[Resolu] Windows XP ne boote plus - infection rootkit possible

[NickCouk]

Bonsoir...

 

et voila le travail:

\ le fichier Extras.txt: Cijoint.fr - Service gratuit de dépôt de fichiers

\ le fichier OTL.txt: Cijoint.fr - Service gratuit de dépôt de fichiers

 

En attendant de te lire, merci et bonne journee/soiree

Nick

 

P.S.: au demarrage du programme, il ne m'a pas demande " Do you wish to load the remote registry "...

[tomtom95]

Bonsoir NickCouk

 

Désoler, je n'est pas répondu rapidement,mais ne t'inquiéte pas je travail pour toi.

J'ai besoin d'un petit complément d'infos.

Avec OTLPE,même consigne.Sauf avant de coller le script, dans l'outil OTLPE ,clique sur None

Ensuite dans la fenêtre située en bas nommée "Custom Scans/Fixes colle ce script:

 

/md5start

volsnap.sys

/md5stop

% Systemroot% \ *. /mp /s / Mp / s

CREATERESTOREPOINT

Puis cliquer sur Run Scan.

Post moi le petit rapport stp

 

A+

[NickCouk]

Bonsoir...

 

 

 

Désoler, je n'est pas répondu rapidement,mais ne t'inquiéte pas je travail pour toi.

Merci

 

Avec OTLPE,même consigne.Sauf avant de coller le script, dans l'outil OTLPE ,clique sur None

Ou ? J'en vois 6 des "None": je le change partout ? Services, Drivers, Standard Registry, Extrat Registry, Files created within, files modified within ?

 

a+

N.

 

Ah, je crois que j'ai compris: sur le boutton gris "None" en haut, c'est ca ?

 

N.

Modifié le 4 mai 2011 par NickCouk

[tomtom95]

OUI c'est sa

[tomtom95]

Pour ce soir je vais me

 

Demain heu.... ce matin Boulot ,et lever à 6H.

 

A + Bonne nuit

[NickCouk]

Helloooo...

 

Pour ce soir je vais me

T as raison... vu l'heure ou il m arrive de repondre, il vaut mieux ne pas m attendre .

 

Demain heu.... ce matin Boulot ,et lever à 6H.

A + Bonne nuit

Aie... 6h.. ca fait tot ca... Je ne sais pas si je pourrais...

Bon courrage...

 

A demain... en attendant, voila le rapport :

 

 

OTL logfile created on: 5/5/2011 9:59:42 AM - Run

OTLPE by OldTimer - Version 3.1.46.0 Folder = X:\Programs\OTLPE

Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM

Internet Explorer (Version = 8.0.6001.18702)

Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

 

510.00 Mb Total Physical Memory | 283.00 Mb Available Physical Memory | 55.00% Memory free

458.00 Mb Paging File | 305.00 Mb Available in Paging File | 67.00% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 93.16 Gb Total Space | 39.21 Gb Free Space | 42.09% Space Free | Partition Type: NTFS

Drive X: | 284.12 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

Using ControlSet: ControlSet001

 

========== Custom Scans ==========

 

 

 

< MD5 for: VOLSNAP.SYS >

[2004/08/05 07:00:00 | 000,053,376 | ---- | M] (Microsoft Corporation) MD5=313B1A0D5DB26DFE1C34A6C13B2CE0A7 -- C:\WINDOWS\$NtServicePackUninstall$\volsnap.sys

[2008/04/13 21:56:04 | 000,053,376 | ---- | M] (Microsoft Corporation) MD5=46DE1126684369BACE4849E4FC8C43CA -- C:\WINDOWS\ServicePackFiles\i386\volsnap.sys

[2008/04/13 21:56:04 | 000,053,376 | ---- | M] (Microsoft Corporation) MD5=46DE1126684369BACE4849E4FC8C43CA -- C:\WINDOWS\system32\drivers\volsnap.sys

 

< % Systemroot% \ *. /mp /s / Mp / s >

Invalid Switch: s

 

< CREATERESTOREPOINT >

 

< End of report >

 

 

 

 

Nick

Modifié le 5 mai 2011 par NickCouk

[tomtom95]

Bonsoir Nick

 

• Bien Relance le CD stp
  Double-clique sur l'îcone OTLPE présent sur ton bureau
  Sous Custom Scan box copie_colle le contenu du cadre ci dessous:
   

:OTL
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\Nicolas_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\Nicolas_ON_C\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O24 - Desktop WallPaper: C:\WINDOWS\TOSHIBA SATELLITE.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\TOSHIBA SATELLITE.bmp
[2011/04/13 22:20:52 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
 
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Classes\exefile\shell\open\command]
""=""%1" %*"
[HKLM\SYSTEM_ON_C\CurrentControlSet\Services\AppMgmt]
"Start"=dword:00000002
[HKLM \SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\AeDebug]
"Start"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\state]
"bootini"=-
"system.ini"=-
"win.ini"=-
"services"=-
"startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\StartUpReg]
"SUPERAntiSpyware"=-
[HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Minimal\]
"ccEvtMgr"=-
"ccSetMgr"=-
"Symantec Antivirus"=-
[HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Network\]
"ccEvtMgr"=-
"ccSetMgr"=-
"Symantec Antivirus"=-
"SmcService"=-
[HKEY_LOCAL_MACHINE\Software_ON_C\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0150000}"=-
"{4A03706F-666A-4037-7777-5F2748764D10}"=-
"{AC76BA86-7AD7-1036-7646-A70000000000}"=-
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}"=-
"Sheherazade"=-
[HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Messenger\msmsgs.exe"=-
"C:\Program Files\Microsoft LifeCam\LifeCam.exe"=-
"C:\Program Files\Microsoft LifeCam\LifeEnC2.exe"=-
"C:\Program Files\Microsoft LifeCam\LifeExp.exe"=-
"C:\Program Files\Microsoft LifeCam\LifeTray.exe"=-
 
:Files
ipconfig /flushdns /c
C:\Documents and Settings\Administrateur\Application Data\Symantec
net start srservice /c
 
:commands

Cliques sur l'icône RUNFIX (en haut à gauche) .
Laisse le scanne aller à son terme sans te servir du PC
A la fin du scanne un rapport s'ouvrir "OTL.log"
Copie et colle le ou les rapports dans ta réponse stp...

 

Ensuite Une fois la manip faite ,enleve le CD du lecteur,débranche du pc ,tes câbles (EX: imprimante,DD externe,etc..)

éteind ,Puis redémarre le pc en mode normal.Dit moi si tu as toujours l’erreur au démarrage.

 

A+

[NickCouk]

Bonsoir TomTom...

 

[*]A la fin du scanne un rapport s'ouvrir "OTL.log"

[*]Copie et colle le ou les rapports dans ta réponse stp...

Voila. C est colle a la fin du mail.

 

Ensuite Une fois la manip faite ,enleve le CD du lecteur,débranche du pc ,tes câbles (EX: imprimante,DD externe,etc..)

éteind ,Puis redémarre le pc en mode normal.Dit moi si tu as toujours l’erreur au démarrage.

OK, je tente...

 

A+

N.

 

 

 

 

========== OTL ==========

Registry value HKEY_USERS\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.

Registry value HKEY_USERS\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.

Registry value HKEY_USERS\Nicolas_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.

Registry value HKEY_USERS\Nicolas_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MSConfig deleted successfully.

C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\WallPaper deleted successfully.

C:\WINDOWS\TOSHIBA SATELLITE.bmp moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\BackupWallPaper deleted successfully.

File C:\WINDOWS\TOSHIBA SATELLITE.bmp not found.

C:\WINDOWS\imsins.BAK moved successfully.

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Classes\exefile\shell\open\command\\""|""%1" %*" /E : value set successfully!

HKLM\SYSTEM_ON_C\CurrentControlSet\Services\AppMgmt\\"Start"|dword:00000002 /E : value set successfully!

HKLM \SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\AeDebug\\"Start"|dword:00000001 /E :invalid edit format. No such root key.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\state\\bootini deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\state\\system.ini deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\state\\win.ini deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\state\\services deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\state\\startup deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Shared Tools\MSConfig\StartUpReg\\SUPERAntiSpyware not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Minimal not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Minimal not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Minimal not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Network not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Network not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Network not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM_ON_C\CurrentControlSet\Control\SafeBoot\Network not found.

Registry value HKEY_LOCAL_MACHINE\Software_ON_C\Microsoft\Windows\CurrentVersion\Uninstall\\{3248F0A8-6813-11D6-A77B-00B0D0150000} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3248F0A8-6813-11D6-A77B-00B0D0150000}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software_ON_C\Microsoft\Windows\CurrentVersion\Uninstall\\{4A03706F-666A-4037-7777-5F2748764D10} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4A03706F-666A-4037-7777-5F2748764D10}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software_ON_C\Microsoft\Windows\CurrentVersion\Uninstall\\{AC76BA86-7AD7-1036-7646-A70000000000} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AC76BA86-7AD7-1036-7646-A70000000000}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software_ON_C\Microsoft\Windows\CurrentVersion\Uninstall\\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software_ON_C\Microsoft\Windows\CurrentVersion\Uninstall\\Sheherazade not found.

Registry value HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Messenger\msmsgs.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Microsoft LifeCam\LifeCam.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Microsoft LifeCam\LifeEnC2.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Microsoft LifeCam\LifeExp.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Microsoft LifeCam\LifeTray.exe deleted successfully.

========== FILES ==========

< ipconfig /flushdns /c >

Windows IP Configuration

An internal error occurred: The system cannot find the file specified.

 

Please contact Microsoft Product Support Services for further help.

Additional information: Unable to open registry key for tcpip.

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

File\Folder C:\Documents and Settings\Administrateur\Application Data\Symantec not found.

< net start srservice /c >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

========== COMMANDS ==========

 

OTLPE by OldTimer - Version 3.1.46.0 log created on 05062011_111836

[NickCouk]

Ensuite Une fois la manip faite ,enleve le CD du lecteur,débranche du pc ,tes câbles (EX: imprimante,DD externe,etc..)

éteind ,Puis redémarre le pc en mode normal.Dit moi si tu as toujours l’erreur au démarrage.

 

voila, j'ai tente (plusieurs fois)...

Il me met d'entree un ecran bleu...

voici un resume du texte:

 

"Un probleme a ete detecte et windows a ete arrete afin de prevenir tout dommage sur votre ordinateur.

 

CONFIG_INITIALIZATION_FAILED

 

[...]

 

Assurez vous que tout nouveau materiel ou logiciel est installe correctement.

[...]

 

Informations techniques:

*** STOP: 0x00000067 (0x00000001, 0x00000008, 0xc0000035, 0x00000000)"

 

Est-ce grave?...

N.

Modifié le 6 mai 2011 par NickCouk

[tomtom95]

Bonjour Nick

 

Je passe rapidement.

 

 

L'Erreur STOP: 0x00000067 peut venir de plusieurs chose,souvent un problème de RAM Défecteuse.

 

Mais le problème :

CONFIG_INITIALIZATION_FAILED + STOP 0x00000067

 

Ce problème se produit parce que Windows NT a effectué une vérification

au démarrage pour plusieurs cellules registre.

Certains processus/ services en mode utilisateur

peuvent effectuer des appels MoveFilece,qui sont de nombreuses entrées de registre .

Nous somme toujours avec le conflit SP3 installé partiellement sur ton pc.

j'ai supprimé certaines fonction non essentiel,mais légitime du démarrage ,

pour justement ne pas géner celui-ci.

 

Tu as aussi fait l'essai de démarrer en mode sans échec ? tapoter F8 au démarrage du pc

Déja arrive-tu sur la page pour la sélection des modes de démarrage??

(mose sans échec,invité de commande ETC..)

 

Je te dis ce que l'on peut faire, plus tard dans la fin l'aprés-midi,là je n'est pas trop le temps

 

A+