probleme demarage windows xp

[regis56]

Re

 

Effectivement y a quelques petites choses mais t'inquiete pas l'équipe de zeb est super et elle va te récuperer tout ca!

 

A tu fais ce que je t"'ai demandé c'est important !

 

A plus !

[fviano]

no j'etais entrain de diner ...lmaintenant je m'y colle ..

[fviano]

ok

il est dans C:Program files\

[regis56]

Re

 

Bon j'ai une procédure pour toi mais j'aurai aimé l'avis de charles ingals mais il est parti tant pis si quelqu'un d'autre passe par là ! :

 

Attend la validation par un conseiller en sécurité STP

 

Copier ses instructions dans un fichier texte car en mode sans échec on n'a pas accès à internet.

 

-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant parti de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

-Télécharger Zeb-restore (Programme de restauration de clés de registre)

http://telechargement.zebulon.fr/233-zeb-restore.html

Dé zipper dans un dossier à son nom faire clic droit sur Zeb-Restore.exe /envoyer vers/Bureau (créer un raccourci)

 

-Télécharger Ewido (Programme faisant parti des antymalwares)

http://www.ewido.net/fr/download/

Installer et mettre à jour.

Important : Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".

Démarrer Ewido avec l'icône qui se trouve sur le Bureau. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

-Télécharger datFind.bat (Programme qui va nous servir à faire une liste de tes fichiers et les mettre dans un fichier texte.)

http://board.protecus.de/download.php

Placer datFind.bat dan sun répertoire à son nom faire clic droit sur datFind.bat /envoyer vers/Bureau (créer un raccourci)

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

-Maintenant Je vais te demander d'arrêter un service qui est lancé automatiquement en mode normal et qui est lié à l'infection !

Dans le menu Démarrer > Exécuter > taper: services.msc

Rechercher en regardant dans la liste pour trouver ce service en gras avec cette orthographe exacte:

Evaluation Service - Evalution Customer

Double clic dessus et clic sur [arrêter] puis dans Type de démarrage --> sélectionner désactivé.

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zjfcsssnmg.com/3NocEob7_1utc8qE...5MXipyRMVn.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://configuration.adsl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

O23 - Service: Evaluation Service - Evalution Customer - C:\Program Files\Fichiers communs\Evalution Customer Shared\Service\Evaluation Service FileName.exe

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

-Exécuter Zeb-restore (Utiliser le raccourci sur le bureau):

-Cocher la case « Réparation IE » : répare Internet Exploreur (pages de recherche)

-Cliquer sur restaurer

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

-Maintenant on va supprimer manuellement sur le disque, des fichiers infectieux signalés par Hijackthis.

Rechercher et supprimer le(s) dossier(s) en gras suivant(s) si présent(s):(Clic droit sur le dossier et supprimer)

C:\Program Files\webHancer\

 

Rechercher et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):(Clic droit sur le fichier et supprimer)

C:\WINDOWS\ALCMTR.EXE

 

Vider la poubelle !

 

-lancer Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

 

-Vérifier l'affichage d'explorer:

-Cliquer sur poste de travail/affichage/détails/

-Puis dans la fenêtre cliquer sur date de modification

-Ensuite outils/options des dossiers/affichage/ cliquer sur appliquer à tout les dossiers

 

Maintenant on va lister tes fichiers avec datFind.bat (Utiliser le raccourci sur le bureau):

-Un fichier texte apparaît => il se trouve ici: c:\dirdat.txt (range le dans le répertoire ou tu a mis datFind.dat !)

 

-Ouvrir le dossier :

-C:\Program Files

Si des programmes dans la liste paraissent louchent ou inconnus mettre les noms et le chemin dans la prochaine réponse

 

-Redémarrer en mode normal.

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Poster le fichier dirdat.txt

-Indiquer si le Pc présente encore des dysfonctionnements

 

-Faire un scan antivirus en ligne

http://housecall65.trendmicro.com/

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

-Poster le rapport trendmicro

 

-Rétablir l'affichage :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Ne pas afficher les fichiers et dossiers cachés

Activer l'option : Masquer les fichiers protégés du système d'exploitation

Laisser désactivé : Masquer les extensions des fichiers dont le type est connu

 

-Avec encore un peu de courage défragmenter les disques durs

(Clique droit sur le disque dur à défragmenter/propriétés/outils/Défragmenter maintenant.)

 

 

Bon courage et tiens nous au courant à plus !

[fviano]

REGIS MERCI!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

plus de probleme........windows demarre normallement....

J'ai fait tourner ewido et easy cleaner ils m'ont trouver des trucs mais c'est du chinois pour moi....

Bravo pour votre site et votre disponibilité.

 

 

au cas ou voila le rapport de ewido:

 

 

[2056] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\svchost.exe -> Dropper.VB.lu : Nettoyer et sauvegarder

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\svchost.exe -> Dropper.VB.lu : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@wreport.weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\temp.fr4754\Programs\webhdll.dll -> Adware.WebHancer : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\temp.fr4754\Programs\whiehlpr.dll -> Adware.WebHancer : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\wh.exe/whAgent.exe -> Adware.WebHancer : Nettoyer et sauvegarder

C:\Program Files\Macrogaming\SweetIM\mghooking.dll -> Logger.Agent.gk : Nettoyer et sauvegarder

C:\Program Files\whInstall -> Adware.Webhancer : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-2647173847-2943878351-96253009-1007\Dc74.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall6_98.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\MT\murespourjeunes[1].exe -> Trojan.Dialer.eg : Nettoyer et sauvegarder

C:\WINDOWS\webhdll.dll -> Adware.WebHancer : Nettoyer et sauvegarder

 

 

J'oubliai encore merci a la bretonne

[regis56]

Ohlala

 

T'es fou toi je t'avais demander d'attendre la validation

 

T'as eu du bol dis donc

 

moi c'est marqué junior-sécu je vais me faire taper sur les doigts !! aie !!

 

Dis moi si tu as des dysfonctionnements avec ton pc !

 

A plus !

[fviano]

Regis j'ai juste fait tourner les 2 logiciels cités ds le post du dessus rien d'autre....

Par contre petit blem maintenant au demarrage de msn " cette application n'a pas pu demarrer car mghooking.dll est introuvable .La reinstallation de cette aplication peut corriger ce blem".Ensuite je clique sur ok et msn demarre .

????????????????

[regis56]

Re

 

C:\WINDOWS\NDNuninstall6_98.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

 

Peut tu faire ceci :

 

-Ouvrir panneau de configuration puis ajout/suppression de programmes désinstaller si présent:

 

NewDotNet

 

Pour la suite STP attend confirmation !!

 

-Ouvrir panneau de configuration puis ajout/suppression de programmes désinstaller si présent:

whInstall

Macrogaming sauf si tu connais

 

 

Vérifier que les fichiers n'existent plus:

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\temp.fr4754\Programs\webhdll.dll

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\temp.fr4754\Programs\whiehlpr.dll

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\wh.exe/whAgent.exe

C:\Program Files\Macrogaming\SweetIM\mghooking.dll

C:\WINDOWS\NDNuninstall6_98.exe

C:\WINDOWS\Temp\MT\murespourjeunes[1].exe

C:\WINDOWS\webhdll.dll

 

Vider les dossiers

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\

C:\WINDOWS\Temp\

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

 

Poster un nouveau rapport hijackthis !

 

A plus !

Modifié le 5 mars 2006 par regis56

[fviano]

Regis

il y a macrogaming sweetim 1.1a dans ajout /supprimer . Je ne vois pas whInstall et NewDotNet.

Pour l'instant rien fait....

 

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\temp.fr4754\Programs\webhdll.dll

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\temp.fr4754\Programs\whiehlpr.dll

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\wh.exe/whAgent.exe

C:\Program Files\Macrogaming\SweetIM\mghooking.dll

C:\WINDOWS\NDNuninstall6_98.exe

C:\WINDOWS\Temp\MT\murespourjeunes[1].exe

C:\WINDOWS\webhdll.dll

 

Ces fichiers n'existe plus...

 

Par contre ceux la sont pleins:

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\

C:\WINDOWS\Temp\

 

Je les vides??

[wjuanito]

Salut,

A l'époque de windows 3.11 il y avait un clone de tetris qui s'appelait b.exe, un super tetris en 3D.

Je sais ça ne fait pas avancer le smilblic et ce n'est pas le b.exe de notre ami (j'ai déjà eu cette vérole que j'ai zappé en reformatant )