Gros problèmes XP Pro depuis plus d'un mois !

[pear]

Bonsoir,

 

Un boot normal serait ceci:

 

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWM

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWM="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

"Console de r‚cup‚ration Microsoft Windows XP" /cmdcons

[pottepei]

Re-Bonsoir,

 

Rien à faire !!! J'ai tout essayé...

 

Le seul boot.ini qui ressemble est :

 

[boot loader]

redirect=use

redirectbaudrate=biossettings

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWM

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWM="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /TUTag=WXKELU

="Console de r‚cup‚ration Microsoft Windows XP" /cmdcons

 

mais en cliquant sur la console, il ne se passe rien, et l'ordi reboote !

 

Avec ton boot, pear, cela ressemble, mais j'ai juste comme texte "de récupération" et rien ne se passe non plus !!!

 

Le cas me parait de plus en plus désespéré.....

[pottepei]

CA Y EST !!! J'ai la console de récupération : j'ai "triché" : j'avais bien trouvé un "nouveau" répertoire intitulé (comme dans le log) C:\$WIN_NT$.~BT\

 

Je l'ai renommé en C:\CMDCONS et j'ai fait un boot.ini, comme suit :

 

[boot loader]

redirect=use

redirectbaudrate=biossettings

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWM

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWM="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /TUTag=WXKELU

C:\CMDCONS\BOOTSECT.DAT="Console de r‚cup‚ration Microsoft Windows XP" /cmdcons

 

et tout ok... et il ne demande efectivement pas le mot de passe de l'Admin : maintenant, je ne vois toujours pas beaucoup l'importance de cette console, sachant qu'en reboot F8, on a la possibilité de se retrouver dans le DOS aussi... soit !

 

L'affaire avance donc enfin... et je reprends où j'étais arrêté initialement avec pear, à savoir :

 

Saisissez tout d'abord la commande Set.

Ces commandes vont apparaître :

* AllowWildCards = FALSE

* AllowAllPaths = FALSE

* AllowRemovableMedia = FALSE

* NoCopyPrompt = FALSE

* Vous ne pouvez donc pas utiliser les extensions de commande (par exemple Del pour Delete) : "Le paramètre n'est pas valide. Essayez le commutateur /? Pour obtenir de l'aide."

* Vous ne pouvez pas parcourir les arborescences de votre disque dur : "Accès refusé".

* Vous ne pouvez pas accéder à des lecteurs amovibles comme un lecteur de disquettes.

* Vous ne pouvez pas copier des fichiers ou des dossiers.

Saisissez alors, en validant chaque commande par la touche Entrée :

* set allowwildcards = true

* Set allowallpaths = true

* Set allowremovablemedia = true

* NoCopyPrompt = true

 

Là, je ne pige pas où placer cette commande "SET" ??? Si c'est via le console de commandes, j'obtiens bien les 4 premières lignes en DOS, mais dès que je fais "Set Allowwildcards = TRUE", j'ai le message suivant :

 

La commande SET est pour l'instant désactivée.

La commande SET est une commande optionnelle de récupération qui ne peut être activée qu'en utilisant le composant logiciel enfichable d'analyse et configuration de la sécurité.

 

Du blabla, mais quid ????

Modifié le 7 novembre 2008 par pottepei

[bleuet]

CA Y EST !!! J'ai la console de récupération : j'ai "triché" : j'avais bien trouvé un "nouveau" répertoire intitulé (comme dans le log) C:\$WIN_NT$.~BT\

 

Je l'ai renommé en C:\CMDCONS et j'ai fait un boot.ini, comme suit :

 

 

 

et tout ok... et il ne demande efectivement pas le mot de passe de l'Admin : maintenant, je ne vois toujours pas beaucoup l'importance de cette console, sachant qu'en reboot F8, on a la possibilité de se retrouver dans le DOS aussi... soit !

 

L'affaire avance donc enfin... et je reprends où j'étais arrêté initialement avec pear, à savoir :

 

 

 

Là, je ne pige pas où placer cette commande "SET" ??? Si c'est via le console de commandes, j'obtiens bien les 4 premières lignes en DOS, mais dès que je fais "Set Allowwildcards = TRUE", j'ai le message suivant :

 

 

 

Du blabla, mais quid ????

 

 

Salut,

 

L'info dans le boot.ini ":TUTag=WXKELU" est une inscription de T.U.Utilities. (WXKELU peut varier..).Il est logiquement suivi de /kernel=TUKernel.exe qui là a bien été supprimé.

Une seconde ligne concernant (TuneUp Backup), reprend TUTag=WXKELU ( ou autres lettres) suivi de -BAK

Comme tu l'as désinstallé, il a donc laissé des restes.

Lorsque T.U.U. est désinstallé correctement par ajout/suppression de programmes, le boot.ini supprime les mentions T.U.U. qui pourraient y être inscrites pour permettre de redémarrer sur les configurations Windows.

 

[pear]

Bonjour,

 

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]

"SetCommand"=dword:00000001

"SecurityLevel"=dword:00000001

 

 

Autoriser l'utilisation de la commande SET alors que l'accès au Bureau Windows n'est plus possible

 

Nous pouvons nous retrouver dans la situation où l'utilisation de la commande SET est désactivée, mais où nous n'avons plus accès au système et donc au Registre Windows. Fort heureusement, il y a une solution de contournement :

Téléchargez le fichier bd040116.zip à l'adresse suivante : http://home.eunet.no/~pnordahl/ntpasswd. Vous pouvez aussi bien créer un CD-Rom bootable en téléchargeant cette archive ZIP : cd040116.zip. Décompressez les fichiers à l'emplacement de votre choix. Préparez une disquette soigneusement formatée.

1) Cliquez sur Démarrer/Exécuter, puis saisissez : cmd.

2) Placez-vous dans le dossier où sont rangés les fichiers.

3) Saisissez cette commande : rawrite2 -f bd040116.bin -d A:. Insérez une disquette et validez par la touche Entrée.

4) Redémarrez à partir de la disquette que vous avez créée.

Les réponses sont en quelque sorte préétablies :

Disk select ? La partition sur laquelle votre système est installé sera automatiquement sélectionnée.

5) Appuyez donc sur la touche Entrée.

Where's the Windows system located? Dans votre cas, ce sera généralement ceci : windows/system32/config.

6) Là aussi, validez en appuyant sur la touche Entrée.

7) Appuyez sur la touche 3 : RecoveryConsole settings.

Vous obtiendrez ce message :

Recovery Console :

- Extended SET Command is DISABLED (0)

- Administrator password login : ENFORCED (0)

Do you want to change it (y/n) [n]

Appuyez sur la touche Y.

Un message viendra confirmer le succès de l'opération : Done!

Le message suivant apparaît : About to write file(s) back! Do it? [n].

9) Appuyez sur la touche Y.

Le message suivant apparaît : You can try again if it somehow failed, or you selected wrong - New run? [n] :.

10) Appuyez sur la touche N.

11) Appuyez simultanément sur les touches Ctrl+Alt+Suppr afin de redémarrer votre ordinateur.

N'oubliez pas de retirer la disquette du lecteur.

Modifié le 8 novembre 2008 par pear

[pottepei]

pour pear :

 

* set allowwildcards = true

* Set allowallpaths = true

* Set allowremovablemedia = true

* NoCopyPrompt = true

 

FAIT et réussi ! J'ai aussi remplacé le ntdll.dll (l'original sur mon PC était de 714Ko datant du 14/4/2008) par celui du CD original, 216Ko du 5/8/2004, mais aucun changement ! Toujours mêmes pbs...

 

pour bleuet :

 

boot.ini maintenant correct :

 

[boot loader]

redirect=use

redirectbaudrate=biossettings

timeout=10

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWM

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWM="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

C:\CMDCONS\BOOTSECT.DAT="Console de r‚cup‚ration Microsoft Windows XP" /cmdcons

 

j'ai ramené le timeout exprès à 10 secondes, mais la console fonctionne nickel et le SET est bien activé !

 

Je ne comprends toujours pas pourquoi l'explorer.exe continue à m'indiquer l'erreur de "Explorer.exe Microsoft Visual C+

Runtime Error

c:\windows\explorer.exe

abnormal program termination"

 

lorsque recherches sur le DD externe et pourquoi l'option de "restaurer les répertoires ouverts lors de la prochaine session" ne fonctionne pas, bien que cochée...

 

Enfin, ESET m'a signalé de nouvelles tentatives d'intrusion :

7/11/2008 19:20:52 Attaque par empoisonnement de cache DNS détectée 192.168.1.1:53 192.168.1.2:56494 UDP

7/11/2008 19:20:49 Attaque par empoisonnement de cache DNS détectée 192.168.1.1:53 192.168.1.2:56494 UDP

7/11/2008 19:20:46 Attaque par empoisonnement de cache DNS détectée 192.168.1.1:53 192.168.1.2:56494 UDP

7/11/2008 19:20:45 Attaque par empoisonnement de cache DNS détectée 192.168.1.1:53 192.168.1.2:56494 UDP

7/11/2008 19:20:44 Attaque par empoisonnement de cache DNS détectée 192.168.1.1:53 192.168.1.2:56494 UDP

 

[pear]

J'ai aussi remplacé le ntdll.dll (l'original sur mon PC était de 714Ko datant du 14/4/2008) par celui du CD original, 216Ko du 5/8/2004, mais aucun changement !

 

Je crois qu'il aurait été préférable d'en chercher un plus récent ,sur le web, par exemple sur Dll-files.com.

 

ESET m'a signalé de nouvelles tentatives d'intrusion :

C'est la fameuse faille dns dont on a tant parlé.

Microsoft a publié un patch en juillet, me semble-t-il.

[bleuet]

pour pear :

 

 

 

FAIT et réussi ! J'ai aussi remplacé le ntdll.dll (l'original sur mon PC était de 714Ko datant du 14/4/2008) par celui du CD original, 216Ko du 5/8/2004, mais aucun changement ! Toujours mêmes pbs...

 

pour bleuet :

 

boot.ini maintenant correct :

 

 

 

j'ai ramené le timeout exprès à 10 secondes, mais la console fonctionne nickel et le SET est bien activé !

 

Je ne comprends toujours pas pourquoi l'explorer.exe continue à m'indiquer l'erreur de "Explorer.exe Microsoft Visual C+

Runtime Error

c:\windows\explorer.exe

abnormal program termination"

 

lorsque recherches sur le DD externe et pourquoi l'option de "restaurer les répertoires ouverts lors de la prochaine session" ne fonctionne pas, bien que cochée...

 

Enfin, ESET m'a signalé de nouvelles tentatives d'intrusion :

 

 

 

 

Re....

 

 

As-tu posté un rapport HijacKthis sur le forum sécurité ? Tu dois avoir un malveillant caché dans l'OS.

>> citation Wikipédia" >

 

L'empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu'ils reçoivent une requête valide tandis qu'elle est frauduleuse. Une fois que le serveur DNS a été empoisonné, l'information est mise dans une cache, rendant ainsi vulnérable tous les utilisateurs de ce serveur. Ce type d'attaque permet, par exemple, d'envoyer un utilisateur vers un faux site dont le contenu peut servir à de l'hameçonnage (dans le cas du DNS, on parle pharming) ou comme vecteur de virus et autres applications malveillantes.

 

Un ordinateur présent sur Internet utilise normalement un serveur DNS géré par le fournisseur d'accès. Ce serveur DNS est la plupart du temps limité aux seuls utilisateurs du réseau du fournisseur d'accès et son cache contient une partie des informations rapatriées par le passé. Une attaque par empoisonnement sur un seul serveur DNS du fournisseur d'accès peut affecter l'ensemble de ses utilisateurs, soit directement ou indirectement si des serveurs esclaves s'occupent de propager l'information.

 

[pottepei]

mon rapport hijackthis chez www.hijackthis.de n'est pas si mauvais que cela (je rappelle que spybot n'a rien trouvé!) :

 

3 croix rouge :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///F:/mes%20photos/modele%20psp/termine/essaitout.htm :

cela, c'est une page htm, dans mon DD, que j'ai faite il y a plus de 2 ans et qui consiste à des miniatures en jpg avec liens vers des sites que j'utilise souvent : elle ne sait en aucun cas être infectée... vu que c'est elle que j'ai placée comme page d'accueil de mon IE7 et que celui-ci est sécurisé, il est normal que, depuis 2 ans, j'ai le message d'alerte IE "Pour vous aider à protéger votre ordinateur, Internet Explorer a restreint des scripts ou des Contrôles ActiveX de cette page Web qui pourraient accéder à votre ordinateur"....

 

O1 - Hosts: 66.98.148.65 auto.search.msn.com

 

O1 - Hosts: 66.98.148.65 auto.search.msn.es

 

par contre, ces 2 autres peuvent être supprimés sans pb , mais comment ? via le fichier Hosts de Windows ?

 

Pour le reste, que des verts ou des points d'interrogation de prgs que je connais...

[bleuet]

mon rapport hijackthis chez www.hijackthis.de n'est pas si mauvais que cela (je rappelle que spybot n'a rien trouvé!) :

 

3 croix rouge :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///F:/mes%20photos/modele%20psp/termine/essaitout.htm :

cela, c'est une page htm, dans mon DD, que j'ai faite il y a plus de 2 ans et qui consiste à des miniatures en jpg avec liens vers des sites que j'utilise souvent : elle ne sait en aucun cas être infectée... vu que c'est elle que j'ai placée comme page d'accueil de mon IE7 et que celui-ci est sécurisé, il est normal que, depuis 2 ans, j'ai le message d'alerte IE "Pour vous aider à protéger votre ordinateur, Internet Explorer a restreint des scripts ou des Contrôles ActiveX de cette page Web qui pourraient accéder à votre ordinateur"....

 

O1 - Hosts: 66.98.148.65 auto.search.msn.com

 

O1 - Hosts: 66.98.148.65 auto.search.msn.es

 

par contre, ces 2 autres peuvent être supprimés sans pb , mais comment ? via le fichier Hosts de Windows ?

 

Pour le reste, que des verts ou des points d'interrogation de prgs que je connais...

 

 

Re....

 

Sans vouloir te contrarier, je ne suis pas certain - à parcourir le forum sécurité et autres forums - que Spybot S & D soit maintenant la référence de top niveau.

Tu pourrais faire 1 scan MBAM. Tu es au "volant" de ton PC. Si tu juges que "tout baigne"......

Les 2 lignes 01. : en les fixant dans hijackthis ou par le fichier hosts en les supprimant.