[Resolu] Windows XP ne boote plus - infection rootkit possible

[NickCouk]

A le survoler rapidement, cela ne me semble pas coller.

Ah... Aie...

 

Je regarde en détail, probablement pas ce soir (cet après-midi pour toi ), un peu de sommeil fera du bien !

Pas de probleme, bonne nuit ...

 

Au fait, où te situes-tu : un coin de la côte Est des US, Canada, autre... ?

cf MP ...

 

A demain...

N.

[tomtom95]

Nick

 

Peux-tu reprend toute la procédure de Tibonhomme stp pour refaire un rapport Regreport.txt plus des compléments d'infos Merci

A partir de ceci dans sa procédure

• Vérifie que le fichier query.sh est bien présent dans la fenêtre principale
  
• Clique sur Tool en haut
  
• Clique sur Open Terminal
  
• Dans la fenêtre qui s'ouvre, tape bash query.sh puis appuie sur [Entrée] - attention à la syntaxe, c'est bash < espace > query.sh
   
  Ensuite en complément:
  Tu sera invité à entrer un nom de fichier.
  
• Tape la commande suivante:
  Winlogon.exe
  
• Tape sur [Entrée]
   
  En cas de succès, le script de recherche pour ce fichier.
  Après qu'il a terminé la recherche entre le fichier suivant à rechercher
   
  
• Tape la commande suivante:
  explorer.exe
  
• Tape sur [Entrée ]
   
  Après qu'il a terminé la recherche entre le fichier suivant à rechercher
   
  
• Tape la commande suivante:
  Userinit.exe
  
• Tape sur [Entrée]
   
  
• Après la recherche est terminée tapez Exit et tape sur [Entrée].
   
  
• Après qu'il a terminé un rapport sera situé dans la clé USB comme filefind.txt
   
  
• Alors qu'il était encore dans le Terminal ouvert, query.sh bash type
   
  
• Tape sur [Entrée]
   
  Après qu'il a terminé un rapport sera situé dans la clé USB comme RegReport.txt
  Ensuite, tape dd if = / dev / sda bs de mbr.bin = 512 count = 1
   
  Laissez un espace entre les déclarations suivantes:
  dd est exécutable de l'application utilisée pour créer la sauvegarde
  if = / dev / sda est le périphérique de sauvegarde est créé à partir - le disque dur quand un seul disque dur existe
  de mbr.bin = est le fichier de sauvegarde pour créer - note l'absence d'un chemin - il sera créé dans le répertoire actuellement ouvert dans le Terminal
  bs = 512 est le nombre d'octets dans la sauvegarde
  Compter 1 = dit de sauvegarde à seulement 1 secteur
   
   
  Il est extrêmement important que la syntaxe soit correctement inscrits.
   
  Tape sur [Entrée]
   
  Après qu'il a terminé un rapport sera situé dans la clé USB comme mbr.bin
  Rebranche le USB dans l'ordinateur propre, le zip mbr.bin, et sauf pour les mbr.bin fichier compressé, après le contenu de la report.txt, filefind.txt
  et RegReport.txt dans ta prochaine réponse. Le mbr.bin fichier compressé doit être jointe à ta réponse.

 

Voilà bonne journée A +

[NickCouk]

Salut TomTom...

 

Merci pour le message... cependant, je ne suis pas sur de tout comprendre...

Dis-moi si je comprend bien:

1/ je tape "bash query.sh"

2/ quand il a fini, je tape "Winlogon.exe"

3/ quand il a fini, je tape "explorer.exe"

4/ quand il a fini, je tape "Userinit.exe"

5/ quand il a fini, je tape "exit" ???

 

et c'est apres aue je ne comprends plus...

6/ Je rouvre le terminal ???

7/ je tape "query.sh bash type" ???

8/ quand il a fini, je tape "dd if = / dev / sda bs de mbr.bin = 512 count = 1" ???

ou se situent les espaces? : ici :?

"dd <espace> if=/dev/sda <espace> bs <espace> de <espace> mbr.bin = 512 <espace> count = 1" ?

Tu parles de bs = 512 et de Compter 1, mais je ne les vois pas dans la commande...

 

Après qu'il a terminé un rapport sera situé dans la clé USB comme mbr.bin

Rebranche le USB dans l'ordinateur propre, le zip mbr.bin, et sauf pour les mbr.bin fichier compressé, après le contenu de la report.txt, filefind.txt

et RegReport.txt dans ta prochaine réponse. Le mbr.bin fichier compressé doit être jointe à ta réponse.

 

Tu veux tous les fichiers crees ou que certains ?

( report.txt, filefind.txt, RegReport.txt et mbr.bin)?

 

 

Merci encore pour les precisions...

A+

 

N.

Modifié le 13 mai 2011 par NickCouk

[Tibonhomme]

Bonjour NickCouk,

 

Je te remets une procédure détaillée pour les compléments demandés par tomtom95.

 

 

A faire au préalable :

 

Vérifie que le fichier driver.sh (que tu avais téléchargé en tout début de procédure) est toujours présent sur ta clé USB.

Si ce n'est pas le cas, télécharge driver.sh et enregistre-le sur la clé USB

 

 

Sur le PC malade

• Insère le CD xPud et branche la clé USB.
  
• Démarre l'ordinateur à partir du CD
  
• L'écran de configuration xPUD apparaît, sélectionne la langue puis appuie sur [Entrée]
  N.B. : Attends patiemment que le système se charge, cela peut prendre quelques dizaines de secondes
  
• L'écran de Bienvenue sur xPUD s'affiche, clique sur Fichier à gauche
  N.B. : Si les icônes sont affichées en français, les menus et sous-menus du système et des applications sont en anglais.
   
  
• Dans la liste des dossiers sous File System, clique sur le > à côté du dossier mnt pour le développer
  
• S'il y a 1 seul disque dur, sda1, sda2... correspondent au disque (certains dossiers relatifs à d'autres périphériques peuvent apparaître vides)
  sdb1 est probablement la clé USB
  
• S'il y a 2 disques durs ou plus, sda1, sda2... correspondent au disque 1, sdb1, sdb2... correspondent au disque 2 (certains dossiers relatifs à d'autres périphériques peuvent apparaître vides)
  sdc1 est probablement la clé USB
  
• Si la clé USB n'apparaît pas, débrancher puis rebrancher la clé USB
   
  
• Clique sur le lecteur de la clé USB (sdb1 ?) sous mnt pour en afficher le contenu
  
• Vérifie que le fichier driver.sh est bien présent dans la fenêtre principale
  
• Clique sur Tool en haut
  
• Clique sur Open Terminal
  
• Dans la fenêtre qui s'ouvre, tape bash driver.sh -af puis appuie sur [Entrée] - attention à la syntaxe, c'est bash<espace>driver.sh<espace>-af
  
• Un message t'invite à enter le nom d'un fichier.
  
• Tape Winlogon.exe puis appuie sur [Entrée]. Patiente le temps de la recherche, jusqu'à ce que "Done" soit affiché
  
• Entre ensuite le nom du nouveau fichier à rechercher :
  
• Tape explorer.exe puis appuie sur [Entrée]. Patiente le temps de la recherche, jusqu'à ce que "Done" soit affiché
  
• Entre ensuite le nom du nouveau fichier à rechercher :
  
• Tape Userinit.exe puis appuie sur [Entrée]. Patiente le temps de la recherche, jusqu'à ce que "Done" soit affiché
  
• Tape exit puis appuie sur [Entrée] pour retourner à la 1ère fenêtre du Terminal
  
• Un fichier filefind.txt est créé sur la clé USB
   
  
• Toujours dans la fenêtre du Terminal, tape cette commande :
  dd if=/dev/sda of=mbr.bin bs=512 count=1
  Puis appuie sur [Entrée]
  Attention à la syntaxe, c'est dd<espace>if=/dev/sda<espace>of=mbr.bin<espace>bs=512<espace>count=1
   
  dd est l'application utilisée pour réaliser le backup
  if=/dev/sda est le périphérique à partir duquel est réalisé le backup - le disque dur (lorsqu'il n'y a qu'un seul disque)
  of=mbr.bin est le fichier de bakup à créer - l'absence de chemin spécifié fait que le fichier est créé dans le dossier actuellement ouvert dans l'Invite de commande
  bs=512 est la taille en octets du fichier de backup
  count=1 indique de ne réaliser le backup que d'1 seul secteur
   
  Important : les différentes parties de cette commande doivent être scrupuleusement retranscrites, en respectant la casse (minuscule ou majuscule)
   
  
• Un fichier mbr.bin est créé sur la clé USB
  
• Tape exit puis appuie sur [Entrée] pour quitter le Terminal
  
• Clique sur Accueil dans la fenêtre de gauche
  
• Débranche la clé USB

.

 

 

A partir du PC fonctionnel

 

• Branche la clé USB et copie-colle le contenu du fichier filefind.txt dans ta prochaine réponse.
  N.B. : pour sélectionner tout le texte, place le curseur dans le rapport texte, appuie sur les touches [Ctrl] + [A] pour mettre tout le texte en surbrillance, puis [Ctrl] + [C] pour copier dans le presse-papier. une fois dans ton nouveau message sur le forum, [Ctrl] + [V] pour coller à l'endroit où tu veux insérer le rapport.
   
  
• Compresse le fichier mbr.bin en mbr.zip
   
  
• Rends-toi sur Ci-joint.fr :
   
  Clique sur Parcourir... puis sélectionne mbr.zip, puis clique sur "Cliquez ici pour déposer le fichier"
  Un lien te sera indiqué, qu'il faudra copier-coller dans ta réponse.

 

 

A plus tard

[NickCouk]

Bonjour....

 

Merci pour vos commandes... voila le fichier mbr: Cijoint.fr - Service gratuit de dépôt de fichiers

et voila le contenu de filefind:

 

 

Search results for Winlogon.exe

 

dd73d6b9f6b4cb630cf35b438b540174 /mnt/sda1/WINDOWS/ServicePackFiles/i386/winlogon.exe

500.0K Apr 14 2008

 

dd73d6b9f6b4cb630cf35b438b540174 /mnt/sda1/WINDOWS/system32/winlogon.exe

500.0K Apr 14 2008

 

d2de785aeab0bb8ca4c14a8a199dbe4e /mnt/sda1/WINDOWS/$NtServicePackUninstall$/winlogon.exe

494.5K Aug 5 2004

 

 

Search results for explorer.exe

 

f2317622d29f9ff0f88aeecd5f60f0dd /mnt/sda1/WINDOWS/ServicePackFiles/i386/explorer.exe

1013.5K Apr 14 2008

 

f2317622d29f9ff0f88aeecd5f60f0dd /mnt/sda1/WINDOWS/explorer.exe

1013.5K Apr 14 2008

 

4c33e5b9a6197b6ed215f6cfba0a2daa /mnt/sda1/WINDOWS/$NtServicePackUninstall$/explorer.exe

1012.0K Aug 5 2004

 

 

Search results for Userinit.exe

 

e74ddb12188c2ff57a78624dbf7332fc /mnt/sda1/WINDOWS/ServicePackFiles/i386/userinit.exe

26.0K Apr 14 2008

 

e74ddb12188c2ff57a78624dbf7332fc /mnt/sda1/WINDOWS/system32/userinit.exe

26.0K Apr 14 2008

 

d6d65ea32b190401b57edb6706f29669 /mnt/sda1/WINDOWS/$NtServicePackUninstall$/userinit.exe

24.5K Aug 5 2004

 

 

 

 

(... Je me reconnecterai assez tard ce soir... )

 

A+

Nick

[tomtom95]

Bonsoir NickCouk ,Tibonhomme

 

Nick applique cette nouvelle citation stp

 

IMPORTANT: Il faut que tu redémarre le pc a la fin de la manip,pour que cette action soit valider

Pense a retrirer le CD du lecteur,pour le redémarrage.

 

Relance le CD

Double-clique sur l'îcone OTLPE présent sur ton bureau

Sous Custom Scan box copie_colle le contenu du cadre ci dessous:

et clique sur RUNFIX

 

:OTL

[2011/03/31 21:23:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nicolas\Local Settings\Application Data\Secunia PSI

[2011/03/31 21:23:05 | 000,000,000 | ---D | C] -- C:\Program Files\Secunia

[2011/03/31 21:23:13 | 000,000,716 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Secunia PSI.lnk

[2011/03/31 21:23:13 | 000,000,716 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Secunia PSI.lnk

[2011/03/28 14:58:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nicolas\Application Data\SUPERAntiSpyware.com

[2011/03/28 14:58:19 | 000,000,000 | ---D | C] -- C:\Program Files\SUPERAntiSpyware

 

:files

C:\redbook.sys|c:\windows\system32\drivers\redbook.sys /replace

C:\termdd.sys|c:\windows\system32\drivers\termdd.sys /replace

C:\mrxsmb.sys|c:\windows\system32\drivers\mrxsmb.sys /replace

C:\imapi.sys|c:\windows\system32\drivers\imapi.sys /replace

C:\intelide.sys|c:\windows\system32\drivers\intelide.sys /replace

C:\i8042prt.sys|c:\windows\system32\drivers\i8042prt.sys /replace

C:\disk.sys|c:\windows\system32\drivers\disk.sys /replace

C:\cdrom.sys|c:\windows\system32\drivers\cdrom.sys /replace

C:\agp440.sys|c:\windows\system32\drivers\agp440.sys /replace

C:\aec.sys|c:\windows\system32\drivers\aec.sys /replace

C:\atapi.sys|c:\windows\system32\drivers\aec.sys /replace

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer]

"AlwaysUnloadDll"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]

"DesktopProcess"=dword:00000001

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]

"DesktopProcess"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProtectedStorage]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SamSs]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PlugPlay]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventSystem]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventSystem]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]

"AutoReboot"=dword:00000000

[HKEY_CURRENT_USER\Control Panel\Desktop]

"ScreenSaveActive"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem]

"ConfigFileAllocSize"=dword:00000200

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\FileSystem]

"ConfigFileAllocSize"=dword:00000200

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]

"ConfigFileAllocSize"=dword:00000200

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]

"DisablePagingExecutive"=dword:00000001

"LargeSystemCache"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableRegistryTools"=dword:00000000

"DisableTaskMgr"=dword:00000000

"Logoff"=dword:00000000

"StartMenuLogOff"=dword:00000000

"NoClose"=dword:00000000

"NoRun"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

"Logoff"=dword:00000000

"StartMenuLogOff"=dword:00000000

"NoClose"=dword:00000000

"NoRun"=dword:00000000

"**del.DisableTaskMgr"=" "

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableRegistryTools"=dword:00000000

"DisableTaskMgr"=dword:00000000

"Logoff"=dword:00000000

"StartMenuLogOff"=dword:00000000

"NoClose"=dword:00000000

"NoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"DisableCAD"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoControlPanel"=dword:00000000

"NoWindowsUpdate"=dword:00000000

"NoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"DisableTaskMgr"=dword:00000000

"DisableCMD"=dword:00000000

"Disable cpl"=dword:00000000

"DisallowRun"=dword:00000000

"NoTrayContextMenu"=dword:00000000

"NoViewContextMenu"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"DisableTaskMgr"=dword:00000000

"DisableCMD"=dword:00000000

"Disable cpl"=dword:00000000

"DisallowRun"=dword:00000000

"NoDesktop"=dword:00000000

"NoTrayContextMenu"=dword:00000000

"NoViewContextMenu"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT/SystemRestore]

"DisableSR"=-

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows NT/SystemRestore]

"DisableSR"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Option]

"OptionValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Control\SafeBoot\Option]

"OptionValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option]

"OptionValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktop"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDispBackgroundPage"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoSaveSettings"=dword:00000000

 

:commands

 

Une fois le pc redémarrer ,post moi le rapport

Le fichier rapport est sauvegardé dans C:\OTL.txt.

 

A+

Modifié le 13 mai 2011 par tomtom95

[NickCouk]

Bonsoir....

 

Merci pour les instructions ...

 

Voila le fichier OTL: Cijoint.fr - Service gratuit de dépôt de fichiers

En bonus, voila le fichier Extra: Cijoint.fr - Service gratuit de dépôt de fichiers

 

et en super bonus, le log affiche a la fin du runfix:

 

========== OTL ==========

C:\Documents and Settings\Nicolas\Local Settings\Application Data\Secunia PSI folder moved successfully.

C:\Program Files\Secunia\PSI\SUA\768300f77bf877de417449fd7e977645 folder moved successfully.

C:\Program Files\Secunia\PSI\SUA folder moved successfully.

C:\Program Files\Secunia\PSI folder moved successfully.

C:\Program Files\Secunia folder moved successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Secunia PSI.lnk moved successfully.

File C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Secunia PSI.lnk not found.

C:\Documents and Settings\Nicolas\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS folder moved successfully.

C:\Documents and Settings\Nicolas\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine folder moved successfully.

C:\Documents and Settings\Nicolas\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs folder moved successfully.

C:\Documents and Settings\Nicolas\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs folder moved successfully.

C:\Documents and Settings\Nicolas\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware folder moved successfully.

C:\Documents and Settings\Nicolas\Application Data\SUPERAntiSpyware.com folder moved successfully.

C:\Program Files\SUPERAntiSpyware\Plugins folder moved successfully.

C:\Program Files\SUPERAntiSpyware\Language folder moved successfully.

C:\Program Files\SUPERAntiSpyware folder moved successfully.

========== FILES ==========

File C:\redbook.sys successfully replaced with c:\windows\system32\drivers\redbook.sys

File C:\termdd.sys successfully replaced with c:\windows\system32\drivers\termdd.sys

File C:\mrxsmb.sys successfully replaced with c:\windows\system32\drivers\mrxsmb.sys

File C:\imapi.sys successfully replaced with c:\windows\system32\drivers\imapi.sys

File C:\intelide.sys successfully replaced with c:\windows\system32\drivers\intelide.sys

File C:\i8042prt.sys successfully replaced with c:\windows\system32\drivers\i8042prt.sys

File C:\disk.sys successfully replaced with c:\windows\system32\drivers\disk.sys

File C:\cdrom.sys successfully replaced with c:\windows\system32\drivers\cdrom.sys

File C:\agp440.sys successfully replaced with c:\windows\system32\drivers\agp440.sys

File C:\aec.sys successfully replaced with c:\windows\system32\drivers\aec.sys

File C:\atapi.sys successfully replaced with c:\windows\system32\drivers\aec.sys

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\\"AlwaysUnloadDll"|dword:00000001 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\\"DesktopProcess"|dword:00000001 /E : value set successfully!

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\\"DesktopProcess"|dword:00000001 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProtectedStorage\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SamSs\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PlugPlay\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventSystem\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventSystem\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\\"Start"|dword:00000002 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\\"AutoReboot"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Control Panel\Desktop\\"ScreenSaveActive"|"0" /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem\\"ConfigFileAllocSize"|dword:00000200 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\FileSystem\\"ConfigFileAllocSize"|dword:00000200 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\\"ConfigFileAllocSize"|dword:00000200 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\\"DisablePagingExecutive"|dword:00000001 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\\"LargeSystemCache"|dword:00000001 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"DisableRegistryTools"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"DisableTaskMgr"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"Logoff"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"StartMenuLogOff"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"NoClose"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"NoRun"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System\\"DisableTaskMgr"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System\\"Logoff"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System\\"StartMenuLogOff"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System\\"NoClose"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System\\"NoRun"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System\\"**del.DisableTaskMgr"|" " /E : value set successfully!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"DisableRegistryTools"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"DisableTaskMgr"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"Logoff"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"StartMenuLogOff"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"NoClose"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\"NoRun"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"DisableCAD"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoControlPanel"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoWindowsUpdate"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoRun"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"DisableTaskMgr"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"DisableCMD"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"Disable cpl"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"DisallowRun"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoTrayContextMenu"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoViewContextMenu"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"DisableTaskMgr"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"DisableCMD"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"Disable cpl"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"DisallowRun"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoDesktop"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoTrayContextMenu"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoViewContextMenu"|dword:00000000 /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT/SystemRestore not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows NT/SystemRestore not found.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Option\\"OptionValue"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Control\SafeBoot\Option\\"OptionValue"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option\\"OptionValue"|dword:00000000 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"Explorer.exe" /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoActiveDesktop"|dword:00000001 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoDispBackgroundPage"|dword:00000000 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoSaveSettings"|dword:00000000 /E : value set successfully!

========== COMMANDS ==========

 

OTLPE by OldTimer - Version 3.1.46.0 log created on 05142011_211902

 

 

Y a du "successfully" partoutm chouette....

 

A+

N.

[NickCouk]

P.S.... j ai encore l ecran bleu au demarrage...

 

A+

N.

[tomtom95]

Tu as bien fait redémarrer le PC

 

Applique avec la console cette nouvelle commande: chkdsk c: /F /R /I

La réparation des secteurs défectueux ne ce fait pas toujours en une seule fois.

Donc a la fin de ce scanne redémarre le pc puis exécute de nouveau la commandes stp

 

Ensuite tu fait une nouvelle analyse avec cette citation.

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

csrss.exe

smss.exe

svchost.exe

services.exe

spoolsv.exe

alg.exe

ctfmon.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

i8042prt.sys

cdrom.sys

disk.sys

ndis.sys

tcpip.sys

imapi.sys

RDPCDD.sys

mountmgr.sys

aec.sys

rasacd.sys

redbook.sys

intelide.sys

mrxsmb10.sys

mrxsmb20.sys

termdd.sys

mrxsmb.sys

win32k.sys

storport.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\system32\drivers\*.sys /90

%systemroot%\System32\config\*.sav

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

C:\*.*

Dir /a:d C:\ /c

Type c:\Boot.ini /c

 

Je te dit a demain ,passe une bonne journée

Cordialement tomtom

[NickCouk]

Hello,

 

Tu as bien fait redémarrer le PC

 

Ben oui... sauf que j'ai pris les rapport apres le script mais avant de redemarrer

 

Applique avec la console cette nouvelle commande: chkdsk c: /F /R /I

Il ne reconnait pas l instruction.... c'est auoi la derniere lettre? i (isidore) l(lucien) ou le chiffre 1 (il ne reconnait aucun des 3)

 

Bonne nuit

A+

N.