Ordi impossible à démarrer

Ordi impossible à démarrer - Virus/Spywares - Windows & Software

Marsh Posté le 04-05-2010 à 22:40:43    

Bonsoir,
je suis sous windows xp sp3.
Avira a détecté des virus, j'ai donc fait une analyse complète. Suite à ça, Avira a détecté 7 objets dont les trojans Crypt.ZPACK.Gen et Rootkit.Gen ainsi que HTML.FakeAlert.AUD.
J'ai fait ce qui était préconisé par Avira, avec entre autre la suppression après redémarrage de winlogon32.exe.
Sauf que quand il a redémarré, j'ai eu l'écran noir qui me disait que windows ne s'était par arrêté correctement. J'ai essayé démarrage normal et redémarrage sans échec mais il revenait sur l'écran noir. J'ai donc fait dernière bonne configuration connue. Là il a redémarré mais j'arrive sur la page où l'on peut choisir les différentes sessions. Je précise que j'ai qu'une seule session.
Quand je clique sur ma session, il se connecte, je vois brièvement mon fond d'écran puis la session se ferme et je reviens sur la page des sessions. Je ne peux rien faire d'autre.
Quelqu'un a-t-il une idée?
Merci

Reply

Marsh Posté le 04-05-2010 à 22:40:43   

Reply

Marsh Posté le 04-05-2010 à 22:47:57    

bonsoir
 
as tu le CD de XP?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 04-05-2010 à 22:49:34    

oui, mais c'est sp1

Reply

Marsh Posté le 04-05-2010 à 23:08:36    

Madmoiselle a écrit :

oui, mais c'est sp1


 
tu vas lancer la console de récupération et copier le fichier winlogon.exe à partir du CD
 
insère ton Cd dans le lecteur
modifie le bios (par la touche F1 ou F2) pour booter sur le lecteur CD
choisis R lorsque c'est demandé
tuto=>http://www.micro-astuce.com/depannage/console-recuperation-XP.php
 
Ensuite une fois dans la console, taper  del C:\WINDOWS\system32\winlogon.exe  et appuyer sur Entrée, normalement il n'y est déjà plus puisque Antivir l'a viré avec ton accord
 
 puis taper  expand C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe  et appuyer sur Entrée
 
( depuis le CD, il faut utiliser la command "expand" au lieu de copy, car les fichiers sont compressés)


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-05-2010 à 17:22:30    

Bonjour,
j'ai essayé de faire comme tu m'as dit mais il me dit que le fichier n'a pas pu être décompressé

Reply

Marsh Posté le 06-05-2010 à 17:59:28    

Madmoiselle a écrit :

Bonjour,
j'ai essayé de faire comme tu m'as dit mais il me dit que le fichier n'a pas pu être décompressé


 
excuse moi je viens de voir que j'ai fait une erreur  :(  
 
si ton lecteur CD est en D tu tapes D (ou la lettre qui lui correspond)
 
expand D:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-05-2010 à 20:16:27    

Jai réessayé avec e: (D est ma partition du DD pour mes données) mais il me dit que le système n'a pas pu trouver le fichier ou le répertoire spécifié

Reply

Marsh Posté le 06-05-2010 à 21:11:38    

Madmoiselle a écrit :

Jai réessayé avec e: (D est ma partition du DD pour mes données) mais il me dit que le système n'a pas pu trouver le fichier ou le répertoire spécifié


 
est ce que tu respectes bien les espaces lorsque tu saisis le texte?
après expand et entre winlogon.exe et C:\WINDOWS\
 
expand[espace]D:\WINDOWS\ServicePackFiles\i386\winlogon.exe[espace]C:\WINDOWS\system32\winlogon.exe
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-05-2010 à 21:15:46    

Oui j'ai bien mis les espaces où il faut

Reply

Marsh Posté le 06-05-2010 à 21:34:12    

Madmoiselle a écrit :

Oui j'ai bien mis les espaces où il faut


 
ok alors l'erreur vient de moi
 
recommence avec cette commande
 
expand E:\i386\WINLOGON.EX_ C:\windows\system32


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-05-2010 à 21:34:12   

Reply

Marsh Posté le 06-05-2010 à 21:46:06    

ça m'a écrit  
winlogon.exe
            1 fichier décompressé

Reply

Marsh Posté le 06-05-2010 à 22:13:16    

ok, est ce que ton ordinateur redemarre?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-05-2010 à 22:17:11    

non, il se lance jusqu'à l'écran windows xp avec la petite barre qui défile et ensuite il redémarre

Reply

Marsh Posté le 06-05-2010 à 22:47:19    

Madmoiselle a écrit :

non, il se lance jusqu'à l'écran windows xp avec la petite barre qui défile et ensuite il redémarre


 
recommence avec cette commande
 
 
expand E:\i386\WINLOGON.EX_ C:\windows\system32\winlogon.exe  
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-05-2010 à 22:55:27    

Il m'a dit :"impossible de créer le fichier winlogon.exe

Reply

Marsh Posté le 06-05-2010 à 23:26:00    

Madmoiselle a écrit :

Il m'a dit :"impossible de créer le fichier winlogon.exe


 
recommence et essaie ceci:
 
E:\i386 copy WINLOGON.EX_ C:windows\system32
C:\windows\system32 rename winlogon.ex_ winlogon.exe


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 07-05-2010 à 11:07:13    

Il me dit que la commande n'est pas reconnue

Reply

Marsh Posté le 07-05-2010 à 11:19:43    

erreur de ma part
 
tente ceci
copy E:\i386\WINLOGON.EX_ C:windows\system32
entrée
rename C:\windows\system32  winlogon.ex_ winlogon.exe
entrée


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 07-05-2010 à 14:58:45    

le fichier a bien été copié puis renommé mais mon ordi ne démarre toujours pas. J'ai toujours la petite barre windows xp qui défile ensuite il me met que windows est en cours de démarrage et ensuite il redémarre

Reply

Marsh Posté le 07-05-2010 à 15:48:35    

est ce que tu arrives à démarrer en "mode sans échec" ou mieux en "mode sans échec avec prise en charge réseau"?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 07-05-2010 à 16:16:55    

Non, il fait toujours pareil, il va jusqu'à "windows est en cours de démarrage" et il redémarre

Reply

Marsh Posté le 07-05-2010 à 18:51:38    

en lisant trop vite j'ai raté le winlogon32.exe qui est installé par un malware lui et je suis parti sur winlogon.exe légitime et indispensable
le problème est que le malware a certainenent modifié une ou plusieurs clés de registre pour lancement de la session
je fais quelques recherches et je te tiens au courant ,as tu des données importantes à sauver sur ce PC ?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 07-05-2010 à 20:15:23    

J'ai bien des données mais normalement elles sont sur une partition séparée. Donc je crois que je vais le formater et ça devrait résoudre le problème non?

Reply

Marsh Posté le 07-05-2010 à 20:38:17    

avant de formater tu peux tenter une réparation de XP avec le CD
 
il faut booter sur le CD puis refuser la première offre de réparation,ne pas choisir R  
appuyer sur F8 (pour accepter le "CLUF" )  ton install de Windows  est détectée.
il t'est demandé si tu veux réparer ton Win ou le ré-installer. Là il
faut accepter la réparation en appuyant sur R
 
Ensuite il faudra refaire les mises à jour sur WinUpdate et réinstaller le
SP2 puis le SP3
 
Cette procédure demande aussi de ré-activer ton Win et il faudra aussi finir de virer le malware
 
mais attends un peu si possible, il y aura peut être une autre solution,t'es tu déjà servi de live CD ?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 07-05-2010 à 21:15:24    

Non, je sais pas ce que c'est que live CD. Mais je peux pas attendre trop longtemps non plus parce que j'ai besoin des données de mon ordi.
Je vais essayer la réparation

Reply

Marsh Posté le 07-05-2010 à 21:56:19    

j'ai eu confirmation (merci Anthony5151) le malware était associé à une clé de registre liée au lancement de la session qu'Antivir n'a pas pu rétablir
 
donc,tente la réparation et si cela ne fonctionne pas pour x raison tu pourras:
soit réparer le registre à l'aide d'un live CD qu'il faudra graver  sur un autre PC
soit formater ta partition sytème et reinstaller XP
 
Bonne chance!


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 11-05-2010 à 18:50:08    

Bonjour,
j'ai enfin réussi à redémarrer mon pc grace à la réparation comme tu m'as indiqué. J'ai fait toutes les mises à jour.
Par contre, j'ai encore au moins un problème, lors de l'installation d'internet explorer 8, antivir m'a indiqué qu'il y avait un cheval de Troie rootkit.gen
J'ai un autre souci aussi, c'est un ordi portable et la touche "clic gauche" du touchpad ne marche plus

Reply

Marsh Posté le 11-05-2010 à 19:06:08    

peux tu me montrer le rapport d'antivir stp?
 
et faire ceci :
 

  • Télécharge ZHPDiag
  • clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
  • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
  • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
  • Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 11-05-2010 à 19:37:57    

J'ai pas osé refaire un scan avec antivir. Lol
Je te joins le rapport d'évenement d'après la réparation : Dans le fichier 'C:\WINDOWS\system32\drivers\vepxqp.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
 
 


Message édité par Madmoiselle le 11-05-2010 à 20:59:22
Reply

Marsh Posté le 11-05-2010 à 20:53:52    

edite tes deux derniers messages et efface les rapports si tu ne veux pas que le topic soit fermé
 
tu ne dois pas mettre de rapports sur le forum    


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 11-05-2010 à 21:14:11    

Désolée, je savais pas.
Le lien pour ZHPDiag :http://www.cijoint.fr/cjlink.php?file=cj201005/cijq4YCAs7.txt  
Le lien pour le rapport Antivir : http://www.cijoint.fr/cjlink.php?f [...] DjbnXs.txt

Reply

Marsh Posté le 11-05-2010 à 21:31:27    

pas d'infection visible sur ce rapport,nous avons donc affaire soit à un "faux positif" de Avira soit à un rootkit qui se cache
 
puisque tu as le chemin du fichier en cause tu vas le tester sur virus total comme ceci:
 

  • rends toi sur http://www.virustotal.com/fr/
  • clique sur parcourir saisis le chemin vers le fichier infecté soit: C:\WINDOWS\system32\drivers\vepxqp.sys


 

  • clique sur "envoyer le fichier"


Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier" fais le
 

  • héberge ensuite le rapport fourni sur cijoint.fr et poste moi le lien


Message édité par glops31 le 11-05-2010 à 21:32:13

---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 11-05-2010 à 21:56:24    

Je ai enregistré la page au format texte, je savais pas comment faire autrement.http://www.cijoint.fr/cjlink.php?file=cj201005/cijrNy8Olu.txt

Reply

Marsh Posté le 11-05-2010 à 22:32:48    


C'est clair et net => un rootkit est bien encore présent dans ton ordinateur
le formatage de la partition système aurait résolu le problème mais hélas la réparation n'a pas suffit
 
il va falloir utiliser comboFix:
 
 
  /!\Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle /!\
 

  • Télécharge ComboFix (de sUBs) sur ton Bureau.


IMPORTANT:deconnecte toi du net, Désactive tous tes logiciels de protection et ferme toutes les applications en cours
 

  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.


  • /!\ Ne touche à rien pendant le scan. /!\


  • s'il t'est demandé de redémarrer: accepte
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ou mieux héberge le sur cijoint.fr et poste moi le lien fourni.


Tutoriel officiel de Combofix :


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 11-05-2010 à 23:03:00    

Il m'a pas demandé de redémarrer.
Le rapport Combofix : http://www.cijoint.fr/cjlink.php?f [...] 1Sar6B.txt

Reply

Marsh Posté le 11-05-2010 à 23:12:47    

ok surveille ton ordi et dis moi si tu as toujours des alertes
 
Bonne nuit!


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 12-05-2010 à 16:56:56    

Bonjour,
apparement ce satané virus est toujours là, avira vient de me lancer une alerte :
Dans le fichier 'C:\System Volume Information\_restore{8A13AED8-4420-4F04-9FD0-9953767DD236}\RP10\A0007985.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Reply

Marsh Posté le 12-05-2010 à 17:05:22    

bonsoir
 
ce n'est pas grave,il est signalé dans un des points de restauration,ce qui est normal puisque windows l'a créé avant que comboFix ne travaille  
nous les supprimerons à l'issue de cette désinfection
 
sinon est ce que tout à l'air correct?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 12-05-2010 à 23:12:29    

C'est pas trop mal, sauf qu'il plante assez souvent avec l'écran bleu : Worker_Thread_Returned_at_bad_irql. Quand il redémarre, il me dit que windows a récupéré une erreur sérieuse et si j'envoie le rapport, la réponse est que je dois télécharger sp1 pour vista. Mais j'ai xp.  
A part ça, j'ai récupéré le bouton gauche de mon touchpad et mon fond d'écran.

Reply

Marsh Posté le 12-05-2010 à 23:28:53    

ok,mais ça je ne pense pas que ce soit du à une infection mais soit à un driver de périphérique ou à une mise à jour
voir ici => http://www.depannetonpc.net/outils/bsod-lire_209.html
ça risque d'être un peu hard à trouver
http://translate.google.fr/transla [...] r:official
 
je commencerais par faire une détection automatique pour voir si tous les drivers sont à jours: http://www.touslesdrivers.com/index.php?v_page=29
 
 
 
 


Message édité par glops31 le 12-05-2010 à 23:57:25

---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed