Forums Zebulon.fr: Ou trouver la clé Windows XP dans la base de registre - Forums Zebulon.fr

Bonjour à tous,
Samedi dernier, un sale virus m'a complètement planté deux pcs : écran bleu au démarrage que ce soit en mode normal ou en mode sans échec, seule solution qui me reste réinstaller windows en mode réparation. Le seul problème, c'est que je ne retrouve plus ma clé d'installation de Windows XP pro.
Je sais bien qu'il existe de nombreux outils comme RockXP, Cain & Abel pour récupérer cette clé, et que l'on trouve cette info dans Aida ou dans Everest, le seul problème c'est que pour lancer ces outils, il faut déjà être dans windows, ce qui est impossible dans mon cas. J'ai même essayé en bootant avec un livecd Bouldows, qui contient justement RockXP, malheureusement ça ne fonctionne pas car celui-ci analyse la base de registre intégrée à Bouldows mais pas celle du système planté.
Je voudrais donc savoir où tous ces outils vont chercher cette clé d'installation pour pouvoir la récupérer à la main.

Merci pour toutes les informations que vous pourrez me fournir à ce sujet.

Habituellement, la "clé" est soit dans la boite de Windows, soit sur un autocollant collé à ton PC, et compte tenu du prix de ces deux choses, j'ai du mal à comprendre comment tu aurais pu les perdre...

KewlCat, le mercredi 22 juillet 2009 à 12h09, dit :

Tout simplement parce que mes PCs, un portable et un fixe HPcompaq achetés au centre Evelyne Leclerc étaient livrés avec un Vista Premium 64 bits pré-installé, l'étiquette collée dessus correspondant à ce système.
Par chance ils étaient livrés avec dans le paquet un cd windows XP Pro et un DVD d'utilitaires HPcompaq pour XP Pro. Vista étant une grosse mouise je l'ai tout de suite désinstallé (après avoir réalisé, au cas ou, la sauvegarde préconisée par le constructeur) pour le remplacer par XP. Bizarrement lors de la première install aucune clé ne m'a été demandée, alors que pour ré-installer oui.

Ce message a été modifié par mediaforest - 22 juillet 2009 - 03:47 .

Ah ouais, je vois le bazar.... J'ai le même chez moi : PC acheté avec une licence Vista donc autocollant Vista, mais préinstallé (option "downgrade") en XP Pro, fourni avec CD de restauration XP Pro et cd de restauration Vista mais pas la moindre clé XP à l'horizon (mais comme je ne suis pas du genre à réinstaller je ne me fais pas de souci)

Citation

D'une, c'est très étrange.
De deux, j'ai comme un doute que la clé que tu n'as pas saisi lors de la première install fonctionne lorsqu'il te demande une clé aux installations suivantes...

Je ne peux que compatir à ton malheur...

Quoique, si tu arrives à retrouver les fichiers contenant la base de registre, peut-être qu'il existe un éditeur de registre qui fonctionne à partir des fichiers et non d'un Windows "vivant" : regarde dans \windows\system32\config et \Documents and Settings\{username} ( http://www.annoyance...c/show/registry )

Bonsoir

Il y a Winfokeys qui est capable d'aller chercher une clé sur un disque monté en esclave sur une autre machine opérationnelle.

Ce message a été modifié par Berfizan - 22 juillet 2009 - 04:56 .

Merci beaucoup pour vos réponses.
Entre temps j'ai trouvé un utilitaire équivalent : keyfinder
http://sourceforge.n...ects/keyfinder/

Product Overview
----------------
The Magical Jelly Bean Keyfinder is a freeware utility that retrieves
your Product Key used to install windows from your registry or from an
unbootable Windows installation.
It works on Windows 95, 98, ME, NT, 2000 and XP.
It has options to save the keys to a text file, or print them out.

J'ai pu le lancer depuis Bouldows, sans avoir à démonter mes disques et j'ai pu récupérer mes clés. Et effectivement elles sont décrites par Keyfinder comme "OEM media Key".

Sur le site de keyfinder, il est expliqué que la clé est bien stockée dans la base de registre, mais sous forme cryptée, l'algorithme de cryptage étant réversible, c'est ainsi que ce type d'outil récupère la clé originale.

J'ai ainsi pu lancer la réparation de windows, qui s'est bien déroulée jusqu'au premier re-démarrage, et là le même écran bleu qu'avant
En résumé, l'erreur est PROCESS1_INITIALIZATION_FAILED le premier code est 6B et le deuxième 0xC000007A
d'après ce que j'ai pu trouver c'est soit un problème de matériel, soit un problème de fichiers systèmes absents ou corrompus.

On peut déjà éliminer le problème matériel puisque j'ai le même message sur deux machines dont les composants sont totalement différents.
Et puis comme j'ai trouvé des exécutables louches sur ma clé usb c'est bien lié au virus que j'ai attrapé.
Le problème c'est que jusqu'à ce que je le signale aux éditeurs, ce virus était inconnu excepté par DR Web, on ne sait donc pas encore exactement ce qu'il fait. A présent il est détecté par la plupart des antivirus d'après virusscan.jotti.org
(http://virusscan.jot...a76d51fb19c3c65)

Scanners
[ArcaVir] 	
2009-07-22 Rien trouvé
	[G DATA] 	
2009-07-23 Win32:AutoRun-AYY
[A-Squared] 	
2009-07-23 Virus.Win32.AutoRun!IK
	[Ikarus] 	
2009-07-23 Virus.Win32.AutoRun
[Avast! antivirus] 	
2009-07-22 Win32:AutoRun-AYY
	[Kaspersky Anti-Virus] 	
2009-07-23 Rien trouvé
[Grisoft AVG Anti-Virus] 	
2009-07-22 VB.2.J
	[ESET NOD32] 	
2009-07-22 Win32/AutoRun.VB.FB worm
[Avira AntiVir] 	
2009-07-23 Rien trouvé
	[Norman Virus Control] 	
2009-07-22 Rien trouvé
[Softwin BitDefender] 	
2009-07-23 Rien trouvé
	[Panda Antivirus] 	
2009-07-22 Rien trouvé
[ClamAV] 	
2009-07-23 Rien trouvé
	[Quick Heal] 	
2009-07-23 Rien trouvé
[CPsecure] 	
2009-07-23 Troj.Downloader.W32.Small.ivo
	[Sophos] 	
2009-07-23 Troj/Drop-DB
[Dr.Web] 	
2009-07-23 Win32.HLLW.Autoruner.7225
	[VirusBlokAda VBA32] 	
2009-07-22 Rien trouvé
[Frisk F-Prot Antivirus] 	
2009-07-22 Rien trouvé
	[VirusBuster] 	
2009-07-22 Rien trouvé
[F-Secure Anti-Virus] 	
2009-07-23 Rien trouvé

Le virus que j'ai envoyé a été analysé par threatexpert.com (http://www.threatexp...d9302654287a6b5)
Mais la description de son action ne va pas très loin à part le fait qu'il ouvre un port 1033 et qu'il se connecte à ns1.theimageparlour.net:8000...

Je suis un peu désemparé ça fait depuis samedi que je suis sur ce problème et ça n'avance pas beaucoup et comme toi KewlCat, je ne suis pas du genre à tout ré-installer et surtout pas à formater.

Bonjour,

Citation

Pourtant, en repartant d'une installation fraiche et propre tu aurais gagné du temps, voir de l'argent si ces machines sont en productions...

Pang, le jeudi 23 juillet 2009 à 10h29, dit :

Ce sont des postes perso, donc ce n'est pas trop critique. Mon problème c'est que je dois avoir 10000 softs installés sur chaque machine, alors le temps de tout réinstaller et reconfigurer, j'en aurai pour quelques mois

Je continue donc ma chasse au virus, j'ai donc ouvert depuis une debian la page indiquée par threatexpert : http://ns1.theimageparlour.net:8000/
j'y trouve le texte suivant :

:.dl http://cuimage.cn/dat/ iexplore.exe

j'ai donc ouvert cette page et elle me renvoie un fichier codec.exe à télécharger. Je l'ai testé sur virusscan.jotti.org qui me répond :

[ArcaVir] 	
2009-07-22 Rien trouvé
	[G DATA] 	
2009-07-23 Rien trouvé
[A-Squared] 	
2009-07-23 Trojan.Win32.VB!IK
	[Ikarus] 	
2009-07-23 Trojan.Win32.VB
[Avast! antivirus] 	
2009-07-22 Rien trouvé
	[Kaspersky Anti-Virus] 	
2009-07-23 Trojan.Win32.VB.tdq
[Grisoft AVG Anti-Virus] 	
2009-07-22 Rien trouvé
	[ESET NOD32] 	
2009-07-22 Win32/TrojanDownloader.VB.OBF
[Avira AntiVir] 	
2009-07-23 TR/VB.tdq.10
	[Norman Virus Control] 	
2009-07-22 Rien trouvé
[Softwin BitDefender] 	
2009-07-23 Rien trouvé
	[Panda Antivirus] 	
2009-07-22 Rien trouvé
[ClamAV] 	
2009-07-23 Rien trouvé
	[Quick Heal] 	
2009-07-23 Trojan.VB.tdq
[CPsecure] 	
2009-07-23 Rien trouvé
	[Sophos] 	
2009-07-23 Rien trouvé
[Dr.Web] 	
2009-07-23 Rien trouvé
	[VirusBlokAda VBA32] 	
2009-07-22 Rien trouvé
[Frisk F-Prot Antivirus] 	
2009-07-22 Rien trouvé
	[VirusBuster] 	
2009-07-22 Rien trouvé
[F-Secure Anti-Virus] 	
2009-07-23 Trojan.Win32.VB.tdq

Ce message a été modifié par mediaforest - 23 juillet 2009 - 09:54 .

tu devrais notifier ton probleme dans cette section pour tes bins de virus:

http://forum.zebulon.fr/analyse-rapports-h...lwares-f51.html

http://forum.zebulon.fr/procedure-de-deman...ge-t138211.html

angelique, le jeudi 23 juillet 2009 à 11h01, dit :

Bonjour, tu as raison, la discussion actuelle ne correspond plus du tout au titre