Dylav

Ça ressemble tout à fait à un paysage d'un pays de l'Est, ça pourrait être en Pologne…

J'avoue, pour la défense de Rion, que c'est moi qui ait ajouté le bonnet sur sa tête Mais, si tu veux, tu peux consulter la photographie originale sur son blog (en grande taille si tu cliques sur la miniature)…

OK Chef, le message est bien passé : je lance ce soir le scan disque, et je te tiens au jus

Bonjour Poutoupoute, bonjour DK, Bravo pour les rectifications. Je n'aurai que deux tirets à ajouter, dans au—delà et là—haut.

Merci de me rassurer sur la nature des fameuses clefs vérolées (j'ai effectivement le souvenir d'un problème “123Mania” qui, en son temps, n'avait donc pas été entièrement résolu)… Quand à ma session, je voulais dire que j'allais hélas constater le message “Profil endommagé” (comme il y a 36 heures). Mais la situation semble rétablie, puisque j'ai pu entrer sans problème dans ma session originelle. Ce qui signifie qu'il juge que le NTUSER.DAT n'est pas (ou plus ?) corrompu. Compte tenu de ce que tu me dis des clefs de registre, ce n'est pas leur disparition qui a arrangé les choses. Donc, ce serait la restauration système au 6/12 à 13h31 ! Si je poursuis le raisonnement, cela signifierait que les sauvegardes système embarquent les profils utilisateurs. Et que la corruption des profils aurait eu lieu entre samedi 13h31 et dimanche minuit (arrête-moi si je me trompe). Mais je ne vois pas ce qui aurait pu provoquer cette corruption générale (tous les profils) durant cette période Et as-tu une réponse à propos de la consultation des résultats du scan disque ?

Salut Loup Blanc ! Eh non, je ne pouvais pas, rappelle-toi, il fallait que je crée un nouveau compte opérationnel pour ma fille pour 7h00 ! Une fois que j'ai réalisé cette étape et que j'ai laissé mon message de 3h42 ci-dessus, j'ai eu dans l'idée, juste pour voir, d'aller flinguer ma session (“profil endommagé” gnagnagna “profil standard”) et là, ô surprise, je suis entré comme une fleur dans ma session “normale”, comme du temps où mon PC fonctionnait… Mâchoire tombante (non, tombée !), j'ai foncé regarder les autres sessions : elles s'ouvrent toutes normalement (confirmation téléphonique de ma fille ce midi : elle a travaillé normalement toute la matinée, en bureautique et Internet) ! J'ai donc désactivé la session créée pour rien, et recopié dans la session originelle de ma fille les traces de ses travaux d'hier (qu'elle avait soigneusement isolés dans un répertoire spécial et sur une clef USB). Il ne restera qu'à réinstaller iTunes v8 (il semble que le point de sauvegarde ait été pris juste avant installation), et à récupérer les 11 Go et quelques des sessions temporaires palliatives. Il reste également un grand point d'interrogation : qu'est-ce qui a rétabli la situation, et pourquoi ? - la restauration du système ? - la mise en quarantaine des 6 éléments de registre contaminés ? Et la destruction de ces 6 éléments ne risque-t-elle pas, à terme, de déclencher des dysfonctionnements du PC ? En particulier, peut-on déterminer la nature de ces éléments ? Je souhaiterais vivement que tu m'aides à répondre à ces questions. Et je n'oublie pas qu'il faut que je lance ce scan disque complet. Question subsidiaire : si on n'est pas juste devant l'écran à la fin du scan, comment peut-on en connaître les résultats ? Excuse-moi pour toutes ces questions mais, si j'ai mieux dormi cette nuit (peu, mais comme un bébé), je reste inquiet tant que je n'ai pas la certitude que le problème est correctement résolu. Merci d'avance d'accepter de me consacrer encore un peu de temps

Bûche... (sincèrement, j'aurais préféré en être à dormir à poings fermés)

Bon. Quand, après 1h45 d'écran bleu Windows, sur le message le 67 est enfin passé à 68 au bout de 10 mn, je me suis dit que la nuit ne serait pas assez longue et j'ai coupé le PC. Je relancerai ce scan beaucoup beaucoup plus tôt dans la journée. J'ai recopié dans la nouvelle session les 70 Mo peut-être indispensables (sur les 11 Go de la session originelle), ce qui devrait la rendre opérationnelle pour ce jourd'hui qui pointe. Voilà où j'en suis. J'accepte volontiers toute hypothèse de travail pour demain en fin d'après-midi, sachant que je viendrai aux nouvelles dans la journée (à partir de mon bureau). Et maintenant

Je ne pense pas… mais je recommence. Allez hop.

Incroyable. Sur fond bleu µ$ (au cours d'un redémarrage, obligatoire), ça a durée quelques secondes, et est apparu le message “Le disque est propre” (alors qu'au bureau, sous XP Pro il est vrai, le scan a duré environ une heure, pour un DD beaucoup plus petit, par ailleurs). Alors, docteur ? Moi, je trouve ça suspect. Veux-tu que je réessaie ? -edit- Pour la nouvelle session, oui, si ce n'est qu'elle ne contient aucune autre donnée que des fichiers sons et images bateaux...

OK. C'est parti.

Réponse à ton message ci-dessus : 1) Poste de travail est toujours configuré avec ces options, chez moi (j'ai contrôlé). 2) aucun des 4 fichiers n'est présent dans le répertoire C:/Windows/system32/drivers (de peur que mes yeux se croisent, je suis même allé vérifier avec des commandes dir sous cmd). Par ailleurs, à tout hasard, voici le rapport ToolBarSD (que j'ai fait tourner). Il semble quasiment identique au précédent.

OK, il doit y avoir quelque chose que je n'ai pas compris. La restauration au point de restauration au 6/12 à 13h31 n'a pas donné les effets que j'escomptais. Voici en effet un rapport Malwarebytes, complet cette fois : il révèle 6 problèmes au lieu de 4 (il n'a duré que 10 mn environ, ce qui m'a agréablement surpris). Je vais enchaîner sur ToolBarSD.

Juste une précision, parce que ne voudrais pas m'embarquer sur une fausse piste : Arrête-moi si je me trompe, parce que je suis persuadé qu'une restauration à une date antérieure rétablit (entre autres) la base de registres telle qu'elle était à cette date antérieure ? D'où mon raisonnement ci-dessus…

J'ai passé 2 fois HijackThis cette nuit, à 00:32 et à 02:09 (cf. mon post #2 ci-dessus). Je n'ai rien fixé, sauf fausse manip, mais je ne pense pas… La fois précédente, c'était le 31 mai 2006. Je ne comprends pas du tout ta remarque sur les clefs corrompues. En effet, mon pari est qu'elles n'étaient pas corrompues lors de la prise du point de restauration du 6/12. Sinon, pourquoi ne pas repartir d'une autre point de restauration : j'en ai un le 4/12 (prise automatique), et un autre le 24/11 (après une réinstallation d'Antivir). Ce genre d'espoir est-il vain ?

En attendant la suite, j'ai finalement téléchargé et mis en œuvre Toolbar-S&D, dont voici le rapport. Il semble avoir trouvé quelque chose, mais je ne pige pas exactement de quoi il s'agit

Merci Pear, pour la piste que j'ai finalement employée la nuit dernière pour “cloner” une des sessions endommagées (à ce détail près que je n'ai pas tué les deux fichiers NTUSER.DAT et NTUSER.DAT.LOG avant la recopie). Loup Blanc, par rapport à RSIT, voici les deux rapports, log.txt et info.txt Sauf contrordre de votre part, je me propose de tenter la restauration système au point de restauration pris samedi 6 à 13h30 (après installation de iTunes , que je ferai suivre d'une analyse du registre par Malwarebyte Antimalwares (si j'ai fait le bon pari, elle ne devrait pas détecter de clefs endommagées). Je m'aperçois que j'ai zappé ToolBarSD.exe : dois-je le passer avant restauration, ou après, comme semble le suggérer ton message #9 ? Avant de lancer ça, j'attends néanmoins un avis sur les logs ci-dessus et la méthode projetée ?

… 7238

OK, je vais faire ça, sur NTUSER.DAT et NTUSER.DAT.LOG, pour chacune de mes deux sessions à coup sûr endommagées. Je pourrais donc y accéder, que ce soit pour en tirer les mises à jour de la journée et/ou pour les détruire (une fois constatée la guérison des “anciens” utilisateurs) ? À ce propos, la meilleure preuve de “guérison” ne serait-elle pas fournie par un nouvel examen du registre par Malwarebyte Antimalwares ? Je vais néanmoins lancer avant tout une analyse RSIT, comme tu le préconises, dont je posterai ici même les résultats entre 18 et 19 h (j'espère)

Le mouton ne sait guère nager… alors que le tigre est un excellent nageur ! Mais moi, Petit Papa Noël, je voudrais un cheval de bois (ben oui)

(7235) Un jeu d'enfant !

- « Liliumette ? Que masses-tu, Dylav ou le chimpanzé bleu à pois ? Le danger réside dans son regard en coin, brillant, malicieux, plein d'inévitables injections de liquidités, répétant les clins d'œil d'un neurasthénique et douteux esprit... Ceci étant, le chameau à trois, c'est audacieux. » - « Ode à sieur, ça n'existe pas ! », prétendit sentencieusement sieur Chafrai. D'une pierre deux coups, sans la force de croire aux pieux mensonges, il entreprit de manger sa dernière douzaine d'huîtres à la moutarde et de laper silencieusement le whisky qui suintait régulièrement derrière le long alambic du dernier des Mohicans. Pendant, tel un gros pantin désarticulé, à la poignée de l'inquiétant col de Lus-Terrus (mal barré, ça), et soupirant comme un barbapapa léthargique, notre héros attrapa la grosse tête tel un gobie. - « Voilà autre chose ! », s'indigna Dylav. « Suis-je un imposteur ou un séide du Talc ? Le beau FreezeScreen, quant à lui, n'hésite pas ! Pourquoi me gêner ? » - « Alors là, mon cher Dylav, NON ! », rétorqua Poutoupoute en reniflant comme une âcre odeur de transpiration trop bestiale… __________ FreezeScreen, il faut laisser passer deux autres joueurs avant de rejouer. En outre, tu n'as ajouté la seconde fois que deux mots, ce que DK a immédiatement exploité en en mettant quatre !

Je rebondis sur cette remarque à trois propos,1) je ne suis pas sûr que les 2 autres sessions soient endommagées, mais je préfère ne pas aller y voir ? 2) vu la faible probabilité qu'il s'agisse d'un problème de DD, est-il idiot d'envisager de restaurer le système dans son état deux jours plus tôt avant de vérifier le DD (j'ai vraiment peur de perdre des branches entières de l'arborescence) ? 3) avant de restaurer le système, il est indispensable que je sauve les données nouvelles et/ou modifiées dans la nouvelle session créée cette nuit, qui va donc disparaître (nota : ne faut-il pas, d'ailleurs, effacer toutes les données de ladite session si on veut que l'espace, 12 Go quand même, soit récupéré ?). Épargne mon stress, steuplé… OK, je vais m'en occuper dès la fin de l'après-midi (de retour à la maison). J'ai déjà HijackThis v2.0.2 (cf. son log dans mon message #2 ci-dessus). En attendant, je te remercie pour tous ces compléments d'information

Bonjour Loup Blanc, et merci de suivre mon cas. Suivant tes conseils, et afin que ma fille puisse travailler dans un quasi-confort, - je lui ai ouvert un nouveau compte, - j'y ai recopié toutes ses données (12 Go, quand même), - j'ai "désactivé" son ancien compte, - elle a quand même perdu toute sa custom, mais n'a pas trop râlé Fin des opérations : 5 h. du matin. J'ai dormi 2 heures, puis ai filé au bureau expédier le principal des affaires courantes, et me voici (je crois que l'après-midi va être difficile)… Qu'entends-tu par vérification du disque, - scan Windows d'intégrité des données (j'ai oublié comment faire) ? - scan Antivir ? Je te remercie d'avance de m'éclairer Pour le nettoyage à faire après restauration système, je prends note de tes suggestions, et j'espère pouvoir en faire un maximum en fin d'après-midi et en soirée, parce que je suis un peu déstabilisé, j'avoue… -edit- Une analyse d'intégrité du disque ne risque-t-elle pas de "tuer" des "branches mortes" (en d'autres termes, les dossiers "Mes Documents" et fils de tous les utilisateurs corrompus, c'est-à-dire en réalité les 4 utilisateurs, semble-t-il) ? Alors qu'actuellement ces données sont "encore" accessibles ? -edit-2- J'ai retrouvé : Poste de travail / Disque C: / Clic droit / Propriétés / Outils / Vérification des erreurs / Vérifier maintenant / Cocher les deux cases “Réparer auto…” et “Rechercher et tenter…” / Démarrer … et c'est bien ces deux cases à cocher qui m'inquiètent ?

Je reviens déjà, pour deux raisons, - primo, Malwarebytes' Anti-Malware a trouvé 4 clefs de registre infectées, - secundo, les ventilos se sont mis à fond au bout de 6 minutes (ma tour doit être un peu empoussiérée, et je projette d'y remédier le week-end prochain) : je risquais de réveiller toute la maisonnée (je relancerai demain en fin d'après-midi). En tout cas, j'ai vu passer un message qui m'angoisse : “tous les éléments infectés ont été mis en quarantaine et détruits”. J'avais pourtant bien cliqué sur "supprimer la sélection"… Question : pourquoi ne tenterais-je pas de restaurer mon système à partir du point de sauvegarde pris samedi à l'occasion du chargement de iTunes v8.0 ? Avec l'espoir que l'infection serait plus récente ?