[Résolu] PC infecté et outils impuissants

[jagacuba]

Bonsoir Pear,

 

Je suis désolé, mais mon PC m'a demandé de faire un CHKDSK puis depuis il ne sait plus booter et affiche le message "Le registre ne peut charger la ruche...".

 

Je suis connecté sur un autre PC et vais chercher demain un CD XP.

 

Merci de votre aide.

 

Je vous recontacterai pour vous tenir informer de la fin de ce problème.

[jagacuba]

Bonsoir Pear,

 

Ce jour j'ai trouvé un CD XP et j'ai utilisé la console de récupération pour revenir a un ancien point de restauration (juste avant mon départ en vacances).

Mais mon PC étant une installation OEM je suis bloque lors du logging par le message: "C:\windows\system32\userinit.exe Le processeur NTVDM a rencontré une instruction non autorisée. CS:0000 IP: 000b OP:f08b017000"

 

Cela vous dit_il quelque chose?

 

Merci encore pour votre aide.

[pear]

J'ai déjà rencontré ce problème mais avec un pc qui démarrait.

Ce n'est semble-t-il pas le cas ici.

 

Le processus ntvdm.exe (Windows 16-bit Virtual Machine) est un processus générique de Windows NT/2000/XP visant à fournir un environnement 16-bit pour les anciennes applications 16 bits.

Il suffit de trouver l'application 16bits qui se lance, en générale un vieux pilote de scanner, d'imprimante ou de webcam.

Ici userinit est en conflit avec quelque chose qu'on ne connait pas.

IL faut donc pouvoir entrer dans cette machine.

Pour cela:

 

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Double-click sur l'icone OTLPE

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

wininit.exe

afd.sys

ipsec.sys

netbt.sys

tcpip.sys

/md5stop

CREATERESTOREPOINT

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[jagacuba]

J'ai fait un dvd mais bien que le CD soit en première option de boot, je n'arrive pas à faire démarrer le micro avec cette application!

[pear]

la seule explication, d'après de nombreuses situations antérieures identiques, serait un mauvais cd.

[jagacuba]

Vous avez raison Pear le CD a été mal gravé, je le regrave avec un autre PC...

 

J'ai lancer l'outil, mais je ne peux rien copier dans personalisation, puisque je n'ai pas accès à un browser dans ce produit pour afficher ce post et copier?

 

J'ai essayer avec IE mais je semble bloqué car je dois installer un Control ActiveX pour le site Zebulon ...

Modifié le 14 novembre 2012 par jagacuba

[jagacuba]

Voici le lien.

 

© CJoint.com, 2012

[jagacuba]

Bonjour Pear,

 

Pour retrouver un point de restauration d'avant mon départ en vacances, j'ai utilisé ce lien:

 

http://support.microsoft.com/default.aspx?scid=http://www.microsoft.com/IntlKB/France/articles/f307/5/45.ASP

 

Je pense que le problème vient du fait de l'installation OEM du controle des droits; je n'ai pu restaurer que 4 entrées: SAM, System, Software et Securrity. L'entrée Default est différente sur une installation OEM et il y a une remarque sur le lien Microsoft à ce sujet.

Mon PC comporte 2 disques physiques et ce matin j'ai réussi à sauvegarder mes données avec REATOGO-X-PE. Il me reste les fichiers mails de OUTLOOK que je ne trouve pas et j'ai aussi un problème pour rentrer sur l'outil qui contient mes passwords (Password Corral) : mon password n'est plus reconnu non plus!

[pear]

Nettoyage

 

Double-clic sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:OTL

 

IE - HKU\Margaux_ON_C\..\URLSearchHook: {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - Reg Error: Key error. File not found

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..extensions.enabledItems: [email protected]:1.0.11

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: File not found

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: File not found

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: File not found

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: File not found

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: File not found

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.669: File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.669: File not found

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: File not found

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: File not found

FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: File not found

O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - No CLSID value found.

O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - File not found

O2 - BHO: (no name) - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - No CLSID value found.

O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found

O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - File not found

O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found

O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - File not found

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKU\Annick_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\Annick_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O3 - HKU\Annick_ON_C\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No CLSID value found.

O3 - HKU\Annick_ON_C\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.

O3 - HKU\Jean-Claude_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O3 - HKU\Jean-Claude_ON_C\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\Jean-Claude_ON_C\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.

O3 - HKU\Jean-Claude_ON_C\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.

O3 - HKU\Jean-Claude_ON_C\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - File not found

O3 - HKU\Margaux_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O3 - HKU\Margaux_ON_C\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\Margaux_ON_C\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No CLSID value found.

O3 - HKU\Margaux_ON_C\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.

O3 - HKU\Margaux_ON_C\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.

O3 - HKU\Margaux_ON_C\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - File not found

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [ApnUpdater] File not found

O4 - HKLM..\Run: [avgnt] File not found

O4 - HKLM..\Run: [KernelFaultCheck] File not found

O4 - HKLM..\Run: [soundMan] File not found

O4 - HKLM..\Run: [userFaultCheck] File not found

O4 - Startup: C:\Documents and Settings\Annick\Menu Démarrer\Programmes\Démarrage\Webshots.lnk = File not found

O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found

O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O20 - Winlogon\Notify\NavLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - CLSID or File not found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found

MsConfig - StartUpReg: DivXUpdate - hkey= - key= - File not found

MsConfig - StartUpReg: PHIME2002ASync - hkey= - key= - File not found

MsConfig - StartUpReg: SpybotSD TeaTimer - hkey= - key= - File not found

MsConfig - StartUpReg: TkBellExe - hkey= - key= - File not found

Drivers32: vidc.DIVX - DivX.dll File not found

Drivers32: vidc.yv12 - yv12vfw.dll File not found

[2012/10/30 09:36:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Annick\Local Settings\Application Data\AskToolbar

[2012/10/29 15:50:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Margaux\Local Settings\Application Data\AskToolbar

[2010/08/22 08:19:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jean-Claude\Application Data\Uniblue

[2006/04/27 13:46:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Margaux\Application Data\Babylon

ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player

[2005/05/29 04:24:46 | 000,000,540 | ---- | C] () -- C:\WINDOWS\_delis32.ini

[2002/11/01 09:17:50 | 000,000,256 | ---- | C] () -- C:\WINDOWS\aucfg.ini

[2005/04/25 22:32:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Viewpoint

 

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normalement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

[jagacuba]

Voici le lien:

 

© CJoint.com, 2012

 

J'espère que c'est le bon output car l'appli s'est fermée pour rebooter sans afficher de rapport.

Le problème d'ouverture de session demeure : le password est accepté mais ensuite toujours la même erreur NTVDM.