Windows XP ne demarre plus

[bleuet]

Ah, tu as raison. Je vais du reste m'en prendre un à titre préventif

 

On a eu la même idée.

 

Je te passe par MP une colle concernant un MBR. J'aimerais bien ton sentiment.

 

Attention : tu auras peut être besoin d'un autre apéro de réconfort !

 

Bleuet (24/04/2011)

[Tibonhomme]

Bonsoir à vous 2,

 

@ bleuet,

 

Répondu par MP.

 

 

@ NickCouk,

 

Tout d'abord,

 

Alors dans le dossier "Windows/system32/config", voila les info:

- default........2011-04-14; 23:18............262.1KB

- SAM........2011-04-21; 18:33............24.6KB

- SECURITY........2011-04-21; 18:33............45.1KB

- software........2011-04-21; 18:33............25.2MB

- system........2011-04-23; 13:44............4.2MB

 

J'ai vérifié. J'avais un petit souci sur la correspondance des heures mais finalement c'est bon. Les fichiers SAM, SECURITY, software et system sont bien ceux que je t'ai fait restaurer.

Ils correspondent donc au point de restauration RP95 (RP = Restore Point)

Il semble que nous ayons un léger décalage, non ?

 

 

On va tenter une première chose : l'objectif est de remettre un dossier default en accord de date avec les autres dossiers dans mnt\sda1\Windows\system32\config.

Suis bien toutes les étapes de cette procédure. Si tu éprouves des difficultés sur un point particulier, stoppe la procédure et informe-moi.

 

Important : imprime cette procédure pour pouvoir la suivre aisément.

 

Sur le PC malade

• Insère le CD xPud
  
• Démarre l'ordinateur à partir du CD
  N.B. : Assure-toi que l'ordinateur est paramétré pour démarrer sur le CD - la touche [F12] permet généralement d'avoir accès au menu de boot (ou parfois les touches [F11], [F9], [Esc] ou [Del]) - Regarder ce qui est indiqué en bas de l'écran de démarrage
  
• L'écran de configuration xPUD apparaît, sélectionne la langue puis appuie sur [Entrée]
  N.B. : Attends patiemment que le système se charge, cela peut prendre quelques dizaines de secondes
  
• L'écran de Bienvenue sur xPUD s'affiche, clique sur Fichier à gauche
  N.B. : Si les icônes sont affichées en français, les menus et sous-menus du système et des applications sont en anglais.
  
• Dans la liste des dossiers sous File System, clique sur le > à côté du dossier mnt pour le développer
  
• Clique sur sda1 (ta partition système)
   
  Etape 1
   
  
• Double-clique sur le dossier Windows dans la fenêtre principale
  
• Double-clique sur le dossier system32
  
• Double-clique sur le dossier config
  
• Clic droit sur le dossier default / sélectionne Rename (renommer) ---> renomme le default.old
  Attention : ne te trompe pas de fichier.
  Ne supprime pas ce fichier. Il nous faut en conserver une copie au cas où, d'où le changement de nom.
  
• Vérifie que le dossier est bien renommé.
   
  Etape 2
   
  
• Revient au dossier mnt\sda1\Windows
  Pour revenir au dossier parent, utilise la flèche verte verticale (sous la barre de Menu)
  Pour visualiser les dossiers sous forme d'icônes, clique sur View (en haut) / sélectionne View as Icons
   
  
• Double-clique sur System Volume Information dans la fenêtre principale
  
• Double-clique sur le dossier _restore{xxxxx} (xxxxx représente une suite de caractères alphanumériques séparés par des tirets)
  
• Afin de mieux visualiser les dossiers contenus et voir certaines propriétés :
  Clique sur View (en haut) / sélectionne View as Detailed List
  
• La fenêtre d'affichage est transformée en tableau. Clique sur Last Modification afin de classer les dossiers par ordre chronologique.
  
• Des dossiers RP sont listés
  
• Double-clique sur le dossier RP95 qui doit être daté 2011-04-02
  
• Double-clique sur le dossier snapshot
  
• Clique sur Name afin de classer les dossiers par ordre alphabétique
  
• Clic droit sur le dossier _REGISTRY_USER_.default / sélectionne Copy (copier)
  Attention : ne te trompe pas de fichier.
   
  Etape 3
   
  
• Revient au dossier mnt\sda1\Windows
  Pour revenir au dossier parent, utilise la flèche verte verticale (sous la barre de Menu)
  Pour visualiser les dossiers sous forme d'icônes, clique sur View (en haut) / sélectionne View as Icons
   
  
• Double-clique sur le dossier Windows dans la fenêtre principale
  
• Double-clique sur le dossier system32
  
• Double-clique sur le dossier config
  
• Clic droit dans un endroit vide du dossier config / sélectionne Paste (coller)
  
• Vérifie que c'est bien le dossier _REGISTRY_USER_.default
  
• Clic droit sur le dossier _REGISTRY_USER_.default / sélectionne Rename (renommer) ---> renomme le default
  
• Vérifie que le dossier est bien renommé.
   
  
• Clique sur Accueil dans la fenêtre de gauche
  
• Clique sur Eteindre dans la fenêtre principale
  
• Ote le CD <-- Important, sinon l'ordinateur redémarre sur l'environnement xPUD.
  
• Clique sur Redémarrer
  
• Laisse l'ordinateur redémarrer normalement.

 

 

Dis-moi si cela fonctionne.

Si cela fonctionne, vérifie si ton ancien mot de passe est toujours présent.

 

Sinon, nous essaierons autre chose.

 

@+

[NickCouk]

Bonsoir !

 

J'ai vérifié. J'avais un petit souci sur la correspondance des heures mais finalement c'est bon. Les fichiers SAM, SECURITY, software et system sont bien ceux que je t'ai fait restaurer.

Ils correspondent donc au point de restauration RP95 (RP = Restore Point)

Il semble que nous ayons un léger décalage, non ?

Probablement... un decalage de 6 heures, je pense

 

On va tenter une première chose : l'objectif est de remettre un dossier default en accord de date avec les autres dossiers dans mnt\sda1\Windows\system32\config.

Dis-moi si cela fonctionne.

Si cela fonctionne, vérifie si ton ancien mot de passe est toujours présent.

Voila... j'ai remplace le fichier "default" de "config" par celui de "RP95"... mais desole... au re-demarrage, j'ai encore le meme message:

"L'instruction a "0x01007c3b" emploie l'adresse memoire "0x909a09f0". La memoire ne peut pas etre "written".

Cliquez sur OK pour terminer le programme.

Cliquez sur Annuler pour deboguer le programme"

 

Sinon, le mot de passe semble OK (admin du moins, quand je passe par le CD de recup pour aller a la console...).

 

... ben, merci en tout cas de persister à m'aider

 

A+

N.

[Tibonhomme]

Bonjour NickCouk,

 

Probablement... un decalage de 6 heures, je pense

 

Ceci explique cela.

 

Voila... j'ai remplace le fichier "default" de "config" par celui de "RP95"...

 

Sinon, le mot de passe semble OK (admin du moins, quand je passe par le CD de recup pour aller a la console...).

 

Bien ! Pour l'erreur persistante, nous allons explorer une autre piste.

Peut-être y a-t-il une défaillance du fichier d'échange Windows.

 

Effectue la procédure ci-dessous :

 

• Accède aux Options de démarrage avancées, en général par la touche [F8] au démarrage (ou autre touche suivant le PC)
   
  Option 1 - le MSE est utilisable
   
  
• Sélectionne Mode sans échec avec prise en charge réseau avec le pavé des flèches puis appuie sur [Entrée]
  
• Patiente le temps du chargement, cela peut prendre quelques dizaines de secondes
  
• Sélectionne ta session
  
• Menu Démarrer / Exécuter
  
• Dans la fenêtre qui s'ouvre, tape regedit puis appuie sur [Entrée]
   
  Si cela ne fonctionne pas :
   
  
• Sélectionne Mode sans échec avec le pavé des flèches puis appuie sur [Entrée]
  
• Patiente le temps du chargement, cela peut prendre quelques dizaines de secondes
  
• Sélectionne ta session
  
• Menu Démarrer / Exécuter
  
• Dans la fenêtre qui s'ouvre, tape regedit puis appuie sur [Entrée]
   
  Option 2 - le MSE n'est pas utilisable
   
  
• Sélectionne Invite de commande en mode sans échec avec le pavé des flèches
  
• Patiente le temps du chargement, cela peut prendre quelques dizaines de secondes
  
• Sélectionne ta session
  
• La fenêtre d'Invite de commande (cmd) s'ouvre automatiquement
  
• Tape C:\Windows\regedit.exe puis appuie sur la touche [Entrée]
   
  Suite de la procédure pour les Options 1 et 2
   
  
• L'Editeur du Registre s'ouvre
  
• Rends-toi à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager
  Il faut cliquer sur le [+] à gauche de chacune des désignations ci-dessus successivement pour développer les clés
  
• Clique sur Memory Management
  
• Dans la fenêtre de droite, clic droit sur ClearPageFileAtShutdown / sélectionne Modifier
  
• Une fenêtre "Edition de la valeur DWORD" s'ouvre
  
• Dans le champs sous "Données de la valeur", tape 1 (la valeur par défaut est 0) puis clique sur OK
  
• Ferme l'Editeur du Registre.
   
  Si tu étais en Mode sans échec
   
  
• Redémarre normalement l'ordinateur.
   
  Si tu étais en Invite de commande en mode sans échec
   
  
• Dans l'Invite de commande, tape exit puis appuie sur [Entrée]
  
• La fenêtre principale apparaît noire et vide
  
• Tape simultanément sur les touches [Ctrl]+[Alt]+[suppr]
  
• Le Gestionnaire des tâches s'ouvre
  
• Clique sur l'onglet Processus
  
• Clique sur Fichier (en haut] / sélectionne Nouvelle tâche (Exécuter]
  
• Tape explorer.exe puis clique sur OK
  
• Un message d'avertissement s'ouvre, clique sur OK
  
• Sélectionne explorer.exe (sous l'onglet Processus) pour faire apparaître le Bureau
  
• Redémarre normalement l'ordinateur.

 

Dis-moi s'il y a du mieux et à quoi tu as accès.

 

Nous passerons à d'autres manipulations en fonction de tes réponses. Nous avons encore bien des outils dans notre musette...

 

@+

Modifié le 25 avril 2011 par Tibonhomme

[NickCouk]

Bonjour Tibonhomme...

 

Effectue la procédure ci-dessous :

[...]

Dis-moi s'il y a du mieux et à quoi tu as accès.

 

... le test n'a pas resolu le message d'erreur... mais quelques details qui pourront peut-etre apporter quelques pistes:

* j'ai d'abord essaye le MSE... mon message d'erreur est apparu...

* j'ai ensuite essaye l'option 2, le message est aussi apparu, mais je l'ai laisse et n'ai clique ni sur "OK" ni sur "Annuler"... en arriere fond, du coup, le mode a quand meme demarre (j'ai du attendre au moins 30 minutes !!!)...

J'ai ensuite suivi la procedure mais a la fin, je n'ai pas pu re-demarrer "normalement" l'ordi, car, si le bureau est apparu, la barre du bas a partir de laquelle je devrais pouvoir re-demarrer n'est pas apparue... J'ai du coup redemarre en cliquant "re-demarrer" dans le gestionnaire de taches...

* mon message d'erreur est reapparu au re-demarrage

* j'ai ensuite voulu re-essaye avec le MSE.... au bout d'une heure, quelques elements se sont affiches sur le bureau mais toujours pas de barre en bas de l'ecran pour acceder au menu "Demarrer"... J'ai ensuite finalement appuye sur le "Annuler" de mon message d'erreur (intitule d'ailleurs "Services.exe - Erreur d'application" (j'avais oublie de regarder le titre... peut-etre une piste ?)), ce qui eu pour effet d'eteindre l'ordi... mais avant d'eteindre, il m'a mis une nouvelle fenetre d'erreur (genre <<...arret initie par "AUTORITE NT\SYSTEM"....C:\WINDOWS\system32\services.exe s'est termine de maniere inattendue avec le code d'etat -1073741819...>>... il y avait un compte a rebours et je n'ai pas pu tout noter...)

 

 

Nous passerons à d'autres manipulations en fonction de tes réponses. Nous avons encore bien des outils dans notre musette...

Super... J'ai bien de la chance alors, parce que ma musette a moi est bien maigrichonne

 

A bientot,

 

N.

[Tibonhomme]

Bonsoir NickCouk,

 

Merci pour les informations. Instructif !

 

A la suite de tes indications, je dois changer mon fusil d'épaule.

Je te prépare la suite, ce soir si j'ai la disponibilité nécessaire, sinon demain.

 

Pas d'inquiétude, je reviens vers toi très vite.

 

@+

[NickCouk]

Bonsoir !

 

Merci. Ca marche, je ne m'inquiete pas...

 

A bientot...

N.

Modifié le 26 avril 2011 par NickCouk

[Tibonhomme]

Bonsoir NickCouk,

 

J'avais préparé certaines recherches sous environnement xPUD + quelques opérations en console de récupération, mais cela me semble superflu à la lecture de ton dernier message.

 

Je pense en effet que j'ai identifié le problème principal, je dis "je pense" car je n'en suis absolument pas certain à 100%. C'est un fort soupçon qui résulte de plusieurs paramètres, mais sans certitude aucune, je le répète.

 

 

mais avant d'eteindre, il m'a mis une nouvelle fenetre d'erreur (genre <<...arret initie par "AUTORITE NT\SYSTEM"....C:\WINDOWS\system32\services.exe s'est termine de maniere inattendue avec le code d'etat -1073741819...>>... il y avait un compte a rebours et je n'ai pas pu tout noter...)

 

2 fortes probabilités :

 

- Soit ce message est dû à une application, généralement pare-feu ou antivirus, qui rentre en conflit avec d'autres applications de même type.

 

- Soit ce message est provoqué, comme c'est souvent le cas, par une infection par rootkit kernel-mode de type Rustock (ou parfois Haxdoor).

 

L'infection par rootkit de type Rustock me semble à envisager sérieusement au regard d'un certain nombre de facteurs réunis.

 

Aussi, je vais te demander de suivre la procédure qui suit.

Les rapports ne seront pas à copier-coller à la suite de ce message, mais dans un nouveau sujet. Je t'indique à la fin de ce message comment procéder.

 

 

OTLPE

 

Pour cette procédure, il te faudra un PC en état de marche, un CD vierge et une clé USB.

 

 

A partir du PC fonctionnel

 

Télécharge OTLPEStd.exe :

• Enregistre-le sur le Bureau.
  N.B. : le fichier ayant une taille de 93.5 Mo, le téléchargement peut prendre un peu de temps
  
• Une fois le téléchargement terminé, insère un CD vierge dans le lecteur
  
• Double-clique sur OTLPEStd.exe
  L'exécutable inclut OTLPE_New_Std.iso et ImgBurn (logiciel de gravure)
  
• Un message s'affiche "Do you want to burn the CD", clique sur Oui
  La gravure démarre automatiquement. 2 fenêtres s'ouvrent : ImgBurn et ImgBurn Log
  
• A la fin de l'opération, une nouvelle fenêtre Reatogo PE affiche les dossiers et les fichiers gravés. Un message apparaît "Operation Successfully completed", clique sur OK
  
• Ferme toutes les fenêtres et extrait le CD.
  N.B. : si un message d'avertissement s'affiche à la fermeture d'une fenêtre ImgBurn, confirmer.
   
  
• Crée un nouveau document texte sur le bureau (clic droit sur le bureau / Nouveau / Document texte)
  
• Ouvre-le
  
• Copie le contenu de la fenêtre"Citation" ci-dessous pour le coller dans le nouveau document texte :
   

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %SYSTEMDRIVE%\*.exe
  /md5start
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  csrss.exe
  smss.exe
  svchost.exe
  services.exe
  spoolsv.exe
  alg.exe
  ctfmon.exe
  eventlog.dll
  scecli.dll
  netlogon.dll
  cngaudit.dll
  sceclt.dll
  ntelogon.dll
  logevent.dll
  iaStor.sys
  nvstor.sys
  atapi.sys
  i8042prt.sys
  cdrom.sys
  disk.sys
  ndis.sys
  tcpip.sys
  imapi.sys
  RDPCDD.sys
  mountmgr.sys
  aec.sys
  rasacd.sys
  redbook.sys
  intelide.sys
  mrxsmb10.sys
  mrxsmb20.sys
  termdd.sys
  mrxsmb.sys
  win32k.sys
  storport.sys
  IdeChnDr.sys
  viasraid.sys
  AGP440.sys
  vaxscsi.sys
  nvatabus.sys
  viamraid.sys
  nvata.sys
  nvgts.sys
  iastorv.sys
  ViPrt.sys
  eNetHook.dll
  ahcix86.sys
  KR10N.sys
  nvstor32.sys
  ahcix86s.sys
  nvrd32.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\system32\drivers\*.sys /90
  %systemroot%\System32\config\*.sav
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  C:\*.*
  Dir /a:d C:\ /c
  Type c:\Boot.ini /c
  SAVEMBR:0
  CREATERESTOREPOINT

• Renomme ce document texte scan.txt (pas autrement) et enregistre-le sur ta clé USB

 

Sur le PC malade

 

• Insère le CD OTLPE que tu viens de graver
  
• Démarre l'ordinateur à partir du CD
  N.B. : Assure-toi que l'ordinateur est paramétré pour démarrer sur le CD - la touche [F12] permet généralement d'avoir accès au menu de boot (ou parfois les touches [F11], [F9], [Esc] ou [Del]) - Regarder ce qui est indiqué en bas de l'écran de démarrage
  N.B. : Attends patiemment que le système se charge, cela peut prendre plusieurs dizaines de secondes, voire plus, avec les affichages successifs de plusieurs écrans : "Starting Reatogo-X-PE..., logo Windows XP, Free pe REATOGO, entrecoupés d'écrans bleus
  
• Le Bureau REATOGO-X-PE devrait s'afficher
   
  
• Insère ta clé USB (Pas avant)
   
  
• Double-clique sur l'icône OTLPE
  
• Un message s'affiche "Do you wish to load remote user profile(s) for scanning"
  Clique sur Yes
  
• Une fenêtre "Select User Profile" s'affiche, sélectionne ta session
  
• Vérifie que la case à côté de "Automatically Load All Remaining Users" est cochée puis clique sur OK
  
• la fenêtre OTL s'affiche
  
• Dans le cadre Drivers, coche le bouton All
  
• Dans le cadre Standard Registry, coche le bouton All
  
• Conserve les autres paramètres par défaut
  
• Double clique à l'intérieur du cadre "Custom Scans/Fixes"
  
• Un message s'affiche "Do you want to load a custom scan from a file", clique sur Yes
  
• Dans la nouvelle fenêtre qui s'ouvre sélectionne le fichier scan.txt sur ta clé USB puis clique sur Open
  
• Vérifie que toutes les lignes de ce fichier scan.txt sont bien insérées dans le cadre "Custom Scans/Fixes"
  
• Clique sur Run Scan
  
• A la fin de l'analyse 2 rapports s'affichent : OTL.Txt et Extras.Txt. Ferme ces rapports, ainsi que la fenêtre OTL
  
• Ces 2 rapports sont enregistrés ici : C:\OTL.Txt et C:\Extras.Txt
  
• Copie ces 2 rapports sur ta clé USB.
   
  
• Copie également sur ta clé USB les 2 fichiers suivants :
  C:\Windows\ntbtlog.txt (si existant)
  C:\Physical0MBR.bin
   
  N.B. : Pour copier-coller, navigue dans les fichiers à partir de l'icone My Computer présente sur le Bureau. Fais un clic droit sur le fichier à copier / sélectionne Send To puis choisis ta clé USB.
   
  
• Pour quitter l'environnement Reatogo, clique sur l'icône bleue en bas à gauche, puis sélectionne Shut Down, à la fenêtre qui s'affiche, clique sur OK.

 

A partir du PC fonctionnel

 

• Branche la clé USB
  Les rapports étant longs, je vais te demander de les héberger et de copier les liens.
   
  
• Rends-toi sur Ci-joint.fr :
   
  Clique sur Parcourir... puis sélectionne OTL.Txt, puis clique sur "Cliquez ici pour déposer le fichier"
  Un lien te sera indiqué, qu'il faudra copier-coller dans ta réponse.
   
  Fais de même avec les liens pour Extras.Txt et ntbtlog.txt

• Rends-toi ensuite sur Virus Total :
   
  Clique sur Parcourir... et sélectionne le fichier Physical0MBR.bin puis clique sur Send File
  Si un message t'avertit que le fichier a déjà été analysé, clique sur "Reanalyse"

 

Rends-toi dans la section du forum Analyses et éradication malwares, voici le lien direct :

 

• Crée un nouveau sujet.
  
• En titre met : Windows XP ne boote plus - infection rootkit possible
  
• Explique brièvement quels ont été les problèmes auxquels tu as été confrontés puis indique le lien vers ce sujet afin que les membres de l'équipe Sécurité sachent ce qui a été effectué.
  
• Copîe-colle les liens suivants :
  - lien Ci-joint vers le rapport OTL.Txt
  - lien Ci-joint vers le rapport Extras-Txt
  - lien Ci-joint vers le rapport ntbtlog.txt
  - lien vers le rapport d'analyse Virus total pour le fichier C:\Physical0MBR.bin

 

Tu seras pris en charge par un spécialiste de la désinfection.

Peut-être Mark (modérateur Sécurité) s'il passe dans le coin et est disponible prendra-t-il en charge ton sujet (je pense à lui car vous êtes dans le même fuseau horaire ). Quoi qu'il en soit tu trouveras une personne parfaitement compétente pour poursuivre la recherche et l'éventuelle désinfection.

 

Je suivrai avec attention ton sujet.

 

Si tu n'as aucune réponse au bout de 48h-72h, poste une petit rappel dans le topic "On m'a oublié" en haut de la section de désinfection. Sinon, pas de gêne, envoie moi un MP.

Si tu as des questions ou des soucis avec la procédure indiquée, n'hésite pas à m'en faire part.

 

Je te remercie à la fois de ta patience et de ta confiance, et du remarquable suivi des procédures dont tu fais preuve.

 

Bonne continuation dans l'autre section

@+

Modifié le 28 avril 2011 par Tibonhomme

[NickCouk]

Hello Tibonhomme

 

Je pense en effet que j'ai identifié le problème principal, je dis "je pense" car je n'en suis absolument pas certain à 100%. C'est un fort soupçon qui résulte de plusieurs paramètres, mais sans certitude aucune, je le répète.

2 fortes probabilités :

- Soit ce message est dû à une application, généralement pare-feu ou antivirus, qui rentre en conflit avec d'autres applications de même type.

- Soit ce message est provoqué, comme c'est souvent le cas, par une infection par rootkit kernel-mode de type Rustock (ou parfois Haxdoor).

L'infection par rootkit de type Rustock me semble à envisager sérieusement au regard d'un certain nombre de facteurs réunis.

 

Mon ordi a en effet ete infecte il y a un mois... je pensais que tout avait ete enleve... mais peut-etre est-ce des restes ou alors un nouveau venu...

 

Aussi, je vais te demander de suivre la procédure qui suit.

[...]

• [*]Insère le CD OTLPE que tu viens de graver

[...]

[*]Dans le cadre Drivers, coche le bouton All

[*]Dans le cadre Standard Registry, coche le bouton All

[*]Conserve les autres paramètres par défaut

[...]

[*]A la fin de l'analyse 2 rapports s'affichent : OTL.Txt et Extras.Txt. Ferme ces rapports, ainsi que la fenêtre OTL

 

Je n'ai pas le fichier "Extras.Txt"... Dans "Extra Registry", "None" est la selection par defaut... J'ai refait le scan en le mettant a "Use SafeList"... Ai-je bien fait ou faut-il plutot selectionner "all" ?

 

 

Je te remercie à la fois de ta patience et de ta confiance, et du remarquable suivi des procédures dont tu fais preuve.

 

C'est a moi de te remercier pour ta patience, tous tes conseils et le temps passe a m'aider !!!! Merci beaucoup !

 

Voila, j'ai cree un nouveau poste comme suggere...

MERCI encore !

a+

N.

Modifié le 28 avril 2011 par NickCouk

[Tibonhomme]

Bonsoir NickCouk,

 

Mon ordi a en effet ete infecte il y a un mois... je pensais que tout avait ete enleve... mais peut-etre est-ce des restes ou alors un nouveau venu...

J'ai vu que tu avais déjà été pris en charge au début du mois mais j'avoue que je n'ai pas regardé le sujet (je vais le faire). Non, je ne pense pas qu'il puisse s'agir de restes, un membre de l'équipe Sécurité ne te laisserait de toute façon pas repartir avec des traces résiduelles d'infection.

 

Je n'ai pas le fichier "Extras.Txt"... Dans "Extra Registry", "None" est la selection par defaut... J'ai refait le scan en le mettant a "Use SafeList"... Ai-je bien fait ou faut-il plutot selectionner "all" ?

Il fallait juste modifier les paramètres que je t'ai indiqués.

Bizarre que tu n'aies pas le rapport Extras.Txt, j'ai fait le test avant de te poster la procédure et ai bien obtenu les 2 rapports. Mais tu as du finir par le retrouver car je vois que tu as mis un lien dans le nouveau sujet.

 

Je regarderai tes rapports (un peu plus tard car j'arrive juste chez moi ).

 

Mon hypothèse est peut-être totalement fausse, ou il s'agit effectivement d'une infection mais pas de celle à laquelle j'avais pensé.... Dans le doute, je préfère recueillir l'avis d'un spécialiste en malware.

 

@+