impossible d'accéder au mode sans echec

Question

Bonjour, 



Apres une analyse Malwarebytes , il me trouve une dizaine d'infection dont un bifrose, je veux alors accéder au mode sans échec pour supprimer ses virus et impossible d'y accéder , il redémarre a chaque fois au niveau du démarrage de la session .

je vous poste le rapport de mbam:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5514

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

14/01/2011 01:30:58
mbam-log-2011-01-14 (01-30-56).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 309265
Temps écoulé: 57 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{JE8R274A-5257-QYH1-3UP5-3BVE5Y4R8656} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{JE8R274A-5257-QYH1-3UP5-3BVE5Y4R8656} (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows live messenger (Trojan.Agent) -> Value: Windows live messenger -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\sylvain\AppData\Roaming\logs.dat (Bifrose.Trace) -> No action taken.
c:\Users\sylvain\AppData\Local\Temp\IELOGIN.abc (Malware.Trace) -> No action taken.
c:\Users\sylvain\AppData\Local\Temp\MSN.abc (Malware.Trace) -> No action taken.
c:\Users\sylvain\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken.
c:\Users\sylvain\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken.
c:\Users\sylvain\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.
c:\Users\sylvain\AppData\Roaming\Temps\svchost.exe (Trojan.Agent) -> No action taken.


Je vous remercie d'avance

pimprider · Answer

j'ajoute que j'ai déjà supprimé plusieurs fois avec mbam tout ce qu'il a trouvé mais qu'au redémarrage ils sont toujours la

gen-hackman · Answer

salut combien de temps attends-tu pour dire que ca marche pas le mode sans echec§ ? 

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


G3?-?@¢??@?......List_Kill'em...

pimprider · Answer

je m'explique j'appuie sur F5 puis F8 , ensuite sur mode sans échec , la il charge plein de fichier puis quand j'arrive au niveau de l'identification , j'ai même pas le temps d'écrire mon mot de passe qu'il redémarre en mode normal , j'ai supprimer mon mot de passe ainsi que le redémarrage automatique après un bug et apparament y'a une erreur mais j'ai pas le temps de voir ce qui y a d'écrit ca redemare direct.

gen-hackman · Answer

ok fais usbfix comme indiqué

pimprider · Answer

voila le rapport: 


############################## | UsbFix 7.037 | [Suppression]

Utilisateur: sylvain (Administrateur) # PC-DE-SYLVAIN [Dell Inc. Inspiron 1545]
Mis à jour le 10/01/2011 par El Desaparecido / C_XX
Lancé à 20:18:56 | 14/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Celeron(R) Dual-Core CPU T3000 @ 1.80GHz
CPU 2: Celeron(R) Dual-Core CPU T3000 @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18999

RAM -> 3032 Mo 
C:\ (%systemdrive%) -> Disque fixe # 218 Go (146 Go libre(s) - 67%) [OS] # NTFS
E:\ -> Disque fixe # 15 Go (4 Go libre(s) - 24%) [RECOVERY] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Users\sylvain\AppData\Roaming\logs.dat
Supprimé! C:\Users\sylvain\AppData\Local\Temp\UuU.uUu
Supprimé! C:\Users\sylvain\AppData\Local\Temp\XxX.xXx
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-4165070313-952437386-3580484546-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-4165070313-952437386-3580484546-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-4165070313-952437386-3580484546-501
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-4165070313-952437386-3580484546-1000
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-4165070313-952437386-3580484546-500
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-4165070313-952437386-3580484546-501
Supprimé! E:\AUTORUN.INF

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6c546528-f7a9-11df-b2f5-002564655b6e}

################## | Listing |

[14/01/2011 - 20:21:20 | SHD ] 	C:\$Recycle.Bin
[21/10/2009 - 01:33:43 | D ] 	C:\1033
[23/01/2010 - 10:42:27 | D ] 	C:\32788R22FWJFW
[16/05/2010 - 01:24:27 | D ] 	C:\Boot
[11/04/2009 - 07:36:36 | RASH | 333257] 	C:\bootmgr
[13/01/2011 - 23:56:51 | D ] 	C:\Config.Msi
[28/10/2009 - 14:41:12 | D ] 	C:\DELL
[21/10/2009 - 03:50:42 |  | 3715] 	C:\dell.sdr
[28/10/2009 - 13:12:59 | SHD ] 	C:\Documents and Settings
[27/09/2009 - 19:09:24 | D ] 	C:\Drivers
[14/01/2011 - 19:01:28 | ASH | 3179663360] 	C:\hiberfil.sys
[21/10/2009 - 01:28:05 | D ] 	C:\Intel
[01/07/2010 - 12:33:24 |  | 127] 	C:\mbam-error.txt
[02/12/2006 - 05:37:14 |  | 904704] 	C:\msdia80.dll
[11/11/2009 - 13:10:09 | RHD ] 	C:\MSOCache
[14/01/2011 - 19:01:26 | ASH | 3493404672] 	C:\pagefile.sys
[28/10/2009 - 17:55:40 | D ] 	C:\PerfLogs
[13/01/2011 - 23:47:24 | D ] 	C:\Program Files
[14/01/2011 - 00:06:42 | D ] 	C:\Program Files (x86)
[06/12/2010 - 23:41:49 | HD ] 	C:\ProgramData
[23/01/2010 - 11:16:08 |  | 845] 	C:\rapport.txt
[28/10/2009 - 13:21:49 | SHD ] 	C:\System Recovery
[14/01/2011 - 14:15:54 | SHD ] 	C:\System Volume Information
[23/01/2010 - 11:01:51 |  | 635] 	C:\TB.txt
[23/01/2010 - 11:01:51 | D ] 	C:\ToolBar SD
[14/01/2011 - 20:21:21 | D ] 	C:\UsbFix
[14/01/2011 - 20:18:57 | A | 2924] 	C:\UsbFix.txt
[05/07/2010 - 23:47:14 | D ] 	C:\Users
[14/01/2011 - 12:30:17 | D ] 	C:\Windows
[14/01/2011 - 20:21:20 | RSHD ] 	E:\$RECYCLE.BIN
[28/10/2009 - 13:21:55 | D ] 	E:\Boot
[28/10/2009 - 13:21:55 | D ] 	E:\dell
[28/04/2009 - 23:49:00 | SH | 7450] 	E:\Desktop.ini
[30/01/2009 - 04:31:16 | N | 1500000000] 	E:\dslhold.fil
[23/03/2009 - 23:26:00 | N | 77824] 	E:\Info.exe
[14/01/2011 - 19:02:05 | N | 152] 	E:\Master.log
[28/10/2009 - 13:21:55 | D ] 	E:\preload
[28/10/2009 - 13:21:55 | D ] 	E:\Program Files
[28/10/2009 - 13:21:55 | RSHD ] 	E:\ProgramData
[05/06/2009 - 18:42:00 | N | 117133] 	E:\protect.chinese simplified
[05/06/2009 - 18:42:00 | N | 117641] 	E:\protect.chinese traditional
[16/04/2009 - 17:10:00 | N | 116238] 	E:\protect.danish
[16/04/2009 - 16:55:00 | N | 119790] 	E:\protect.dutch
[17/04/2009 - 18:19:00 | N | 47233] 	E:\protect.english
[16/04/2009 - 17:10:00 | N | 116015] 	E:\protect.french
[16/04/2009 - 16:58:00 | N | 116305] 	E:\protect.german
[16/04/2009 - 16:59:00 | N | 115710] 	E:\protect.italian
[16/04/2009 - 17:00:00 | N | 117842] 	E:\protect.japanese
[16/04/2009 - 17:00:00 | N | 124495] 	E:\protect.korean
[16/04/2009 - 17:02:00 | N | 116195] 	E:\protect.norwegian
[16/04/2009 - 17:03:00 | N | 116564] 	E:\protect.portuguese brazilian
[16/04/2009 - 17:04:00 | N | 116363] 	E:\protect.spanish
[16/04/2009 - 17:05:00 | N | 116404] 	E:\protect.swedish
[28/10/2009 - 13:21:56 | RD ] 	E:\Recovery
[28/10/2009 - 13:21:56 | D ] 	E:\Sources
[28/10/2009 - 13:21:39 | N | 174] 	E:\ST_InstallBackup.ini
[14/01/2011 - 14:15:56 | SHD ] 	E:\System Volume Information
[28/10/2009 - 13:21:56 | D ] 	E:\Tools
[28/10/2009 - 13:21:56 | D ] 	E:\Users
[04/07/2010 - 17:39:59 | D ] 	E:\Windows

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-SYLVAIN.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

pimprider · Answer

voila dsl pour le retard:

http://www.cijoint.fr/cjlink.php?file=cj201101/cijgTrsRUz.txt 

http://www.cijoint.fr/cjlink.php?file=cj201101/cij3dPBHVg.txt

pimprider · Answer

je remonte le sujet

gen-hackman · Answer

mes reponses ne passent- pas......

pimprider · Answer

j'ai pas compris?

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools , puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte va s'ouvrir,  copie/colle ce en gras si dessous :


FILE:C:\Users\sylvain\AppData\Roaming\cacaoweb    
REM:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{JE8R274A-5257-QYH1-3UP5-3BVE5Y4R8656}"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Windows live messenger"
REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "C:\Users\sylvain\AppData\Roaming\cacaoweb\cacaoweb.exe"
REM:HKEY_CURRENT_USER\software\cacaoweb

&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat

&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

pimprider · Answer

ma réponse ne passe pas non plus je re essaye dans 2 min

pimprider · Answer

je vous poste le rapport: 

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : sylvain (Administrateurs) 
Update on 12/01/2011 by g3n-h@ckm@n ::::: 20.20
Start at: 21:30:10 | 14/01/2011

Celeron(R) Dual-Core CPU       T3000  @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 64-bit) # Service Pack 2
Internet Explorer 8.0.6001.18999
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 218,2 Go (145,16 Go free) [OS] | NTFS
E:\ -> Disque fixe local | 14,65 Go (3,52 Go free) [RECOVERY] | NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local | 1397,26 Go (1211,75 Go free) [Elements] | NTFS
 

¤¤¤¤¤¤¤¤¤¤ Processes :
 

¤¤¤¤¤¤¤¤¤¤ Added Keys :
 

¤¤¤¤¤¤¤¤¤¤ Removed Keys :
 
Deleted : HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{JE8R274A-5257-QYH1-3UP5-3BVE5Y4R8656}"    
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Windows live messenger"    
Deleted : HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "C:\Users\sylvain\AppData\Roaming\cacaoweb\cacaoweb.exe"    

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
 
Deleted !! : C:\Users\sylvain\AppData\Roaming\cacaoweb   

¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
 
 
 

¤¤¤¤¤¤¤¤¤¤ Object Restored :
 

¤¤¤¤¤¤¤¤¤¤ Folder List :
 

¤¤¤¤¤¤¤¤¤¤ Read File :
 

¤¤¤¤¤¤¤¤¤¤ Sign control :
 
 
 

End at 21:31:07

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

pimprider · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijM6Z4z2V.txt

gen-hackman · Answer

ok relance List_kill'em , fais clean et poste le rapport qui sera Kill'em.txt sur ton bureau
G3?-?@¢??@?......List_Kill'em...

pimprider · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijGw9VqL4.txt

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

pimprider · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijAwjpv7l.txt

gen-hackman · Answer

salut on a presque fini

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

pimprider · Answer

Bonjour,

je te met les deux liens :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijfz2tLAx.txt

http://www.cijoint.fr/cjlink.php?file=cj201101/cije13L2RP.txt

pimprider · Answer

ce matin avant de voir ton message j'ai re essayé d'accéder au mode sans echec et la j'ai eu le temps de voir et y avait marqué 
"erreur lors de l'ouverture du service profile"

gen-hackman · Answer

on va quand meme verifier une deuxieme fois son état à ce mode sans echec

&#9654 Télécharge FindyKill sur ton bureau : 

http://www.teamxscript.org/findykillTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

&#9654 Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

pimprider · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijh9a33rw.txt

pimprider · Answer

ces virus pourrait peut être venir de ma messagerie , je reçois plein de message en anglais de mes contact

gen-hackman · Answer

bah dis-leur de passer usbfix en mode suppression avec tous les periphs usb branchés :)

ton mode sans echec est parfaitement fonctionnel

pimprider · Answer

dans le report , il trouve des éléments infectieux c'est réglé?

gen-hackman · Answer

c'est des faux positifs ne t'inquietes pas 

j'examine tes rapports OTL

pimprider · Answer

en tout cas je te remercie de m'avoir aidé !!!

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

 C:\Windows\SysNative\Drivers\hcw66x64.sys 



    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

===========================================

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk =  File not found
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk =  File not found
O4 - Startup: C:\Users\Invité\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk =  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)    => Sun Java Runtime Environment 1.6.0  
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)    => Sun Microsystems Java Runtime  

:Files 
C:\Windows\SysWow64\Temps      
C:\Windows\SysNative\drivers\etc\hosts.new      
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:C31F31E6      

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

pimprider · Answer

je sais pas si c'est bon mais je te poste deja le lien de virus total: 

http://www.virustotal.com/file-scan/report.html?id=734fa792098c569004dc16af05284ecfbaab8f4c29755494f2d6b231d64b786a-1295089915

pimprider · Answer

pour OTL j'applique les meme parametres que tout a l'heure?

pimprider · Answer

j'ai laissé les parametre initial :


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk moved successfully.
File move failed. C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk scheduled to be moved on reboot.
C:\Users\Invité\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk moved successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
========== FILES ==========
C:\Windows\SysWow64\Temps folder moved successfully.
C:\Windows\SysNative\drivers\etc\hosts.new moved successfully.
ADS C:\ProgramData\TEMP:C31F31E6 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Invité
->Temp folder emptied: 437496 bytes
->Temporary Internet Files folder emptied: 17532824 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 102692598 bytes
->Flash cache emptied: 63801 bytes
 
User: Public
 
User: sylvain
->Temp folder emptied: 1199309 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 3042900 bytes
->FireFox cache emptied: 111582314 bytes
->Google Chrome cache emptied: 23865363 bytes
->Flash cache emptied: 67536 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 744 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33237 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 326 bytes
RecycleBin emptied: 350862 bytes
 
Total Files Cleaned = 249,00 mb
 
 
OTL by OldTimer - Version 3.2.20.2 log created on 01152011_122231

Files\Folders moved on Reboot...
File\Folder C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk not found!

Registry entries deleted on Reboot...

pimprider · Answer

ne démarrage en mode sans echec , par contre il s'eteint moins vite et j'ai pu voir en entier ce qui avait marqué :
"erreur lors de l'ouverture du service profile "
"impossible de changer le profil utilisateur"

gen-hackman · Answer

j'ai besoin de lire le fichier journal mais OTL n'y a pas accès......

il semblerait que ca vienne d'une recente mise à jour de windows à ce que je viens de lire.....

pimprider · Answer

Pourtant ca fait un moment que le mode sans echec ne marche pas , je crois bien que je n'ai jamais pu y acceder , je n'avait jamais eu trop le temps de m'en occuper.

Comment je pourais vous montrer le fichier journal?

gen-hackman · Answer

fais demarrer/accessoires/executer puis tape :

eventvwr.msc

puis entrée , une fenetre comme celle de la capture va s'ouvrir , fais le 1 puis le 2 comme indiqué , tu l'enregistre sur ton bureau sous le nom que tu veux puis tu clic droit dessus , envoyer vers/dossiers compresssés , puis envoie l archive via cijoint.fr

http://www.cijoint.fr/cjlink.php?file=cj201101/cijoeBhqP7.png

pimprider · Answer

j'ai vista c'est différent de ce que tu m'explique

gen-hackman · Answer

essaie avec juste ca :

eventvwr

sans l'extension

pimprider · Answer

ca change rien

gen-hackman · Answer

Panneau de configuration ->outils d'administration -> Observateur
d'événements

pimprider · Answer

je me suis mal expliqué j'arrive a l'observateur d'évènement mais je n'ai pas ca : "une fenetre comme celle de la capture va s'ouvrir , fais le 1 puis le 2 " donc je sais pas comment te donner le rapport , je ne trouve pas comment te donner l 'ensemble des erreurs ou autres , je ne peut que copier une erreur par exemple

pimprider · Answer

je peut te mettre quelque erreur qui se sont produite y'a  pas longtemps:

Erreur	15/01/2011 18:56:17	WMI	10	Aucun
Erreur	15/01/2011 18:56:50	VDS Dynamic Provider	10	Aucun
Erreur	15/01/2011 18:56:33	Dhcp-Client	1002	Aucun
Erreur	15/01/2011 18:56:17	Fournisseur de journal d'événements du Gestionnaire de contrôle des services	7000	Aucun

Avertissement	15/01/2011 18:56:33	Dhcp-Client	1003	Aucun
Information	15/01/2011 18:56:14	SftService	0	Aucun

voila et y'en a plein d'autre

pimprider · Answer

ces 3 erreurs (wmi , Dhcp-Client, Fournisseur de journal d'événements du Gestionnaire de contrôle des services) apparaissent après avoir redémarrer

pimprider · Answer

quelqu'un a une idée?

pimprider · Answer

up

gen-hackman · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Impossible d'accéder au mode sans echec

46 réponses

Votre réponse

Discussions similaires

Newsletters