Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Où trouver la clé Windows dans la base de registre ?

mediaforest

Par mediaforest
dans Optimisation, Trucs & Astuces

 Partager

Messages recommandés

mediaforest Mega Power Member

mediaforest

Posté(e)
Posté(e)

Bonjour à tous,

Samedi dernier, un sale virus m'a complètement planté deux pcs : écran bleu au démarrage que ce soit en mode normal ou en mode sans échec, seule solution qui me reste réinstaller windows en mode réparation. Le seul problème, c'est que je ne retrouve plus ma clé d'installation de Windows XP pro.

Je sais bien qu'il existe de nombreux outils comme RockXP, Cain & Abel pour récupérer cette clé, et que l'on trouve cette info dans Aida ou dans Everest, le seul problème c'est que pour lancer ces outils, il faut déjà être dans windows, ce qui est impossible dans mon cas. J'ai même essayé en bootant avec un livecd Bouldows, qui contient justement RockXP, malheureusement ça ne fonctionne pas car celui-ci analyse la base de registre intégrée à Bouldows mais pas celle du système planté.

Je voudrais donc savoir où tous ces outils vont chercher cette clé d'installation pour pouvoir la récupérer à la main.

 

Merci pour toutes les informations que vous pourrez me fournir à ce sujet.

KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)

Habituellement, la "clé" est soit dans la boite de Windows, soit sur un autocollant collé à ton PC, et compte tenu du prix de ces deux choses, j'ai du mal à comprendre comment tu aurais pu les perdre...

mediaforest Mega Power Member

mediaforest

Posté(e)
  • Auteur
Posté(e) (modifié)
Habituellement, la "clé" est soit dans la boite de Windows, soit sur un autocollant collé à ton PC, et compte tenu du prix de ces deux choses, j'ai du mal à comprendre comment tu aurais pu les perdre...

Tout simplement parce que mes PCs, un portable et un fixe HPcompaq achetés au centre Evelyne Leclerc étaient livrés avec un Vista Premium 64 bits pré-installé, l'étiquette collée dessus correspondant à ce système.

Par chance ils étaient livrés avec dans le paquet un cd windows XP Pro et un DVD d'utilitaires HPcompaq pour XP Pro. Vista étant une grosse mouise je l'ai tout de suite désinstallé (après avoir réalisé, au cas ou, la sauvegarde préconisée par le constructeur) pour le remplacer par XP. Bizarrement lors de la première install aucune clé ne m'a été demandée, alors que pour ré-installer oui.

Modifié par mediaforest
KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)

Ah ouais, je vois le bazar.... J'ai le même chez moi : PC acheté avec une licence Vista donc autocollant Vista, mais préinstallé (option "downgrade") en XP Pro, fourni avec CD de restauration XP Pro et cd de restauration Vista mais pas la moindre clé XP à l'horizon (mais comme je ne suis pas du genre à réinstaller je ne me fais pas de souci)

lors de la première install aucune clé ne m'a été demandée, alors que pour ré-installer oui
D'une, c'est très étrange.

De deux, j'ai comme un doute que la clé que tu n'as pas saisi lors de la première install fonctionne lorsqu'il te demande une clé aux installations suivantes...

 

Je ne peux que compatir à ton malheur...

 

Quoique, si tu arrives à retrouver les fichiers contenant la base de registre, peut-être qu'il existe un éditeur de registre qui fonctionne à partir des fichiers et non d'un Windows "vivant" : regarde dans \windows\system32\config et \Documents and Settings\{username} ( http://www.annoyances.org/exec/show/registry )

Berfizan Godlike Member

Berfizan

Posté(e)
Posté(e) (modifié)

Bonsoir

 

Il y a Winfokeys qui est capable d'aller chercher une clé sur un disque monté en esclave sur une autre machine opérationnelle.

 

2gwazvc.jpg

Modifié par Berfizan
mediaforest Mega Power Member

mediaforest

Posté(e)
  • Auteur
Posté(e)

Merci beaucoup pour vos réponses.

Entre temps j'ai trouvé un utilitaire équivalent : keyfinder

http://sourceforge.net/projects/keyfinder/

Product Overview
----------------
The Magical Jelly Bean Keyfinder is a freeware utility that retrieves
your Product Key used to install windows from your registry or from an
unbootable Windows installation.
It works on Windows 95, 98, ME, NT, 2000 and XP.
It has options to save the keys to a text file, or print them out.

J'ai pu le lancer depuis Bouldows, sans avoir à démonter mes disques et j'ai pu récupérer mes clés. Et effectivement elles sont décrites par Keyfinder comme "OEM media Key".

 

Sur le site de keyfinder, il est expliqué que la clé est bien stockée dans la base de registre, mais sous forme cryptée, l'algorithme de cryptage étant réversible, c'est ainsi que ce type d'outil récupère la clé originale.

 

J'ai ainsi pu lancer la réparation de windows, qui s'est bien déroulée jusqu'au premier re-démarrage, et là le même écran bleu qu'avant :P

En résumé, l'erreur est PROCESS1_INITIALIZATION_FAILED le premier code est 6B et le deuxième 0xC000007A

d'après ce que j'ai pu trouver c'est soit un problème de matériel, soit un problème de fichiers systèmes absents ou corrompus.

 

On peut déjà éliminer le problème matériel puisque j'ai le même message sur deux machines dont les composants sont totalement différents.

Et puis comme j'ai trouvé des exécutables louches sur ma clé usb c'est bien lié au virus que j'ai attrapé.

Le problème c'est que jusqu'à ce que je le signale aux éditeurs, ce virus était inconnu excepté par DR Web, on ne sait donc pas encore exactement ce qu'il fait. A présent il est détecté par la plupart des antivirus d'après virusscan.jotti.org

(http://virusscan.jotti.org/fr/scanresult/028dfb3f1c5a7af613751d2c2a76d51fb19c3c65)

Scanners
[ArcaVir] 	
2009-07-22 Rien trouvé
[G DATA] 	
2009-07-23 Win32:AutoRun-AYY
[A-Squared] 	
2009-07-23 Virus.Win32.AutoRun!IK
[Ikarus] 	
2009-07-23 Virus.Win32.AutoRun
[Avast! antivirus] 	
2009-07-22 Win32:AutoRun-AYY
[Kaspersky Anti-Virus] 	
2009-07-23 Rien trouvé
[Grisoft AVG Anti-Virus] 	
2009-07-22 VB.2.J
[ESET NOD32] 	
2009-07-22 Win32/AutoRun.VB.FB worm
[Avira AntiVir] 	
2009-07-23 Rien trouvé
[Norman Virus Control] 	
2009-07-22 Rien trouvé
[Softwin BitDefender] 	
2009-07-23 Rien trouvé
[Panda Antivirus] 	
2009-07-22 Rien trouvé
[ClamAV] 	
2009-07-23 Rien trouvé
[Quick Heal] 	
2009-07-23 Rien trouvé
[CPsecure] 	
2009-07-23 Troj.Downloader.W32.Small.ivo
[Sophos] 	
2009-07-23 Troj/Drop-DB
[Dr.Web] 	
2009-07-23 Win32.HLLW.Autoruner.7225
[VirusBlokAda VBA32] 	
2009-07-22 Rien trouvé
[Frisk F-Prot Antivirus] 	
2009-07-22 Rien trouvé
[VirusBuster] 	
2009-07-22 Rien trouvé
[F-Secure Anti-Virus] 	
2009-07-23 Rien trouvé

Le virus que j'ai envoyé a été analysé par threatexpert.com (http://www.threatexpert.com/report.aspx?md5=68d8db412e1bb6e24d9302654287a6b5)

Mais la description de son action ne va pas très loin à part le fait qu'il ouvre un port 1033 et qu'il se connecte à ns1.theimageparlour.net:8000...

 

Je suis un peu désemparé ça fait depuis samedi que je suis sur ce problème et ça n'avance pas beaucoup et comme toi KewlCat, je ne suis pas du genre à tout ré-installer et surtout pas à formater.

Pang Godlike Member

Pang

Posté(e)
Posté(e)

Bonjour,

 

Je suis un peu désemparé ça fait depuis samedi que je suis sur ce problème et ça n'avance pas beaucoup et comme toi KewlCat, je ne suis pas du genre à tout ré-installer et surtout pas à formater.
Pourtant, en repartant d'une installation fraiche et propre tu aurais gagné du temps, voir de l'argent si ces machines sont en productions...
mediaforest Mega Power Member

mediaforest

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonjour,

 

Pourtant, en repartant d'une installation fraiche et propre tu aurais gagné du temps, voir de l'argent si ces machines sont en productions...

Ce sont des postes perso, donc ce n'est pas trop critique. Mon problème c'est que je dois avoir 10000 softs installés sur chaque machine, alors le temps de tout réinstaller et reconfigurer, j'en aurai pour quelques mois :P

 

Je continue donc ma chasse au virus, j'ai donc ouvert depuis une debian la page indiquée par threatexpert : http://ns1.theimageparlour.net:8000/

j'y trouve le texte suivant : 

:.dl http://cuimage.cn/dat/ iexplore.exe

j'ai donc ouvert cette page et elle me renvoie un fichier codec.exe à télécharger. Je l'ai testé sur virusscan.jotti.org qui me répond : 

[ArcaVir] 	
2009-07-22 Rien trouvé
[G DATA] 	
2009-07-23 Rien trouvé
[A-Squared] 	
2009-07-23 Trojan.Win32.VB!IK
[Ikarus] 	
2009-07-23 Trojan.Win32.VB
[Avast! antivirus] 	
2009-07-22 Rien trouvé
[Kaspersky Anti-Virus] 	
2009-07-23 Trojan.Win32.VB.tdq
[Grisoft AVG Anti-Virus] 	
2009-07-22 Rien trouvé
[ESET NOD32] 	
2009-07-22 Win32/TrojanDownloader.VB.OBF
[Avira AntiVir] 	
2009-07-23 TR/VB.tdq.10
[Norman Virus Control] 	
2009-07-22 Rien trouvé
[Softwin BitDefender] 	
2009-07-23 Rien trouvé
[Panda Antivirus] 	
2009-07-22 Rien trouvé
[ClamAV] 	
2009-07-23 Rien trouvé
[Quick Heal] 	
2009-07-23 Trojan.VB.tdq
[CPsecure] 	
2009-07-23 Rien trouvé
[Sophos] 	
2009-07-23 Rien trouvé
[Dr.Web] 	
2009-07-23 Rien trouvé
[VirusBlokAda VBA32] 	
2009-07-22 Rien trouvé
[Frisk F-Prot Antivirus] 	
2009-07-22 Rien trouvé
[VirusBuster] 	
2009-07-22 Rien trouvé
[F-Secure Anti-Virus] 	
2009-07-23 Trojan.Win32.VB.tdq

Modifié par mediaforest
mediaforest Mega Power Member

mediaforest

Posté(e)
  • Auteur
Posté(e)
tu devrais notifier ton probleme dans cette section pour tes bins de virus:

 

http://forum.zebulon.fr/analyse-rapports-h...lwares-f51.html

 

http://forum.zebulon.fr/procedure-de-deman...ge-t138211.html

Bonjour, tu as raison, la discussion actuelle ne correspond plus du tout au titre :P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...