bondioune

Bonsoir, >Comme indiqué dans le titre, ma réparation windows XP est plantée à 34 mn, j'ai parcouru le net, et j'ai essayé: - ça: http://support.microsoft.com/kb/307545/fr (recup de base de registre mais ça marche pas) - ça: http://techtracer.com/2007/03/12/xp-installation-the-34-minute-hiccup/ (pas de fichier inf à la fin) - la dernière config connue qui marche - le mode sans échec - chkdsk r f je suis à cours d'idée, voici quelques rapports pour ceux qui auraient des diées: setupact.log :http://cjoint.com/?CJAxLdyCnMP setupapi.log: http://cjoint.com/?CJAxM0NM4CL setuperr.log: http://cjoint.com/?CJAxNWL04E9 setuplog.txt: http://cjoint.com/?CJAxPc7g3Le Dans le setupact, y a ça de pas net: Le programme externe RUNDLL32 shell32,Control_RunDLL intl.cpl,,/f:"C:\WINDOWS\system32\$winnt$.inf" /s:"D:\I386" a renvoyé le code de sortie 0. D:\i386\sapi.dl_ a été copié vers C:\Program Files\Fichiers communs\Microsoft Shared\Speech\sapi.dll. D:\i386\sapi.cp_ a été copié vers C:\Program Files\Fichiers communs\Microsoft Shared\Speech\sapi.cpl. NetSetup: Mode d'installation : 0x1, Type de produit : 0x0, Indicateurs d'opération : 0x8004 Le programme d'installation a rencontré une erreur lors de la définition des paramètres de la sécurité système. Une erreur étendue s'est produite. C:\WINDOWS\Driver Cache\i386\sp2.cab a été copié vers C:\WINDOWS\system32\DRIVERS\termdd.sys. C:\WINDOWS\system32\ksinterf.ax n'a pas été supprimé à cause de l'erreur suivante : Le fichier spécifié est introuvable. C:\WINDOWS\system32\ksdata.ax n'a pas été supprimé à cause de l'erreur suivante : Le fichier spécifié est introuvable. C:\WINDOWS\system32\ksvpintf.ax n'a pas été supprimé à cause de l'erreur suivante : Le fichier spécifié est introuvable. C:\WINDOWS\system32\ksclockf.ax n'a pas été supprimé à cause de l'erreur suivante : Le fichier spécifié est introuvable. C:\WINDOWS\system32\ksolay.ax n'a pas été supprimé à cause de l'erreur suivante : Le fichier spécifié est introuvable. Dans le setupapi: on ne fini pas sur une erreur de driver Dans le setuperr : Erreur: Le programme d'installation a rencontré une erreur lors de la définition des paramètres de la sécurité système. Une erreur étendue s'est produite. Dans setuplog: 10/26/2013 22:42:15.937,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,632,,SETUP: Upgrade=1. 10/26/2013 22:42:15.937,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,633,,SETUP: Unattended=0. 10/26/2013 22:42:15.937,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find unattendswitch. 10/26/2013 22:42:15.937,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find runoobe. 10/26/2013 22:42:15.937,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find factorymode. 10/26/2013 22:42:15.937,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find EulaComplete. 10/26/2013 22:42:15.937,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find uniqueness. 10/26/2013 22:42:16.203,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find includecatalog. .... .... 10/26/2013 22:43:29.062,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find AccMagnifier. 10/26/2013 22:43:29.062,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find AccReader. 10/26/2013 22:43:29.062,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find AccKeyboard. 10/26/2013 22:43:29.062,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find OriSrc. 10/26/2013 22:43:30.093,d:\xpsprtm\base\ntsetup\syssetup\cmdline.c,228,,SETUP: SpSetupLoadParameter was unable to find optionaldirs. ..... ..... 10/26/2013 22:50:56.312,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,Le programme d'installation a rencontré une erreur lors de la définition des paramètres de la sécurité système. Une erreur étendue s'est produite. 10/26/2013 22:50:56.359,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,Erreur 10/26/2013 22:50:56.359,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,: 10/26/2013 22:50:56.359,d:\xpsprtm\base\ntsetup\syssetup\log.c,133,,Le programme d'installation a rencontré une erreur lors de la définition des paramètres de la sécurité système. Une erreur étendue s'est produite. Voilà, si vous avez des idées ou même des pistes qui vous viendraient en tête en fonction des messages d'erreurs.

Bonsoir, J'ai lancé le runfix et laisser tourner pendant 5 heures. Le processus semble bloqué. En bas de la fenêtre est écrit: Processing SafeBootMin: 93849684.sys - File not found J'ai arrêter le processus, éteint le pc et essayé de booter sur le disque dur mais cela ne marche pas, j'ai un nouvel écran bleu différent de celui d'avant: http://nsa21.casimages.com/img/2012/01/23/120123112528101804.jpg Le runfix est trèès long et j'ai interrompu trop tot ou bien il y a un problème ?

Bonjour Voici le rapport OTL: http://cjoint.com/?BAxoxVZC9xQ

Mais je ne peux pas tester TDSS et COMBOFIX normalement car mon pc ne m'emmène plus sur windows. J'ai un écran bleu à tous les démarrages. Le seul moyen que j'ai d'accéder à mon pc, c'est de passer par un live cd.

Bonsoir Une ou deux questions. - Je suis sur live cd; je fais tourner TDSSKiller avec le live cd ? - Je branche mes peripheriques USB ? - Je fais TDSS et combofix dans la foulee ou d abord TDDS et rapport et seulement ensuite combofix ? Bon je vais tout brancher et faire tourner TDSS sur le live.... Arf je suis loin de confucius.... Edit. Bon je viens de faire tourner TDSS nais ca a ete super vite et ca ma mis 2 fois: cannot initialize log et can't load driver. j ai comme dans l 'dee que sous live cd, y faut pas le mettre sur le bureau mais sur le bureau de C: c est a dire dans C\doc et settings\bureau cest ca ? Edit bis: Je viens de déplacer TDSSKiller dans C/doc et setting etc etc/bureau.. j'ai refait tourner, ça me redit: can't initialise log et can't load driver. Le scan se fait en 5 sec et ça scan 14 objets du genre: Device HardDisk/DR10 Device HardDisk/DR12 etc etc... Edit ter: Je fais combofix ou bien y a une technique pour passer TDSSkiller en livecd ?

Bonsoir, Voila le dernier rapport TDSSKiller. http://pjjoint.malekal.com/files.php?read=20120122_u14f12u14y9d14 et les numero de l ecran bleu. 0x0000007B (0xB84c7528,0xC0000034,0x00000000,0x00000000) photo de l'écran bleu: http://nsm07.casimages.com/img/2012/01/22/120122091148949389334418.jpg Je ne suis pas certain que ce soit toujours 0xB84c7528 il me semble que celui ci varie. J'ai toujours mon écran bleu lors de chaque démarrage et je ne peux avoir accès à mon pc que par live cd quand mon lecteur de cd veut bien booter dessus.

? J'ai un écran bleu à chaque fois que j'allume mon pc.... je n'essaie plus d'activer mon windows... ça c'est du passé... j'ai un écran bleu à chaque allumage.. En ce moment j'essaie d'avoir accès au rapport tdsskiller qui a tout fait planter. Grace à un cd live linux j'ai enfin accès à ce rapport mais je me demandais si connecter à internet mon pc infecté via un cd live linux était sans risque ou pas.

J'en suis toujours à mon écran bleu et impossibilité de faire quoi que ce soit, ayant cru que vous m'aviez abandonné, j'ai essayé d'accéder au dernier rapport de TDSSkiller via un cd live. J'ai fait un iso de UBC4WIN sur un dvd rewritable mais mon pc ne veut pas booter dessus (même si je fais F8 et que je dis au pc de booter sur mon lecteur de cd). Là je suis en train de télécharger un iso d'un linux pour faire un cd live linux ... pour tenter au moins d'aller récuperer le fameux rapport. Si vous avez d'autres consignes... n'hésitez pas.

? Je fais tout ce que vous me dites de faire.... seulement, comme indiqué dans mon message de 14h33, windows me demande de le réactiver, sans ça je ne peux accéder à ma session et je ne peux donc pas envoyer de rapport ni rien faire d'autre. J'ai donc essayé de le réactiver comme demandé par windows pour avoir une chance d'accéder au rapport et de faire ce que vous me demandiez, mais cela n'a pas été possible comme je vous le dis dans le message de 21h18 (réactivation impossible, souris non reconnu et maintenant écran bleu) J'aimerais faire ce que vous me dites... y a juste un problème, le pc, lui ne veux pas. Qu'est ce que je n'ai pas fait et que j'aurais du faire ? je suis à la lettre vos instructions.

Bonsoir, Alors, ce que j'ai fait: Allumage du pc et cliquage sur oui quand windows m'a demandé d'être réactivé ===> Fond d'écran sans icone ni windows puis plus de mouvement. Ré-allumage du pc ===> J'arrive jusqu'au moment ou je choisis ma session mais ma souris ne veut plus bouger, j'en branche une autre sur USB mais toujours rien Ré-allumage du pc ===> Toujours même symptome Ré-allumage du pc ===> le pc me demande comment je veux l'allumer (sans echec, normalement, avec active directory, avec la dernière config connu et qui marche etc etc Tentative en sans échec, en dernière config qui marche et en normal ===> Ecran bleu similaire à celui ci: http://imageshack.us/photo/my-images/716/dsc00514hs.jpg/ Juste une chose change, c'est le premier numéro après la parenthèse, moi c'est (0x84c7528, etc etc

Bonjour Alors j'ai fait tourner TDSS qui m'a trouver 3 threats, 2 pas important selon lui (scsi et un autre) classé en médium et 1 important (zeroaaccess) classé en high. du coup c'était skip pour les mediums et cure pour 0access, j'ai donc fait continue, puis rebooté comme demandé. J'ai eu le droit à un CHKDSK au démarrage avec des corrections en veux tu en voilà mais là les pb ont commencé: - 1er reboot: freeze et tout bloqué après qq clics sur des icones - 2ème reboot: idem - 3ème reboot: l'agent web d'avast était désactivé et pas réactivable et refreeze et avast me fait une alerte: dropper bloqué objet: C/WINDOWS/system32/drivers/avgldx86.sys infection: Win32:Sirefef-F Processus: PID 4 - 4ème reboot: message de windows:Depuis que windows a ete active une premiere fois sur cet ordinateur, le matériel de l'ordinateur a changé de manière significative, suite à ces changements, windows doit etre réactivé sous 3 jours. Voulez vous réactivez windows maintenant ? Je réponds non.... re freeze et compagnie, pas moyen de graver le rapport sur un cd - 5ème reboot: A l'ouverture de ma session, remessage de windows: Un problème a empeche windows de verifier le statut de la licence de cet ordinateur. Afin de continuer cette copie de windows doit etre activée auprès de MIcrosoft. Voulez vous le faire maintenant ? Je réponds non en pensant que j'avais toujours 3 jours... mais en fait non.... c'est tout de suite ou sinon pas de windows.. Pour le moment j'ai tout éteint... Je réactive windows ? Pour info, je sais pas si c'est important mais depuis la première activation de windows, j'ai changé de CG, rajouté 2 barettes de 512 de memoire et 2 DD, mais ça fait un moment tout ça.. c'est windows qui se réveille ? ou c'est un pb virus ? Si je dois réactiver, va falloir que je me connecte à internet ce que je n'ai pas fait depuis que je suis infecté. Qu'est ce que le virus a pu attraper comme mot de passe et info sur le pc ? Msn, facebook, des numéro de CB ? Est ce qu'y faut que j'installe un pare feu ou que j'initialise celui de windows pour "controler" toutes les tentatives de connexion à internet d'un logiciel tiers ? Je dois raconter tout un tas de truc inutile... j'attends les instructions.

J'ai viré toutes les clés... j'ai pas trop essayer de formater car c'est curieux: - dans l'explorateur windows, elles apparaissent avec une icone de faux folder - quand je les scannes, l'antivirus voit bien ce qu'il y a dedans mes pdf, word etc mais dans l'explorateur windows, tout ça n'y est pas, je n'ai que des fausses icones qui sont des exe avec les même noms que mes fichiers d'avant (ex; j'ai une photo qui s'appelle moi.jpeg et qui fait 4 500 Ko.... dans l'explo apparait un fichier qui s'appelle moi qui a une fausse icone de jpeg mais qui est un exe et fait 260 Ko) - quand je clic droit sur les clés.. ça freeze. Après enlevage de toutes les clés j'ai refait un coup de RK 1 et 2 qui me dit 0access, MbAM me dit aussi 0Access et antizero me dit: Webroot AntiZeroAccess 0.8 Log File Execution time: 18/01/2012 - 18:42 Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3 18:42:57 - CheckSystem - Begin to check system... 18:42:57 - OpenRootDrive - Opening system root volume and physical drive.... 18:42:57 - C Root Drive: Disk number: 1 Start sector: 0x0000003F Partition Size: 0x17BD13D8 sectors. 18:42:57 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys". 18:42:57 - InstallAndStartDriver - Main driver was installed and now is running. 18:42:57 - CheckSystem - Warning! Disk class driver is INFECTED. 18:42:59 - CheckFile - Unable to read "dtscsi.sys" file. CreateFile last eror: 0x00000020. 18:43:03 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020. 18:43:03 - CheckFile - Unable to read "sptd2365.sys" file. CreateFile last eror: 0x00000020. 18:43:04 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 18:43:04 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 18:43:04 - Execution Ended! Webroot AntiZeroAccess 0.8 Log File Execution time: 18/01/2012 - 18:43 Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3 18:44:00 - CheckSystem - Begin to check system... 18:44:00 - OpenRootDrive - Opening system root volume and physical drive.... 18:44:00 - C Root Drive: Disk number: 1 Start sector: 0x0000003F Partition Size: 0x17BD13D8 sectors. 18:44:00 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys". 18:44:00 - InstallAndStartDriver - Main driver was installed and now is running. 18:44:00 - CheckSystem - Warning! Disk class driver is INFECTED. 18:44:02 - CheckFile - Unable to read "dtscsi.sys" file. CreateFile last eror: 0x00000020. 18:44:04 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020. 18:44:04 - CheckFile - Unable to read "sptd2365.sys" file. CreateFile last eror: 0x00000020. 18:44:05 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 18:44:05 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 18:44:05 - Execution Ended! Alors dans la fenetre à la fin, y me dit qu'y trouve pas zeroaccess, dans le log y dit qu'il le trouve et l'efface... mais je l'ai fait tourner 10 fois, et il le trouve et l'efface 10 fois. J'ai refait un tour de MbAM et en 38 secondes y me trouve zeroacces dans C/WINDOWS/system32/nvnet Que fais je ? J'ai toujours pas fait Space security ni RK DNS... Edit: J'ai essayé à nouveau DrWeb en mode normal. Y m'a trouvé 4 trojan et une merdouille avant de me laisser un écran bleu.

Alors alors - Dans l'étape précedente: Dr Web, Space Security et RogueK.. comme Dr Web ne fonctionnait pas, je ne suis pas allé plus loin et je n'ai pas fait space security ni RogueK. Dois je les executer ? - Dans l'étape ZeroaccesRemover Je lance l'outil et le résultat est (les lignes importantes): Check Rootkit Device: Found ! ... System Disk class driver: Infected ... Check file "dtscsi.sys" .. Error ! Check file "sptd.sys" .. Error ! Check file "sptd2365.sys" .. Error Warning votre système est infecté mais pas par zeroacces ni max++ Et comme c'est pas 0acces ni max++, y me propose pas de réparer. Du coup je pige plus... Y me semble pas avoir un Windows 64 bits.... Sandra ou everest le dis ça ? C'est un Windows xp familial sp 3 Je vais essayer le space security et RK et faire un coup de MbAM voir si y me trouve toujours 0access. Est ce qu'il faut laisser les clés USB branchées pendant tous ces scans (RK, dr Web, antizero etc etc) ? Est ce que le "virus" a pu se loger dans une clé ? j'ai un processus bidon kooho.exe qui vient d'une de mes clés. Edit: Bon alors après m'etre battu avec mes clés USB, j'ai pas fait RK ni space security, j'ai refait plusieurs fois antizero et le log est toujours le même: Webroot AntiZeroAccess 0.8 Log File Execution time: 18/01/2012 - 18:42 Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3 18:42:57 - CheckSystem - Begin to check system... 18:42:57 - OpenRootDrive - Opening system root volume and physical drive.... 18:42:57 - C Root Drive: Disk number: 1 Start sector: 0x0000003F Partition Size: 0x17BD13D8 sectors. 18:42:57 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys". 18:42:57 - InstallAndStartDriver - Main driver was installed and now is running. 18:42:57 - CheckSystem - Warning! Disk class driver is INFECTED. 18:42:59 - CheckFile - Unable to read "dtscsi.sys" file. CreateFile last eror: 0x00000020. 18:43:03 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020. 18:43:03 - CheckFile - Unable to read "sptd2365.sys" file. CreateFile last eror: 0x00000020. 18:43:04 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 18:43:04 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 18:43:04 - Execution Ended! Webroot AntiZeroAccess 0.8 Log File Execution time: 18/01/2012 - 18:43 Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3 18:44:00 - CheckSystem - Begin to check system... 18:44:00 - OpenRootDrive - Opening system root volume and physical drive.... 18:44:00 - C Root Drive: Disk number: 1 Start sector: 0x0000003F Partition Size: 0x17BD13D8 sectors. 18:44:00 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys". 18:44:00 - InstallAndStartDriver - Main driver was installed and now is running. 18:44:00 - CheckSystem - Warning! Disk class driver is INFECTED. 18:44:02 - CheckFile - Unable to read "dtscsi.sys" file. CreateFile last eror: 0x00000020. 18:44:04 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020. 18:44:04 - CheckFile - Unable to read "sptd2365.sys" file. CreateFile last eror: 0x00000020. 18:44:05 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 18:44:05 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 18:44:05 - Execution Ended! Alors dans la fenetre à la fin, y me dit qu'y trouve pas zeroaccess, dans le log y dit qu'il le trouve et l'efface... mais je l'ai fait tourner 10 fois, et il le trouve et l'efface 10 fois. J'ai refait un tour de MbAM et en 38 secondes y me trouve zeroacces dans C/WINDOWS/system32/nvnet Que fais je ?

Bonjour et toujours merci pour votre aide, J'ai viré la liste (corbeille et vidage de corbeille) et j'ai lancé DrWEB Cureit en mode sans échec mais au bout de 5 mn, j'ai un message d'erreur qui me dit: Une erreur système s'est produite au démarrage ou durant le scan RC=0xC0000005 Les questions les plus fréquemment posées trouveront réponses sur notre site etc etc J'ai essayé de jeter un oeil sur le forum de dr Web et j'ai trouvé 2 ou 3 trucs que j'ai réussi à traduire du russe en informatique et de l'informatique au français mais ça n'avance pas bien. Ils disent de passer en mode sans échec et j'y suis déjà. Sinon j'ai vu que Adaware tournait toujours en mode sans échec alors ça pourrait venir de là(?) mais j'arrive pas à le stopper. Enfin, j'y arrive mais y se relance tout seul en 2 secondes. J'ai lu aussi que cette erreur pouvait etre liée à des problème d'extinction de pc et effectivement quand j'éteinds ou redémarre mon pc, l'écran se mets bien en veille mais la tour ne s'arrete jamais depuis que j'ai le virus. Je suis toujours obligé de l'éteindre via le bouton en façade. Voila voila. Edit: - sans ad aware, ça marche pas - tout antivirus arrêtés en mode normal, même problème.

Alors finalement ma clé a été analysée le temps que je tape le message, voici les rapports: Adwcleaner après suppression http://pjjoint.malekal.com/files.php?read=20120117_z7e10y6u5g7 RogueKiller après bouton 1: http://pjjoint.malekal.com/files.php?read=20120117_o12j12e5w11g7 RogueKiller après bouton 2: http://pjjoint.malekal.com/files.php?read=20120117_h12t13s9l14t13 MbAM rapport après analyse: http://pjjoint.malekal.com/files.php?read=20120117_i8u7y8y9r15 MbAM rapport après supprimer: http://pjjoint.malekal.com/files.php?read=20120117_k11u12r11k15l12