Fermeture spontanée de Windows - Sécurité - Windows & Software
Marsh Posté le 12-06-2005 à 15:26:36
je vais même ajouter maintenant que étant donné que bitdefender ne s'éxécute pas au démarrage normal ni en mode sans échec j'ais install rapidement avast et je l ais planifié au démarrage normal avec scan complet système et bé rien à faire la commande 'séxécute une fois windows démarré ! svp à l'aide!!
Marsh Posté le 12-06-2005 à 16:53:21
j'ai l'impression que ce virus, si c'est bien un virus, en laisse plus d'un sur le carreau !
Marsh Posté le 12-06-2005 à 16:56:30
Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
Important: Installer Hijackthis correctement
Linstaller sous C:\Hijackthis par exemple (pas dans un fichier temp)
Scan/save log (rapport)/copier&coller le contenu du rapport ici
Tutorial pour linstallation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Marsh Posté le 12-06-2005 à 16:58:07
A faire : mettre un titre en rapport avec le probleme.
Puis :
- Désinstaller Emule.
Enfin précise si tu utilise windows XP ou 2000
Un autre tuto pour hijackthis : http://forum.hardware.fr/hardwaref [...] 1913-1.htm
Marsh Posté le 12-06-2005 à 17:00:12
Bonjour,
D'après ce que tu écris, il y aurait un truc dans ton "/documentsandsettings/romain" qui s'exécute au démarrage.
En mode sans échec, regarde dans ce dossier ce que c'est que "shutdown", peut simplement un .cmd ?
Tu dois pouvoir le supprimer, ou si tu es curieux, le renommer et le remplacer déjà par un autre du genre un simple "dir /p"
Ensuite, trouver comment il est lancé :
Bon courage
Marsh Posté le 12-06-2005 à 17:10:51
alors petit descriptif windows xp sp2, emule je vais grandement y songer ensuite, rien de shutdown dans cette direction je sais c'est bizarre, j ai aussi devoile tous les fichiers masqueés pour être sur voici mon rapport qui arrive de hijack
Marsh Posté le 12-06-2005 à 17:12:24
com21 a écrit : |
Le tuto que j'ai donné ne concerne que l'installation d'Hijackthis...
Marsh Posté le 12-06-2005 à 17:13:03
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
G:\Telechargements\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Activboard] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\bdswitch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Drivers] C:\Windows\Drivers.bat
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Romain\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [AgenDateur] C:\Program Files\AgenDateur\Agendateur.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Philips FunCam Monitor.lnk = C:\Program Files\Philips Photo Manager\FunCam\Philips FunCam Monitor.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/searc [...] ttings.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63FFD71B-E230-43C3-912D-380026EAEA45}: NameServer = 194.117.200.10,194.117.200.15
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Marsh Posté le 12-06-2005 à 17:21:00
Yes t'as des chouettes trucs qui puent
coche et FIX ça :
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Drivers] C:\Windows\Drivers.bat
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Romain\LOCALS~1\Temp\MsgPlusUninst.bat"
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
Après tu vire le fichier : C:\Windows\Drivers.bat
et tu vire TOUT ce qui se trouve dans C:\Document and Settings\Romain\Local Settings\Temp\
Après tu reboot et tu passe un coup d'antivirus online http://housecall.trendmicro.com et tu vas faire les mises à jour critiques windows si c'est pas encore fait...
http://windowsupdate.microsoft.com
Voilà et amuse toi bien !
Si jamais regarde dans ma signature y a 2 tutos pour le nettoyage de machines
Marsh Posté le 12-06-2005 à 17:29:31
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
Cette ligne est légitime, il s'agit de Xfire, un programme utilisé pour les MMORPG.
Marsh Posté le 12-06-2005 à 17:48:27
OK merci à tous c'est tout bon, à quel ordre je fais les chèques ? merci ! go nettoyage
Marsh Posté le 12-06-2005 à 17:55:05
A euh encore, est ce que ça pu toujours là ?
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\AgenDateur\Agendateur.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Philips Photo Manager\FunCam\Philips FunCam Monitor.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
G:\Installation\utilitaires\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Activboard] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\bdswitch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [AgenDateur] C:\Program Files\AgenDateur\Agendateur.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Philips FunCam Monitor.lnk = C:\Program Files\Philips Photo Manager\FunCam\Philips FunCam Monitor.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/searc [...] ttings.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63FFD71B-E230-43C3-912D-380026EAEA45}: NameServer = 194.117.200.10,194.117.200.15
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Marsh Posté le 12-06-2005 à 18:14:40
stonangel a écrit : O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing |
1) Ne jamais fixer les O10. (pour Darxmurf)
2) pour toi : Tu as raison. Cependant, elle est "absente", d'après HijackThis. Donc, il faut que baker69 nous confirme qu'il n'utilise plus ce logiciel. Si tel est le cas, on donnera la solution.
Marsh Posté le 12-06-2005 à 18:48:35
com21 a écrit : A faire : mettre un titre en rapport avec le probleme. |
!
Marsh Posté le 12-06-2005 à 20:29:44
Tout est bon, je vous ai dit un peu plus haut que c'était ok, les manipulations cités par darxmurf ont marchés, je vous ai donc donné mon dernier rapport un peu plus haut pour voir si après tout ça, tout était bon.
Marsh Posté le 12-06-2005 à 20:54:20
baker69 > le fait tu expres ?
Marsh Posté le 12-06-2005 à 21:27:19
baker69 a écrit : Tout est bon, je vous ai dit un peu plus haut que c'était ok, les manipulations cités par darxmurf ont marchés, je vous ai donc donné mon dernier rapport un peu plus haut pour voir si après tout ça, tout était bon. |
Au cas où tu ne le saurais pas, COM21 est modérateur. Si tu ne te dépêches pas de changer de titre, ce sujet va être fermé.
Marsh Posté le 13-06-2005 à 13:20:18
baker pour changer le titre clique sur le bouton "Editer" sur ton premier post...
en passant tu peux enlever cette ligne aussi :
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
c'est quand win plante.
Marsh Posté le 13-06-2005 à 19:45:13
merci encore, mais cette commande est sans arrêt dans mon registre même éffacée, elle revient après redémarrage.
Marsh Posté le 14-06-2005 à 11:57:06
Non aucun message d'erreur quand je démarre simplement il est là, dans mon registre et à chaque fois que je le clean, il revient au prochain démarrage sans annoncer un problème.
Marsh Posté le 12-06-2005 à 13:56:00
J'en peux plus depuis ce matin j'allume mon ordi, et la fenêtre de comande windows se lance tout de suite et j'ais juste le temps de lire à l'intérieur : cdocumentsandsettings/romain/shutdown et quelques chiffres, ensuite extinction de windows et ce à chaque démarrage ! Je suis donc pour le moment en mode sans echec avec reseau, sachant que j ais deja essayé plusieurs scan avec mes logiciels (a squared, spyware doctor, adaware) quelques malwares trouvés mais sans succès le problème reste ! je me rappel avoir ouvert un fichier que je telechargais sur emule et à l'ouverture une fenêtre s'est ouverte puis refermée, c'est seulement ce matin que j ai redémarré l'ordi et que les problèmes ont commencé... je m'en remet donc à vous ! merci de votre aide...
Message édité par baker69 le 13-06-2005 à 19:44:04