AU SECOURS

[crn81]

Apres mon probleme de formatage voici une nouvelle enigme !

attaqué par un virus pendant une nuit de téléchargement !!!!!!!

j'ai été obligé de faire une analyse au demarrage de windows

avec AVAST !

AVAST à fait son boulot mais l erreur que j ai commise a été de mettre tous

les fichiers en quarantaines plutôt que de taper "réparer" .........

au résultat, les fichiers sont désinfectés mais je ne peux plus démarrer mon

ordi qui s' arrête systématiquement au moment de lancer la session .........

(les fichiers infectés étaient pour grande partie dans system 32............

je ne sais pas quoi faire ! j ai tenté de réinstaller le fichier congig

comme il est indiqué dans l excellent POST sur la console de récupération

de windows mais celà ne suffit pas et l ordi refuse d'ouvrir la moindre session...........

voilà mon erreur est expliquée quelque un peut il m aider pour tenter d eviter

le formatage complet du disque dur !!!!!!!!!!!!!!

merci de vos post

A+

[fifi29]

salut crn81

quel téléchargement as tu fait??

avast ?? ANTIVIR est mieux.

a++++

[crn81]

salut crn81

quel téléchargement as tu fait??

avast ?? ANTIVIR est mieux.

a++++

 

salut fifi 29

 

c est avast antivirus mais mon soucis c est que les fichiers mis en quarantaine

sont des fichiers windows et à présent je ne peux plus ouvrir la moindre session

comment récupérer ces fichiers ,??? j aurais du taper "réparer" et non"mettre en

quarantaine"..............

à présent il doit manquer des fichiers system et plus rien ne marche !!

si t as une idée

A+

[fifi29]

salutcrn81 ,essai une restauration système,a++++

[Invité crn81]

salutcrn81 ,essai une restauration système,a++++

 

 

salut fifi29

 

qu est ce qu une restauration systeme et comment faire ?????

je suis un peu deboussolé par cette erreur de fichiers à présent en

quarantaine ais je une solution de les récuprer alors que je ne peux

plus démarrer ma session ????

SALUT ET A+

[fifi29]

salut crn81 , vas ici

http://forum.zebulon.fr/analyse-rapports-h...lwares-f51.html

section analyse , post un log hijacthis , tout est expliquer ici

http://forum.zebulon.fr/procedure-de-deman...ge-t138211.html

a++++ et bon courage tu vas y arriver.

Modifié le 6 octobre 2008 par fifi29

[Invité crn81]

salut crn81 , vas ici

http://forum.zebulon.fr/analyse-rapports-h...lwares-f51.html

section analyse , post un log hijacthis , tout est expliquer ici

http://forum.zebulon.fr/procedure-de-deman...ge-t138211.html

a++++ et bon courage tu vas y arriver.

super ton post fifi29 !!!!!

impec mais j ai un autre pb l ouverture en mode sans échec ne m affiche que la session administrateur

qui elle refuse de s ouvrir je ne peux donc rien faire ............ impossible d installer AVIRA et encore moins d installer hijackthis !

as tu encore une autre super idée ???????

merci de tes encouragements et de ton devouement fifi29 !

A+

[fifi29]

salut crn81 , si tu a un virus , vas dans la section que je t'ai indiquer plus haut , et fait leur un bilan complet de tes soucis ,a++++

[pear]

Bonjour,

 

Vous avez plusieurs messages à ce propos , mais pas tous semblables.

 

J'ai répondu à l'un d'eux où vous disiez avoir accès à la session Administrateur.

 

Ici, vous dites:

l ordi refuse d'ouvrir la moindre session..

La procédure à tenter sera différente, évidemment.

En voici 4:

 

Windows ne charge pas mes paramètres personnels et je retombe sur l'écran d'ouverture de session :

 

- Méthode n°1 nécessite un cd Xp:

Vous revenez sur l'écran d'ouverture de session juste après l'apparition de la fenêtre Chargement de vos paramètres personnels...

Le même problème se pose quelque soit le compte d'utilisateur sur lequel vous tentez d'ouvrir une session.

Un logiciel parasite nommé BlazeFind change les données de cette valeur (en remplaçant userinit.exe par wsaupdater.exe) tandis que certains logiciels suppriment ce fichier s'il est détecté. De ce fait, il ne vous est plus possible d'ouvrir une session dans Windows XP.

Si vous n'avez plus accès au système quelque soit le compte d'utilisateur sur lequel vous vous connecté suivez cette astuce vous permettant d'accéder au Bureau Windows en utilisant le compte SYSTEM.

1) Démarrez à partir de la Console de récupération.

2) Saisissez ces commandes :

cd system32

copy userinit.exe wsaupdater.exe

exit

3) Redémarrez normalement...

4) Cliquez sur Démarrer/Exécuter puis saisissez : regedit.

5) Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

6) Éditez une valeur chaîne nommée Userinit.

7) Saisissez comme données de la valeur ceci : C:\WINDOWS\system32\userinit.exe,

Note : La virgule est indispensable !

 

 

- Méthode n°2, nécessite un cd Xp et un cd Bootable :

http://severinterrier.free.fr/Boot/CD-Bootable.htm

http://www.clubic.com/telecharger-fiche119...te-boot-cd.html

 

1) Insérez le Cd-Rom de Windows, puis redémarrez votre ordinateur.

2) Appuyez sur n'importe quelle touche afin de démarrer à partir du Cd-Rom.

3) Appuyez sur la touche R ou F10 dés l'affichage de l'écran bleu afin d'accéder à la Console de récupération.

4) À la question : "Sur quelle installation de Windows XP voulez-vous ouvrir une session ?",

activez le pavé numérique du clavier en appuyant sur la touche Verr Num, puis saisissez le numéro de votre partition et validez par Entrée.

Par exemple: 1 pour [1] C:\WINDOWS\

5) Saisissez le mot de passe Administrateur s'il existe puis appuyez sur Entrée.

Vous vous retrouvez alors à l'écran avec le prompt : Lettre du lecteur:\WINDOWS\

Par exemple: C:\WINDOWS.

6) Saisissez ces commandes en validant chaque fois par la touche Entrée.

md tmp (afin de créer un dossier nommé tmp)

cd tmp

On effectue une copie de sauvegarde des fichiers que l'on va réparer :

copy c:\windows\system32\config\system

copy c:\windows\system32\config\software

copy c:\windows\system32\config\sam

copy c:\windows\system32\config\security

copy c:\windows\system32\config\default

copy c:\windows\system32\userinit.exe

cd ..

On supprime les fichiers system,software,sam, securite,default

cd system32

cd config

del system

del software

del sam

del security

del default

cd ..

cd system32

cd config

On copie les fichiers de sauvegardes prévus par le système d'exploitation :

copy c:\windows\repair\system

copy c:\windows\repair\software

copy c:\windows\repair\sam

copy c:\windows\repair\security

copy c:\windows\repair\default

cd ..

On supprime le fichier de gestion des utilisateurs :

del userinit.exe

expand Lettre du lecteur de Cd-Rom contenant le disque\windows:\i386\userinit.ex_ c:\windows\system32

Par exemple: expand d:\i386\userinit.ex_ c:\windows\system32

Cette commande permet de décompresser le fichier userinit.ex_ en Userinit.exe dans C:\WINDOWS\system32.

7) tapez EXIT puis appuyez sur la touche Entrée.

Insérrez le cd Xp

9) Redémarrez l'ordinateur et appuyez sur R , comme prédédemment.

Nous allons maintenant éditer le Registre Windows :

10) Saisissez le numéro de la partition visée puis appuyez sur la touche Entrée.

Par exemple : 1

pour avoir: C:\WINDOWS.

 

11) Appuyez sur la touche Entrée afin de confirmer l'emplacement des fichiers de ruche [WINDOWS/system32/config].

Votre clavier est en QWERTY…

12) Saisissez : software

Sur le clavier français appuyez sur les touches: softzqre

Attention : le respect de la casse est obligatoire.

13) Saisissez le chiffre 9 (Registry editor, now with full write support!).

Vous serez alors sur ce prompt : [1020] >.

14) Saisissez en appuyant chaque fois sur la touche Entrée en respectant bien les majuscules et minuscules ainsi que les espaces.

cd Mi

(en clavier français : cd ,i)

Vous devriez voir à l'écran HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.

À ce moment, vous pouvez taper directement : cd Windows Nt\CurrentVersion\Winlogon puis ed Userinit

Sinon continuez :

cd Windows NT (cd Zindozs NT)

cd CurrentVersion (cd CurrentVersion)

cd Winlogon (cd Zinlogon)

ed Userinit (ed Userinit)

À ce moment vérifiez qu'il y a bien indiqué ceci : C:\WINDOWS\system32\userinit.exe,

Attention : il doit y avoir une virgule !

Si c'est le cas allez directement au point n°15.

14) Saisissez sans oublier que vous êtes toujours en QWERTY et que le \ se fait avec Alt Gr et ) et que le : avec M et le , avec ;

C:\WINDOWS\system32\userinit.exe,

En appuyant sur les touches du clavier français ça donne donc : (CM AltGr ) ZINDOZS AltGr ) syste,32 AltGr ) userinit.exe;)

15) Appuyez sur la touche Entrée.

16) Appuyez sur q puis sur la touche Entrée.

17) Appuyez sur q.

18) Si vous avez fait le point n°14 appuyez sur Y sinon appuyez sur N.

About to write file(s) back! Do it? [N]:

19) Appuyez sur la touche Entrée.

20) Appuyez sur la touche Entrée.

21) Sortez le disque.

22) Appuyez sur les touches Ctrl + Alt + Suppr.

23) Appuyez sur F8 dés le démarrage du PC.

Si un message s'affiche (CD-ROM HDD...) appuyez sur Echap puis de nouveau sur F8.

24) Démarrez en mode sans échec.

Attention : un petit trait blanc va clignoter durant 1 à 2 minutes en haut de l'écran : c'est normal !

25) Les comptes Utilisateur s'affichent sur un fond noir.

26) Ouvrez le compte Administrateur.

27) Si la session s'ouvre sans faire d'histoire, vous pouvez maintenant redémarrer normalement votre ordinateur.

 

Troisième Méthode:avec UBCD4Win ou en esclave.

 

La finalité est d’accéder à la base de registre pour redéfinir la clé Winlogon modifiée par le virus .

 

Démarrer à partir du CD UBCD4Win (http://www.malekal.com//Scanner_CDLive_Ubcd4Win.php) ou brancher votre disque dur en esclave sur un ordinateur sain.

 

Méthode par UBCD4Win :

1. Une fois démarré cliquer sur le bouton START puis choisir la commande RUN…

2. Taper regedit puis valider

3. Dans la base de registre, faire un clic gauche sur la branche Hkey_Local_Machine (HKLM)

4. Cliquer sur Fichier puis Charger la ruche…

5. Dans la liste déroulante de l’emplacement en haut de la fenêtre choisir le disque local C

6. Puis aller dans le répertoire c:\windows\system32\config\

7. Choisir le fichier software

8. Donner un nom arbitraire à la clé (« monprenom » ou ce que vous voulez !)

9. Celle-ci apparait dans la base de registre sous la branche HKLM

10. Aller dans HKLM\ « monprenom »\Microsoft\WindowsNT\CurrentVersion\Winlogon

11. Faire un double-clic sur la clé Userinit (le virus laisse vide cette valeur) et entrer la valeur suivante : c:\windows\system32\userinit.exe,

12. (attention la virgule qui suit le fichier userinit.exe est très importante)

13. Valider et aller dans le menu Fichier --> Décharger la ruche…

14. Choisir Oui pour enregistrer les modifications.

15. Fermer la base de registre

16. Cliquer sur START puis « Turn off Computer »

17. Au redémarrage enlever le CD car le Pc va rebooter dessus et entrez dans votre session.

 

Quatrème méthode: avec Linux

 

Il faut créer un live cd linux et démarrer dessus.

Cela n'écrit rein dur le disque. Le contenu du CD est uniquement chargé en mémoire.

Récupérer l'image de la distribution linux ici, par exemple avec Knoppix :

http://gulus.usherbrooke.ca/pub/di [...] -04-EN.iso

La graver sur un cd (choix graver une image dans le logiciel de gravure)

Démarrer sur le cd

A l'invite boot taper knoppix lang=fr (attention le clavier est en QWERTY) puis valider par ENTREE pour passer l'interface en français

Une fois sur le bureau faire un clic droit sur l'icône symbolisant un disque dur et choisir Monter

Refaire un clic droit et choisir cette fois "Changer le mode de lecture/écriture" répondre OK à la demande de confirmation affichée

Double cliquer sur l'icône du disque et se rendre dans le dossier c:\windows\repair - clic droit sur le fichier sam COPIER

Se rendre dans le dossier c:\windows\system32\config

clic droit sur le fichier sam (celui sans extension) existant - RENOMMER en ajoutant l'extension .old

Clic droit dans un espace vierge de la fenêtre puis COLLER le fichier sam récupéré précédemment

Fermer la fenêtre - Redémarrer l'ordinateur

Enlever le cd du lecteur

 

Voir si l'accès à windows est à nouveau possible

[crn81]

Bonjour,

 

Vous avez plusieurs messages à ce propos , mais pas tous semblables.

 

J'ai répondu à l'un d'eux où vous disiez avoir accès à la session Administrateur.

 

Ici, vous dites:

La procédure à tenter sera différente, évidemment.

En voici 4:

 

Windows ne charge pas mes paramètres personnels et je retombe sur l'écran d'ouverture de session :

 

- Méthode n°1 nécessite un cd Xp:

Vous revenez sur l'écran d'ouverture de session juste après l'apparition de la fenêtre Chargement de vos paramètres personnels...

Le même problème se pose quelque soit le compte d'utilisateur sur lequel vous tentez d'ouvrir une session.

Un logiciel parasite nommé BlazeFind change les données de cette valeur (en remplaçant userinit.exe par wsaupdater.exe) tandis que certains logiciels suppriment ce fichier s'il est détecté. De ce fait, il ne vous est plus possible d'ouvrir une session dans Windows XP.

Si vous n'avez plus accès au système quelque soit le compte d'utilisateur sur lequel vous vous connecté suivez cette astuce vous permettant d'accéder au Bureau Windows en utilisant le compte SYSTEM.

1) Démarrez à partir de la Console de récupération.

2) Saisissez ces commandes :

cd system32

copy userinit.exe wsaupdater.exe

exit

3) Redémarrez normalement...

4) Cliquez sur Démarrer/Exécuter puis saisissez : regedit.

5) Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

6) Éditez une valeur chaîne nommée Userinit.

7) Saisissez comme données de la valeur ceci : C:\WINDOWS\system32\userinit.exe,

Note : La virgule est indispensable !

 

 

- Méthode n°2, nécessite un cd Xp et un cd Bootable :

http://severinterrier.free.fr/Boot/CD-Bootable.htm

http://www.clubic.com/telecharger-fiche119...te-boot-cd.html

 

1) Insérez le Cd-Rom de Windows, puis redémarrez votre ordinateur.

2) Appuyez sur n'importe quelle touche afin de démarrer à partir du Cd-Rom.

3) Appuyez sur la touche R ou F10 dés l'affichage de l'écran bleu afin d'accéder à la Console de récupération.

4) À la question : "Sur quelle installation de Windows XP voulez-vous ouvrir une session ?",

activez le pavé numérique du clavier en appuyant sur la touche Verr Num, puis saisissez le numéro de votre partition et validez par Entrée.

Par exemple: 1 pour [1] C:\WINDOWS\

5) Saisissez le mot de passe Administrateur s'il existe puis appuyez sur Entrée.

Vous vous retrouvez alors à l'écran avec le prompt : Lettre du lecteur:\WINDOWS\

Par exemple: C:\WINDOWS.

6) Saisissez ces commandes en validant chaque fois par la touche Entrée.

md tmp (afin de créer un dossier nommé tmp)

cd tmp

On effectue une copie de sauvegarde des fichiers que l'on va réparer :

copy c:\windows\system32\config\system

copy c:\windows\system32\config\software

copy c:\windows\system32\config\sam

copy c:\windows\system32\config\security

copy c:\windows\system32\config\default

copy c:\windows\system32\userinit.exe

cd ..

On supprime les fichiers system,software,sam, securite,default

cd system32

cd config

del system

del software

del sam

del security

del default

cd ..

cd system32

cd config

On copie les fichiers de sauvegardes prévus par le système d'exploitation :

copy c:\windows\repair\system

copy c:\windows\repair\software

copy c:\windows\repair\sam

copy c:\windows\repair\security

copy c:\windows\repair\default

cd ..

On supprime le fichier de gestion des utilisateurs :

del userinit.exe

expand Lettre du lecteur de Cd-Rom contenant le disque\windows:\i386\userinit.ex_ c:\windows\system32

Par exemple: expand d:\i386\userinit.ex_ c:\windows\system32

Cette commande permet de décompresser le fichier userinit.ex_ en Userinit.exe dans C:\WINDOWS\system32.

7) tapez EXIT puis appuyez sur la touche Entrée.

Insérrez le cd Xp

9) Redémarrez l'ordinateur et appuyez sur R , comme prédédemment.

Nous allons maintenant éditer le Registre Windows :

10) Saisissez le numéro de la partition visée puis appuyez sur la touche Entrée.

Par exemple : 1

pour avoir: C:\WINDOWS.

 

11) Appuyez sur la touche Entrée afin de confirmer l'emplacement des fichiers de ruche [WINDOWS/system32/config].

Votre clavier est en QWERTY…

12) Saisissez : software

Sur le clavier français appuyez sur les touches: softzqre

Attention : le respect de la casse est obligatoire.

13) Saisissez le chiffre 9 (Registry editor, now with full write support!).

Vous serez alors sur ce prompt : [1020] >.

14) Saisissez en appuyant chaque fois sur la touche Entrée en respectant bien les majuscules et minuscules ainsi que les espaces.

cd Mi

(en clavier français : cd ,i)

Vous devriez voir à l'écran HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.

À ce moment, vous pouvez taper directement : cd Windows Nt\CurrentVersion\Winlogon puis ed Userinit

Sinon continuez :

cd Windows NT (cd Zindozs NT)

cd CurrentVersion (cd CurrentVersion)

cd Winlogon (cd Zinlogon)

ed Userinit (ed Userinit)

À ce moment vérifiez qu'il y a bien indiqué ceci : C:\WINDOWS\system32\userinit.exe,

Attention : il doit y avoir une virgule !

Si c'est le cas allez directement au point n°15.

14) Saisissez sans oublier que vous êtes toujours en QWERTY et que le \ se fait avec Alt Gr et ) et que le : avec M et le , avec ;

C:\WINDOWS\system32\userinit.exe,

En appuyant sur les touches du clavier français ça donne donc : (CM AltGr ) ZINDOZS AltGr ) syste,32 AltGr ) userinit.exe;)

15) Appuyez sur la touche Entrée.

16) Appuyez sur q puis sur la touche Entrée.

17) Appuyez sur q.

18) Si vous avez fait le point n°14 appuyez sur Y sinon appuyez sur N.

About to write file(s) back! Do it? [N]:

19) Appuyez sur la touche Entrée.

20) Appuyez sur la touche Entrée.

21) Sortez le disque.

22) Appuyez sur les touches Ctrl + Alt + Suppr.

23) Appuyez sur F8 dés le démarrage du PC.

Si un message s'affiche (CD-ROM HDD...) appuyez sur Echap puis de nouveau sur F8.

24) Démarrez en mode sans échec.

Attention : un petit trait blanc va clignoter durant 1 à 2 minutes en haut de l'écran : c'est normal !

25) Les comptes Utilisateur s'affichent sur un fond noir.

26) Ouvrez le compte Administrateur.

27) Si la session s'ouvre sans faire d'histoire, vous pouvez maintenant redémarrer normalement votre ordinateur.

 

Troisième Méthode:avec UBCD4Win ou en esclave.

 

La finalité est d’accéder à la base de registre pour redéfinir la clé Winlogon modifiée par le virus .

 

Démarrer à partir du CD UBCD4Win (http://www.malekal.com//Scanner_CDLive_Ubcd4Win.php) ou brancher votre disque dur en esclave sur un ordinateur sain.

 

Méthode par UBCD4Win :

1. Une fois démarré cliquer sur le bouton START puis choisir la commande RUN…

2. Taper regedit puis valider

3. Dans la base de registre, faire un clic gauche sur la branche Hkey_Local_Machine (HKLM)

4. Cliquer sur Fichier puis Charger la ruche…

5. Dans la liste déroulante de l’emplacement en haut de la fenêtre choisir le disque local C

6. Puis aller dans le répertoire c:\windows\system32\config\

7. Choisir le fichier software

8. Donner un nom arbitraire à la clé (« monprenom » ou ce que vous voulez !)

9. Celle-ci apparait dans la base de registre sous la branche HKLM

10. Aller dans HKLM\ « monprenom »\Microsoft\WindowsNT\CurrentVersion\Winlogon

11. Faire un double-clic sur la clé Userinit (le virus laisse vide cette valeur) et entrer la valeur suivante : c:\windows\system32\userinit.exe,

12. (attention la virgule qui suit le fichier userinit.exe est très importante)

13. Valider et aller dans le menu Fichier --> Décharger la ruche…

14. Choisir Oui pour enregistrer les modifications.

15. Fermer la base de registre

16. Cliquer sur START puis « Turn off Computer »

17. Au redémarrage enlever le CD car le Pc va rebooter dessus et entrez dans votre session.

 

Quatrème méthode: avec Linux

 

Il faut créer un live cd linux et démarrer dessus.

Cela n'écrit rein dur le disque. Le contenu du CD est uniquement chargé en mémoire.

Récupérer l'image de la distribution linux ici, par exemple avec Knoppix :

http://gulus.usherbrooke.ca/pub/di [...] -04-EN.iso

La graver sur un cd (choix graver une image dans le logiciel de gravure)

Démarrer sur le cd

A l'invite boot taper knoppix lang=fr (attention le clavier est en QWERTY) puis valider par ENTREE pour passer l'interface en français

Une fois sur le bureau faire un clic droit sur l'icône symbolisant un disque dur et choisir Monter

Refaire un clic droit et choisir cette fois "Changer le mode de lecture/écriture" répondre OK à la demande de confirmation affichée

Double cliquer sur l'icône du disque et se rendre dans le dossier c:\windows\repair - clic droit sur le fichier sam COPIER

Se rendre dans le dossier c:\windows\system32\config

clic droit sur le fichier sam (celui sans extension) existant - RENOMMER en ajoutant l'extension .old

Clic droit dans un espace vierge de la fenêtre puis COLLER le fichier sam récupéré précédemment

Fermer la fenêtre - Redémarrer l'ordinateur

Enlever le cd du lecteur

 

Voir si l'accès à windows est à nouveau possible