plantage = plus de "démarrer"

[miiikiii]

Bonjour à tous et à toutes,

Lundi, je me suis fait choper. Circulant sur des blogs, mes pare-feu se sont emballés me demandant l’autorisation de changer le registre. Faisant tout bloquer, l’ordi s’est éteint, a redémarré jusqu’au jingle et « bienvenue », puis s’est ré-éteint , puis rallumé jusqu’au « bienvenue » et ainsi de suite. Ca y était !

J’ai redémarré en « mode sans échec » et là j’ai pu accéder à CCcleaner qui a nettoyé, puis AdAware qui a trouvé 3 objets sur le registre – supprimés - puis Spybot qui a trouvé 9 entrées (dont sur Windows Security) – supprimées. Par contre en voulant lancer eTrust, l’ordi s’éteint et rebelotte.
Re-lancement en « mode sans échec » et là, plus d’onglet « démarrage » en bas, plus moyen d’entrer dans les programmes.
J’ai tenté en « mode sans échec » « dernière bonne configuration connue », il est arrivé au moins au papier peint, mais rien de plus, pas d’icônes, pas de barre des tâches, pas de « démarrer ».
j’ai tenté en « mode sans échec » : « restauration … » = idem
j’ai tenté avec le CD Windows recovery « réparation » = idem = toujours pas d’onglet « démarrage ».
Aurais-je fait un connerie en supprimant des données ?

Configuration : WinXP SP2

Petits espoirs :
1. en « mode sans échec », administrateur, je peux accéder au Gestionnaire des tâches et donc éventuellement lui donner des ordres.
2. mon disque dur est partitionné en 3 disques = C: système – D: back-ups – E: restore (sur lequel il y aurait un programme de restauration du système)
3. sur le disque D: back-ups et sur un autre HD externe, j’ai des back-ups de registre faits avec RegClean datant de qques mois, au temps où ça allait encore bien).

Pouvez-vous m’aider svp ?
Merci déjà.
Un grand bonjour à Loreleï, si elle nous écoute, qui m’a superbement aidé la dernière fois.
à+

miki

PS : je vous appelle de mon bon vieux Win98 puisque mon XP est hors service.

[Sév]

Bonjour Miki

Nous revoila partis pour de nouvelles aventures

M'est avis qu'on a affaire à du gros vilain, mais sans aucun rapport je ne peux pas t'en dire plus.

• Rends toi sur cette page du site :
  
  
  • Fais un scan en ligne avec Panda, si difficulté essaie de faire ce scan en mode sans échec en choisissant "Démarrer en mode sans échec avec prise en charge du réseau"
    
    
  • Télécharge et installe HijackThis
  
  
  
• Poste ton log HijackThis et le rapport de Panda en suivant ce qui est indiqué sur ce post it.

@+
_________________

[miiikiii]

Hello Loreleï

Bien content de te retrouver, dommage que ce ne soit que pour des problèmes
Mais tu t'occupes de moi et je suis déjà rassuré

Je voudrais faire ce que tu me demandes, MAIS
pas moyen d'entrer dans qq programme (pas de "démarrer")
dis-moi comment je peux communiquer avec ma bête (la seule possibilité que j'ai trouvée, c'est via le Gestionnaire des Tâches qui me permet, en mode sans échec, de lui donner des ordres, encore faut-il un langage précis qu'il comprendrait.
J'ai encore Hijackthis mais comment lui dire ???

Actuellement, ma priorité serait :
1. pouvoir accéder à Mes Documents pour les sauver sur un HD externe (via le DOS ?)
2. faire tout ce que tu me diras (tout) pour nettoyer ma machine
3. prendre de bonnes mesures pour que ca n'arrice plus - mea culpa "j'allais justement" installer de bonnes protections ...

bien à toi et bien merci de ta présence
miki

[jjcojax]

Bonsoir,

Tu veux Loreleï, et pas de chance, c'est jj qui répond

Via le gestionnaire des tâches: (nouvelle tâche)

Tu peux peut être lancer la tâche Explorer (l'explorateur)
Tu peux peut être avoir tes programmes en tapand Ctrl + Esc
Tu peux lancer une fenêtre DOS avec la tâche CMD

Si tu as la fenêtre DOS,
vois si la machine peux voir ton disque externe (USB, c'est pas gagné en mode sans échec) dir d: ou dir de E: ...
Vois si elle peux faire Xcopy (tu tapes help Xcopy dans une fenêtre DOS et il explique la commande en "mais que c'est compliqué le DOS" )

Si la commande Xcopy marche, indiques vers quoi tu peux copier

Les 2 autres solutions,
-> mettre ton disque sur un autre PC -> copier tes documents
-> installer en parallelle une nouvelle installation de XP (donc dans un autre dossier que Windows en laisant l'ancien en place)

Autres solutions: attendre super Loreleï

jjcojax

[Sév]

Bonjour à vous deux

Ce qui m'intéresse dans un premier temps c'est d'obtenir un log HijackThis pour qu'on sache au moins à qui on a affaire.

Pour ça tu fais comme te l'a si bien expliqué JJ

[miiikiii]

Bonjour Loreleï, bonjour jjcojax,

Deux chirurgiens à mon chevet, quel luxe ! merci à vous deux
Bon,
- taper explorer ou Ctrl+Esc le laisse indifférent, par contre, grâce à Parcourir je pourrais le faire exécuter si je trouve où ca se trouve ...

- en mode normal, le problème est que je ne peux pas accéder au compte "administrateur" et donc ne peux pas lancer le Gestionnaire de tâches (bloqué par l'administrateur" qu'il dit).

- alors, bonne nouvelle, puisque de cette manière, j'ai pu lancer HJT et grâce à ma carte SD, ai pu transférrer le log sur l'autre PC et je peux te le communiquer : le voici (le petit "ici" n'est pas un lien hypertexte) :

Logfile of HijackThis v1.99.1
Scan saved at 8:54:11, on 22/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Je voudrais aussi en passant supprimer TOUT ce qui n'est pas indispensable, car je trouve qu'il met(tait) de plus en plus de temps à se charger ...

Bonne chance et merci bien

miki

[miiikiii]

Ca y est, via le Gestionnaire des Tâches, j'ai pu sauver "Mes Documents en le copiant en D et sur un HD externe (même en mode sans échec)

A présent, on peut passer à la désinfection systématique.



miki

[Sév]

Bonsoir Miki,

Voila une bonne chose de faite

Essaie de suivre cette procédure à la lettre et poste moi tous les rapports demandés sous forme de lien.

J'ai uploadé ton dernier log, merci de suivre ce qui est écrit ICI à l'avenir

@+
_________________

[miiikiii]

hello Loreleï,

toujours content de te retrouver, même si tu me fais travailler
voici les liens des 4 rapports :
http://cjoint.com/?hxkEHHAOSp
http://cjoint.com/?hxkKfjc8XJ
http://cjoint.com/?hxkKEAjZia
http://cjoint.com/?hxkK6OrcNs

merci pour ta persévérance

miki

[miiikiii]

Bonjour Loreleî,
Je supose que tu es en train de plancher sur mes rapports ...

A tout hasard, j'ai aussi fait un scan Kaspersky, qui confirme le scan Panda, que ma bête est bien infectée par des vilains.

http://cjoint.com/?hyqwWZRlCc

Je sens que tu vas y arriver ....


miki

[Sév]

Bonjour Miki,

Et désolée pour le retard de réponse :)

Il y a de belles infections sur ton pc, mais effectivement rien d'impossible à nettoyer

1. Télécharge & installe les outils suivants, fais les mises à jour mais ne lance pas de scan pour le moment :
   
   
   • a² Free,
     
     
   • Ewido Anti-Spyware , tu trouveras un tuto ICI pour son utilisation que je te conseille d'imprimer pour la suite de la procédure,
   
   
   
2. Télécharge & installe Killbox--> Imprime le tuto
   
   
3. Ouvre le bloc notes, copie et sauvegarde cette liste. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
   
   

   Citation:

   c:\windows\enewsletterpro1.dat C:\mwivk.exe C:\tskmgr.exe C:\WINDOWS\system32\2236_27.dll C:\WINDOWS\system32\ktju.dll C:\WINDOWS\system32\p2p.exe c:\windows\system32\scmt16.exe c:\windows\system32\vx.tll c:\windows\uniq C:\WINDOWS\xmecv.exe C:\xldjy.exe C:\xmecv.exe

   
   
   
4. Télécharge également ces deux outils et laisse les en attente sur ton bureau pour le moment :
   
   
   • Delldomains.inf --> Clique droit sur le lien et choisis enregistrer sous dans le menu contextuel.
     
     
   • Hoster
   
   
   
5. Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
   
   Il est possible que Killbox ne puisse pas supprimer tous les fichiers, ne t'en inquiète pas.
   
   
6. Redémarre en mode sans échec
   
   
7. Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
   
   

   Citation:

   F2 - REG:system.ini: Shell= O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\system32\2236_27.dll O21 - SSODL: rvZrATph - {A4A5A674-0E0F-0CDE-F727-73289BE8D60C} - C:\WINDOWS\system32\ktju.dll

   
   
   
8. Clique sur Fix Checked et accepte les modifications
   
   
9. Lance un scan complet de ta machine avec Ewido et poste le rapport sur ta prochaine réponse,
   
   
10. Scanne avec a² Free et supprime tout ce qu'il trouve,
    
    
11. Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
    
    
12. Double-clicque sur Hoster
    
    
    • Clique sur Restore original Hosts et rien d'autre
      
      
    • Ferme le programme
      
      
    • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc (assure toi d'avoir accès aux fichiers cachés avant)
      
      
    • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
    
    
    
13. Fais un nettoyage avec CCleaner
    
    
14. Redémarre ton pc en mode normal,
    
    
15. Nouveau scans & rapports de KAV & Panda,
    
    
16. Poste le rapport de Ewido et un nouveau log HijackThis

Bon courage
@+
_________________

[miiikiii]

Bonsoir Loreleï,


Je suis arrivé au point 5. et je bloque - puisque Killbox ne peut pas s'ouvrir en mode sans échec.
Or, en mode normal, je ne peux RIEN faire ... je suis au papier-peint, pas de barre de tâches, pas de Démarrer, pas moyen d'afficher les icones, aucune touche ne le perturbe.
Alt+Ctrl+Del, il me dit "le gestionnaire des tâches a été bloqué par votre administrateur" - or je suis administrateur, et il ne me laisse pas le choix entre l'usager "yo" (moi) et administrateur comme il fait en mode sans échec ...

que faire ? Passer le point 5 et continuer ?
Prends ton temps, je te sais super-occupée


miki

[Sév]

Bonjour Miki,

Ok, je pensais que tu arrivais malgré tout à tire quelque chose de ta babasse puisque tu as réussi à faire des scans en ligne.

On va déjà essayer de lever les restrictions avant de continuer

Tu vas démarrer sur ta session en mode sans échec puisque c'est le seul moyen d'obtenir quelque chose et tu vas faire exactement ce qui suit :

Avec le Gestionnaire des tâches : Fais Fichier / Nouvelle tâche et tape regedit

Navigue jusque la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer et double clique dessus pour l'ouvrir.

Dans le panneau de droite, regarde si tu vois les valeurs suivantes et supprime les si elles existent par clic droit / supprimer (et uniquement ces valeurs) :

• NoClose
  
• NoLogOff
  
• NoDesktop
  
• NoRun

Si regedit est inactif en mode sans échec et que tu n'as par conséquent pas accès au registre, télécharge ce fichier (clic droit / enregistrer sous), et double clique dessus pour le fusionner au registre, il te rendra l'accès à regedit.

En principe à ce stade tu devrais avoir retrouver ton bouton "Démarrer".

Pour lever la restriction sur le gestionnaire des tâches, télécharge taskmanager.reg , (clic droit / enregistrer sous) et fusionne le au registre.

Si ces manipulations ne fonctionnent pas, redémarre le pc sur la session Administrateur de Windows (visible en mode sans échec sur l'écran d'accueil) ou essaie en mode normal : fais 2 fois ctrl+alt+sup et tape administrateur au login, en principe il n'y a pas de mot de passe. Et refais les manips que je t'ai indiquées si tu n'as pas d'accès au bureau sous cette session.

En cas de réussite avec tout ceci, poursuis la procédure que je t'ai donnée pour nettoyer le pc.

@+
_________________

[miiikiii]

Bonjour Loreleï,

Merci de ton soutien dans ces moments difficiles ...

Dans le registre : ....\Explorer - je n'ai trouvé que :
- par défaut
- NoDriveTypeAutorun

je ne comprends pas : "et double clique dessus pour le fusionner au registre" - comment qu'on fait ?

je préfère te demander avant d'"encore" faire des bêtises



miki

[Sév]