Dégradation du registre

Zildjiann Messages postés 1006 Statut Membre -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonsoir à vous,

De plus en plus de plantages et autres bugs me font renouveler le registre à l'aide de la console de récupération. Je n'installe rien de particulier, mais ça fait déjà deux fois que ça plante et que je doive réinstaller le registre. Ca commence par un détail (clavier en qwerty impossible à remettre en français par exemple) jusqu'au problème fatal. Jamais d'écran bleu. Je penche donc en définitive pour un virus qui a survécu à mon dernier formatage, car OS + système clean + G Data. Je ne sais pas lire un rapport HijackThis, donc si quelqu'un pouvait avoir la bonté de me dire ce qui cloche réellement avec ces auto-destructions progressives... Merci.

Au passage, je signale que je n'ai pas encore réinséré tous les drivers dans le registre, donc il est normal que des périphériques ne soient pas reconnus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:21 PM, on 9/4/2009
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 SP1 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Documents and Settings\Administrator.MONPC\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: DualCoreCenter.lnk = C:\Program Files (x86)\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

--
End of file - 4628 bytes

--
Zildjiann
Configuration: - Boitier NZXT Lexa noir/argent
- Carte mère MSI P7N Zilent : nVidia 750i
- Processeur : Q9550 2,83 Ghz
- Mémoire vive G-Skill 2 x 2 Go DDR2 800Mhz
- Carte graphique MSI NC-GTX260-OC

9 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, cela il faudra le fixer F2 - REG:system.ini: UserInit=userinit

    je vois pas de trace d'anti-virus et autre protection ?????

    mais la pourrais tu mettre un RSIT pour voir plus , Merci

    • Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
    • Double clique sur RSIT.exe pour lancer l'outil.
    • Clique sur "Continue" à l'écran Disclaimer.
    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
    • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

    ps:Les rapports se trouvent à cet endroit:

    C:\rsit\info.txt

    C:\rsit\log.txt

    Tutoriel pour t'aider

    0
    1. Zildjiann Messages postés 1006 Statut Membre 72
       
      Merci de ton aide, je le fais immédiatement. J'ai G-Data en antivirus, mais comme j'ai également remplacé les fichiers "software" et "security" du registre par ceux se trouvant dans c:\windows\repair, il n'est plus détecté. Je vais devoir le réinstaller.

      Pour le rapport RSIT, je le joins dans mon prochain message. Au passage, hier soir mon ordinateur n'a même plus détecté mon disque dur et refusait de démarrer. J'ai débranché le câble Ethernet, et une fois mon ordi coupé de réseau il a accepté de m'amener sans encombre jusqu'à mon bureau ce matin... Vraiment bizarre...

      PS : Tu me parles de fix F2. Le fais-je par HiJackThis en cochant le case puis en cliquant sur "fix" ?
      Merci.
      0
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    oui tu peux la fixer avec hijackthis
    0
    1. Zildjiann Messages postés 1006 Statut Membre 72
       
      Le chargement RSIT plante au niveau de "chargement device et drivers". Le message est le suivant :

      Autolt Error
      Line -1:
      Error : Variable used without being declared.

      Le processus s'arrête lorsque je clique sur OK.
      0
  3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    tu désinstalles RSIT et tu le feras après la tu vas faire List&Kill'em tu fais option 1 tu postes le rapport et puis tu redamarres en mde sans echec et tu fais option 2

    Desactives la protection residente de ton antivirus et ton parefeu et anti-spyware si present , le temps du scan

    passes List&Kill'em

    télécharges le sur le bureau : http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem.exe

    il ne demande pas d'installation tu doubles cliques dessus " pour vista clique droit et en tant que administrateur "

    tu mets f pour français et valides avec entrée

    tu choisis 1= Mode Recherche et entrée tu le laisse travailler et tu postes le rapport

    il est sinon conservé à la racine du disque système

    pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    (attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

    .Cliques sur Démarrer
    .Cliques sur Arrêter
    .Sélectionnes Redémarrer et au redémarrage
    .Appuis sur la touche F8 ou F5 celon les marques de pc sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
    .Utilises les touches de direction pour sélectionner mode sans échec
    .puis appuis sur ENTRÉE
    .Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
    une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

    tuto:http://www.vista-xp.fr/forum/topic93.html

    Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

    mais cette fois-ci :

    choisis l'option 2 = Mode Destruction

    laisse travailler l'outil

    apres les verifications , un rapport va s'ouvrir.

    ferme-le.

    un deuxieme rapport va s'ouvrir ,

    colle son contenu dans ta reponse une fois redémarrer en normal

    C:\Kill'em.txt
    0
    1. Zildjiann Messages postés 1006 Statut Membre 72
       
      Voilà qui est fait. Tant que mon ordi n'est pas connecté, on dirait que ça reste stable même si ça rame parfois fort. Je ne sais pas ce que ça veut dire, meis j'ai pu voir Regedit et Explorer dans la quarantaine... J'espère que c'est pas trop la merde ^^"

      Second rapport après destruction :
      Kill'em by g3n-h@ckm@n 1.0.3.0

      updated on 03.09.2009 ::::: 0.25


      Microsoft Windows [Version 5.2.3790]


      Sun 09/06/2009 13:40:57.60

      Fichiers analysés :
      =================


      ¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

      "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
      "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
      "C:\WINDOWS\System32\EXPLORER.exe"
      "C:\WINDOWS\system32\prntvpt.dll"
      "C:\WINDOWS\system32\regedit.exe"


      ¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

      Quarantaine :

      explorer.exe.Kill'em
      prntvpt.dll.Kill'em
      qmgr0.dat.Kill'em
      qmgr1.dat.Kill'em
      regedit.exe.Kill'em

      ¤¤¤¤¤¤¤¤¤¤ Verification :



      Infections :
      ==========


      ¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


      ¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


      ¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

      Layout.ini
      NTOSBOOT-B00DFAAD.pf




      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
  4. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, essais de faire RSIT et si pas moyen tu fais un ZHPdiag , merci

    Ouvres ce lien et télécharges ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    .double clique sur la seringue ZHPDiag
    .cliques sur tous
    .cliques sur la loupe attend quelque minutes
    .cliques sur l'appariel photos
    .enregistres le de façon à le retrouver
    .tu fermes ZHPDiag
    . tu ouvres ton rapport ZHPDiag
    .cliques sur édition
    .et puis tous sélectionner
    .et recliques sur édition
    .coller
    .tu reviens sur le forum et dans le cadre de la discution tu cliques droit dans le cadre de discution
    .et coller

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Zildjiann Messages postés 1006 Statut Membre 72
     
    Après le redémarrage suivant le killing du logiciel que tu m'as donné, reboot incessant à la fin du chargement Windows XP. Je voyais un écran bleu d'un dixième de seconde s'afficher pour disparaître tout de suite. J'ai alors démarré en mode sans échec, et s'affiche assez longtemps avant le reboot ce message, et non pas un écran bleu classique windows.

    STOP
    Registry cannot load the hive file :
    \systemroo\system32\config\security
    or is corrupt, absent, or not writable.

    Avec un code d'erreur avant le message. J'ai changé le fichier "security" il y a à peine deux jours. Celui dont il me dit qu'il n'est pas présent sort tout chaud du dossier "Windows\repair" de mon XP 64, via la console de récupération.

    Voilà qui est bien emmerdant.
    0
  7. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    ton windows est bien une version légal de xp ???
    sinon fais une restauration système à date et heure avant l'utilisation de l'outil soit entre :

    le vendredi 4 septembre 2009 à 21:44:47
    et le
    le samedi 5 septembre 2009 à 13:21:08

    dates et heure de nos echange et des utilisations des outils cela me semble bizare des choses comme cela arrive sur des licence pas légal !!!
    0
    1. Zildjiann Messages postés 1006 Statut Membre 72
       
      Oui je m'en doute je suis le premier à remettre en question les versions piratées d'XP :S
      Seulement, la mienne est légale, c'est l'informaticien de mon ancien collège qui me l'avait passée CD en main. Je pense pas qu'il se serait amusé lui-même à hériter d'un produit douteux, d'autant plus que je n'avais jamais eu de problèmes avant.

      La restauration système ? Je veux bien tenter. Seulement, comment faire à partir de la console de récupération ?
      Merci.
      0
  8. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    tu redémarres ton pc en mode sans echec et puis tu fais une restauration système
    0
    1. Zildjiann Messages postés 1006 Statut Membre 72
       
      Mais puisque reboot incessant ?
      0
  9. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    tu veux dire que tu n'as même pas accés au mode sans echec ???

    dans ce cas essais de redémarrer sur la dernière bonne configuration connu tu fais comme pour le mode sans echec F8 ou F5 celon les pc et dans le chois tu fais dredémarrer windows sur la dernière bonne configuration connu
    0
    1. Zildjiann Messages postés 1006 Statut Membre 72
       
      Je l'ai tenté, rien à faire. Reboot continuel. Je vais tenter de réinstaller le fichier security, encore... Le temps d'avoir accès à la restauration système.
      Je n'y comprends vraiment plus rien... C'est du grand n'importe quoi.
      0
  10. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    moi non plus je vois pas ce qui c'est passé !!!
    0