Forum-vista : Entraide et dépannage Windows Vista et Windows Seven

Bonjour à tous,

Mon ordinateur ne démarrait qu'en mode sans échec et ce même après plusieurs restaurations en passant par F8,il y a quelques jours de cela.
Curieusement j'ai eu plusieurs démarrages en mode sans echec mais avec l'apparence du bureau identique à un démarrage normal (taille des icônes)
Il m'était alors impossible d'activer le pare-feu Windows,le pare-feu Comodo,Malwarebytes Anti-malware (fichier corrompu...) ....Bon,tout est fonctionnel à présent sans que je sache comment à vrai dire...J'ai réinstallé MBAM depuis...

Sur ce j'ai entrepris de chercher si cela venait d'une infection plutôt que d'une intervention malencontreuse personnelle dans Windows : rien,ni MBAM,ni MSE,ni HiJjakthis,ni ADWCleaner n'ont trouvé quoi que ce soit,ni ZHPDiag ou OTL, en m'aidant de ZebHelpProcess ou bien de Pjjoint de Malekal...

Cependant il demeure ce fait très troublant:Roguekiller de Tigsy s'arrête à la phase d'analyse de "dossiers démarrage" que je le renomme ou pas,que je le retélécharge ou non,qu'il soit lancé du bureau ou pas.

Qu'en pensez-vous ?
thié

Je viens juste de trouver dans le dossier RK-Quanrantine de RogueKiller ceci:http://cjoint.com/?3CymAbPHd6s et là je suis scotché...en effet,lors de mes nombreuses tentatives antérieures,le dossier RK-Quarantine était vide....

Bonjour,

L'auteur, Tigzy, a ajouté un module Debug dans RogueKiller pour analyser les plantages de son outil.
Le scan avec ce module permet de générer un rapport debug.log dans RK_Quarantine.

Mais normalement le lien du téléchargement de ce module est bien distinct du téléchargement de Roguekiller.

Tu as téléchargé ton Roguekiller sur quel site ?

@+

Bonjour Chantal,

Je l'ai téléchargé sur le site officiel http://www.sur-la-toile.com/RogueKiller/

C'est vrai,ce fichier debug m'a vraiment surpris.
J'ai retéléchargé le programme aujourd'hui,il s'arrête dès le début cette fois à "hooks SSDT" et j'ai de nouveau un rapport similaire.Je le lance en mode administrateur bien sûr.
Je ne suis pas particulièrement inquiet par une infection, compte tenu de mes grandes précautions durant mes surfs sur internet et mes contrôles très fréquents,mais je suis très surpris du phénomène!

Il me faudrait chercher d'autres outils pour ces "hooks SSDT" et pour les "dossiers démarrage" peut-être.
A toi.
thié

Tiens,je viens de faire un examen ZHPDiag http://cjoint.com/?3Cznv2kvrzf
Findykill de El Desaparacido téléchargé de changelog s'arrête sur HKCR\ed2k avec une fenêtre disant:QGREP de recherche de chaines de caractères a cessé de fonctionner.
Je n'ai donc que ce rapport: ############################## | FindyKill V5.056 |

# User : xxx () # yyy
# Update on 20/11/2011 by El Desaparecido
# Start at: 13:48:08 | 25/03/2012
# Website : http://eldesaparecido.com/
# Contact : contact@eldesaparecido.com

# Genuine Intel(R) CPU T1400 @ 1.73GHz
# Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 9.0.8112.16421
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 80,23 Go (56,12 Go free) [Acer] # NTFS
# D:\ # Disque fixe local # 21,79 Go (13,05 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM

################## | Processus infectieux stoppés |


################## | Eléments infectieux |


################## | Reference Bagle MD5 ... |


################## | MD5 ... |


################## | Bagle Trace ... |


################## | Crack .... |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Uac : OK ( Good = 0x1 | Bad = 0x0 )

# Ndisuio ( NDIS User Mode ) -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost ( Extensible Authentication Protocol Host ) -> Start = 3 ( Good = 2 | Bad = 4 )

# MpsSvc ( Windows Firewall ) -> Start = 3 ( Good = 2 | Bad = 4 )

# (!) SharedAccess ( Windows Firewall - Internet Connection Sharing ) -> Start = 4 ( Good = 2 | Bad = 4 )

# windefend ( Windows Defender ) -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv ( Windows Update ) -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc ( Windows Security Center ) -> Start = 2 ( Good = 2 | Bad = 4 )


################## | ! Fin du rapport # FindyKill V5.056 ! |

_______________________________

Voici le rapport OTL d'il y a quelques jours:http://cjoint.com/?3CzobqNXGtq

Enfin un rapport HJT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:24, on 25/03/2012
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\xxx\Desktop\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet

Security\cmdagent.exe
O23 - Service: EaseUS Agent - CHENGDU YIWO Tech Development Co., Ltd - C:\Program Files\EaseUS\Todo Backup\bin\Agent.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Guard Agent - CHENGDU YIWO Tech Development Co., Ltd - C:\Program Files\EaseUS\Todo Backup\bin\GuardAgent.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage

Manager\Iaantmon.exe
O23 - Service: Secunia PSI Agent - Secunia - C:\Program Files\Secunia\PSI\PSIA.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 2029 bytes

Je l'ai dit, MBAM rien, ADWCleaner de Xplode, rien, pas plus AD-Remover, rsthosts de Xplode rien,au moment du crash dont j'ai parlé en préambule j'ai fait un sfc / scannow :rien,une vérification et réparation du disque par CHKDSK.

Tu comprendras ce lisant que j'ai entrepris des actions tous azimuts typiques du débutant passionné !!!!
J'ajoute que cette passion m'est venue par votre forum qui m'a sorti d'une impasse (c'était Bernard qui m'avait pris en charge alors) et que j'en avais été tellement reconnaissant et touché que je me suis mis vraiment à lire et relire tous les sujets du forum et aussi les sites tels que Libellules,Malekal,Assiste,Zebulon,Comment ça marche,pour apprendre à ma mesure de fourmi quelque chose; Jusqu'à me permettre en toute innocence de répondre sur le forum aux demandes d'aide de certains alors que je ne suis pas un helper ...J'espère n'avoir offusqué personne !

Bonjour,

Poste le dernier rapport debug.log, je vais contacter Tigzy.
C'est peut-être bien Comodo qui gêne.

Juste pour info, ta version ZHPDiag est périmée.
D'autre part, quand on poste des rapports sur un forum, on les fournit sans y apporter des modifications.
Tu comprends bien que si je devais te préparer un script, il serait inopérant.

@+

Bonsoir Chantal,
Voici le dernier rapport de débug http://cjoint.com/?3CztjOSGrak

J'utilise Roguekiller une fois ou deux par semaine et depuis des mois.Jamais aucun problème malgré Comodo.Avec ça je l'ai mis dans les programmes fiables.

Pour ZHPDiag,j'ai remarqué,il m'a été demandé si je voulais installer la dernière version,j'ai répondu oui, elle a été installée,et si je clique à nouveau sur la flèche verte il me dit que la version du 7/3 est disponible....celle que je viens justement d'installer!!!
Cela je l'ai remarqué 4 fois depuis le bug signalé dans mon premier post.Cependant j'avais une version du 19/3.

Bon je vais désinstaller ZHPDiag avec Revo et voir ce que donne une nouvelle installation.

Oui,j'ai substitué le nom de l'administrateur par des XXX ainsi que le nom de l'ordinateur par des YYY.Si tu m'avais proposé un script j'aurais bien sûr fait le contraire.

thié

J'ai retéléchargé ZHPDiag par Zebulon.Il est réinstallé mais à la recherche de mise à jour j'ai pour le moment la réponse "le serveur Zebulon n'est pas disponible"

J'ai désactivé le pare-feu Comodo et fait tourné Roguekiller après l'avoir renommé dans les processus exclus de MSE:il s'arrête au même endroit que dans mon premier post:"dossiers démarrage"

Je suis en train de faire analyser tout par Kaspersky Virus Removal Tool ...

Bonsoir,

Merci pour le rapport.
Je viens de le fournir à Tigzy.

Tiens-nous au courant du résultat de ton scan avec Kaspersky Virus Removal Tool.

Si tu te passionnes pour la sécurité et que tu veuilles devenir Helper, tu peux suivre une formation, par exemple sur SX :
http://forum.security-x.fr/index.php

@+

Bonsoir Chantal,

Rien,rien,aucune menace dans le rapport Kaspersky,comme je le préjugeais.

Il reste donc ce disfonctionnement de Roguekiller qui depuis deux ans maintenant tournait sans problème avec Comodo.
J'ai téléchargé RoguekillerV6.exe (tu sais l'ancien Roguekiller avec ses différents choix:1,2,3 etc...) que Tigsy conseillait à quelqu'un qui avait un problème similaire: mêmes résultats.

Devenir helper....ta proposition a fait tilt...Fais-tu partie des membres de forum.security-x.fr ?

Objectivement que penses-tu d'une formation alors que j'en suis à Vista ?

C'est vrai que l'aide de Bernard un jour ici,m'a rempli du désir profond de mieux comprendre Windows et ses dérangements,les infections etc... et que finalement j'en suis venu à me statuer en helper en herbe sur ce forum (pardon aux administrateurs) auxquels je suis redevable!!!! J'ai ainsi découvert assiste,malekal,zebulon,libellules,commentçamarche,Xplode,TrendMicro,Tigsy et les autres
et que j'ai d'un coup compris l'immense profit à la personne que constitue le dépannage informatique.

Crois-tu qu'il me prendraient à security-x.fr ? Bon,j'ai vu http://www.chantal11.com .....!!!!

Quelles différences de formation avec celles suivies par Maxou,Pierre,Elowen de forum-windows7-windows8.fr ?

thié

Bonjour thié

Tigzy te demande d'appliquer cette procédure

* Supprimer le fichier %tmp%\RK_Mtx (fichier qui permet de voir si le programme a planté)
* Télécharger la dernière version
* La relancer

Tu indiques ce qui se passe dans ta prochaine réponse.

Par manque de temps, je te réponds vite fait juste sur RogueKiller, je reviendrais plus tard sur tes interrogations.

@+

Bonsoir Chantal,

J'ai fait plusieurs fois l’essai,en vain...en veillant à chaque fois à supprimer le log de débug,et en renommant Roguekiller.
J'ai même essayé après avoir vidé la corbeille,nettoyé tous les fichiers temporaires,les clefs de registre concernant Roguekiller et fait un redémarrage.J'avais aussi enlevé les paramétrages de Comodo à son sujet pour le rétablir en programme fiable une fois la demande venue.
J'ai eu droit à deux nouvelles fois à ce fichier RK_Mtx supprimé à chacune d'entre elles.

thié

Je viens de faire un nouveau tour plus long sur security-x.fr. J'y retournerai d'autres fois...je vais y lire des tas de messages comme je le fais sur forum-vista.net (en fait je les lis tous....et chaque fois étudie les réponses des uns et des autres et les compare avec ce que j'aurais proposé personnellement ou constate plus fréquemment mon ignorance...)

En lisant la charte de security-x je me suis dit que j'ai été vraiment gonflé de me permettre de venir en aide à des internautes sur forum-vista.net, et que l'administration a été très cool...moi qui demandais ici-même il y a un poil plus d'un an :qu'est-ce que c'est que "operating system" ....post96802.html?hilit=operating%20system#p96802 .... que Comodo me demandait d'autoriser ou bloquer !

Je me souviens de ce mémorable sans réponse tout à fait justifié : post95328.html?hilit=roguekiller#p95328. ...;

J'ai vu sur security-x.fr qu'il était mentionné le site http://forums.futura-sciences.com/ dont j'ai beaucoup apprécié le sérieux des interventions d'aide ....c'est marrant,le monde est petit !
Et c'est en retombant sur eux que je me suis souvenu qu'est venu la première fois pour moi l'idée de devenir helper car ils donnaient un lien dont je ne trouve plus trace suite suite à une réinstallation de Firefox dont j'ai une flopée de bookmarks (une vingtaine) mais dont j'ai hésité à décider l'installation, et que j'ai écartés, pensant alors, ce faisant ,effacer la dernière en date réinstallée....nul de nul!!!
même à présent je n'ose pas les effacer ni les réinstaller....je n'ai jamais fait l’essai!!!

Bonjour thié,

Je n'ai pas encore de retour pour ton souci avec RogueKiller.
Je t'en fais part dès que j'ai la réponse de Tigzy.

thié a écrit :En lisant la charte de security-x je me suis dit que j'ai été vraiment gonflé de me permettre de venir en aide à des internautes sur forum-vista.net,

En fait, non, tu peux toujours intervenir sur un forum pour aider les internautes sur le fonctionnement de Windows, quelque soit la catégorie (Générale, Logiciels, Matériel, Sécurité ....)
Ce qui est interdit pour un élève en formation, c'est une prise en charge en désinfection.
Il faut être pour cela Helper reconnu et habilité par le dit forum.
Regarde notre section Désinfection, tu verras qu'il n'y a que quelques Helpers habilités à intervenir en désinfection sur Forum-Vista.
Chaque forum a le même fonctionnement.

thié a écrit :J'ai vu sur security-x.fr qu'il était mentionné le site http://forums.futura-sciences.com/ dont j'ai beaucoup apprécié le sérieux des interventions d'aide ....c'est marrant,le monde est petit !

Oui, quelques administrateurs de SX viennent de Futura-Sciences.
Une fois diplômé de SX, tu peux être porté sur la liste des Helpers de Futura-Sciences.

thié a écrit :Crois-tu qu'il me prendraient à security-x.fr ?

Et pourquoi on ne te prendrait pas sur SX ?

Les pseudos que tu me cites ont suivi la formation HF.
Je t'ai pour ma part cité la formation SX parce que je la connais bien pour l'avoir suivi jusqu'au bout et j'y suis Formateur.
Il y a aussi la formation SA (Sécurité-Académie), j'y suis aussi Formateur, mais je pense que tu es en capacité de suivre SX, formation la plus poussée.
Toute formation demande de la motivation, un minimum de disponibilité, de l'assiduité.

Envoie moi un MP ici ou sur SX si tu es intéressé par la formation.

@+

Re,

Pour ton problème avec RogueKiller, Tigzy te demande un log Gmer pour vérifier au niveau des hooks SSDT.

• Sur cette page GMER, clique sur Download EXE et enregistre le fichier sur ton Bureau
• Tu vas obtenir une fichier avec une suite de caractères.exe du genre 5tvkfhhl.exe
• Exécute le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur le bouton Scan et laisse l'outil travailler
• Quand le scan sera terminé, clique sur Save et enregistre le rapport sur ton Bureau
• Héberge le rapport sur cjoint.com et indique le lien fourni dans ta prochaine réponse

@+

Bonsoir Chantal,

C'est vrai que GMER je ne l'ai pas utilisé depuis deux mois environ....je dois avoir dix rapports sous le coude.
J'y vais de ce pas et merci à Tigsy et à toi bien sûr.

J'ouvre un sujet sur TDSSKiller mais bon c'est juste une chose qui m'étonne....topic16307.html

J'y vais....

thié

Ben voila....ça me fait un rapport GMER plus gros que d'habitude....! http://cjoint.com/?3CBxznp0za5

Voici,Chantal, ...http://cjoint.com/?3CBxznp0za5
J'ai téléchargé chez gmer.net
mse désactivé ainsi que Comodo et le pare-feu Windows.

Bonjour thié,

Merci pour le rapport GMER.
Je le fournis à Tigzy et te tiens au courant

Coucou Chantal !

Me revoici...!

Désormais Roguekiller fonctionne impeccablement comme avant! J'ai laissé tomber quelques semaines après de si nombreuses tentatives en suivant les conseils de Tigsy .....
Et ce, depuis un téléchargement que j'ai fait presque un mois après mon dernier message .

tout baigne!
thié