windows ne demarre pas...

Question

Bonsoir à tous,
Je viens vous retrouver sur ce forum depuis mon mode sans echec.
En effet mon ordi se lance et lorsque windows me souhaite la bienvenue en chargeant avant d'arriver sur le bureau, l'ordi cherche et cherche sans fin sans pouvoir m'y diriger. Je reste donc bloqué sur cet ecran sans acces a mon bureau. 
Si l'un d'entre vous peut me filer un coup de main ce serait vraiment sympa! Voire fort utile!
Merci d'avance!

g3n-h@ckm@n · Answer

salut

mode sans echec ou mode sans echec avec prise en charge reseau ?

arkelin · Answer

Bonsoir ! En mode sans echec avec prise en charge reseau.

g3n-h@ckm@n · Answer

sur quel systeme tournes-tu ?

arkelin · Answer

windows7

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

arkelin · Answer

je crois que le scan ne s'est pas terminé.
Il a tourné un moment avec une fenetre:
 autoit error
enable to open the scriptfile

puis il a ouvert une autre fenetre autoit error avec ecrit:
line15195(file c:\users\julia\desktop\winlogon.exe
Error: subscript used with non- Array variable

g3n-h@ckm@n · Answer

ah les serveurs n'ont pas mis à jour ....

prends cette version

 http://www.archive-host.com

arkelin · Answer

voilà! si je ne me suis pas trompé!

https://www.cjoint.com/c/CGAaT5aM9hq

g3n-h@ckm@n · Answer

t'as essayé de lancer internet explorer pendant le scan ^^
faut pas toucher au pc pendant l'utilisation des outils

relance-le , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt sur https://www.cjoint.com/ et donne le lien

arkelin · Answer

oups!je savais pas! j'ai tenté ma chance en attendant! desolé! j'ai fait mieux cette fois ci je crois...

https://www.cjoint.com/c/CGAbekeX0J9

arkelin · Answer

mon ordi s'etait relance apres le scan en mode normal sans soucis..

g3n-h@ckm@n · Answer

Télécharge et enregistre (lien direct) ADWCleaner sur ton bureau :

attends que la fenetre de confirmation de telechargement arrive

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt 

=========

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

arkelin · Answer

http://cjoint.com/?CGAbIyP6Ojw


et je lance la suite..

g3n-h@ckm@n · Answer

^^

arkelin · Answer

BOnjour! Je me suis lachement endormi je crois...
Cela dit le rapport s'est terminé sans rien trouvé:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.25.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
julia :: JULIA-PC [administrateur]

26/07/2013 01:48:02
mbam-log-2013-07-26 (01-48-02).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 367548
Temps écoulé: 57 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

que reste-t-il comme soucis ?

arkelin · Answer

Ca a l'air de redemarrez sans probleme donc a priori plus de soucis.

g3n-h@ckm@n · Answer

refais un diag stp je voudrais être sur qu'il ne reste rien avant de te faire faire le ménage final

arkelin · Answer

https://www.cjoint.com/c/CGAjuXQpFWa

g3n-h@ckm@n · Answer

désinstalle Google Toolbar for Internet Explorer

==

sélectionne ca texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[]
[HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[] 
[HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{46B7193C-011C-4F57-BA58-A1499542093E}] 
[HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0972B098-DEE9-4279-AC7E-4BAAA029102D}]
[HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{49C9FECC-02EE-49D9-8171-F548577E7ACD}]
[HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0972B098-DEE9-4279-AC7E-4BAAA029102D}]
[HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{49C9FECC-02EE-49D9-8171-F548577E7ACD}] 
[HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AC42E1C6-2D4C-49c7-947C-1BA3D7E309FC}]    
[HKLM\Software\NoRemove'Microsoft'] 
[HKLM\Software\Wow6432Node\NoRemove'Microsoft'] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[TCP Query User{AF670227-AD2A-400F-87AC-0B2DA48A4CD8}C:\users\julia\appdata\roaming\cacaoweb\cacaoweb.exe]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[UDP Query User{FD321DC7-ED02-4F9F-8D08-6ED9B194E0D0}C:\users\julia\appdata\roaming\cacaoweb\cacaoweb.exe]

File|Fold::
C:\Users\julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo  
C:\965220b42de6065eb03b1d62c6429b 
C:\8864e2d16db4b5ffb4 
C:\Users\Public\Desktop\Choix de navigateur .lnk 
C:\Users\julia\Downloads\~$c1 (1).docx 
C:\Users\julia\AppData\Roaming\AltShell.ini 
C:\ProgramData\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl 
C:\Users\julia\AppData\Local\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl 
C:\Windows\System32\Tasks\CreateChoiceProcessTask         
C:\Windows\System32\Tasks\{A842CA6A-6B50-4B9C-A7B8-0584F8E9A7D1}         
C:\Windows\System32\Tasks\{5FBEB426-5688-414F-A2D9-A614DDF089C8} 
C:\Windows\System32\Tasks\{4621167F-625D-4C03-96A5-743CA0691C8F} 
C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar  

Driver::
ESGIGUARD   
ASWFSBLK
ASWMONFLT
ASWRDR
ASWRVRT
ASWSNX
ASWSP
ASWVMM
MFEAPFK
MFEAVFK
MFEAVFK01
MFEAVFK02
MFEFIREK
MFEFIREK01
MFEHIDK
MFEHIDK01
MFERKDET
MFEWFPK

MBR::

Clean::

Reboot::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

arkelin · Answer

ca s'est arreté en plein milieu ... j'ai du redemarré l'ordi...

g3n-h@ckm@n · Answer

fais-le en mode sans echec

arkelin · Answer

voila:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0725 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

julia : Windows 7 Home Premium (64 bits)

Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html

New restorepoint created

Script : 12:28:43

Boot : Safemode  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(1020) -- explorer.exe
(288) -- ctfmon.exe
(1264) -- splwow64.exe

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : ESGIGUARD  Not actif
Service : ASWFSBLK Not actif
Service : ASWMONFLT Not actif
Service : ASWRDR Not actif
Service : ASWRVRT Not actif
Service : ASWSNX Not actif
Service : ASWSP Not actif
Service : ASWVMM Not actif
Service : MFEAPFK Not actif
Service : MFEAVFK Not actif
Service : MFEAVFK01 Not actif
Service : MFEAVFK02 Not actif
Service : MFEFIREK Not actif
Service : MFEFIREK01 Not actif
Service : MFEHIDK Not actif
Service : MFEHIDK01 Not actif
Service : MFERKDET Not actif
Service : MFEWFPK Not actif

Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_ASWFSBLK]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_ASWFSBLK]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_ASWFSBLK]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_ASWMONFLT]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_ASWMONFLT]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_ASWMONFLT]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_ASWRDR]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_ASWRDR]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_ASWRDR]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_ASWRVRT]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_ASWRVRT]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_ASWRVRT]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_ASWSNX]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_ASWSNX]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_ASWSNX]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_ASWSP]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_ASWSP]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_ASWSP]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_ASWVMM]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_ASWVMM]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_ASWVMM]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEAPFK]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEAPFK]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEAPFK]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEAVFK]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEAVFK]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEAVFK]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEAVFK01]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEAVFK01]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEAVFK01]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEAVFK02]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEAVFK02]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEAVFK02]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEFIREK]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEFIREK]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEFIREK]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEFIREK01]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEFIREK01]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEFIREK01]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEHIDK]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEHIDK]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEHIDK]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEHIDK01]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEHIDK01]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEHIDK01]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFERKDET]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFERKDET]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFERKDET]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEWFPK]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEWFPK]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEWFPK]


¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]: 
Key Deleted : HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{46B7193C-011C-4F57-BA58-A1499542093E} 
Key Deleted : HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0972B098-DEE9-4279-AC7E-4BAAA029102D}
Key Deleted : HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{49C9FECC-02EE-49D9-8171-F548577E7ACD}
Key Deleted : HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0972B098-DEE9-4279-AC7E-4BAAA029102D}
Key Deleted : HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{49C9FECC-02EE-49D9-8171-F548577E7ACD} 
Key Deleted : HKU\S-1-5-21-2881734339-2456129866-1708820037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AC42E1C6-2D4C-49c7-947C-1BA3D7E309FC} 
Key Deleted : HKLM\Software\NoRemove'Microsoft' 
Key Deleted : HKLM\Software\Wow6432Node\NoRemove'Microsoft' 
Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:TCP Query User{AF670227-AD2A-400F-87AC-0B2DA48A4CD8}C:\users\julia\appdata\roaming\cacaoweb\cacaoweb.exe
Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:UDP Query User{FD321DC7-ED02-4F9F-8D08-6ED9B194E0D0}C:\users\julia\appdata\roaming\cacaoweb\cacaoweb.exe

¤

Folder Moved to quarantine successfully : |D| - C:\Users\julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo 
Folder Moved to quarantine successfully : |D| - C:\965220b42de6065eb03b1d62c6429b 
Folder Moved to quarantine successfully : |D| - C:\8864e2d16db4b5ffb4 
C:\Users\Public\Desktop\Choix de navigateur .lnk  : Not Found !
File Moved to quarantine successfully : |AH| - C:\Users\julia\Downloads\~$c1 (1).docx 
File Moved to quarantine successfully : |A| - C:\Users\julia\AppData\Roaming\AltShell.ini 
File Moved to quarantine successfully : |ASH| - C:\ProgramData\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl 
File Moved to quarantine successfully : |ASH| - C:\Users\julia\AppData\Local\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl 
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\CreateChoiceProcessTask 
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\{A842CA6A-6B50-4B9C-A7B8-0584F8E9A7D1} 
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\{5FBEB426-5688-414F-A2D9-A614DDF089C8} 
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\{4621167F-625D-4C03-96A5-743CA0691C8F} 
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar 

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	Acer
BIOS Manufacturer:		Phoenix Technologies LTD
System Manufacturer:		Acer
System Product Name:		Aspire 7736
Logical Drives Mask:		0x0000000c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected


64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

FreeSpace : 120637

Cleaning disk...

FreeSpace : 120608

¤


¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 12:33:00

g3n-h@ckm@n · Answer

bon maintenant tu n'as pas d'antivirus , il faut en installer un

arkelin · Answer

avast free irait? Je l'avais viré au debut des manip

g3n-h@ckm@n · Answer

oui j'ai vu :) oui instale avast 8

arkelin · Answer

Ca y est...

arkelin · Answer

je vire tous les programmes?

g3n-h@ckm@n · Answer

?

arkelin · Answer

ceux que tu m'as fait installer!!! tout al'air de fonctionner correctement en tout cas. Mais j'attends tes instructions s'il y en a!

g3n-h@ckm@n · Answer

fais le menage

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Windows ne demarre pas... - Page 2

Newsletters