[Resolu] Windows XP ne boote plus - infection rootkit possible

[NickCouk]

Bonsoir TomTom

 

Désoler J'ai fait une erreur dans mon script, rien de grave rassure toi

Peux-tu refaire la même manip avec ceci stp

 

Pas de probleme... le rapport est ci dessous... il me parait petit, je ne sais pas si ca a marche...

 

Bon, je continue avec la 2nd partie

A+

 

 

 

========== OTL ==========

========== FILES ==========

aec.sys extracted to C:\

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

Invalid Switch: e

Invalid Switch: replace

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Nicolas

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

 

Total Files Cleaned = 0.00 mb

 

 

OTLPE by OldTimer - Version 3.1.46.0 log created on 05022011_034622

[NickCouk]

Hello...

 

[*]Tape chkdsk X: /p /r puis appuie sur [Entrée] - attention à la syntaxe : c'est chkdsk < espace > X: < espace > /p < espace > /r -

[*]Une fois la vérification terminée

un rapport s'affiche. Vérifie si des secteurs ont été réparés.

A la fin, il dit:

"CHKDSK a trouve et corrige une ou plusieurs erreurs sur le volume"... puis des details sur les octets libres...

 

[*]Toujours en Invite de commande

tape sfc /scannow puis appuie sur la touche [Entrée] - Attention à la syntaxe : c'est sfc < espace > /scannow

(si C: est ta partition système sinon remplacer par la lettre attribuée à ta partition système)

Il ne reconnait pas cette instruction:

"La commande n'est pas reconnue. Entrez Help pour obtenir une liste des commandes prises en charge."

 

... dois-je refaire l'une des etapes ?

 

Merci en tout cas pour l'aide...

Bonne soiree...

N.

[NickCouk]

C'est encore moi

... j ai fouine sur le message "invalid switch" du rapport OTL, et je me suis dit qu il y avait peut etre un petit oubli dans le manuscrit...

J ai cru comprendre qu il faut un espace avant /e et /remplace.

Je les ai ajoute et j'ai relance le scrpit... J'espere avoir eu raison et n'avvoir rien empire

voila le nouveau rapport : (par contre, le sfc /scannow n est toujours pas reconnu...)

 

========== OTL ==========

========== FILES ==========

aec.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:aec.sys

AGP440.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:AGP440.sys

cdrom.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:cdrom.sys

disk.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:disk.sys

i8042prt.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:i8042prt.sys

imapi.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:imapi.sys

intelide.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:intelide.sys

mrxsmb.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:mrxsmb.sys

redbook.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:redbook.sys

termdd.sys extracted to C:\

Invalid replace specification: C:\WINDOWS\system32\i386\sp2.cab:termdd.sys

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Nicolas

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

 

Total Files Cleaned = 0.00 mb

 

 

OTLPE by OldTimer - Version 3.1.46.0 log created on 05022011_074742

Modifié le 2 mai 2011 par NickCouk

[tomtom95]

Bonjour NickCouk

 

Non pas de problème,extration a fonctionné ,mais pas le remplacement.

Ok le CHKDSK a réparer une partie du système, tu as vraiment mis la paigaille.

 

Lorsque que tu es dans l'invité de commande et que tu tape sfc /scannow cela ne fonctionne pas.

Relance la console partir de l'Invite de commande (Options de démarrage avancées par la touche [F8]).

a la suite de la ligne tape sfc /scannow rien d'autre puis sur la touche [entrée]

Laisse le scanne aller jusqu'au bout même si c'est un peu long.

 

Sinon as tu essayer de redémarrer le pc soit en mode normal ou en mode sans échec ?

Comme certaines réparation on été faite.

 

A te lire

[NickCouk]

Bonjour...

 

Non pas de problème,extration a fonctionné ,mais pas le remplacement.

ah...

 

Ok le CHKDSK a réparer une partie du système, tu as vraiment mis la paigaille.

En mettant des espaces dans le script OTL ou de part mes precedents essais ?

 

Lorsque que tu es dans l'invité de commande et que tu tape sfc /scannow cela ne fonctionne pas.

Non. Il ne reconnait pas la commande...

 

Relance la console partir de l'Invite de commande (Options de démarrage avancées par la touche [F8]).

a la suite de la ligne tape sfc /scannow rien d'autre puis sur la touche [entrée]

Laisse le scanne aller jusqu'au bout même si c'est un peu long.

OK, j'essaierai ce soir... et te tiendrai au courant...

 

Sinon as tu essayer de redémarrer le pc soit en mode normal ou en mode sans échec ?

Comme certaines réparation on été faite.

Oui, c'est toujours la meme chose (meme message et lenteur)...

 

Merci pour l'aide...

a+

N.

[tomtom95]

Yop

 

En mettant des espaces dans le script OTL ou de part mes precedents essais ?

Pour les espace c'est trés bien ,hier je n'est fait que des bêtises

Je parle de ce que tu as fait avant,avec tes manips

 

Je vais revoir ma copie ,désoler encore,le sujet n'est pas facile,mais trés intéressant

Petitbonhomme suis en coulisse l'avancer,comme tu as vu on n'est pas entrain de traité une infection ,mais bien essayer de remettre ton pc dans le bon sens

 

A te lire pour sfc /scannow

Modifié le 2 mai 2011 par tomtom95

[NickCouk]

Bonsoir...

 

Relance la console partir de l'Invite de commande (Options de démarrage avancées par la touche [F8]).

L'option a choisir est "* Invite de commande en mode sans echec"?

Quand je la choisis, il me demarre le mode sans echec,, mais je n'ai pas acces a l'invite de commande (ou alors je n'ai pas vu ou compris)... En plus, il ne me detecte pas la souris (j'ai essaye plusieurs fois et meme change de souris, rien a faire)... je ne sais pas si c'est lie au mode ou quoi...

 

Pour les espace c'est trés bien ,hier je n'est fait que des bêtises

Je parle de ce que tu as fait avant,avec tes manips

 

Je vais revoir ma copie ,désoler encore,le sujet n'est pas facile,mais trés intéressant

Petitbonhomme suis en coulisse l'avancer,comme tu as vu on n'est pas entrain de traité une infection ,mais bien essayer de remettre ton pc dans le bon sens

Ben en tout cas, merci a tous les deux pour le temps que vous avez deja passe...

 

Je vais peut etre refaire un essair ce soir si j'ai le temps...

 

A+

N.

[NickCouk]

Bonjour,

 

J'ai refait un essai... finalement, j'ai reussi a l'aide du clavier a obtenir l'invite de commande et a taper l'instruction. Elle e ete executee sans aucun message (ni erreur, ni OK)... et m'a redonne la main quasiment immediatement. Je doute donc qu'elle est ete executee correctement.

J'ai re-tente un demarrage, mais il reste le meme....

a+

N.

[tomtom95]

Bonjour NickCouk

 

• Ok merci pour ta patience, effectivement pour l'invite de commande tu dois utiliser le clavier.
  Pour voir l’évolution, et les modifications exécuter, je vais te demander un nouveau rapport.
  Même manip que les autres fois.
   
   
  Double-clique sur l'îcone OTLPE présent sur ton bureau bureau REATOGO-X-PE
   
  
• A la demande " Do you wish to load the remote registry "
  répondre Yes
  
• A la demande " Do you wish to load remote user profile(s) for scanning "
  répondre Yes
  
• Vérifier que la case " Automatically Load All Remaining Users " est cochée
  puis cliquer sur OK
   
  
   
  
• Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus
   
  Dans la fenêtre située en bas nommée "Custom Scans/Fixes colle ce script:

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %SYSTEMDRIVE%\*.exe
  /md5start
  spdt.sys
  spdt.sys.vir
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  csrss.exe
  smss.exe
  svchost.exe
  services.exe
  spoolsv.exe
  alg.exe
  eventlog.dll
  scecli.dll
  netlogon.dll
  cngaudit.dll
  sceclt.dll
  ntelogon.dll
  logevent.dll
  Changer.sys
  iaStor.sys
  nvstor.sys
  atapi.sys
  i8042prt.sys
  cdrom.sys
  usbscan.sys
  usbprint.sys
  disk.sys
  ndis.sys
  splitter.sys
  tcpip.sys
  .sys
  tdtcp.sys
  tdpipe.sys
  imapi.sys
  RDPCDD.sys
  mountmgr.sys
  swmidi.sys
  aec.sys
  rdpwd.sys
  rasacd.sys
  redbook.sys
  iaStor.sy
  nvstor.sys
  intelide.sys
  mrxsmb10.sys
  mrxsmb20.sys
  termdd.sys
  mrxsmb.sys
  win32k.sys
  storport.sys
  IdeChnDr.sys
  viasraid.sys
  AGP440.sys
  vaxscsi.sys
  nvatabus.sys
  viamraid.sys
  nvata.sys
  nvgts.sys
  iastorv.sys
  ViPrt.sys
  eNetHook.dll
  ahcix86.sys
  KR10N.sys
  nvstor32.sys
  ahcix86s.sys
  nvrd32.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\system32\drivers\*.sys /90
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT

• Puis cliquer sur le bouton Run Scan.
  
• Laisser l'outil travailler sans l'interrompre.
  
• Lorsque l'outil a terminé
  il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log)
  utilise le site http://www.ci-joint.fr pour envoyer ton rapport
  et poste le lien dans ta prochaine réponse.

 

A+

[NickCouk]

Bonjour,

 

Merci de persister a m'aider et de ne pas abandonner

 

• Ok merci pour ta patience, effectivement pour l'invite de commande tu dois utiliser le clavier.

Disons que j'avais besoin de la souris: il ne voulait pas aller a l'invite de commande (il fallait, ouvrir une session, cliquer sur un message de confirmation, puis apres, il m'affichait le bureau, j'ai donc du lancer moi-meme l'invite de commande... et comme je n'arrivais pas a acceder au menu demarrer, je suis passer par le task manager pour faire apparaitre la fenetre... bref...)

 

Pour voir l’évolution, et les modifications exécuter, je vais te demander un nouveau rapport.

Même manip que les autres fois.

OK, je tenterai ca ce soir...

 

Merci

a+

N.