[Resolu] Windows XP ne boote plus - infection rootkit possible

[NickCouk]

Bonsoir tous les deux...

 

j'ai donc tente plusieurs demarrages, mais tous aboutissent au meme message et ecran bleu...

 

A+

N.

[Tibonhomme]

OK Nick,

 

C'est exactement le même libellé de message qu'auparavant ?

 

Un test à faire, stp :

Peux-tu démarrer sous environnement xPUD et accéder au dossier mnt/sda1 (partition système) ?

Cela peut demander un peu de temps pour qu'il puisse monter les partitions.

 

J'aurai éventuellement une procédure pour voir l'état de ton disque un peu plus en profondeur. Cela demande pas mal de temps pour la mettre en forme, mais elle est réalisable sous cet environnement sous réserve que celui-ci fonctionne bien.

 

@+

[NickCouk]

C'est exactement le même libellé de message qu'auparavant ?

Oui:

"... windows a ete arrete afin de prevenir tout dommage...

CONFIG_INITIALIZATION_FAILED...

...blablabla...

Informations techniques:

*** STOP: 0x00000067 (0x00000001,0x00000008, 0xc0000024,0x00000000)"

 

Un test à faire, stp :

Peux-tu démarrer sous environnement xPUD et accéder au dossier mnt/sda1 (partition système) ?

Oui, j'arrive a voir le sda1 et les fichiers qui sont dedans...

 

 

J'aurai éventuellement une procédure pour voir l'état de ton disque un peu plus en profondeur. Cela demande pas mal de temps pour la mettre en forme, mais elle est réalisable sous cet environnement sous réserve que celui-ci fonctionne bien.

OK...

A+

N.

[Tibonhomme]

Hello Nick,

 

...blablabla...

Ce "blablabla" a son importance.

 

Oui, j'arrive a voir le sda1 et les fichiers qui sont dedans...

Très bien !

Le fait que tu ne voyais plus les fichiers dans ce dossier provenait de ce que OTLPE restait chargé en mémoire, d'où les soucis de xPUD (qui se charge également en mémoire) pour visualiser ces fichiers. Cela arrive mais c'est toujours temporaire. Les CD étant gravés, il ne peuvent être altérés (autrement que physiquement j'entends). Après un redémarrage ou tentative de redémarrage, ça rentre dans l'ordre.

 

Bon, bah... je n'ai plus qu'à bosser !

 

@+

[NickCouk]

Ce "blablabla" a son importance.

Serieux, tu veux que je te copie le "blablabla" ?

 

Le fait que tu ne voyais plus les fichiers dans ce dossier provenait de ce que OTLPE restait chargé en mémoire, d'où les soucis de xPUD (qui se charge également en mémoire) pour visualiser ces fichiers. Cela arrive mais c'est toujours temporaire. Les CD étant gravés, il ne peuvent être altérés (autrement que physiquement j'entends). Après un redémarrage ou tentative de redémarrage, ça rentre dans l'ordre.

OK, merci pour l'info... j'etais justement confus a ce sujet...

 

Bon, bah... je n'ai plus qu'à bosser !

Ben merci ...

 

a+

N.

[Tibonhomme]

Re,

 

Serieux, tu veux que je te copie le "blablabla" ?

Uniquement si cela apporte des informations techniques sur la source identifiée du problème, si c'est de la "parlote" Microsoft...Bah non, inutile !

 

@+

[NickCouk]

Uniquement si cela apporte des informations techniques sur la source identifiée du problème, si c'est de la "parlote" Microsoft...Bah non, inutile !

... Bon, je pense qu'il s'agit principalement de parlote Microsoft, mais pour le plaisir, je vous la poste quand meme :

"Si vous voyez ce message d'erreur pour la première fois, redémarrez votre ordinateur.

Si cet écran apparait encore, suivez ces étapes:

 

Assurez vous que tout nouveau matériel ou logiciel sont installés correctement.

S'il s'agit d'une nouvelle installation, consultez votre fabricant de métariel ou logiciel afin d'obtenir les MAJ dont vous avez besoin.

 

Si le problème persiste, désactivez ou supprimez tout matériel ou tout logiciel installé.

Désactivez les options de mémoire du BIOS telles que la mise en cache ou l'ombrage.

Si vous êtes obligé d'utiliser le mode Sans Echec pour supprimer ou désactiver des composants, redémarrez votre ordinateur,

appuyez sur F8 pour sélectionner les options de démarrage avancés puis sélectionnez le mode Sans Echec."

 

a+

N.

[Tibonhomme]

Bonsoir NickCouk,

 

On commence par vérifier quelques clés de registre (pour le disque dur cela demande un peu plus de temps...) :

 

 

A partir du PC fonctionnel

 

• Branche la clé USB
  
• Télécharge query.exe et enregistre-le sur la clé USB
  
• Ouvre le lecteur de la clé USB et double-clique sur query.exe, un nouveau dossier et un fichier query.sh sont extraits.

 

 

Sur le PC malade

 

• Insère le CD xPud et branche la clé USB.
  
• Démarre l'ordinateur à partir du CD
  
• L'écran de configuration xPUD apparaît, sélectionne la langue puis appuie sur [Entrée]
  N.B. : Attends patiemment que le système se charge, cela peut prendre quelques dizaines de secondes
  
• L'écran de Bienvenue sur xPUD s'affiche, clique sur Fichier à gauche
  N.B. : Si les icônes sont affichées en français, les menus et sous-menus du système et des applications sont en anglais.
  
• Dans la liste des dossiers sous File System, clique sur le > à côté du dossier mnt pour le développer
  
• S'il y a 1 seul disque dur, sda1, sda2... correspondent au disque (certains dossiers relatifs à d'autres périphériques peuvent apparaître vides)
  sdb1 est probablement la clé USB
  
• S'il y a 2 disques durs ou plus, sda1, sda2... correspondent au disque 1, sdb1, sdb2... correspondent au disque 2 (certains dossiers relatifs à d'autres périphériques peuvent apparaître vides)
  sdc1 est probablement la clé USB
  
• Si la clé USB n'apparaît pas, débrancher puis rebrancher la clé USB
  
• Clique sur le lecteur de la clé USB (sdb1 ?) sous mnt pour en afficher le contenu
  
• Vérifie que le fichier query.sh est bien présent dans la fenêtre principale
  
• Clique sur Tool en haut
  
• Clique sur Open Terminal
  
• Dans la fenêtre qui s'ouvre, tape bash query.sh puis appuie sur [Entrée] - attention à la syntaxe, c'est bash<espace>query.sh
  
• Laisse l'outil travailler
  
• Lorsque "Done" est affiché, tape exit puis appuie sur [Entrée]
  
• Un fichier RegReport.txt est créé sur la clé USB
  
• Clique sur Accueil dans la fenêtre de gauche
  
• Débranche la clé USB

.

Important : les commandes doivent être scrupuleusement entrées telles qu'indiquées en respectant la casse (minuscule ou majuscule)

 

 

A partir du PC fonctionnel

 

Branche la clé USB et copie-colle le contenu du fichier Regreport.txt dans ta prochaine réponse.

N.B. : pour sélectionner tout le texte, place le curseur dans le rapport texte, appuie sur les touches [Ctrl] + [A] pour mettre tout le texte en surbrillance, puis [Ctrl] + [C] pour copier dans le presse-papier. une fois dans ton nouveau message sur le forum, [Ctrl] + [V] pour coller à l'endroit où tu veux insérer le rapport.

 

 

Note : Si tu disposes d'une connexion de type ethernet, tu peux utiliser le navigateur inclus dans xPUD (Firefox) pour avoir accès au forum directement à partir de cet environnement. Tu peux également télécharger les fichiers requis et suivre les étapes de la procédure à partir de xPUD. Les fichiers téléchargés sont enregistrés dans le dossier Download, visible dans la liste des dossiers File System.

 

 

A te lire

[NickCouk]

Bonsoir Tibonhomme,

 

Merci pour les instructions... Voila le rapport :

 

Remote Registry Report

 

Hive </mnt/sda1/WINDOWS/system32/config/software>

\Microsoft\Windows NT\CurrentVersion> Value <ProductName> of type REG_SZ, data length 42 [0x2a]

Microsoft Windows XP

\Microsoft\Windows NT\CurrentVersion> Value <CSDVersion> of type REG_SZ, data length 30 [0x1e]

Service Pack 2

\Microsoft\Windows NT\CurrentVersion> Value <SystemRoot> of type REG_SZ, data length 22 [0x16]

C:\WINDOWS

\Microsoft\Windows NT\CurrentVersion\Windows> Value <AppInit_DLLs> of type REG_SZ, data length 2 [0x2]

(...)\Windows NT\CurrentVersion\Winlogon> Value <Shell> of type REG_SZ, data length 26 [0x1a]

explorer.exe

(...)\Windows NT\CurrentVersion\Winlogon> Value <Userinit> of type REG_SZ, data length 68 [0x44]

C:\WINDOWS\system32\userinit.exe,

(...)\Windows NT\CurrentVersion\Winlogon\Notify> Node has 11 subkeys and 0 values

<AtiExtEvent>

<crypt32chain>

<cryptnet>

<cscdll>

<igfxcui>

<ScCertProp>

<Schedule>

<sclgntfy>

<SensLogn>

<termsrv>

<wlballoon>

\Microsoft\Windows\CurrentVersion\Run> Node has 1 subkeys and 16 values

<OptionalComponents>

size type value name [value if type DWORD]

74 REG_SZ <Apoint>

26 REG_SZ <AGRSMMSG>

84 REG_SZ <CeEKEY>

90 REG_SZ <TPNF>

106 REG_SZ <TOSHIBA Accessibility>

120 REG_SZ <HWSetup>

130 REG_SZ <SVPWUTIL>

32 REG_SZ <Zooming>

32 REG_SZ <TCtryIOHook>

24 REG_SZ <TPSMain>

74 REG_SZ <dla>

66 REG_SZ <IgfxTray>

60 REG_SZ <HotKeysCmds>

130 REG_SZ <ATIPTA>

112 REG_SZ <avgnt>

44 REG_SZ <CFSServ.exe>

(...)\Windows\CurrentVersion\policies\system> Node has 0 subkeys and 5 values

4 REG_DWORD <dontdisplaylastusername> 0 [0x0]

4 REG_DWORD <legalnoticecaption> 1 [0x1]

8 REG_SZ <legalnoticetext>

4 REG_DWORD <shutdownwithoutlogon> 1 [0x1]

4 REG_DWORD <undockwithoutlogon> 1 [0x1]

 

 

Hive </mnt/sda1/Documents and Settings/Administrateur/NTUSER.DAT>

(...)\Microsoft\Windows\CurrentVersion\Run> Node has 0 subkeys and 2 values

size type value name [value if type DWORD]

62 REG_SZ <CTFMON.EXE>

94 REG_SZ <TOSCDSPD>

(...)\Windows\CurrentVersion\Policies\Explorer> Node has 0 subkeys and 1 values

4 REG_DWORD <NoDriveTypeAutoRun> 145 [0x91]

 

 

Hive </mnt/sda1/Documents and Settings/Nicolas/NTUSER.DAT>

(...)\Microsoft\Windows\CurrentVersion\Run> Node has 0 subkeys and 2 values

size type value name [value if type DWORD]

62 REG_SZ <CTFMON.EXE>

94 REG_SZ <TOSCDSPD>

(...)\Windows\CurrentVersion\Policies\Explorer> Node has 0 subkeys and 1 values

4 REG_DWORD <NoDriveTypeAutoRun> 255 [0xff]

(...)\Windows\CurrentVersion\Policies\System> Node has 0 subkeys and 2 values

4 REG_DWORD <Disabletaskmgr> 0 [0x0]

4 REG_DWORD <Disableregistrytools> 0 [0x0]

\Software\Policies\Microsoft\Windows\System> Node has 0 subkeys and 1 values

4 REG_DWORD <DisableCMD> 0 [0x0]

 

 

 

A bientot...

N.

[Tibonhomme]

Merci pour le rapport Nick,

 

A le survoler rapidement, cela ne me semble pas coller.

 

Je regarde en détail, probablement pas ce soir (cet après-midi pour toi ), un peu de sommeil fera du bien !

 

 

Au fait, où te situes-tu : un coin de la côte Est des US, Canada, autre... ?

 

 

@+