Bonsoir,
je suis sous windows xp sp3.
Avira a détecté des virus, j'ai donc fait une analyse complète. Suite à ça, Avira a détecté 7 objets dont les trojans Crypt.ZPACK.Gen et Rootkit.Gen ainsi que HTML.FakeAlert.AUD.
J'ai fait ce qui était préconisé par Avira, avec entre autre la suppression après redémarrage de winlogon32.exe.
Sauf que quand il a redémarré, j'ai eu l'écran noir qui me disait que windows ne s'était par arrêté correctement. J'ai essayé démarrage normal et redémarrage sans échec mais il revenait sur l'écran noir. J'ai donc fait dernière bonne configuration connue. Là il a redémarré mais j'arrive sur la page où l'on peut choisir les différentes sessions. Je précise que j'ai qu'une seule session.
Quand je clique sur ma session, il se connecte, je vois brièvement mon fond d'écran puis la session se ferme et je reviens sur la page des sessions. Je ne peux rien faire d'autre.
Quelqu'un a-t-il une idée?
Merci

bonsoir
 
as tu le CD de XP?

oui, mais c'est sp1

 
tu vas lancer la console de récupération et copier le fichier winlogon.exe à partir du CD
 
insère ton Cd dans le lecteur
modifie le bios (par la touche F1 ou F2) pour booter sur le lecteur CD
choisis R lorsque c'est demandé
tuto=>http://www.micro-astuce.com/depannage/console-recuperation-XP.php
 
Ensuite une fois dans la console, taper  del C:\WINDOWS\system32\winlogon.exe  et appuyer sur Entrée, normalement il n'y est déjà plus puisque Antivir l'a viré avec ton accord
 
 puis taper  expand C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe  et appuyer sur Entrée
 
( depuis le CD, il faut utiliser la command "expand" au lieu de copy, car les fichiers sont compressés)

Bonjour,
j'ai essayé de faire comme tu m'as dit mais il me dit que le fichier n'a pas pu être décompressé

 
excuse moi je viens de voir que j'ai fait une erreur    
 
si ton lecteur CD est en D tu tapes D (ou la lettre qui lui correspond)
 
expand D:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe

Jai réessayé avec e: (D est ma partition du DD pour mes données) mais il me dit que le système n'a pas pu trouver le fichier ou le répertoire spécifié

 
est ce que tu respectes bien les espaces lorsque tu saisis le texte?
après expand et entre winlogon.exe et C:\WINDOWS\
 
expand[espace]D:\WINDOWS\ServicePackFiles\i386\winlogon.exe[espace]C:\WINDOWS\system32\winlogon.exe
 

Oui j'ai bien mis les espaces où il faut

 
ok alors l'erreur vient de moi
 
recommence avec cette commande
 
expand E:\i386\WINLOGON.EX_ C:\windows\system32

ça m'a écrit  
winlogon.exe
            1 fichier décompressé

ok, est ce que ton ordinateur redemarre?

non, il se lance jusqu'à l'écran windows xp avec la petite barre qui défile et ensuite il redémarre

 
recommence avec cette commande
 
 
expand E:\i386\WINLOGON.EX_ C:\windows\system32\winlogon.exe  
 

Il m'a dit :"impossible de créer le fichier winlogon.exe

 
recommence et essaie ceci:
 
E:\i386 copy WINLOGON.EX_ C:windows\system32
C:\windows\system32 rename winlogon.ex_ winlogon.exe

Il me dit que la commande n'est pas reconnue

erreur de ma part
 
tente ceci
copy E:\i386\WINLOGON.EX_ C:windows\system32
entrée
rename C:\windows\system32  winlogon.ex_ winlogon.exe
entrée

le fichier a bien été copié puis renommé mais mon ordi ne démarre toujours pas. J'ai toujours la petite barre windows xp qui défile ensuite il me met que windows est en cours de démarrage et ensuite il redémarre

est ce que tu arrives à démarrer en "mode sans échec" ou mieux en "mode sans échec avec prise en charge réseau"?

Non, il fait toujours pareil, il va jusqu'à "windows est en cours de démarrage" et il redémarre

en lisant trop vite j'ai raté le winlogon32.exe qui est installé par un malware lui et je suis parti sur winlogon.exe légitime et indispensable
le problème est que le malware a certainenent modifié une ou plusieurs clés de registre pour lancement de la session
je fais quelques recherches et je te tiens au courant ,as tu des données importantes à sauver sur ce PC ?

J'ai bien des données mais normalement elles sont sur une partition séparée. Donc je crois que je vais le formater et ça devrait résoudre le problème non?

avant de formater tu peux tenter une réparation de XP avec le CD
 
il faut booter sur le CD puis refuser la première offre de réparation,ne pas choisir R  
appuyer sur F8 (pour accepter le "CLUF" )  ton install de Windows  est détectée.
il t'est demandé si tu veux réparer ton Win ou le ré-installer. Là il
faut accepter la réparation en appuyant sur R
 
Ensuite il faudra refaire les mises à jour sur WinUpdate et réinstaller le
SP2 puis le SP3
 
Cette procédure demande aussi de ré-activer ton Win et il faudra aussi finir de virer le malware
 
mais attends un peu si possible, il y aura peut être une autre solution,t'es tu déjà servi de live CD ?

Non, je sais pas ce que c'est que live CD. Mais je peux pas attendre trop longtemps non plus parce que j'ai besoin des données de mon ordi.
Je vais essayer la réparation

j'ai eu confirmation (merci Anthony5151) le malware était associé à une clé de registre liée au lancement de la session qu'Antivir n'a pas pu rétablir
 
donc,tente la réparation et si cela ne fonctionne pas pour x raison tu pourras:
soit réparer le registre à l'aide d'un live CD qu'il faudra graver  sur un autre PC
soit formater ta partition sytème et reinstaller XP
 
Bonne chance!

Bonjour,
j'ai enfin réussi à redémarrer mon pc grace à la réparation comme tu m'as indiqué. J'ai fait toutes les mises à jour.
Par contre, j'ai encore au moins un problème, lors de l'installation d'internet explorer 8, antivir m'a indiqué qu'il y avait un cheval de Troie rootkit.gen
J'ai un autre souci aussi, c'est un ordi portable et la touche "clic gauche" du touchpad ne marche plus

peux tu me montrer le rapport d'antivir stp?
 
et faire ceci :
 

• Télécharge ZHPDiag
• clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr
 

J'ai pas osé refaire un scan avec antivir. Lol
Je te joins le rapport d'évenement d'après la réparation : Dans le fichier 'C:\WINDOWS\system32\drivers\vepxqp.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
 
 

edite tes deux derniers messages et efface les rapports si tu ne veux pas que le topic soit fermé
 
tu ne dois pas mettre de rapports sur le forum    

Désolée, je savais pas.
Le lien pour ZHPDiag //www.cijoint.fr/cjlink.php?file=cj201005/cijq4YCAs7.txt  
Le lien pour le rapport Antivir : http://www.cijoint.fr/cjlink.php?f [...] DjbnXs.txt

pas d'infection visible sur ce rapport,nous avons donc affaire soit à un "faux positif" de Avira soit à un rootkit qui se cache
 
puisque tu as le chemin du fichier en cause tu vas le tester sur virus total comme ceci:
 

• rends toi sur http://www.virustotal.com/fr/
• clique sur parcourir saisis le chemin vers le fichier infecté soit: C:\WINDOWS\system32\drivers\vepxqp.sys

• clique sur "envoyer le fichier"

Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier" fais le
 

• héberge ensuite le rapport fourni sur cijoint.fr et poste moi le lien

Je ai enregistré la page au format texte, je savais pas comment faire autrement.http://www.cijoint.fr/cjlink.php?file=cj201005/cijrNy8Olu.txt

C'est clair et net => un rootkit est bien encore présent dans ton ordinateur
le formatage de la partition système aurait résolu le problème mais hélas la réparation n'a pas suffit
 
il va falloir utiliser comboFix:
 
 
  /!\Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle /!\
 

• Télécharge ComboFix (de sUBs) sur ton Bureau.

IMPORTANT:deconnecte toi du net, Désactive tous tes logiciels de protection et ferme toutes les applications en cours
 

• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.

• /!\ Ne touche à rien pendant le scan. /!\

• s'il t'est demandé de redémarrer: accepte
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ou mieux héberge le sur cijoint.fr et poste moi le lien fourni.

Tutoriel officiel de Combofix :

Il m'a pas demandé de redémarrer.
Le rapport Combofix : http://www.cijoint.fr/cjlink.php?f [...] 1Sar6B.txt

ok surveille ton ordi et dis moi si tu as toujours des alertes
 
Bonne nuit!

Bonjour,
apparement ce satané virus est toujours là, avira vient de me lancer une alerte :
Dans le fichier 'C:\System Volume Information\_restore{8A13AED8-4420-4F04-9FD0-9953767DD236}\RP10\A0007985.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

bonsoir
 
ce n'est pas grave,il est signalé dans un des points de restauration,ce qui est normal puisque windows l'a créé avant que comboFix ne travaille  
nous les supprimerons à l'issue de cette désinfection
 
sinon est ce que tout à l'air correct?

C'est pas trop mal, sauf qu'il plante assez souvent avec l'écran bleu : Worker_Thread_Returned_at_bad_irql. Quand il redémarre, il me dit que windows a récupéré une erreur sérieuse et si j'envoie le rapport, la réponse est que je dois télécharger sp1 pour vista. Mais j'ai xp.  
A part ça, j'ai récupéré le bouton gauche de mon touchpad et mon fond d'écran.

ok,mais ça je ne pense pas que ce soit du à une infection mais soit à un driver de périphérique ou à une mise à jour
voir ici => http://www.depannetonpc.net/outils/bsod-lire_209.html
ça risque d'être un peu hard à trouver
http://translate.google.fr/transla [...] r:official
 
je commencerais par faire une détection automatique pour voir si tous les drivers sont à jours: http://www.touslesdrivers.com/index.php?v_page=29