Windows doit redémarrer le serveur : serveur DCOM terminé - page 2

Bonjour, je demande une aide. Mon P.C coupe apres qu\'un message s\'affiche! le message est: \"Windows doit redémaré le serveur car le service lanceur de processus serveur DCOM s\'est terminé de façon innatendue.\"

Voici mon nouveau rapport apres analyse GMER.

OK bien reçu
comment se comporte ton PC?
as tu réussi à trouver les noms des malwares sur Avast?

Aie!!oublie mes dernières questions

Après analyse du rapport gmer je n\'ai pas ce bonnes nouvelles il se trouve qu\'un des fichiers système le \"ATAPI.SYS\" a été patché par par le rootkit le plus évolué à l\'heure actuelle : TDL, appelé aussi TDSS version 3... C\'est une belle m**** qui est difficile à détecter et encore plus difficile à désinfecter.

Il va falloir rechercher une copie identique et non-infectée de \"atapi.sys\", et copier ce fichier ailleurs en le renommant par un nom neutre.
il faudra ensuite remplacer le fichier infecté par la copie

fais d\'abord ce qui suit:

• Télécharge SEAF (de C_XX) sur ton Bureau
  
• Lance \'SF.exe\' en faisant un double clic sur le fichier
  
• Saisis exactement la commande en gras ci-dessous :
  
  [noreg],[moreinfos],atapi.sys
  
  
• Appuie sur la touche Entrée et patiente pendant la recherche.
  
• Le rapport de recherche s\'affichera automatiquement dès qu\'il en aura terminé, enregistre le sur ton Bureau
  
• Héberge le rapport sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

revoici de mes nouvelles, apres une journée d\'absence!
voila j\'ai fait le test que tu ma donnée, voici donc le lien
je serais la tout l\'aprem, si sa ne te dérange pas d\'essayé d\'avancer aujourd\'hui (si tu es la) car apres je ne serais pas la de la semaine (école...) sinon tempis!

ok copilote,j\'ai bien reçu le rapport.

Sur cette infection j\'avance prudemment
je ne peux pas te garantir que nous pourrons avancer beaucoup cet après midi car je ne prends aucune décision sans avoir l\'avis d\'un spécialiste en sécuité
je lui ai envoyé le lien pour le rapport ,mais sache que nous ne laisserons pas tomber et que nous ferons tout pour venir à bout de cette \"cochonnerie\" avec ton concours précieux et efficace

pas de soucis, je compte beaucoup sur vos conseil précieu, et personnellement sa vos autant que d\'apporter le PC chez un réparateur!
Question, tu travail dans l\'informatique?

non c\'est un loisir,je suis technicien electronicien

d\'accord, bin moi je suis mécano, mais pas d\'ordi juste de voiture! lol
les PC ji connais pas super, je c\'est fair se qu\'on a besoin, mais dès que sa marche plus... il n\'y as plus personne

mais dès que sa marche plus... il n\'y as plus personne

c\'est pareil pour moi avec ma voiture

la balle sera rendu, si tu as besoin

tu devrais maintenant,éditer ton message en cliquant sur modifier et effacer l\'adresse mail si tu ne veux pas être importuné et envahi par les spams.
ne jamais mettre d\'adesse mail en clair sur les forums elles sont relevés par les robots spammeurs

ok bon a savoir! merki

bien apres cette pause de détente passons aux choses séieuses
tu vas maintenant procéder au remplacement du fichier infecté par un fichier sain
lis bien attentivement ce qui suit et fais les actions demandés si tu ne comprends pas quelque chose n\'hésites pas à demander

Affiche les fichiers masqués :

• Menu Démarrer --> Panneau de configuration --> Apparence et personnalisation --> Options des dossiers --> Affichage
  
• Coche \"Afficher les fichiers et dossiers cachés\", décoche \"Masquer les extensions de fichiers connus\", décoche \"Masquer les fichiers protégés du Système\", puis valide.
  
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
  
  
  Ensuite, il va falloir que tu copies un fichier :
  
• Clique sur le Menu démarrer --> Ordinateur --> Disque C --> System32 --> DriverStore --> FileRepository --> mshdc.inf_7f3e4ed9
  
• Fais un clic-droit sur le fichier atapi.sys --> Copier
  
• Retourne à la racine du Disque C (Menu démarrer --> Ordinateur --> Disque C), fais un clic-droit dans la fenêtre (pas sur un dossier, mais dans un endroit \'vide\') --> Coller
  
• Un nouveau fichier atapi.sys a dû apparaitre --> fais un clic-droit dessus --> Renommer
  
• Donne lui exactement le nom jllg.bak (ne laisse pas l\'extension .sys). Si un message d\'alerte apparait, confirme la modification.

Enfin, utilise ce script :


/!\\ ATTENTION /!\\
Le programme qui suit est très puissant, il peut endommager l\'ordinateur s\'il est mal utilisé !
Le script proposé ici a été écrit spécialement pour copilote42400, il n\'est pas transposable sur un autre ordinateur !

/!\\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\\

• Télécharge The Avenger (de Swandog46) sur le Bureau
  
• Fais un clic-droit sur le dossier Avenger.zip → Extraire tout → Choisis le Bureau comme destination
  
• Ouvre le nouveau dossier Avenger qui est apparu sur ton Bureau → Lance le fichier avenger.exe qu\'il contient.
  
• Un avertissement en anglais va s\'afficher concernant la dangerosité de cet outil → lis le et clique sur OK.
  
  
• Clique sur ce lien
  
• Copie le script qu\'il contient, et colle le dans le cadre « Input script here » de The Avenger.
  
  
• Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
  
• A la fin, il te demandera de redémarrer (\"reboot\"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
  
• Après le redémarrage, un rapport va s\'ouvrir (il est aussi sauvegardé ici : C:\\avenger.txt) → Copie/colle ce rapport dans ta prochaine réponse stp.

dans le disque C je ne possède pas de \"ficher\" appellez: SYSTEME32

petit oubli dsl

regarde dans C:\\WINDOWS

je n\'est pas exactement le code mshbc.inf_b12d8e84
j\'ai mshbc.inf_7f3e4ed9
mshbc.inf_c6c2e699
mshbc.inf_cc18792d
mshbc.inf_b7393fc6
et j\'ai atapi.sys dans tous...

je n\'est pas exactement le code mshbc.inf_b12d8e84

en es tu sur et certain?

ne touches à rien pour l\'instant et attends ma prochaine intervention

tres bien

voilà voilà

c\'est effectivement dans ce fichier :

mshdc.inf_7f3e4ed9

que tu dois copier le fichier

je modifie également sur le message concerné pour plus de facilité à suivre la procédure

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Sun Jan 31 18:46:34 2010

18:46:34: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file \"C:\\jllg.bak\"
File move operation \"C:\\jllg.bak|C:\\Windows\\System32\\drivers\\atapi.sys\" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.

patiente un peu STP, petit souci mais on va pas le lâcher encore

oh non comme il dise dans la pub: JE L\'AURAIS UN JOUR, JE L\'AURAIS!

allez sur cette bonne blague, j\'attend de tes nouvelles!!!

il faut lancer Avenger en tant qu\'administrateur

je te remets la procédure pour plus de lisibilité:

• Lance le fichier avenger.exe en faisant un clic avec le bouton droit de la souris
  puis => exécuter en tant qu\'administrateur
  
• Un avertissement en anglais va s\'afficher concernant la dangerosité de cet outil → lis le et clique sur OK.
  
  
• Clique sur ce lien
  
• Copie le script qu\'il contient, et colle le dans le cadre « Input script here » de The Avenger.
  
  
• Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
  
• A la fin, il te demandera de redémarrer (\"reboot\"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
  
• Après le redémarrage, un rapport va s\'ouvrir (il est aussi sauvegardé ici : C:\\avenger.txt) → Copie/colle ce rapport dans ta prochaine réponse stp.

Bonjour a tous, apres cette semaine de pause, je suis de retour!!!
Voici donc le nouveau rapport apres l\'avoir réouvert correctement (apres une petite erreure d\'inatention la derniere fois ):
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file \"C:\\jllg.bak\"
File move operation \"C:\\jllg.bak|C:\\Windows\\System32\\drivers\\atapi.sys\" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.

Bonjour

content de te retrouver

visiblement encore un petit souci avec \"The Avenger\"

je te tiens au courant

oui tres bien j\'attend de tes nouvelles!!! merci

est ce que tu pourrais refaire la manip encore une fois s\'il te plait?


si ça ne passe toujours pas, il y aura ensuite une autre solution pour copier ce fichier mais il faudra graver un live CD linux.

as tu déjà graver des images ISO de CD?

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file \"C:\\jllg.bak\"
File move operation \"C:\\jllg.bak|C:\\Windows\\System32\\drivers\\atapi.sys\" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.
voila il me semble que c\'est toujours, la même...
pour l\'autre solution, non je n\'ai j\'amais fait se genre de chose!

Nous allons donc essayer de remplacer le fichier infecté

Pour t\'aider, tu peux déjà te baser sur ce tutoriel pour démarrer sur un LiveCD Linux.
tu dois donc:

• Télécharger le fichier iso
  
• Graver le LiveCD Linux avec ton logiciel de gravure en choisissant l\'option graver une image ISO
  (si tu n\'as pas cette option sers toi du logiciel indiqué)
  
• configurer le bios pour mettre le lecteur CD en premier au démarrage(first boot)
  
• Redémarrer l\'ordinateur pour booter sur le CD (appuyer sur une touche pour démarrer à partir du CD)
  
• Lancer Toutou Linux et se laisser guider
  
• \"Monter\" la partition correspondant à Windows en cliquant dessus (1fois) pour pouvoir y accéder ,ce sera sda1

sda1 =>(sous linux) = C:\\ =>(sous windows)

Ensuite, ne plus suivre le tuto :

- Déplacer C:\\Windows\\System32\\drivers\\atapi.sys vers la racine du disque C et le renommer en atapi.vir (C:\\atapi.vir)


- Déplacer C:\\jllg.bak vers le dossier C:\\Windows\\System32\\drivers, et le renommer en atapi.sys

Puis enlever le LiveCD et redémarrer l\'ordinateur sous Windows. Si tout fonctionne bien, poster un rapport Gmer pour confirmer.

j\'ai exactement le même problème sauf que moi je n\'ai pas besoin de scanner le message s\'affiche directement quand je suis l\'ordi au bout de quelques instants voici le rapport :

-----------\\\\ ToolBar S&D 1.2.9 XP/Vista

( : )
USER : admin ( Administrator )

\"C:\\ToolBar SD\" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 12/12/2009|13:27 )

[ UAC => 1 ]

-----------\\\\ Recherche de Fichiers / Dossiers ...


-----------\\\\ [..\\Internet Explorer\\Main]

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]
\"Local Page\"=\"C:\\\\Windows\\\\system32\\\\blank.htm\"
\"Start Page\"=\"http://search.conduit.com?SearchSource=10&ctid=CT2126963\"
\"Start Page Redirect Cache\"=\"http://fr.msn.com/?ocid=iehp\"
\"Search Bar\"=\"http://g.msn.fr/0SEFRFR/SAOS02\"
\"Url\"=\"http://go.microsoft.com/fwlink/?LinkId=75720\"

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]
\"Start Page\"=\"http://www.msn.com/\"
\"Default_Page_URL\"=\"http://go.microsoft.com/fwlink/?LinkId=69157\"
\"Default_Search_URL\"=\"http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch\"
\"Local Page\"=\"C:\\\\Windows\\\\System32\\\\blank.htm\"


--------------------\\\\ Recherche d\'autres infections


Aucune autre infection trouvée !

[ UAC => 1 ]


1 - \"C:\\ToolBar SD\\TB_1.txt\" - 12/12/2009|13:24 - Option : [2]
2 - \"C:\\ToolBar SD\\TB_2.txt\" - 12/12/2009|13:28 - Option : [2]

-----------\\\\ Fin du rapport a 13:28:09,80

Ouvres un nouveau sujet pour ton problème Hjoa.
Tu cliques ici >>>

bonjour copilote

je viens aux nouvelles, as tu réussi?

Me voici de retour avec de nouvelle info...
j\'ai euh chez moi une panne internet, pendant cette panne, je peut me servir de mon PC pendant des heures, je penssait donc que le problème était terminé, et m\'empressait qu\'internet remarche pour venir vous l\'annoncer.
Depuis se matin internet re-fonctionne (traveau sur la ligne pour une meilleur recéption aparament...) je me connecte, mais re-voici que le message s\'affiche a nouveau, et le PC coupe...

Bonjour copilote
content de te revoir
avais tu réussi à remplacer le fichier à l\'aide du live CD?

non car comme plus internet, plus de support pour suivre la démarche, alors je te prévien que les traveaux se poursuive jusqu\'au 24/02... donc si vous ne me voyé pas de qulque jour... ne vous inquiétté! pas
je suis la démarche et revien dès que cela est fait...

ok ,on t\'encourage

salut a tous! bon je suis de retout apres tout plein de péricpécis!!! grrrr
Panne de chargeur de batterie du PC apres la fin des coupure du net!
Bon allez demain je me reconcentre sur cette désinféctation!
par contre cela fait 2 ou 3 jour que j\'ai récupéré mon PC, et je n\'ai PLUS AUCUN SOUCIS de coupure!
Merci a tous, et désoler de ne pas avoir intervenu pendant quelque temps

Bonjour copilote

bravo pour ta persévérence