Ecran bleu d'erreur,mon PC redemarre tt seul

Résolu/Fermé
Signaler
-
 amitofu -
Bonjour a tous,

j ai un gros gros probleme avec mon pc.
J ai chope le virus smitfraud dans un premier temps, il y a deux jours. J ai suivi les etapes afin de le solucioner avec les logiciels anti spyware, hijack, etc...

Visiblement le pc n a l air de ne plus avoir le virus...

Mais mon pc s eteind tt seul, redemarre, une chose est sure ce n est pas sasser.
Par moment j ai une fenetre bleu ki apparait avant de redemarer en disant:

'' A problem has been detected and windows has been shut down to prevent damage to your computer.
If this is the first time you've seen this stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to be sure you have adequate disk space. If a drive is identified in the stop message, disable the driver or check with the manufacturer for driver updates. Try changing video adapters.

Check with your hardware vendor for any Bios updates. Disable Bios memory options such as caching or shadowing. If you need to use safe mode to remove or disable components, restart your computer, press F8 to select Advanced Startup options and then select safe mode.

Technical information:

***stop: 0x0000008E (0xC0000005,0x002C0061,0xEF76ECAO,0x00000000)

Begining dump of physical memory.
Physical memory dump complete.
Contact your system administrator or technical support group for further assistance."


Quand je redemarre mon PC, j ai plus d icones sur le bureau, pas de barre menu demarrer, juste mon fond d ecran.

Tout a l heure, en redemarrant windows en mode sans echec, ce message apparait occasionellement:

16 bit MS DOS Subsystem (c est le titre de la fenetre)

C:\Program files\ Internet explorer\iexplore.exe
The NTVDM CPU has encountered an illegal instruction.
CS: 0db6 IP:01d1 OP:6368652f 31 choose ''close'' to terminate the application.


Je poste egalement le rapport hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 8:19:29 PM, on 8/19/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2005 Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe
O4 - HKLM\..\Run: [Testimonials] PrcIdle.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.toshiba.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AC9C6A7-AAF8-47EE-B933-7B4AD2DB4608}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{77C16069-D8A7-4FB1-A1C8-8D3D65E6A749}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9014637-DB1A-49FA-AB17-B7C4502EC27D}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BCAFD6-1CA7-43E3-8FC2-29855F229B00}: NameServer = 69.50.176.158,85.255.112.8
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\ACS.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\COMMON~1\AOL\ACS\acsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\Toshiba\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\Ivp\Swupdate\swupdtmr.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe




J espere que quelqu un pourra m aider car je dois resoudre ce probleme rapidement car c est le PC d un ami qui doit revenir dans 22 jours!!!

Je vous remercie par avance de m aider a solutioner ce probleme.

Merci !!!!!!!

43 réponses

Messages postés
181
Date d'inscription
mardi 14 janvier 2003
Statut
Membre
Dernière intervention
23 juin 2011
1
Bonjour,

C'est bien de balancer un rapport comme une bouteille à la mer!

C'est mieux de connaitre ce qu'il contient :-)

http://www.lacave.net/~jokeuse/usenet/ht.html

Bon courage !

papy
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41989 internautes nous ont dit merci ce mois-ci

Merci pour ce site web, c est sur que ca me permet de comprendre mieux le fonctionnement de hijack, mais le probleme est que je ne comprends pas pourquoi au demarage de windows il n y a plus d icone sur mom bureau, ni de barre de demarage....

Si tu as une idee....



Merci beaucoup !!!

salut

tu peux reposter un hijack stp, il a du peut etre evoluer depuis

a+
Salut,

En fait effectivement le probleme a evolue....

Je n ai plus d icones qui s afichent sur mon ecran, plus de taskbar, plus de desktop.

Je peux juste faire un CTRL ALT SUP, c est tout.

par contre mon pc fonctionne en demarrant en sans echec.

CHOSE TRES IMPORTANTE A SIGNALER:

je n ai pas le cd de windows, par consequent je ne peux formater.


Je post le rapport hijack:

Logfile of HijackThis v1.99.1
Scan saved at 1:49:23 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll




J ai vu que ce probleme est assez recurrent dans plusieurs forums, fr et us. Mais personne n a reussi a le resoudre, a part formatage, et encore meme avec formatage, ca marche pas.
J ai vu qu une personne avait flashe son BIOS, reinstalle MS DOS et ensuite WinXP. Moi je ne peux faire ca...

A L AIDE !!!!
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
327
si tu peut telecharge ceci
telecharge ceci
http://www.downloads.subratam.org/l2mfix.exe
decompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2

relance hijack coche et fix
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

recherche et suppr ceci
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll


----------
regarde si tu trouve ceci
Dans gestionnaire des taches vous allez dans processus et trouver le fichier nommé " Sysu.exe " sélectionnez le et faites terminer le processus.

2/Une fois que vous retrouvez votre bureau n'oubliez pas de supprimer ce fichier
3/Dans msconfig aller dans l'onglet Démarage et désélectionner le fichier qui devrais s'appeler " Msbb "

fait ctrl alt suppr regarde si tu trouve sysu.exe
Si oui clik dessus et terminer le processus
Et si la tu retrouve ton bureau recherche et suppr se fichier
Et dit moi si tu trouve aussi Msbb



tu as decoché des prog dans msconfig ?
parce qu'il ne reste plus grand chose dans ton hijack

laisse moi quelques minutes le temp de regarder en detail les 2 log

a tout de suite

grilled

telecharge ceci:
http://www.atribune.org/downloads/HSFix.zip

puis en mode sans echec et apres avoir rendu visible les fichiers cachés et systeme

ouvre le bloc note et copie et colle ce qui est en gras ci-dessous:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msudp4]


Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner

lance hijackthis et supprime:
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

recherche et supprime

C:\WINDOWS\System32\explorer6s4.exe
PrcIdle.exe
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
____________________________________

lance hsfix.bat qui se trouve dans le dossier hsfix et sauvegarde le rapport que tu postera apres avoir redemarré
_____________________________________

redemarre le pc et reposte un hijack+ le rapport hsfix
Je tiens avant tout a vous remercier pour votre aide!!

Effectivement j ai desactive tous les programmes tiers au demarrage de windows.

Balltrap m a conseille de lancer un logiciel intitule L2Mfix,
grace a ce logiciel, je peux de nouveau revoir mon bureau, mais a partir du moment ou je le ferme, mon bureau disparait...

Je vous repost le log de Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 2:23:44 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2cf41f1db14bc8f414e16e1555b77108\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab


Aussi windows ne veut pas supprimer ces deux DLL car elles sont en cours d utilisation, et quand je vais dans le gestionnaire des taches, impossible d arreter les processus.


Je vous remercie pour l aide que vous m apportez!!!

A tout de suite.
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
327
relance hijack coche ces lignes et ensuite clik sur fix

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe




----------------------
►utilise la killbox avec la methode du bloc note(voir demo)avec ces fichiers


C:\WINDOWS\system32\appwiz.dll
c:\windows\system32\mdms.exe
C:\WINDOWS\System32\explorer6s4.exe
PrcIdle.exe
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll



-----------------


supprime celle ci aussi
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

et supprime c:\windows\system32\mdms.exe

re grilled
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
327
tu veut de la protection solaire tu vas finir pas etre tous rouge lol

c'est mes doigts qui sont tout rouge, vont pas assez vite lol
Merci Moe et Balltrap de me soutenir, car je suis desespere!! Surtout que mes connaissances en informatique se resume a presque rien...

Donc j ai lance hsfix en mode sans echec, j ai cree le document text et fusionne, j ai supprime les dll suspectes dans system32, je pense avoir vu d autres fichiers, mais je ne sais pas si ils sont supects ou pas....
j ai lance hs et voici le log suivant:


Horseserver Removal Tool v1.05
by Atri
-
-
1. Registry Fix Started
-
Registry fix complete
-
2. Deleted Services
-
WINLOW
[SC] DeleteService SUCCESS
vdmt16
[SC] DeleteService SUCCESS
-
3. Finding files Located on system
-
klogini.dll
p2.ini
ps.a3d
vdmt16.sys
winlow.sys
mszx23.exe
cz.dll
tmp*.exe
w32tm.exe
-
4. Deleting files that were found.
-
-
5. Checking for and Removing Winupdate
-
-
-


Je refais aussi un log de hijack pour me dire ce que vous en pensez:

Logfile of HijackThis v1.99.1
Scan saved at 2:41:59 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab



Est-ce que balltrap tu as une idee du fait que mon bureau reapparait, mais quand je ferme la fenetre MS DOS, il disparait??


Je vous remercie vivement Moe et Balltrap !!!!
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
savais pas que moe commencait à avoir de l'artoze...

je le voyais jeune et beau... et bin en se sent moins seul .

pour la protection spéciale hautes²temperatures, je crois qu'il doit m'en rester un peu.

Pas cher mon frere, 20 chameaux...

lol
Je n arrive pas non plus a supprimer MDMS.EXE, a cote il y a aussi une DLL qui s appelle MDMSINST.DLL...

pour MDMSINST.DLL fait le analyser ici:
http://www.virustotal.com/xhtml/virustotal_en.html
et poste le resultat

toujours en mode sans echec et tous les fichiers visibles

lance hijack et suprime
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

 Recherche et supprime si présent

C:\windows\system32\mdms.exe
c:\windows\system32\mcsmss.exe
c:\windows\tgbcde
c:\windows\system32\winacpi.dll
C:\WINDOWS\system32\appwiz.dll

:: Supprimer les fichiers temporaires ::

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
vider tout le contenu de ces dossiers.

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

redemarre le pc et telecharge silentrunners ici:
http://www.silentrunners.org/Silent%20Runners.vbs
lance le et poste le rapport + un nouvel hijack

re les gars,
pour la barre de taches etc qui ont disparue, cela pourrait il marcher?
http://www.d2i.ch/pn/az/b.html

a+ Olivier et Gerard
Voila donc j ai suivi tes consignes. Seule chose, je n ai pas reussi a supprimer mdms, winacpi. Et je n ai pas trouve dans les dossiers tgbcde et mcsmm.

Je post le rapport silent runner:

"Silent Runners.vbs", revision 40, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SysMemory manager" = "c:\windows\system32\mdms.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{352EC2B7-8B9A-11D1-B8AE-006008059382}" = "Shell Application Manager"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{0B124F8F-91F0-11D1-B8B5-006008059382}" = "Installed Apps Enumerator"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{CFCCC7A0-A282-11D1-9082-006008059382}" = "Darwin App Publisher"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}" = "CePMTab Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\CePMTab.dll" ["COMPAL ELECTRONIC INC."]
"{955B7B84-5308-419c-8ED8-0B9CA3C56985}" = "America Online"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\aolshare\shell\us\shellext.dll" ["America Online, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Sonic\RecordNow!\shlext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "st"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csuxw.exe" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\strouill\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

Application Management, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]
Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS]
Logical Disk Manager Administrative Service, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Office Source Engine, ose, "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [MS]
Portable Media Serial Number Service, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\mspmsnsv.dll" [MS]}
WMI Performance Adapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 43 seconds, including 9 seconds for message boxes)




D apres vous, vous pensez que la situation evolue positivement ??

Dans tous les cas je vous remercie mille fois de l aide que vous m apportez!!!
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
327
ouvre le bloc note et copie colle ceci entre les etoiles pas les etoiles
nomme le ww.reg
dans la case type met sur tous fichiers
double clik sur se fichier que tu vient de faire et accepte la fusion

*********
REGEDIT4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control]
"Impersonate"=-

[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \
MPRServicesTestService]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \
Winlogon\Notify\debugg]
"DllName"=-
"Startup"=-
"Impersonate"=-
"Asynchronous"=-
"MaxWait"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\boot32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\boot32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\boot32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\boot32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdmapi]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdmapi]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdmapi]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sdmapi]

[-HKLM\SYSTEM\CurrentControlSet\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\memlow]

[-HKLM\SYSTEM\CurrentControlSet\Services\vdnt32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdnt32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vdnt32]

[-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \
Notify\draw32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOW]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Secboot" =-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Neutralisez TrayIcon" =-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize" =-
"Personnifient" =-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws" =-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect" =-

*************

recherche et suppr ceci

assure toi de voir les fichiers cacher
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.

Et appliquer

KLOGINI.DLL
BOOT32.SYS
SDMAPI.SYS
DEBUGG.DLL
C3.DLL
C3.SYS
C4.SYS
_SS.EXE
P2.INI
ps.a3d
vdmt16.sys
winlow.sys
mszx23.exe
cz.dll
w32tm.exe