Windows doit redémarrer le serveur : serveur DCOM terminé - page 2

* cyril
Anonyme
Envoyé le 23/01/2010 à 11:40

Bonjour, je demande une aide. Mon P.C coupe apres qu\'un message s\'affiche! le message est: \"Windows doit redémaré le serveur car le service lanceur de processus serveur DCOM s\'est terminé de façon innatendue.\"

copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 30/01/2010 à 08:55


Voici mon nouveau rapport apres analyse GMER.

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 30/01/2010 à 11:23


OK bien reçu (+)
comment se comporte ton PC?
as tu réussi à trouver les noms des malwares sur Avast?
jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 30/01/2010 à 12:04 Modifié par jllg le 30/01/2010 à  12:32:37


Aie!!oublie mes dernières questions

Après analyse du rapport gmer je n\'ai pas ce bonnes nouvelles il se trouve qu\'un des fichiers système le \"ATAPI.SYS\" a été patché par par le rootkit le plus évolué à l\'heure actuelle : TDL, appelé aussi TDSS version 3... C\'est une belle m**** qui est difficile à détecter et encore plus difficile à désinfecter.

Il va falloir rechercher une copie identique et non-infectée de \"atapi.sys\", et copier ce fichier ailleurs en le renommant par un nom neutre.
il faudra ensuite remplacer le fichier infecté par la copie

fais d\'abord ce qui suit:
  • Télécharge SEAF (de C_XX) sur ton Bureau
  • Lance \'SF.exe\' en faisant un double clic sur le fichier
  • Saisis exactement la commande en gras ci-dessous :

    [noreg],[moreinfos],atapi.sys

  • Appuie sur la touche Entrée et patiente pendant la recherche.
  • Le rapport de recherche s\'affichera automatiquement dès qu\'il en aura terminé, enregistre le sur ton Bureau
  • Héberge le rapport sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 13:20


revoici de mes nouvelles, apres une journée d\'absence!
voila j\'ai fait le test que tu ma donnée, voici donc le lien
je serais la tout l\'aprem, si sa ne te dérange pas d\'essayé d\'avancer aujourd\'hui (si tu es la) car apres je ne serais pas la de la semaine (école...) sinon tempis!

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 13:56


ok copilote,j\'ai bien reçu le rapport.

Sur cette infection j\'avance prudemment
je ne peux pas te garantir que nous pourrons avancer beaucoup cet après midi car je ne prends aucune décision sans avoir l\'avis d\'un spécialiste en sécuité
je lui ai envoyé le lien pour le rapport ,mais sache que nous ne laisserons pas tomber et que nous ferons tout pour venir à bout de cette \"cochonnerie\" avec ton concours précieux et efficace (+)
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 14:11


pas de soucis, je compte beaucoup sur vos conseil précieu, et personnellement sa vos autant que d\'apporter le PC chez un réparateur!
Question, tu travail dans l\'informatique?

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 14:21


non c\'est un loisir,je suis technicien electronicien
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 14:24


d\'accord, bin moi je suis mécano, mais pas d\'ordi juste de voiture! lol
les PC ji connais pas super, je c\'est fair se qu\'on a besoin, mais dès que sa marche plus... il n\'y as plus personne

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 14:36


mais dès que sa marche plus... il n\'y as plus personne


c\'est pareil pour moi avec ma voiture [;)]
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 14:37 Modifié par copilote42400 le 31/01/2010 à 


la balle sera rendu, si tu as besoin

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 15:49


(!) tu devrais maintenant,éditer ton message en cliquant sur modifier et effacer l\'adresse mail si tu ne veux pas être importuné et envahi par les spams.
ne jamais mettre d\'adesse mail en clair sur les forums elles sont relevés par les robots spammeurs
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 15:55


ok bon a savoir! [:D] merki

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 16:19 Modifié par jllg le 31/01/2010 à  18:30:08


bien apres cette pause de détente passons aux choses séieuses
tu vas maintenant procéder au remplacement du fichier infecté par un fichier sain
lis bien attentivement ce qui suit et fais les actions demandés si tu ne comprends pas quelque chose n\'hésites pas à demander

Affiche les fichiers masqués :
  • Menu Démarrer --> Panneau de configuration --> Apparence et personnalisation --> Options des dossiers --> Affichage
  • Coche \"Afficher les fichiers et dossiers cachés\", décoche \"Masquer les extensions de fichiers connus\", décoche \"Masquer les fichiers protégés du Système\", puis valide.
  • Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


    Ensuite, il va falloir que tu copies un fichier :
  • Clique sur le Menu démarrer --> Ordinateur --> Disque C --> System32 --> DriverStore --> FileRepository --> mshdc.inf_7f3e4ed9
  • Fais un clic-droit sur le fichier atapi.sys --> Copier
  • Retourne à la racine du Disque C (Menu démarrer --> Ordinateur --> Disque C), fais un clic-droit dans la fenêtre (pas sur un dossier, mais dans un endroit \'vide\') --> Coller
  • Un nouveau fichier atapi.sys a dû apparaitre --> fais un clic-droit dessus --> Renommer
  • Donne lui exactement le nom jllg.bak (ne laisse pas l\'extension .sys). Si un message d\'alerte apparait, confirme la modification.




Enfin, utilise ce script :


/!\\ ATTENTION /!\\
Le programme qui suit est très puissant, il peut endommager l\'ordinateur s\'il est mal utilisé !
Le script proposé ici a été écrit spécialement pour copilote42400, il n\'est pas transposable sur un autre ordinateur !


/!\\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\\

  • Télécharge The Avenger (de Swandog46) sur le Bureau
  • Fais un clic-droit sur le dossier Avenger.zip → Extraire tout → Choisis le Bureau comme destination
  • Ouvre le nouveau dossier Avenger qui est apparu sur ton Bureau → Lance le fichier avenger.exe qu\'il contient.
  • Un avertissement en anglais va s\'afficher concernant la dangerosité de cet outil → lis le et clique sur OK.

  • Clique sur ce lien
  • Copie le script qu\'il contient, et colle le dans le cadre « Input script here » de The Avenger.

  • Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
  • A la fin, il te demandera de redémarrer (\"reboot\"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
  • Après le redémarrage, un rapport va s\'ouvrir (il est aussi sauvegardé ici : C:\\avenger.txt) → Copie/colle ce rapport dans ta prochaine réponse stp.
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 16:52


dans le disque C je ne possède pas de \"ficher\" appellez: SYSTEME32

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 17:03


petit oubli dsl [:Z]

regarde dans C:\\WINDOWS
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 17:13


je n\'est pas exactement le code mshbc.inf_b12d8e84
j\'ai mshbc.inf_7f3e4ed9
mshbc.inf_c6c2e699
mshbc.inf_cc18792d
mshbc.inf_b7393fc6
et j\'ai atapi.sys dans tous...

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 17:23


je n\'est pas exactement le code mshbc.inf_b12d8e84



en es tu sur et certain?

ne touches à rien pour l\'instant et attends ma prochaine intervention
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 17:23


jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 18:29


voilà voilà [;)]

c\'est effectivement dans ce fichier :

mshdc.inf_7f3e4ed9

que tu dois copier le fichier

je modifie également sur le message concerné pour plus de facilité à suivre la procédure
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 18:48


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Sun Jan 31 18:46:34 2010

18:46:34: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file \"C:\\jllg.bak\"
File move operation \"C:\\jllg.bak|C:\\Windows\\System32\\drivers\\atapi.sys\" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.


jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 18:51


patiente un peu STP, petit souci mais on va pas le lâcher encore [;)]
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 18:53


oh non comme il dise dans la pub: JE L\'AURAIS UN JOUR, JE L\'AURAIS! [:D]

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 19:00


copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 31/01/2010 à 19:02


allez sur cette bonne blague, j\'attend de tes nouvelles!!!

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 31/01/2010 à 22:38


il faut lancer Avenger en tant qu\'administrateur

je te remets la procédure pour plus de lisibilité:

  • Lance le fichier avenger.exe en faisant un clic avec le bouton droit de la souris
    puis => exécuter en tant qu\'administrateur
  • Un avertissement en anglais va s\'afficher concernant la dangerosité de cet outil → lis le et clique sur OK.

  • Clique sur ce lien
  • Copie le script qu\'il contient, et colle le dans le cadre « Input script here » de The Avenger.

  • Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
  • A la fin, il te demandera de redémarrer (\"reboot\"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
  • Après le redémarrage, un rapport va s\'ouvrir (il est aussi sauvegardé ici : C:\\avenger.txt) → Copie/colle ce rapport dans ta prochaine réponse stp.
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 05/02/2010 à 22:45


Bonjour a tous, apres cette semaine de pause, je suis de retour!!!
Voici donc le nouveau rapport apres l\'avoir réouvert correctement (apres une petite erreure d\'inatention la derniere fois [:Z] ):
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file \"C:\\jllg.bak\"
File move operation \"C:\\jllg.bak|C:\\Windows\\System32\\drivers\\atapi.sys\" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.


jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 06/02/2010 à 13:36


Bonjour

content de te retrouver (+)

visiblement encore un petit souci avec \"The Avenger\"

je te tiens au courant
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 06/02/2010 à 13:51


oui tres bien j\'attend de tes nouvelles!!! merci

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 06/02/2010 à 15:45


est ce que tu pourrais refaire la manip encore une fois s\'il te plait?


si ça ne passe toujours pas, il y aura ensuite une autre solution pour copier ce fichier mais il faudra graver un live CD linux.

as tu déjà graver des images ISO de CD?
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 07/02/2010 à 09:42


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file \"C:\\jllg.bak\"
File move operation \"C:\\jllg.bak|C:\\Windows\\System32\\drivers\\atapi.sys\" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.
voila il me semble que c\'est toujours, la même...
pour l\'autre solution, non je n\'ai j\'amais fait se genre de chose!

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 07/02/2010 à 13:21 Modifié par jllg le 07/02/2010 à  14:16:34


Nous allons donc essayer de remplacer le fichier infecté

Pour t\'aider, tu peux déjà te baser sur ce tutoriel pour démarrer sur un LiveCD Linux.
tu dois donc:
  • Télécharger le fichier iso
  • Graver le LiveCD Linux avec ton logiciel de gravure en choisissant l\'option graver une image ISO
    (si tu n\'as pas cette option sers toi du logiciel indiqué)
  • configurer le bios pour mettre le lecteur CD en premier au démarrage(first boot)
  • Redémarrer l\'ordinateur pour booter sur le CD (appuyer sur une touche pour démarrer à partir du CD)
  • Lancer Toutou Linux et se laisser guider
  • \"Monter\" la partition correspondant à Windows en cliquant dessus (1fois) pour pouvoir y accéder ,ce sera sda1


sda1 =>(sous linux) = C:\\ =>(sous windows)

Ensuite, ne plus suivre le tuto :

- Déplacer C:\\Windows\\System32\\drivers\\atapi.sys vers la racine du disque C et le renommer en atapi.vir (C:\\atapi.vir)


- Déplacer C:\\jllg.bak vers le dossier C:\\Windows\\System32\\drivers, et le renommer en atapi.sys

Puis enlever le LiveCD et redémarrer l\'ordinateur sous Windows. Si tout fonctionne bien, poster un rapport Gmer pour confirmer.
* Hjoa
Anonyme
Envoyé le 10/02/2010 à 14:27

j\'ai exactement le même problème sauf que moi je n\'ai pas besoin de scanner le message s\'affiche directement quand je suis l\'ordi au bout de quelques instants voici le rapport :

-----------\\\\ ToolBar S&D 1.2.9 XP/Vista

( : )
USER : admin ( Administrator )

\"C:\\ToolBar SD\" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 12/12/2009|13:27 )

[ UAC => 1 ]

-----------\\\\ Recherche de Fichiers / Dossiers ...


-----------\\\\ [..\\Internet Explorer\\Main]

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]
\"Local Page\"=\"C:\\\\Windows\\\\system32\\\\blank.htm\"
\"Start Page\"=\"http://search.conduit.com?SearchSource=10&ctid=CT2126963\"
\"Start Page Redirect Cache\"=\"http://fr.msn.com/?ocid=iehp\"
\"Search Bar\"=\"http://g.msn.fr/0SEFRFR/SAOS02\"
\"Url\"=\"http://go.microsoft.com/fwlink/?LinkId=75720\"

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]
\"Start Page\"=\"http://www.msn.com/\"
\"Default_Page_URL\"=\"http://go.microsoft.com/fwlink/?LinkId=69157\"
\"Default_Search_URL\"=\"http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch\"
\"Local Page\"=\"C:\\\\Windows\\\\System32\\\\blank.htm\"


--------------------\\\\ Recherche d\'autres infections


Aucune autre infection trouvée !

[ UAC => 1 ]


1 - \"C:\\ToolBar SD\\TB_1.txt\" - 12/12/2009|13:24 - Option : [2]
2 - \"C:\\ToolBar SD\\TB_2.txt\" - 12/12/2009|13:28 - Option : [2]

-----------\\\\ Fin du rapport a 13:28:09,80

J_D J_D
10 736 contributions
Membre depuis le 12/11/2001
Envoyé le 10/02/2010 à 14:36


Ouvres un nouveau sujet pour ton problème Hjoa.
Tu cliques ici >>>
Je ne réponds pas aux messages privés non sollicités ! C'est pas toujours facile...
jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 14/02/2010 à 11:41


bonjour copilote

je viens aux nouvelles, as tu réussi?
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 17/02/2010 à 13:28


Me voici de retour avec de nouvelle info...
j\'ai euh chez moi une panne internet, pendant cette panne, je peut me servir de mon PC pendant des heures, je penssait donc que le problème était terminé, et m\'empressait qu\'internet remarche pour venir vous l\'annoncer.
Depuis se matin internet re-fonctionne (traveau sur la ligne pour une meilleur recéption aparament...) je me connecte, mais re-voici que le message s\'affiche a nouveau, et le PC coupe...

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 17/02/2010 à 14:06


Bonjour copilote
content de te revoir [;)]
avais tu réussi à remplacer le fichier à l\'aide du live CD?
copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 17/02/2010 à 18:21


non car comme plus internet, plus de support pour suivre la démarche, alors je te prévien que les traveaux se poursuive jusqu\'au 24/02... donc si vous ne me voyé pas de qulque jour... ne vous inquiétté! pas [:D]
je suis la démarche et revien dès que cela est fait...

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 17/02/2010 à 18:59


copilote42400 copilote42400
38 contributions
Membre depuis le 25/01/2010
Envoyé le 16/03/2010 à 22:46


salut a tous! bon je suis de retout apres tout plein de péricpécis!!! grrrr
Panne de chargeur de batterie du PC apres la fin des coupure du net!
Bon allez demain je me reconcentre sur cette désinféctation!
par contre cela fait 2 ou 3 jour que j\'ai récupéré mon PC, et je n\'ai PLUS AUCUN SOUCIS de coupure!
Merci a tous, et désoler de ne pas avoir intervenu pendant quelque temps

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 17/03/2010 à 15:36


Bonjour copilote

bravo pour ta persévérence [;)]

Discussion trop ancienne

Cette discussion a été automatiquement fermée car elle n'a plus reçue de nouveau message depuis trop longtemps.

Nous vous suggérons de créer un nouveau message

« Retour sur la liste des messages de ce forum