Tibonhomme

Bonsoir à tous, nicolas2603, Je t'ai indiqué une procédure ici : A te lire dans l'autre sujet

Bonjour nicolas2603, Nous allons faire une analyse un peu détaillée afin de vérifier l'état de ton système. OTL - Analyse Télécharge OTL de Old Timer : OTL.exe : ou OTL.com : ou OTL.scr : Enregistre-le sur le Bureau - ne le lance pas maintenant Crée un nouveau document texte sur le bureau (clic droit sur le bureau / Nouveau / Document texte) Ouvre-le Copie le contenu de la fenêtre "Citation" ci-dessous pour le coller dans le nouveau document texte : Renomme ce document texte scan.txt (pas autrement) et enregistre-le sur le bureau Ferme toutes les applications en cours Connecter tous les supports amovibles utilisés (clés usb, disques durs externes, MP3 etc...) avant de lancer l'analyse Double clique sur OTL.exe (ou OTL.com ou OTL.scr) pour le lancer (sous Vista -Windows 7, lancer OTL par clic droit / Exécuter en tant qu'administrateur) 1[/size] - Coche la case devant Tous les utilisateurs Sous Vista - Windows 7 64 bit, cocher également la case Avec analyse 64bit 2[/size] - Dans le cadre Registre approfondi coche le bouton Avec liste blanche 3[/size] - Coche les cases devant Recherche Lop et Recherche Purity 4[/size] - Coche le bouton Rapport standard 5[/size] - Fais un double-clic dans le cadre sous Une fenêtre OTL s'ouvre Clique sur OK A partir de la nouvelle fenêtre qui s'ouvre, recherche et sélectionne le fichier scan.txt précédemment enregistré, puis clique sur Ouvrir pour en insérer le contenu Clique sur le bouton Laisse l'outil travailler sans l'interrompre A la fin de l'analyse un rapport s'ouvre, fermer cette fenêtre Le second rapport est situé dans la barre des tâches, le fermer également Ces 2 rapports OTL.Txt et Extras.Txt sont enregistrés sur le bureau. Les rapports étant longs, je vais te demander de les héberger et de copier les liens. Rends-toi sur Ci-joint.fr : Clique sur Parcourir... puis sélectionne OTL.Txt, puis clique sur "Cliquez ici pour déposer le fichier" Un lien te sera indiqué, qu'il faudra copier-coller dans ta réponse. Fais de même avec le lien pour Extras.Txt Rends-toi ensuite sur Virus Total : Clique sur Parcourir... et sélectionne le fichier C:\PhysicalMBR.bin puis clique sur Send File Si un message t'avertit que le fichier a déjà été analysé, clique sur "Reanalyse" Copie-colle le lien vers la page de résultat de l'analyse. Sont donc attendus les liens vers : - Le rapport OTL.Txt - le rapport Extras.Txt - Le rapport d'analyse Virus Total A te lire

Bonsoir, Merci, j'apprécie ! Fais juste un résumé de ton 1er message, cela sera suffisant, d'autant plus que le helper aura accès à toutes les informations à partir du moment où tu copie-colle le lien vers ce sujet. Si tu as des doutes ou des soucis, n'hésite pas à poser des questions, que ce soit ici (pour le moment) ou dans ton nouveau sujet lorsqu'il sera pris en charge, pas de gêne. @+

Bonsoir dsm11, Quelques premières remarques à la lecture des rapports : Ton antivirus Avast n'est pas à jour : la dernière version est la 6.0.1091 (il me semble) Internet Explorer n'est pas à jour, ce qui représente une faille de sécurité. Ce navigateur doit toujours être maintenu à jour, même s'il n'est pas le navigateur par défaut, Windows et d'autres programmes l'utilisant pour leurs propres mises à jour. Des versions obsolètes de Java sont présentes, ce qui représente également des failles de sécurité. 3 logiciels de P2P : Bit Torrent, MicroTorrent, Azureus, soit 3 moyens rapides d'attraper des infections ! Je t'invite à lire l'article suivant : Les risques sécuritaires du Peer To Peer par Ogu : Les risques sécuritaires du peer-to-peer en 10 points : Discussions, prévention, protection[/b] Attention à l'espace vide restant sur C:, en-dessous de 15% le système et/ou les applications peuvent avoir des difficultés à fonctionner. N'effectue aucune modification sur le système ou mise à jour pour le moment. Je passe au plus important : Ton PC est effectivement infecté par plusieurs types de malware : Toolbars diverses, Adware, Keylogger (ce n'est pas le plus coriace d'entre-eux) + Trojan (cheval de Troie). Tes données personnelles sont compromises. Réduis ta navigation sur le Net au stricte minimum (dont ce forum), n'effectue aucune transaction sur le Net, ne te connecte pas à des sites traitant d'informations personnelles ou confidentielles (banques, impôts, santé, mutuelle, serveur d'entreprise etc...), n'utilise pas de messagerie ou d'échange sur des sites sociaux, tant que le PC n'est pas désinfecté. S'il ne s'agissait que de traces d'infection résiduelles sans danger, je t'aurais donné la marche à suivre dans cette section. Mais là ce sont plus que des traces, tu vas donc te rendre dans la section appropriée. Ne te tracasse pas non plus, il n'y a rien de catastrophique et qui ne puisse être traité. Je vais de demander de suivre la procédure suivante, s'il te plaît : Crée un nouveau sujet dans cette section du forum : ses-et-eradication-malwares-f51.html En titre met : Infections diverses : Adware, Toolbars, keylogger + Trojan Explique en quelques lignes (pas trop, hein) ce que tu constates comme dysfonctionnement Copie-colle le lien vers ce sujet (le helper qui te prendra en charge aura toutes les infos nécessaires) Copie-colle de nouveau les liens vers : - le rapport OTL.Txt - le rapport Extras.Txt - le rapport d'analyse de Virus Total Sois patiente, il y a pas mal de sujets en cours de désinfection ou non encore traités, et les Helpers de ce forum sont des bénévoles qui font au mieux pour aider les autres en fonction de leur disponibilité. Si tu n'as pas reçu de réponse au bout de 48h-72h, poste une message de rappel dans le sujet "On m'a oublié !" (en haut de la section de désinfection) avec un lien vers ta demande. Sinon, signale-le moi par messagerie privée. Tu vas retrouver un PC impeccable dans très peu de temps. Edit effectué pour ajout. @+

Bonjour Tom Corvus, bleuet, Le problème se situe peut-être justement à ce niveau : il faut que XP reconnaisse la configuration matérielle. Normalement, cela devrait fonctionner, mais parfois le système a du mal à s'y retrouver sans l'installation des pilotes nécessaires. Il faut bien entendu que l'installation soit faite à partir d'un CD original boite, et que toute l'installation précédente (y compris la partition de restauration si présente) soit effacée. Si le système est d'autre part déjà utilisé sur un PC avec licence unique, il ne sera de toute manière pas possible de l'activer car il sera reconnu comme système illégal. Si rien ne démarre, je crains que ce ne soit un souci matériel. @+

Bonsoir, Je répond à une question posée plus haut : Non. Cela ne signifie pas pour autant que le processeur est en bon état. Très bien. J'ai quelques doutes sur ce que tu tentes de faire : Pourquoi toucher au BIOS et quels outils essaies-tu d'utiliser ? Un système est propre à chaque configuration matérielle, sans parler de la licence qui est propre à chaque poste. On ne peut réinstaller un système à partir d'un autre PC, d'autant plus lorsqu'il s'agit de systèmes OEM (fabricants) qui sont bien différents du système Windows original (modification d'un certain nombre de composants avec ajout de programmes "propriétaires"). Quelles opérations as-tu effectuées exactement ? Le message qui s'affichait indiquait seulement que les paramètres du BIOS étaient remis en niveau par défaut (usine), pas forcément qu'il fallait changer la pile. Mais c'est une sage précaution qui élimine une option possible. Merci de répondre à tous ces points. Je sais, cela peut paraître fastidieux, mais il faut que l'on sache ce qui a été fait ou non et comment. A te lire

Bonsoir dsm11, Je fais en sorte que, mais ce n'est pas forcément toujours le cas, donc n'hésite pas à poser des questions en cas de doute ou d'incompréhension. Désolé, je n'ai pas été assez précis. Le fichier se trouve à la racine du disque, ici : C:\PhysicalMBR.bin Je te remercie, j'ai modifié ma procédure afin qu'elle soit plus explicite. Bien pour les autres opérations, tu t'es débrouillée de très bonne façon. Il est toujours préférable de fermer toutes les applications (navigateurs compris) lorsque l'on lance un outil d'analyse. Dans le cas de OTL, ce n'est pas indispensable et ne gêne en rien l'outil, du moins dans la phase d'analyse. S'il y a correction effectuée avec OTL (ou avec d'autres outils spécifiques), oui il faut impérativement fermer toutes les applications (y compris navigateurs) en cours. Pour ce qui est des rapports, le les ai juste survolés, cela ira comme cela pour le moment. Ne t'inquiète pas. Je regarde en détail (cela prendra un peu de temps) et te donne la suite de la procédure, à continuer ici ou dans une autre section si nécessaire. @+

Bonsoir Tom Corvus, Bonsoir à bleuet et leminou On peut tenter quelque chose à partir d'un environnement externe sur clé USB bootable, déjà pour voir l'état du système, et te permettre en plus de récupérer toutes tes données personnelles (c'est à la fois la priorité et le plus important dans le cas d'un PC planté). Il te faudra un PC sain et une clé USB, même de faible capacité. Dis-moi si cela t'intéresse. On peut au moins voir si tu peux récupérer quelques fichiers (sous réserve que cela te soit nécessaire). Plein de raisons possibles en dehors du domaine matériel. Je t'avoue que je ne suis pas très optimiste, un PC éteint brutalement à cause d'un coup de foudre proche n'est pas ce que l'on fait de mieux pour sa bonne santé. Si cela est juste du à une coupure de courant, ce devrait être récupérable si aucun composant matériel n'a été touché. En revanche, s'il y a eu surtension sérieuse (et pas de protection en amont du PC), les conséquences peuvent être désastreuses. A te lire

Bonjour dsm11, Sois rassurée, ce n'est pas compliqué. Si tu as un doute à un moment quelconque, stoppe la procédure et poste un message. Pour Tune Up Utilities : Dans l'interface principale, clique sur "Annuler les modifications", cela ouvre TuneUp Rescue Center. Sélectionne chaque sauvegarde affichée dans la partie droite, puis clique sur Annuler les modifications. Il faudra redémarrer l'ordinateur. Si tu n'y parviens pas, ce n'est pas grave, passe à la désinstallation. Désinstalle ensuite par Ajout / Suppression de programmes Désinstalle également McAfee Security Scan Plus (inutile) par Ajout / Suppression de programmes. Il y a bien mieux en outil de scan à la demande. Ne fais plus de scan en ligne pour le moment. Unlocker : sert à déverrouiller un fichier récalcitrant. C'est un programme dont tu auras rarement besoin. Tu peux le conserver. USB-Set de Loup blanc : outil de sécurisation passive contre les infections par support amovible, sert à vacciner les lecteurs et à désactiver la fonction Autorun. Conserve de côté. Les outils Windows : laisse de côté pour le moment. Ce n'est pas la priorité. En ce qui concerne la défragmentation, il vaut mieux utiliser un programme autre. Branche les disques externes et mets-les sous tension. Oui, une infection peut parfaitement se propager d'un support à un autre. Applique la procédure OTL, s'il te plaît, cela permettra d'avoir une vue détaillée de ta machine. A te lire

Bonjour Drog-, Pas de bonjour, pas d'explication, pas de description d'anomalie ou de dysfonctionnement éventuel... Pas très engageant, tu ne crois pas ? HijackThis n'est pas adapté à un système Windows 7 64 bit. De toute façon cet outil n'est presque plus utilisé. Tu as le droit à un deuxième essai.

Bonsoir dsm11, Nous allons regarder ce qui se passe sur ton ordinateur. En fonction de ce qui apparaîtra, je te réorienterai éventuellement vers la section appropriée. Suis très attentivement, s'il te plaît, les recommandations ci-dessous puis exécute la procédure indiquée à la suite. Recommandations préalables Comment suivre et répondre En haut de ce message, clique sur le bouton puis sélectionne "Notification immédiate" puis clique sur "Soumettre". Tu recevras ainsi un e-mail de notification à chaque nouveau message posté dans ce sujet. Pour répondre, utilise le bouton et uniquement celui-là. A faire au préalable : dans TuneUp Utilities, remet tous les paramètres par défaut (ceux que tu as modifiés) puis désinstalle TuneUp Utilities. Ce type de programme ne provoque que des ennuis ! Alors il ne sert à rien de les avoir, n'est-ce pas !? En plus tu risques d'endommager ton système avec des outils que tu ne maîtrises pas. Quels sont ces outils ? OTL - Analyse Télécharge OTL de Old Timer : OTL.exe : ou OTL.com : ou OTL.scr : Enregistre-le sur le Bureau - ne le lance pas maintenant Crée un nouveau document texte sur le bureau (clic droit sur le bureau / Nouveau / Document texte) Ouvre-le Copie le contenu de la fenêtre "Citation" ci-dessous pour le coller dans le nouveau document texte : Renomme ce document texte scan.txt (pas autrement) et enregistre-le sur le bureau Ferme toutes les applications en cours Double clique sur OTL.exe (ou OTL.com ou OTL.scr) pour le lancer (sous Vista -Windows 7, lancer OTL par clic droit / Exécuter en tant qu'administrateur) 1[/size] - Coche la case devant Tous les utilisateurs Sous Vista - Windows 7 64 bit, cocher également la case Avec analyse 64bit 2[/size] - Dans le cadre Registre approfondi coche le bouton Avec liste blanche 3[/size] - Coche les cases devant Recherche Lop et Recherche Purity 4[/size] - Coche le bouton Rapport standard 5[/size] - Fais un double-clic dans le cadre sous Une fenêtre OTL s'ouvre Clique sur OK A partir de la nouvelle fenêtre qui s'ouvre, recherche et sélectionne le fichier scan.txt précédemment enregistré, puis clique sur Ouvrir pour en insérer le contenu Clique sur le bouton Laisse l'outil travailler sans l'interrompre A la fin de l'analyse un rapport s'ouvre, fermer cette fenêtre Le second rapport est situé dans la barre des tâches, le fermer également Ces 2 rapports OTL.Txt et Extras.Txt sont enregistrés sur le bureau. Les rapports étant longs, je vais te demander de les héberger et de copier les liens. Rends-toi sur Ci-joint.fr : Clique sur Parcourir... puis sélectionne OTL.Txt, puis clique sur "Cliquez ici pour déposer le fichier" Un lien te sera indiqué, qu'il faudra copier-coller dans ta réponse. Fais de même avec le lien pour Extras.Txt Rends-toi ensuite sur Virus Total : Clique sur Parcourir... et sélectionne le fichier PhysicalMBR.bin puis clique sur Send File Si un message t'avertit que le fichier a déjà été analysé, clique sur "Reanalyse" Il faudra copier-coller le lien vers le résultat dans ta réponse. Sont donc attendus : - Le lien Ci-joint vers le rapport OTL.Txt - Le lien Ci-joint vers le rapport Extras-Txt - Le lien vers le rapport d'analyse Virus total pour le fichier C:\PhysicalMBR.bin A te lire

Bonsoir, C'est avec plaisir. J'ai bien constaté que tu avais "manqué" mon message. Bonne continuation

MatriXa, Ton PC est effectivement infecté. Effectue ce que je t'ai indiqué dans le message #2 de ce sujet, s'il te plaît. @+

Bonjour MatriXa, Bienvenue sur le forum, Recommandations préalables Comment suivre et répondre En haut de ce message, clique sur le bouton puis sélectionne "Notification immédiate" puis clique sur "Soumettre". Tu recevras ainsi un e-mail de notification à chaque nouveau message posté dans ce sujet. Pour répondre, utilise le bouton et uniquement celui-là. Le fait d'avoir accès au Mode Sans Echec est déjà une bonne chose ! Ne t'en fais pas, tu recevras toute l'aide nécessaire pour retrouver un PC sain. N'utilise aucun outil ou n'opère aucune modification sur le système, stp. Attend patiemment d'être prise en charge par un helper Sécurité. Comme tu n'es pas dans la bonne section pour le traitement de ce genre de problème, je vais te demander de bien vouloir créer un nouveau sujet, identique à celui-ci, mais dans cette section : Applique les mêmes recommandations ci-dessus pour ton nouveau sujet. @+

Bonjour Alex36, Impeccable ! Merci pour le retour d'infos. Bonne continuation

Bonjour alexide, J'ai vu que tu as été pris en charge par Apollo, mais qu'il demeure quelques soucis de connexion. On va regarder cela. On commence par la réinitialisation TCP/IP : Menu Démarrer / Exécuter / Tape cmd puis valide par OK ou la touche [Entrée] Dans la fenêtre qui s'ouvre tape directement Netsh int ip reset c:\resetlog.txt puis valide par la touche [Entrée] Puis tape directement Netsh winsock reset catalog puis valide par la touche [Entrée] Tape exit puis valide par la touche [Entrée] pour fermer cette fenêtre Redémarre l'ordinateur. Si cela ne fonctionne pas : Télécharge WinSock XP Fix de Option Explicit : N.B. : Ce programme est uniquement compatible avec XP Clique sur le bouton Fix. Ferme cet utilitaire lorsque l'opération est terminée. Redémarre l'ordinateur. Connexion - Test Crée un nouveau document texte sur le bureau (clic droit sur le bureau / Nouveau / Document texte) Ouvre-le Copie le contenu de la fenêtre "Citation" ci-dessous pour le coller dans le nouveau document texte : Clique sur le menu Fichier Choisis Enregistrer sous... Renomme ce fichier RouteurTest.bat Dans le champ "Type", sélectionne Tous les fichiers Enregistre-le sur le Bureau Double-clique sur RouteurTest.bat pour le lancer La fenêtre de commande CMD va s'ouvrir quelques secondes puis le rapport s'affiche dans le Bloc-notes Copie-colle le contenu de ce rapport dans ta prochaine réponse Le rapport RouteurLog.txt est enregistré sur le Bureau. N.B. : pour sélectionner tout le texte, place le curseur dans le rapport texte, appuie sur les touches [Ctrl] + [A] pour mettre tout le texte en surbrillance, puis [Ctrl] + [C] pour copier dans le presse-papier. une fois dans ton nouveau message sur le forum, [Ctrl] + [V] pour coller à l'endroit où tu veux insérer le rapport. Dis-moi si la connexion fonctionne de nouveau. @+

Bonjour NickCouk, J'ai regardé les rapports que tu as postés en section de désinfection. J'ai noté que ton sujet n'a pas inspiré grand monde pour le moment ! Je ne vois pas de trace d'infection par rootkit, en tout cas pas de ceux qui provoquent également le message d'erreur que tu rapportes, je pense que cette hypothèse est à écarter, sous réserve d'un avis plus éclairé par un membre de l'équipe Sécurité. Plusieurs remarques : Tes mises à jours Windows ne se font plus depuis plusieurs mois : Il y a des traces du Pack SP3 (on en voit dans l' analyse personnalisée pour plusieurs fichiers) mais son installation n'a pu être menée à bien. Le pack a vraisemblablement été téléchargé le 02 avril. Exemple : A noter : le point de restauration que nous avons utilisé est postérieur de quelques heures au téléchargement de ce pack. Il correspond également au point que t'a fait créer bernard53 à la fin de ton sujet en désinfection début avril. Pour rappel : Windows XP SP2 n'a plus de support technique Microsoft depuis le 13 juillet 2010. Pourrais-tu m'indiquer si tu connais ces dossiers et ce qu'ils contiennent : C:\.Trash-999 C:\WINDOWS\temp2 C:\99cdbd557b55704aba50 C:\d20c383ea40301a7c91828 Le fichier C:\WINDOWS\system32\services.exe est endommagé ou corrompu. Il en existe une copie saine dont nous pourrons nous servir pour le remplacer. Sinon, beaucoup de programmes pas à jour et une multiplication d'antispyware inutile et pouvant provoquer des conflits (MBAM, SUPERAntiSpyware, des traces de HitmanPro). Le rapport ntbtlog.txt montre que les pilotes du Mode Sans Echec sont bien chargés (le dernier étant Mup.sys). Il y a donc autre choses ! A suivre dès que ton sujet aura reçu une réponse dans l'autre section. Il faut éviter de multiplier les interventions simultanées sur un même système. A plus tard

Bonjour NickCouk, Pour le rapport Extras.Txt, c'est moi qui suis un . Il fallait effectivement cocher au moins Use SafeList dans le cadre Extra Registry pour que cela fonctionne. Je n'ai même pas relu ma procédure avant de te répondre hier soir, hors il manquait bien une ligne. J'avais du reste répété le test juste avant pour être certain de ce que je t'indiquais, avec ce bouton coché. Désolé te t'avoir obligé à répéter la démarche. Je commence à regarder les différents rapports postés. Je ne vois pas ce que je m'attendais à constater avec l'infection dont je t'ai parlé (ou alors je passe à côté... possible). En revanche, quelque chose saute aux yeux dès les premières lignes : Pourquoi être resté en SP2 et n'avoir pas installé le SP3 ? Tu as une raison particulière ? Cela affaiblit considérablement la défense passive de ton ordinateur et risque en plus de provoquer des conflits avec les applications. Ce Service Pack n'est plus pris en charge par Microsoft pour les mises à jour ! Il y a déjà quelques traces d'infection par support amovible. Je vais examiner l'ensemble de plus près. Il faut que je regarde en détail plus attentivement chaque partie , particulièrement les sommes numériques des fichiers listés dans l'analyse personnalisée. Le rapport d'analyse du MBR n'indique aucune détection, bon signe ! Je regarde le reste dès que j'ai un moment. @+

Bonsoir NickCouk, J'ai vu que tu avais déjà été pris en charge au début du mois mais j'avoue que je n'ai pas regardé le sujet (je vais le faire). Non, je ne pense pas qu'il puisse s'agir de restes, un membre de l'équipe Sécurité ne te laisserait de toute façon pas repartir avec des traces résiduelles d'infection. Il fallait juste modifier les paramètres que je t'ai indiqués. Bizarre que tu n'aies pas le rapport Extras.Txt, j'ai fait le test avant de te poster la procédure et ai bien obtenu les 2 rapports. Mais tu as du finir par le retrouver car je vois que tu as mis un lien dans le nouveau sujet. Je regarderai tes rapports (un peu plus tard car j'arrive juste chez moi ). Mon hypothèse est peut-être totalement fausse, ou il s'agit effectivement d'une infection mais pas de celle à laquelle j'avais pensé.... Dans le doute, je préfère recueillir l'avis d'un spécialiste en malware. @+

Bonsoir NickCouk, J'avais préparé certaines recherches sous environnement xPUD + quelques opérations en console de récupération, mais cela me semble superflu à la lecture de ton dernier message. Je pense en effet que j'ai identifié le problème principal, je dis "je pense" car je n'en suis absolument pas certain à 100%. C'est un fort soupçon qui résulte de plusieurs paramètres, mais sans certitude aucune, je le répète. 2 fortes probabilités : - Soit ce message est dû à une application, généralement pare-feu ou antivirus, qui rentre en conflit avec d'autres applications de même type. - Soit ce message est provoqué, comme c'est souvent le cas, par une infection par rootkit kernel-mode de type Rustock (ou parfois Haxdoor). L'infection par rootkit de type Rustock me semble à envisager sérieusement au regard d'un certain nombre de facteurs réunis. Aussi, je vais te demander de suivre la procédure qui suit. Les rapports ne seront pas à copier-coller à la suite de ce message, mais dans un nouveau sujet. Je t'indique à la fin de ce message comment procéder. OTLPE Pour cette procédure, il te faudra un PC en état de marche, un CD vierge et une clé USB. A partir du PC fonctionnel Télécharge OTLPEStd.exe : Enregistre-le sur le Bureau. N.B. : le fichier ayant une taille de 93.5 Mo, le téléchargement peut prendre un peu de temps Une fois le téléchargement terminé, insère un CD vierge dans le lecteur Double-clique sur OTLPEStd.exe L'exécutable inclut OTLPE_New_Std.iso et ImgBurn (logiciel de gravure) Un message s'affiche "Do you want to burn the CD", clique sur Oui La gravure démarre automatiquement. 2 fenêtres s'ouvrent : ImgBurn et ImgBurn Log A la fin de l'opération, une nouvelle fenêtre Reatogo PE affiche les dossiers et les fichiers gravés. Un message apparaît "Operation Successfully completed", clique sur OK Ferme toutes les fenêtres et extrait le CD. N.B. : si un message d'avertissement s'affiche à la fermeture d'une fenêtre ImgBurn, confirmer. Crée un nouveau document texte sur le bureau (clic droit sur le bureau / Nouveau / Document texte) Ouvre-le Copie le contenu de la fenêtre"Citation" ci-dessous pour le coller dans le nouveau document texte : Renomme ce document texte scan.txt (pas autrement) et enregistre-le sur ta clé USB Sur le PC malade Insère le CD OTLPE que tu viens de graver Démarre l'ordinateur à partir du CD N.B. : Assure-toi que l'ordinateur est paramétré pour démarrer sur le CD - la touche [F12] permet généralement d'avoir accès au menu de boot (ou parfois les touches [F11], [F9], [Esc] ou [Del]) - Regarder ce qui est indiqué en bas de l'écran de démarrage N.B. : Attends patiemment que le système se charge, cela peut prendre plusieurs dizaines de secondes, voire plus, avec les affichages successifs de plusieurs écrans : "Starting Reatogo-X-PE..., logo Windows XP, Free pe REATOGO, entrecoupés d'écrans bleus Le Bureau REATOGO-X-PE devrait s'afficher Insère ta clé USB (Pas avant) Double-clique sur l'icône OTLPE Un message s'affiche "Do you wish to load remote user profile(s) for scanning" Clique sur Yes Une fenêtre "Select User Profile" s'affiche, sélectionne ta session Vérifie que la case à côté de "Automatically Load All Remaining Users" est cochée puis clique sur OK la fenêtre OTL s'affiche Dans le cadre Drivers, coche le bouton All Dans le cadre Standard Registry, coche le bouton All Conserve les autres paramètres par défaut Double clique à l'intérieur du cadre "Custom Scans/Fixes" Un message s'affiche "Do you want to load a custom scan from a file", clique sur Yes Dans la nouvelle fenêtre qui s'ouvre sélectionne le fichier scan.txt sur ta clé USB puis clique sur Open Vérifie que toutes les lignes de ce fichier scan.txt sont bien insérées dans le cadre "Custom Scans/Fixes" Clique sur Run Scan A la fin de l'analyse 2 rapports s'affichent : OTL.Txt et Extras.Txt. Ferme ces rapports, ainsi que la fenêtre OTL Ces 2 rapports sont enregistrés ici : C:\OTL.Txt et C:\Extras.Txt Copie ces 2 rapports sur ta clé USB. Copie également sur ta clé USB les 2 fichiers suivants : C:\Windows\ntbtlog.txt (si existant) C:\Physical0MBR.bin N.B. : Pour copier-coller, navigue dans les fichiers à partir de l'icone My Computer présente sur le Bureau. Fais un clic droit sur le fichier à copier / sélectionne Send To puis choisis ta clé USB. Pour quitter l'environnement Reatogo, clique sur l'icône bleue en bas à gauche, puis sélectionne Shut Down, à la fenêtre qui s'affiche, clique sur OK. A partir du PC fonctionnel Branche la clé USB Les rapports étant longs, je vais te demander de les héberger et de copier les liens. Rends-toi sur Ci-joint.fr : Clique sur Parcourir... puis sélectionne OTL.Txt, puis clique sur "Cliquez ici pour déposer le fichier" Un lien te sera indiqué, qu'il faudra copier-coller dans ta réponse. Fais de même avec les liens pour Extras.Txt et ntbtlog.txt Rends-toi ensuite sur Virus Total : Clique sur Parcourir... et sélectionne le fichier Physical0MBR.bin puis clique sur Send File Si un message t'avertit que le fichier a déjà été analysé, clique sur "Reanalyse" Rends-toi dans la section du forum Analyses et éradication malwares, voici le lien direct : Crée un nouveau sujet. En titre met : Windows XP ne boote plus - infection rootkit possible Explique brièvement quels ont été les problèmes auxquels tu as été confrontés puis indique le lien vers ce sujet afin que les membres de l'équipe Sécurité sachent ce qui a été effectué. Copîe-colle les liens suivants : - lien Ci-joint vers le rapport OTL.Txt - lien Ci-joint vers le rapport Extras-Txt - lien Ci-joint vers le rapport ntbtlog.txt - lien vers le rapport d'analyse Virus total pour le fichier C:\Physical0MBR.bin Tu seras pris en charge par un spécialiste de la désinfection. Peut-être Mark (modérateur Sécurité) s'il passe dans le coin et est disponible prendra-t-il en charge ton sujet (je pense à lui car vous êtes dans le même fuseau horaire ). Quoi qu'il en soit tu trouveras une personne parfaitement compétente pour poursuivre la recherche et l'éventuelle désinfection. Je suivrai avec attention ton sujet. Si tu n'as aucune réponse au bout de 48h-72h, poste une petit rappel dans le topic "On m'a oublié" en haut de la section de désinfection. Sinon, pas de gêne, envoie moi un MP. Si tu as des questions ou des soucis avec la procédure indiquée, n'hésite pas à m'en faire part. Je te remercie à la fois de ta patience et de ta confiance, et du remarquable suivi des procédures dont tu fais preuve. Bonne continuation dans l'autre section @+

Bonsoir NickCouk, Merci pour les informations. Instructif ! A la suite de tes indications, je dois changer mon fusil d'épaule. Je te prépare la suite, ce soir si j'ai la disponibilité nécessaire, sinon demain. Pas d'inquiétude, je reviens vers toi très vite. @+

Bonjour NickCouk, Ceci explique cela. Bien ! Pour l'erreur persistante, nous allons explorer une autre piste. Peut-être y a-t-il une défaillance du fichier d'échange Windows. Effectue la procédure ci-dessous : Accède aux Options de démarrage avancées, en général par la touche [F8] au démarrage (ou autre touche suivant le PC) Option 1 - le MSE est utilisable Sélectionne Mode sans échec avec prise en charge réseau avec le pavé des flèches puis appuie sur [Entrée] Patiente le temps du chargement, cela peut prendre quelques dizaines de secondes Sélectionne ta session Menu Démarrer / Exécuter Dans la fenêtre qui s'ouvre, tape regedit puis appuie sur [Entrée] Si cela ne fonctionne pas : Sélectionne Mode sans échec avec le pavé des flèches puis appuie sur [Entrée] Patiente le temps du chargement, cela peut prendre quelques dizaines de secondes Sélectionne ta session Menu Démarrer / Exécuter Dans la fenêtre qui s'ouvre, tape regedit puis appuie sur [Entrée] Option 2 - le MSE n'est pas utilisable Sélectionne Invite de commande en mode sans échec avec le pavé des flèches Patiente le temps du chargement, cela peut prendre quelques dizaines de secondes Sélectionne ta session La fenêtre d'Invite de commande (cmd) s'ouvre automatiquement Tape C:\Windows\regedit.exe puis appuie sur la touche [Entrée] Suite de la procédure pour les Options 1 et 2 L'Editeur du Registre s'ouvre Rends-toi à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager Il faut cliquer sur le [+] à gauche de chacune des désignations ci-dessus successivement pour développer les clés Clique sur Memory Management Dans la fenêtre de droite, clic droit sur ClearPageFileAtShutdown / sélectionne Modifier Une fenêtre "Edition de la valeur DWORD" s'ouvre Dans le champs sous "Données de la valeur", tape 1 (la valeur par défaut est 0) puis clique sur OK Ferme l'Editeur du Registre. Si tu étais en Mode sans échec Redémarre normalement l'ordinateur. Si tu étais en Invite de commande en mode sans échec Dans l'Invite de commande, tape exit puis appuie sur [Entrée] La fenêtre principale apparaît noire et vide Tape simultanément sur les touches [Ctrl]+[Alt]+[suppr] Le Gestionnaire des tâches s'ouvre Clique sur l'onglet Processus Clique sur Fichier (en haut] / sélectionne Nouvelle tâche (Exécuter] Tape explorer.exe puis clique sur OK Un message d'avertissement s'ouvre, clique sur OK Sélectionne explorer.exe (sous l'onglet Processus) pour faire apparaître le Bureau Redémarre normalement l'ordinateur. Dis-moi s'il y a du mieux et à quoi tu as accès. Nous passerons à d'autres manipulations en fonction de tes réponses. Nous avons encore bien des outils dans notre musette... @+

Bonsoir al, Bienvenue sur le forum, Il est parfaitement possible d'avoir le choix du système d'exploitation entre Windows 7 et XP au démarrage. Non, sur Vista et Windows 7, le bootloader (anciennement NT Loader - ntldr) est maintenant remplacé par un BootManager (bootmgr) dont les informations de démarrage sont modifiables avec un nouvel outil bcdedit. Quelques questions avant de t'indiquer comment faire : - Est-ce que Windows 7 a été installé après XP ? - Ou est-ce que XP a été installé après Windows 7 ? Cela change la procédure. A te lire

Bonsoir à vous 2, @ bleuet, Répondu par MP. @ NickCouk, Tout d'abord, J'ai vérifié. J'avais un petit souci sur la correspondance des heures mais finalement c'est bon. Les fichiers SAM, SECURITY, software et system sont bien ceux que je t'ai fait restaurer. Ils correspondent donc au point de restauration RP95 (RP = Restore Point) Il semble que nous ayons un léger décalage, non ? On va tenter une première chose : l'objectif est de remettre un dossier default en accord de date avec les autres dossiers dans mnt\sda1\Windows\system32\config. Suis bien toutes les étapes de cette procédure. Si tu éprouves des difficultés sur un point particulier, stoppe la procédure et informe-moi. Important : imprime cette procédure pour pouvoir la suivre aisément. Sur le PC malade Insère le CD xPud Démarre l'ordinateur à partir du CD N.B. : Assure-toi que l'ordinateur est paramétré pour démarrer sur le CD - la touche [F12] permet généralement d'avoir accès au menu de boot (ou parfois les touches [F11], [F9], [Esc] ou [Del]) - Regarder ce qui est indiqué en bas de l'écran de démarrage L'écran de configuration xPUD apparaît, sélectionne la langue puis appuie sur [Entrée] N.B. : Attends patiemment que le système se charge, cela peut prendre quelques dizaines de secondes L'écran de Bienvenue sur xPUD s'affiche, clique sur Fichier à gauche N.B. : Si les icônes sont affichées en français, les menus et sous-menus du système et des applications sont en anglais. Dans la liste des dossiers sous File System, clique sur le > à côté du dossier mnt pour le développer Clique sur sda1 (ta partition système) Etape 1 Double-clique sur le dossier Windows dans la fenêtre principale Double-clique sur le dossier system32 Double-clique sur le dossier config Clic droit sur le dossier default / sélectionne Rename (renommer) ---> renomme le default.old Attention : ne te trompe pas de fichier. Ne supprime pas ce fichier. Il nous faut en conserver une copie au cas où, d'où le changement de nom. Vérifie que le dossier est bien renommé. Etape 2 Revient au dossier mnt\sda1\Windows Pour revenir au dossier parent, utilise la flèche verte verticale (sous la barre de Menu) Pour visualiser les dossiers sous forme d'icônes, clique sur View (en haut) / sélectionne View as Icons Double-clique sur System Volume Information dans la fenêtre principale Double-clique sur le dossier _restore{xxxxx} (xxxxx représente une suite de caractères alphanumériques séparés par des tirets) Afin de mieux visualiser les dossiers contenus et voir certaines propriétés : Clique sur View (en haut) / sélectionne View as Detailed List La fenêtre d'affichage est transformée en tableau. Clique sur Last Modification afin de classer les dossiers par ordre chronologique. Des dossiers RP sont listés Double-clique sur le dossier RP95 qui doit être daté 2011-04-02 Double-clique sur le dossier snapshot Clique sur Name afin de classer les dossiers par ordre alphabétique Clic droit sur le dossier _REGISTRY_USER_.default / sélectionne Copy (copier) Attention : ne te trompe pas de fichier. Etape 3 Revient au dossier mnt\sda1\Windows Pour revenir au dossier parent, utilise la flèche verte verticale (sous la barre de Menu) Pour visualiser les dossiers sous forme d'icônes, clique sur View (en haut) / sélectionne View as Icons Double-clique sur le dossier Windows dans la fenêtre principale Double-clique sur le dossier system32 Double-clique sur le dossier config Clic droit dans un endroit vide du dossier config / sélectionne Paste (coller) Vérifie que c'est bien le dossier _REGISTRY_USER_.default Clic droit sur le dossier _REGISTRY_USER_.default / sélectionne Rename (renommer) ---> renomme le default Vérifie que le dossier est bien renommé. Clique sur Accueil dans la fenêtre de gauche Clique sur Eteindre dans la fenêtre principale Ote le CD <-- Important, sinon l'ordinateur redémarre sur l'environnement xPUD. Clique sur Redémarrer Laisse l'ordinateur redémarrer normalement. Dis-moi si cela fonctionne. Si cela fonctionne, vérifie si ton ancien mot de passe est toujours présent. Sinon, nous essaierons autre chose. @+

NickCouk, Merci pour les infos. Je te prépare la suite dans la soirée. On va tenter plusieurs pistes... @+