Sdra64.exe -Connec/Deconnec Session - Non MSN

Question

Bonjour à tous et à toutes,      

Je suis victime depuis hière matin du phénomène "connection/déconnection", c'est à dire que mon ordinateur se lance normalement, mais au moment ou windows (Xp familial Sp3) doit me connecter (automatiquement car je n'ai pas de mot de passe et pas d'autre session autre que la mienne) il me déconnecte au bout de 2s et me propose un menu de choix de session...ainsi de suite.     

Cet problème survient après que j'ai éssayer de me débarasser du virus sdra64.exe (trouvé dans un rapport hijackthis) grâce au tutoriel suivant :      

http://www.pctechrx.com/category/technical/?bId=26     

A la 7ème étape, il faut redémarrer son ordinateur et c'est la que le bug apparaît.     

Le mode de démarage sans échec (normal, invite de commande, réseau) ne marche pas !

J'ai écumer internet et aucune de mes recherches Google n'a abouti c'est pour cela que je vous demande votre aide !     
Beaucoup de solutions répondent à un problème dû à un virus par MSN or j'ai MSN mais ne l'utilise jamais !     

Voici les solutions déja éssayés et qui n'ont pas fonctionnés :     

- "Sur la console de récupération écrire :     
cd system32     
(Touche ENTER)     
copy userinit.exe wsaupdater.exe     
(Touche ENTER)     
Exit     
(Touche ENTER)"
-> Vient du site microsoft :
https://support.microsoft.com/en-us

- "Sur la console de récupération écrire :     
reg    
(Touche ENTER)     
query "HKEY_LOCAL_MACHINE\software\ microsoft\windowsNT\currentversion\winlogon" /v "userinit"     
(Touche ENTER)     
-> Posté par Didi sur ce même forum :      
https://forums.commentcamarche.net/forum/affich-1197936-connexion-deconnexion-session-windows?page=2

Je n'ai pas éssayer le tutoriel présent sur http://info.entraide.free.fr/ car une fois de plus il faisait référence au problème avec MSN. 
Devrais-je les éssayer tout de même malgré la durée de la procédure ?

J'ai aussi trouvé ce tutoriel, vous parrait-il utile ?
http://aumha.net/viewtopic.php?f=62&t=43024
(j'hésite à tester tout et nimportequoi concerant la console de récupération)

Je précise aussi que je ne possède pas de CD Windows Xp et que pour avoir accès au mode console de récupération j'ai suivi le tutoriel :      

http://www.vista-xp.fr/forum/topic240.html     

Merci beaucoup d'avance !     

Papercat

H3RV3 · Answer

Salut, 

Il est probable que soit le fichier userinit.exe soit la valeur dans la base de registre ait sauté. 

Lance la console de récupération. 

Rends dans le dossier C:\windows\system32 avec la commande
cd \windows\system32 

Puis tape la commande dir userinit.* et copie le résultat ici

Papercat · Answer

Alors voila ce que l'ordinateur m'affiche à l'écran :

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 38f1-8147

Répertoire de C:\windows\system32\userinit.*

14/04/08 04:23a -a------ 26624 userinit.exe
1 Fichier(s) 26624 octets
24739995648 octets libres

J'éspère que ça pourra t'aider =)

Papercat · Answer

Tu t'en sort H3ERV3 ? 
Je peux aller chercher d'autres infos sur mon ordi si nécéssaire. =) 

Sinon quelqun d'autres aurait une réponse ? 

Merci beaucoup d'avance ! ^^

(Ps : up caché...^^)

H3RV3 · Answer

Désolé, j'ai dû m'absenter. 

Je ne suis pas sûr que la commande reg fonctionne dans la console de récupération. 
Dans ce cas, fais ceci : 

Télécharge http://sd-2.archive-host.com/membres/up/200691265947653694/cd100627.iso

Grave l'image cd100627.iso 

Reviens quand le CD est gravé, on fera par étapes.

Papercat · Answer

Me revoila, désolé de t'avoir fait attendre j'ai dû moi aussi m'absenter... 

Enfin bref juste pour dire que j'ai terminer de graver l'image iso sur CD 
J'attends avec impatience la prochaine étape =) 

Merci d'avance

Ps : l'autre utilisateur à supprimé son méssage je ne sais pas exactement pourquoi,...mais effectivement dans certaines manipes précédentes j'ai pu constater que la commande : reg n'existe pas sur la console de récupération.

gen-hackman · Answer

oui bonsoir c'est moi j'ai trouvé juste de me faire absent discretemennt :)

Papercat · Answer

oui bonsoir c'est moi j'ai trouvé juste de me faire absent discretemennt :) Pas de souçis ^^

H3RV3 · Answer

Bien, on va continuer, je vais te donner les étapes, si tu as une doute ou que les manipulations ne correspondent pas, n'hésite pas à revenir.

Démarre sur le CD précédemment gravé.

Appuie sur Entrée quand tu vois boot :

Laisse charger, quand tu vois Select: [1] valide avec Entrée

Quand tu vois "What is the path to the registrry directory", revalide avec Entrée

Au message "Select which part of registry to load", choisis "recovery console" en appuyant sur la touche 2 puis Entrée

A la question "What to do?", choisis l'option "Registry editor" avec la touche 9 puis Entrée

Tu dois te retrouver avec juste çà  :
>

Tape ensuite ces commandes (/!\ clavier en qwerty w=z ,=m et respeecte les majuscules et minuscules)

cd Microsoft valide avec Entrée

cd Windows NT valide avec Entrée

cd CurrentVersion valide avec Entrée

cd Winlogon valide avec Entrée

Tu dois maintenant te retrouver avec ceci :

(...)\Windows NT\CurrentVersion\Winlogon>

Tape maintenant ed Userinit et dis mois ce qi s'affiche à l'écran


La procédure peut prendre un certain temps, je ne suis pas sûr d'être là encore ce soir, dans le pire des cas, on devra continuer demain.

Papercat · Answer

Merci beaucoup pour le tutoriel je vais l'éssayer dés demain !

H3RV3 · Answer

Très bien, à savoir que à ce niveau là, ton PC ne démarrera pas encore.

Il faudra, si besoin, modifier la valeur dans le registre, je te donnerais la démarche à ce moment là.

Sache aussi que je ne serais sans doute présent que demain dans la soirée.

Papercat · Answer

Me revoila, ^^ 

Alors voici les résultats obtenus à l'écran : 

(...)\Windows NT\CurrentVersion\Winlogon> ed Userinit 
Value <Userinit> not found ! 

Par curiosité j'ai éssayer aussi la commande cd qui m'a donné : 

(...)\Windows NT\CurrentVersion\Winlogon> cd Userinit 
Key Userinit not found ! 

Bonne journnée et à ce soir pour la suite :)

Ps: Ca confirme bien que ni la clé ni la valeur n'existe.

Papercat · Answer

J'imagine que la suite doit ressembler à : 

http://blog.comvice.com.my/?p=27 non ? ^^

Mais je ne me précipite pas =)

H3RV3 · Answer

Salut,

La suite ressemble effectivement à ce que tu as trouvé :)

Quand tu en es ici : (...)\Windows NT\CurrentVersion\Winlogon> :

Tape nv 1 userinit puis valide avec Entrée

Tape ed Usernint puis valide avec Entrée

Quand tu as la flèche (->), tape C:\Windows\system32\userinit.exe, (n'oublie pas la virgule à la fin) et valide avec Entrée
Clavier toujours en qwerty, ":" = "M", "\" = "*" (à côté de ù), "w" = "z"n "m" = ","

Tape "q" (a en qwerty) et valide avec Entrée

Puis de nouveau "q" et valide avec Entrée

A la question "About to write file(s) back ?", tape "y" et valide avec Entrée

Puis à la question "New run ?" valide juste avec Entrée

Redémarre ensuite ton PC en appuyant sur Ctrl + Alt + suppr, retire le CD et essaie de redémarrer sous Windows.

Si tu as des problèmes, n'hésite pas à venir, je ne serai par contre de retour que lundi.

A+

gen-hackman · Answer

sincerement je suis scié...

Papercat · Answer

Bon alors petit problème pour les 2 première étapes :

Dans : (...)\Windows NT\CurrentVersion\Winlogon> 
quand je tape : nv 1 userinit
il me répond : add_value : value userinit already exists

J'ai continué au cas ou ça soit normal.

Dans : (...)\Windows NT\CurrentVersion\Winlogon>
quand je tpe : ed Userinit
il me répond : Value <Userinit> not found

Donc étant donné qu'aucune flèche apparait j'ai préféré ne pas continuer et d'attendre ce que tu en pense.

H3RV3 · Answer

Salut,

Je suis de retour :)

J'ai effectivement fais une erreur dans la procédure, désolé..

La première commande a tapé était nv 1 Userinit (u majuscule).

Peux-tu réessayer en prenant en compte le changement de cette première commande.

Papercat · Answer

Me revoila =)

Alors j'ai retapé les commandes avec la modification faite pour le "u" majuscule et voici ce que ça m'a donné :

nv 1 Userinit
(le pc ne répond rien)

ed Userinit
EDIT : <Userinit> of type REG_SZ whith length 0 [0x0]
New enter new strings, one by one.
Enter nothing to keep old.
[0]:[NEW]

C:\Windows\system32\userinit.exe,
newkv->len:68

Ensuite j'ai refermer avec "q" deux fois,...etc enfin toutes les manipes pour sauvegarder les modifications et quitter la console que tu m'avais indiqués ci-dessus.
En relancant l'ordinateur comme tu me l'avais demander, je vois que le souci persiste.
Es-ce que c'est normal parceque ce n'est pas fini ou es-ce qu'il a un problème quelque part ?

H3RV3 · Answer

Le problème aurait dû être résolu.

Il est possible que les changements n'ont pas été pris en compte (tu n'as pas eu de message d'erreur ?) ou que quelque chose supprime la valeur Userinit.

Redémarre sur le CD, rends-toi ici : (...)\Windows NT\CurrentVersion\Winlogon>

Tape ed Userinit et dis-moi ce qui est noté.

Papercat · Answer

Quand je tape : 
ed Userinit 

dans : 
(...)\Windows NT\CurrentVersion\Winlogon> 

Mon écran affiche : 
EDIT : <Userinit> of type REG_SZ whith length 68 [0x44] 
[0]:C:\Windows\system32\userinit.exe, 
New enter new strings, one by one.  
Enter nothing to keep old. 
[0]:C:\Windows\system32\userinit.exe,

Ensuite en dessous pour ma prochaine commande ça ressemble à ça :

->_

H3RV3 · Answer

Bizarre la valeur est encore là, tu avais toujours le même symptôme, ouverture puis fermeture directe de la session ?

Pour continuer :
Appuie juste sur Entrée pour la conserver.

On va supprimer la valeur userinit que tu as crée avant, pas que çà vienne de là..
Tape : dv userinit puis valide avec Entrée.

Quitte à nouveau avec q et accepte la sauvegarde des changements avec y.

Papercat · Answer

Ok je vais faire ce que tu as dit. 

Je précis que toutes les commandes tels que dv, ed, nv..etc je les ai tapés après avoir fait ceci : 

"cd Microsoft valide avec Entrée  

cd Windows NT valide avec Entrée  

cd CurrentVersion valide avec Entrée  

cd Winlogon valide avec Entrée  

Tu dois maintenant te retrouver avec ceci :  

(...)\Windows NT\CurrentVersion\Winlogon>" 

Dans ton post du 9 juillet à 23h00. 
Je ne sais pas s'il fallait que je le fasse ou non ? 

Quoi qu'il en soit je vais supprimer la valeur desuite =)

Papercat · Answer

Eh bien...SI ! Ca venais de la XD

J'ai à nouveau accès à Windows et ma Session Yataaaaaaaaaaaa !!!

Merci infinment pour ton aide et ta patience !

Si tu as besoin d'aide dans des domaines graphiques (Photoshop par exemple) hésite pas !

Papercat, the shadowdancing rogue

H3RV3 · Answer

Ok, tant mieux, c'est bon à savoir :)

Par contre, ton problème étant survenu suite à un essai de désinfection, si tu veux, on peut analyser ton PC pour vérifier qu'il se porte bien.

Papercat · Answer

Oui, je vais faire un scan HijackThis et le poster grâce à une clé USB sur le forum. 

Je fais ça dans 2min =)

H3RV3 · Answer

Ok, tu peux le poster ici, je vérifierai çà.

Papercat · Answer

Voila le rapport HijackThis =) : 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 1:22:40 PM, on 7/12/2010 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v8.00 (8.00.6001.18702) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\Explorer.EXE 
C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe 
C:\WINDOWS\system32\drivers\CDAC11BA.EXE 
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe 
C:\Programme\Java\jre6\bin\jqs.exe 
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe 
C:\WINDOWS\system32\SearchIndexer.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Dokumente und Einstellungen\Whendyska\Eigene Dateien\Téléchargements\HiJackThis.exe 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll 
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll 
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll 
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file) 
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') 
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll 
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll 
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab 
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://www.catalog.update.microsoft.com/ClientControl/en/x86/MuCatalogWebControl.cab?1217249941031 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL 
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe 
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe 
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe 
O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing) 
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE 
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe 
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

H3RV3 · Answer

Rien de spécial à signaler sur ton rapport, fais ceci :

&#9679; Relance HiJackThis

&#9679; Clique sur Do a system Scan only

&#9679; Coche les cases suivantes (si elles sont présentes) :




O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file) 




&#9679; Clique sur Fix checked puis sur "Oui" dans la fenêtre d'avertissement

&#9679; Ferme HijackThis


Si tu n'as pas de "symptômes bizarres", je pense que c'est OK.

Tu peux éventuellement faire un scan avec Malwarebytes de cette manière :

&#9679; Télécharge Malwarebytes' Anti-Malware (MBAM)

&#9679; Double clique sur mbam-setup.exe pour lancer l'installation

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance MBAM et laisse les Mises à jour se télécharger

&#9679; Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

&#9679; A la fin du scan, clique sur Afficher les résultats

&#9679; Coche tous les éléments détectés puis clique sur Supprimer la sélection

&#9679; S'il t'est demandé de redémarrer, clique sur Yes

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM

Sdra64.exe -Connec/Deconnec Session - Non MSN

27 réponses

Votre réponse

Discussions similaires

Newsletters