabilités dans les programmes non-Microsoft (tiers) pouvant exposer les ordinateurs personnels aux attaques.

Secunia Personal Software Inspector a pour vocation d'indiquer à l'utilisateur les failles de sécurité.

Il propose un moyen de les combler et est ainsi un garant de la vie privée et de la sécurité de l'ordinateur

Secunia PSI se révèlera être un assistant efficace pour assurer les mises à jour incontournables de vos applications

 

 

 

Modifié le 20 février 2014 par pear

[Exagone313]

Les services de Spybots sont désactivés (je crois), je l'ai utilisé une fois je crois, et je l'ai pas désinstallé.

Pour TeaTimer, j'ai pas compris ce qu'il fallait exécuter.

Pour MBAM, j'ai pas internet en mode sans échec avec pris en charge du réseau, donc je peux pas mettre à jour MBAM (déjà installé).

 

Pour ton fix, à quoi sert cette ligne ?

O4 - GS\Program [Exagone]: etmin.lnk . (...) -- C:\Documents and Settings\Administrateur.ELOUWORLD\Menu Démarrer\Mes documents\Wolfenstein - Enemy Territory\etmin.exe (.not file.)

 

Je veux garder ce programme au démarrage (mais je vois pas pourquoi ce raccourci est dans l'utilisateur par défaut ... C'est censé être dans Démarrage de la session Exagone).

 

Et qu'est-ce ça va faire à Pando Media Booster ? Il est nécessaire à un jeu.

 

EDIT : Oui je sais, je fais pas bêtement toutes les actions, j'essaye de les comprendre.

Modifié le 20 février 2014 par Exagone313

[pear]

1)La défaillance de Wifi ou sa désactivation par un malware entraine la perte de connexion :

Démarrer->Exécuter->Regedit
Aller à HKLM->System->CurrentControlSet->Services->Ndisuio
chercher la valeur Start et vérifier que sa donnée vaut bien 2 (auto) ou 3(manuel)et non 4( Désactivé).


Cliquez sur le menu Démarrer puis executez et tapez : services.msc.
Cliquez sur le bouton OK.

Vous obtenez la liste des services Windows, le problème peut venir du fait que le service "Configuration automatique sans fil" n'est pas démarré car certains services necessaires à son fonctionnement ne sont pas démarrés .
Les services suivants sont necessaires au fonctionnement du service "Configuration automatique sans fil" sur Windows XP.

Vérifiez que les services suivants sont présents selon votre version de Windows :
- Appel de procédure distante (RPC) pour Windows XP et Windows Vista
- NDIS Usemode I/O Protocol pour Windows XP et Windows Vista
- NativeWiFi Filter seulement pour Windows Vista
- Protocole EAP (Extensible Authentification Protocol) seulement pour Windows Vista

Si les services correspondants à votre version de Windows sont présents, pour chacun de ces services, faites un double-clic dessus puis :
- Positionnez le démarrage sur automatique si ce n'est pas le cas.
- Cliquez sur le bouton Démarrer

Tentez de vous reconnectez en Wifi.

Si les services correspondants à votre version de Windows sont absents :
Suivre la procédure selon votre cas.
Téléchargez ce fichier sur votre bureau, selon votre version de Windows (si le fichier s'ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous) :
NdisUio Windows Vista
NdisUio Windows XP
Désactivez vos antispywares et autres logiciels de protections.
Double-cliquez sur le fichier téléchargé et acceptez l'inscriptions des données.
Redémarrez l'ordinateur.
Tentez de rétablir votre connexion Wifi.

2)Si vous voulez garder Pando, supprimez du fix les lignes qui le concernent.

 

3)cette ligne est inutile(not file)

O4 - GS\Program [Exagone]: etmin.lnk . (...) -- C:\Documents and Settings\Administrateur.ELOUWORLD\Menu Démarrer\Mes documents\Wolfenstein - Enemy Territory\etmin.exe (.not file.)

[Exagone313]

C'est pas du wifi.

J'ai désinstallé Spybot.

 

EDIT : J'utilise ZHPFix sans utiliser MBAM avant ? (J'imagine que c'est inutile s'il y a un virus, il faut qu'il soit supprimé pour régler le problème)

Modifié le 20 février 2014 par Exagone313

[pear]

 

J'utilise ZHPFix sans utiliser MBAM avant ?

L'ordre est sans importance, pourvu que les 2 soient faits.

Ensuite revérifiez Winlogon comme indiqué plus haut.

Modifié le 20 février 2014 par pear

[Exagone313]

https://dl.dropboxusercontent.com/u/75652616/repairxp/ZHPFixReport.txt

https://dl.dropboxusercontent.com/u/75652616/repairxp/SFTGC.txt

 

EDIT : Je peux de nouveau ouvrir ma session mais je suis revenu en arrière, je peux ouvrir aucun programme ou presque, et j'ai cette erreur (avec le chemin du programme dans le titre de la fenêtre d'alerte) :

Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être plus des autorisations appropriées pour avoir accès à l'élément.

Modifié le 20 février 2014 par Exagone313

[pear]

A défaut d'accès internet sur la machine malade,utilisez une machine valide pour installer les outils sur clé Usb à brancher ensuite sur la machine malade.

 

Télécharger RogueKiller (by tigzy) sur le bureau
En fonction de votre système ,choisissez la version 32 ou 64 bits
Quitter tous les programmes
Lancer RogueKiller.exe. Acceptez le disclaimer
En cas de blocage Renommer RogueKiller.exe -> winlogon.exe
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées
(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )
Cliquer sur Suppression.
Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait
Suppression ne suffit pas .Faites la suite
Cliquer sur Host RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des index)

Il y aura 6 rapports à fournir après le nettoyage.

Modifié le 20 février 2014 par pear

[Exagone313]

https://dl.dropboxusercontent.com/u/75652616/repairxp/RKreport%5B0%5D_S_02202014_165524.txt

https://dl.dropboxusercontent.com/u/75652616/repairxp/RKreport%5B0%5D_D_02202014_165602.txt

https://dl.dropboxusercontent.com/u/75652616/repairxp/RKreport%5B0%5D_H_02202014_165614.txt

Ancien fichier hosts

https://dl.dropboxusercontent.com/u/75652616/repairxp/RKreport%5B0%5D_PR_02202014_165620.txt

https://dl.dropboxusercontent.com/u/75652616/repairxp/RKreport%5B0%5D_DN_02202014_165625.txt

https://dl.dropboxusercontent.com/u/75652616/repairxp/RKreport%5B0%5D_SC_02202014_165717.txt

[pear]

Le point positif est que ce n'est pas l'infection Zaccess.

 

Ce que dit Microsoft de votre problème:

http://support.microsoft.com/kb/2669244/fr

Modifié le 20 février 2014 par pear