Windows XP ne demarre plus

[NickCouk]

Hello....

 

 

Il fallait juste modifier les paramètres que je t'ai indiqués.

Bizarre que tu n'aies pas le rapport Extras.Txt, j'ai fait le test avant de te poster la procédure et ai bien obtenu les 2 rapports.

Ben oui... je ne sais pas pourquoi...

 

Mais tu as du finir par le retrouver car je vois que tu as mis un lien dans le nouveau sujet.

Parce que je n'ai pas garde la configuration par defaut pour la partie "Extra Registry" ("Use SafeList" au lieu de "nonde")... sinon, pas moyen d'avoir un rapport Extrat...

 

Je regarderai tes rapports (un peu plus tard car j'arrive juste chez moi ).

Ca marche...

 

Mon hypothèse est peut-être totalement fausse, ou il s'agit effectivement d'une infection mais pas de celle à laquelle j'avais pensé.... Dans le doute, je préfère recueillir l'avis d'un spécialiste en malware.

Oui... nous verrons bien ce qu'ils disent...

 

a+

N.

[Tibonhomme]

Bonjour NickCouk,

 

Pour le rapport Extras.Txt, c'est moi qui suis un .

Il fallait effectivement cocher au moins Use SafeList dans le cadre Extra Registry pour que cela fonctionne. Je n'ai même pas relu ma procédure avant de te répondre hier soir, hors il manquait bien une ligne. J'avais du reste répété le test juste avant pour être certain de ce que je t'indiquais, avec ce bouton coché.

Désolé te t'avoir obligé à répéter la démarche.

 

Je commence à regarder les différents rapports postés.

Je ne vois pas ce que je m'attendais à constater avec l'infection dont je t'ai parlé (ou alors je passe à côté... possible).

En revanche, quelque chose saute aux yeux dès les premières lignes :

 

Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM

 

Pourquoi être resté en SP2 et n'avoir pas installé le SP3 ? Tu as une raison particulière ?

Cela affaiblit considérablement la défense passive de ton ordinateur et risque en plus de provoquer des conflits avec les applications.

Ce Service Pack n'est plus pris en charge par Microsoft pour les mises à jour !

 

Il y a déjà quelques traces d'infection par support amovible.

Je vais examiner l'ensemble de plus près. Il faut que je regarde en détail plus attentivement chaque partie , particulièrement les sommes numériques des fichiers listés dans l'analyse personnalisée.

 

Le rapport d'analyse du MBR n'indique aucune détection, bon signe !

 

Je regarde le reste dès que j'ai un moment.

 

@+

[NickCouk]

Bonjour Tibonhomme,

 

Pour le rapport Extras.Txt, c'est moi qui suis un .

Il fallait effectivement cocher au moins Use SafeList dans le cadre Extra Registry pour que cela fonctionne. Je n'ai même pas relu ma procédure avant de te répondre hier soir, hors il manquait bien une ligne. J'avais du reste répété le test juste avant pour être certain de ce que je t'indiquais, avec ce bouton coché.

Désolé te t'avoir obligé à répéter la démarche.

Aucun probleme...

 

Je commence à regarder les différents rapports postés.

Je ne vois pas ce que je m'attendais à constater avec l'infection dont je t'ai parlé (ou alors je passe à côté... possible).

En revanche, quelque chose saute aux yeux dès les premières lignes :

Pourquoi être resté en SP2 et n'avoir pas installé le SP3 ? Tu as une raison particulière ?

Euh... ben parce que moi aussi je suis un ... En fait, je ne savais meme pas que je pouvais passer en SP3... Je pensais que les mises a jour etaient automatiques et je ne m'en suis jamais occupe...

 

 

Il y a déjà quelques traces d'infection par support amovible.

C'est-a-dire?

 

Je vais examiner l'ensemble de plus près. Il faut que je regarde en détail plus attentivement chaque partie , particulièrement les sommes numériques des fichiers listés dans l'analyse personnalisée.

Le rapport d'analyse du MBR n'indique aucune détection, bon signe !

Je regarde le reste dès que j'ai un moment.

Merci... passe avant tout un bon WeekEnd... !!!

 

A bientot,

N.

[Tibonhomme]

Bonjour NickCouk,

 

J'ai regardé les rapports que tu as postés en section de désinfection. J'ai noté que ton sujet n'a pas inspiré grand monde pour le moment !

 

Je ne vois pas de trace d'infection par rootkit, en tout cas pas de ceux qui provoquent également le message d'erreur que tu rapportes, je pense que cette hypothèse est à écarter, sous réserve d'un avis plus éclairé par un membre de l'équipe Sécurité.

 

Plusieurs remarques :

 

Tes mises à jours Windows ne se font plus depuis plusieurs mois :

 

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-09-27 18:42:44

 

Il y a des traces du Pack SP3 (on en voit dans l' analyse personnalisée pour plusieurs fichiers) mais son installation n'a pu être menée à bien. Le pack a vraisemblablement été téléchargé le 02 avril. Exemple :

 

[2011/04/02 11:20:12 | 023,892,017 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:aec.sys

[2011/04/02 11:20:12 | 023,892,017 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:aec.sys

 

A noter : le point de restauration que nous avons utilisé est postérieur de quelques heures au téléchargement de ce pack. Il correspond également au point que t'a fait créer bernard53 à la fin de ton sujet en désinfection début avril.

 

Pour rappel : Windows XP SP2 n'a plus de support technique Microsoft depuis le 13 juillet 2010.

 

Pourrais-tu m'indiquer si tu connais ces dossiers et ce qu'ils contiennent :

C:\.Trash-999

C:\WINDOWS\temp2

C:\99cdbd557b55704aba50

C:\d20c383ea40301a7c91828

 

Le fichier C:\WINDOWS\system32\services.exe est endommagé ou corrompu. Il en existe une copie saine dont nous pourrons nous servir pour le remplacer.

 

Sinon, beaucoup de programmes pas à jour et une multiplication d'antispyware inutile et pouvant provoquer des conflits (MBAM, SUPERAntiSpyware, des traces de HitmanPro).

 

Le rapport ntbtlog.txt montre que les pilotes du Mode Sans Echec sont bien chargés (le dernier étant Mup.sys). Il y a donc autre choses !

 

A suivre dès que ton sujet aura reçu une réponse dans l'autre section. Il faut éviter de multiplier les interventions simultanées sur un même système.

 

A plus tard

[NickCouk]

Bonjour Tibonhomme,

 

 

Plusieurs remarques :

Tes mises à jours Windows ne se font plus depuis plusieurs mois :

oh ?... ben je n'avais meme pas remarque

 

 

Pourrais-tu m'indiquer si tu connais ces dossiers et ce qu'ils contiennent :

C:\.Trash-999

C:\WINDOWS\temp2

C:\99cdbd557b55704aba50

C:\d20c383ea40301a7c91828

J'ai essaye a partir du cd xPud, le dossier sda1 est maintenant vide... J'ai essaye a partir du LiveCD Ubuntu... pas moyen de se connecter non plus...

Heureusement, a partir de OTLPES, je vois encore quelque chose...

 

Dans

C:\.Trash-999:

> files

>> default.back

> info

>> default.back.trashinfo

 

C:\WINDOWS\temp2

> default.bak

> sam.bak

> security.bak

> software.bak

> system.bak

 

C'est moi qui avait cree ce dossier, quand, avant de vous contacter, j'avais essaye une reparation similaire a celle proposee par Bleuet, et que j'avais rate...

 

C:\99cdbd557b55704aba50

> en-us

>> amhelp.chm

>> epploc.cab

>> epploc_x86.msi

>> eula.rtf

>> setupres.dll.mui

> fr-fr

>> x86

>>> amloc-fr-fr.msi

>> amhelp.chm

>> epploc.cab

>> epploc_x86.msi

>> eula.rtf

>> setupres.dll.mui

> x86

>> dz20shared.msi

>> epp.msi

>> legitlib.dll

>> mp_ambits.msi

>> setup.exe

>> sqmapi.dll

>> windows6.0-kb981889-v2.msu

>> windows6.1-kb981889-.msu

> compappscontent.dll

> epplauncher.exe

> eppmanifest.dll

> setup.ini

> setupre.dll

 

C:\d20c383ea40301a7c91828

> amd64

>> filterpipelineprintproc.dll

>> msxpsdrv.cat

>> msxpsdrv.inf

>> msxpsinc.gpd

>> msxpsinc.ppd

>> msxdwdrv.dll

>> xpssvcs.dll

> i386

>> filterpipelineprintproc.dll

>> msxpsdrv.cat

>> msxpsdrv.inf

>> msxpsinc.gpd

>> msxpsinc.ppd

>> msxdwdrv.dll

>> xpssvcs.dll

 

Le fichier C:\WINDOWS\system32\services.exe est endommagé ou corrompu. Il en existe une copie saine dont nous pourrons nous servir pour le remplacer.

OK...

 

Sinon, beaucoup de programmes pas à jour et une multiplication d'antispyware inutile et pouvant provoquer des conflits (MBAM, SUPERAntiSpyware, des traces de HitmanPro).

J'avais essaye de desinstaller SUPERAntiSpyware pour ne garder que MBAM, mais pas moyen de le supprimer... J'avais un message d'erreur dont je ne me souviens plus...

 

A suivre dès que ton sujet aura reçu une réponse dans l'autre section. Il faut éviter de multiplier les interventions simultanées sur un même système.

D'accord. Je vais poster un rappel dans la section du haut de page, comme suggere...

 

A bientot...

N.

Modifié le 30 avril 2011 par NickCouk