salut tlm,
voila, un ami a chopé plein de virus et de spyware en se connectant sur internet ( le pauvre, il vient juste de se mettre à l'adsl).
J'ai viré le plus gros avec spybot, adaware et hijackthis, puis fais un scan antivirus on line avec panda, qui a pu désinfecter 6 virus et trouvé une vingtaine de spyware que j'ai ensuite viré manuellement!
Mais, et il ya tjs un mais, le PC se lance bien mais l'explorer refuse de se lancer, donc écran noir! mm en mode sans échec cela me fait la mm chose.
Avec ctrl alt+del j'ai le gestionnaire des taches, et quand je veux lancer l'explorer.exe, ça me dit qu'il ya défaillance et qu'il est introuvable, bien qu'il soit là!
Comment faire? ya t il moyen de remplacer l'explorer.exe défaillant??
j'ai essayé sfc /scannow, puis une réparation, mais tjs mm problème.
Apparement un virus est encore présent, mais impossible de savoir lequel!
Bien sur, je peux le lui formater, mùais bon, c'est un cas extrême...
merci de votre aide

up...plz

Bonsoir,
 
As-tu essayé, au lieu de taper explorer ou explorer.exe tout court, de lancer explorer.exe en utilisant le bouton Parcourir après Nouvelle tâche dans le gestionnaire des tâches, pour lui indiquer le fichier explorer.exe dans le dossier C:\Windows ? Est-ce que tu trouves ledit fichier ?

oui, c ce que j'ai fais, mais il ne le reconnait pas : il y est mais il me dit qu'il ne le trouve pas!!!
J'ai copié le fichier explorer.exe d'un autre PC mais rien n'y fait!!!
Ce qui est bizarre c'est que j'ai éliminé tous les virus, tous les malwares, fait une réparation, mais tjs mm topo : tout se passe normalement, le PC marche mais l'écran reste noir! sauf si j'utilise le gestionnaire des taches...mais c pas gai!

Dans regedit, à la clé :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ta valeur Shell est bien une REG_SZ avec comme données explorer.exe ?
 
Tu peux lancer cmd.exe ? Si c'est le cas, quelle est la valeur de ta variable PATH ?

nglechau> salut, j'ai le pb problème que maan à cause du virus Bube
j'ai cherché la clé dans le registre et je n'ai pas de Winlogon dans le currentversion ... et je n'en ai pas non plus sur un pc qui marche parfaitement bien ! es-tu sûr que c'est le bon endroit que tu as indiqué ?  
 
sinon ma variable path :  
PATH=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\WBEM

Salut Argawaen,
 
Oui, j'ai fait une copie (clique droit sur la clé -> Copier le nom de la clé) depuis ma base de registre, donc le chemin est exact.
 
Je te joins une capture :
http://img289.imageshack.us/img289 [...] gon5pz.jpg
 
Merci pour le nom du virus. Je vais regarder à quoi ça ressemble et ce qu'on peut faire. Tu as un lien vers sa description ?

au temps pour moi j'avais regardé dans windows/current version et non dans windows NT/current version
 
pour la description, j'ai trouvé ça  
 
http://www.symantec.com.pr/region/ [...] ncash.html
 
 
j'ai lu aussi que KAV 5.0 le trouvait et le nettoyait, je vais l'installer et voir ce que ça donne.

J'ai trouvé cette page :
http://www.sophos.com/virusinfo/analyses/w32bubea.html
 
--> onglet Avanced (fais une traduction automatique par voila, google ou babelfish si tu as du mal avec l'anglais).
 
Quelles sont tes valeurs de registre qui y sont mentionnées ?  
 
HKCU=HKEY_CURRENT_USER
HKLM=HKEY_LOCAL_MACHINE

Posts croisés.

 
 
que veux tu dire ?  
le contenu de winlogon semble identique à ta capture d'écran.
 
j'ai installé kav, je redémarre.

J'expliquais les abréviations dans le lien que j'ai donné.
 
Tiens-nous au courant du résultat de ton scan.

ah oui j'oubliais de préciser qu'apparement le virus m'empeche d'aller sur la plupart des sites d'antivirus
je ne peux acceder au domaine www.sophos.com et il ne veut pas mettre à jour KAV
 
je le peux via un autre pc, je vais essayer de me débrouiller...
 
en fait d'une manière generale, ce qui m'éviterait une grosse perte de temps serait de savoir comment réinstaller windows proprement sans perdre les données de mes documents et sans avoir à réinstaller tous les programmes...

Si tu ne peux pas aller sur un certain nombre de sites : vérifie ton fichiers hosts - c'est un fichier sans extension qui se trouve dans C:\windows\system32\drivers\etc
 
Je pense que tu dois restaurer le fichier explorer.exe depuis ton CD en bootant sur le CD pour accéder à la console de récup (je viens seulement de lire ton propre topic) après avoir éliminé le virus (effacer les entrées de registre + fichiers contaminés + fichiers propres au virus).

bon alors j'ai lancé kav, il m'a trouvé Bube pour les fichiers soft.exe et web.exe dans le dossier windows/system32  
il les a effacé, j'ai moi-même effacé toutes les occurences de ces fichiers dans le registre.
avec la console de recup j'ai effacé explorer.exe et l'ai remplacé par une version saine venant d'un autre pc.
 
au redémarrage, ya le bureau, tous les programmes devant être lancé au démarrage se lancent... puis quelques secondes après, le processus explorer.exe s'arrete et se relance périodiquement, donc le bureau s'affiche et disparait.
 
 
que faire sinon réinstaller windows ?!

- as-tu tout de même vérifié ton fichier hosts ?
 
- peux-tu par le gestionnaire des tâches, lancer le gestionnaire de l'ordinateur ? le fichier à lancer est compmgmt.msc dans C:\Windows\system32. Si tu peux, regarde dans l'observateur d'événèments, quelles erreurs as-tu ?

pour hosts, il y avait bien des url bizarre dedans, dont kaspersky et sophos mais apparement ça avait été rajouté par spybot... enfin j'ai tout effacé.
 
j'ai aussi identifié un autre fichier, wininit.ini qui renommait une sauvegarde du virus ( explorer.new ) explorer.exe à chaque démarrage. Je pensais que allait regler le pb mais rebelotte, explorer.exe est fermé subitement puis refermé, puis réouvert, puis refermé...
 
c'est corroboré par l'observateur d'evenement qui m'indique :  
source Winlogon
L'environnement s'est arrêté de façon inattendue et explorer.exe a redémarré.
 
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
 
ou  bien source : Application Error  
Application défaillante explorer.exe, version 6.0.2900.2180, module défaillant kernel32.dll, version 5.1.2600.0, adresse de défaillance 0x0001c231.
 
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

Récapitulons :
 
- vérifie une nouvelle fois que la restauration système est bien désactivée.
- peux-tu poster ton hosts à présent ?
- vérifie une nouvelle fois tes clés de registre comme indiqué sur le lien Norton (ainsi que tous les autres points de la fiche).
- restaure une nouvelle fois explorer.exe et rassure-toi que explorer.new n'est plus sur le PC
- poste ici un log HijackThis
- tente un sfc /scannow

comment est-ce que je peux désactiver la restauration systeme via le gestionnaire de tache ?
 
mon hosts est un fichier vide maintenant.
 
 
 

Arf, pour le hosts, ce serait pas bon comme ça.
 
Ajoute-y une ligne :
 
127.0.0.1 localhost
 
Pour la restauration système : est-ce que tu peux lancer ce fichier ?
C:\Windows\system32\sysdm.cpl
 
Si tu ne peux pas, essaie depuis une invite de commandes (C:\Windows\system32\cmd.exe) :
C:\Windows\system32\control.exe C:\Windows\system32\sysdm.cpl

ok, j'ai fait tout ce que tu as dis, je vais restaurer explorer.exe... mais avant tout je vais manger!

bon alors j'ai bien nettoyé le registre
voici le log hijack  
Logfile of HijackThis v1.99.0
Scan saved at 21:18:27, on 03/07/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
 
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 
j'ai lancé un sfc /scannow avec le cd d'XP dans le lecteur (mais il me demande de cliquer sur recommencer à chaque fois avant de voir la barre avancer un ptit peu à nouveau)  
 
j'ai redémarré sous la console de recup, effacé l'explorer.exe et remis avec la version saine de l'autre pc.
 
et maintenant au démarrage j'ai le message d'erreur suivant :  
"Le point d'entrée de procédure SHCreateThreadRef est introuvable dans la bibliothèque de laison dynamique SHLWAPI.dll"
le titre de la fenetre étant Explorer.EXE

Le log est clean.
 
Est-ce que la machine à partir de laquelle tu récupères explorer.exe est de la même version que la tienne ? (même édition Pro/Fam, même Service Pack)
 
Quelle est la version du CD ?

bon apparement, après avoir refait un sfc /scannow tout est rentré dans l'ordre. J'ai mon bureau.
Seuls quelques raccourcis ont l'air d'avoir souffert dans l'opération.
 
merci pour ton aide

C'est une bonne nouvelle
 

 
Edit: quand tu auras vérifié que tout va bien, n'oublie pas de réactiver la resto système - ça peut servir.

Salut, moi j'ai le même probleme, mais j'ai pas du tout compris ce qu'il fallait faire

salut,
voila, j'ai fait toutes les démarches mais rien n'y fait, le bureau refuse de réapparaitre; que ce soit par sfc /scannow, une réparation par la console de récup; rien, rien!! bon, je suis passé à la phase ultime : format et réinstallation. Mais mon copin aura au moins compris une chose : on ne se ballade pas nus sur la toile, le minimum serait un antivirus à jour et un firewall...sans parano bien sur
Merci de votre aide les gars

Bonjour mandream1,
 
Ce qu'il faut faire :
 
- ouvrir le fichier hosts (fichier sans extension dans le dossier C:\Windows\system32\drivers\etc) par le Bloc-notes, supprime tout son contenu sauf la ligne :
127.0.0.1 localhost
sauvegarder le fichier.
 
- désactiver la restauration système. Pour cela, utiliser le bouton Nouvelle tâche pour lancer le fichier C:\Windows\system32\sysdm.cpl, si le lancement échou, lancer l'invite de commandes (C:\Windows\system32\cmd.exe) puis depuis l'invite, exécuter la commande :
C:\Windows\system32\control.exe C:\Windows\system32\sysdm.cpl
aller dans l'onglet Restauration système, cocher la case Désactiver... -> OK.
 
- Ouvrir C:\Windows\win.ini par le Bloc-notes, supprimer cette ligne si elle y est :
run=<Windows>\soft.exe
 
- installer et mettre à l'antivirus Kaspersky et scanner à fond le PC.
 
- suivre les instructions de la fiche Norton :
http://www.symantec.com.pr/region/ [...] ncash.html
et/ou la fiche Sophos :
http://www.sophos.com/virusinfo/analyses/w32bubea.html
pour nettoyer la base de registre et les fichiers contaminés (explorer.new et wininit.ini dans C:\Windows, soft.exe et [nom_aléatoire].exe dans C:\Windows\system32.
 
Tu peux copier ce code dans un fichier que tu nommeras <nom_quelconque>.reg - le nom n'a pas d'importance, mais l'extension doit être obligatoirement .reg et non pas .reg.txt ou .reg.autre_chose.
 

 
Double-cliquer sur ce fichier puis répondre Oui à la question Si vous voulez fusionner...
 
Attention : ce script supprime les clés de registre ajoutées par le virus comme indiqué sur le fiche Norton. Par précaution, vérifier manuellement tout de même ces deux clés :
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
pour s'assurer qu'il n'y a pas d'entrées "étrangères".
 
- Dans le gestionnaire des tâches, onglet Applications, faire Nouvelle Tâches, inscrire dans le champ Ouvrir :  C:\Windows\system32\sfc.exe /scannow pour réparer les fichiers systèmes. Si en cours de route, tu as des messages d'erreur, faire OK pour ignorer. Répéter la manip (sfc /scannow) jusqu'à ce que tout roule sans erreur (pour Argawaen, c'était deux scans de suite).
 
- Passer un scan avec HijackThis et évaluer le log sur hijackthis.de
 
- Par précaution, rescanner avec Kaspersky et/ou en ligne (secuser.com).
 
- Enfin, quand on est sûr que tout redevient normal (tout fonctionne, plus de fichiers contaminés, plus de clés de registre "de trop" comme signalées dans les fiches), clique droit sur Poste de travail -> Propriétés -> onglet Restauration système -> décocher la case -> OK pour réactiver la resto système.
 
Voilà. Bon courage et tiens-nous au courant du résultat ou si tu as encore des questions.

@maan : je rédigeais et n'avais pas vu ton message.

Ok, merci ^^, j'essaierais, par contre, Kaspersy est obligatoire ?

nglechau,
j'avais tout fait, plus de virus ni malwares, et fais plusieurs fois la manip sfc /scannow mais sans résultats!!
J'aurai refait la procédure une dizaine de fois si nécessaire, mais bon, je l'ai formaté à la demande de mon ami qui était pressé de (re) travailler sur son PC.
Merci quand mm nglechau de ton aide précieuse. Sur ce coup, j'en ai appris des choses

De rien, maan. A une autre fois, peut-être
 

Je ne sais pas, à vrai dire. Mais comme Argawaen a réussi avec, vaut mieux le prendre dans l'urgence avant que ce virus ne cause d'autres dégâts. Après, quand la machine est de nouveau propre, tu peux le remplacer par un autre. Kaspersky est bon mais payant, et cher.

Je ferais ça avec avast, je te donen des mes nouvelles ^^