Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Suite PC infecté

Madscalp

Par Madscalp
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)
J'ai peur que ce soit foutu.

 

Je ne vois pas comment Cat crisis pourrait être le responsable de vos problèmes.

 

Si windows ne démarre plus , même en mode sans échec:

 

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

1274538354-reatogo.jpg

 

Double-click sur l'icone OTLPE1274093075-icootl.jpg

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

1287928545-otlpe05.gif

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

OTLPE-main.png

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

wininit.exe

afd.sys

ipsec.sys

netbt.sys

tcpip.sys

/md5stop

CREATERESTOREPOINT

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
J'ai peur que ce soit foutu.

 

Je ne vois pas comment Cat crisis pourrait être le responsable de vos problèmes.

 

Si windows ne démarre plus , même en mode sans échec:

 

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

1274538354-reatogo.jpg

 

Double-click sur l'icone OTLPE1274093075-icootl.jpg

 

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

1287928545-otlpe05.gif

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

OTLPE-main.png

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:OTL

:restorepoints

Laissez-la tourner, sans l'interrompre.

Cela pourrait prendre un certain temps, en fonction du nombre de points de restauration trouvés.

Vous devriez obtenir un rapport ressemblant à ceci:

 

========== Custom Scans ==========

 

========== Restore Points Found ==========

[2010/02/08 14:04:53 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP168\snapshot

[2010/02/07 13:53:11 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP167\snapshot

[2010/02/05 22:45:17 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP166\snapshot

[2010/02/04 22:23:26 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP164\snapshot

[2010/02/04 22:22:21 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP165\snapshot

[2010/02/02 21:55:35 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP163\snapshot

[2010/02/01 13:14:51 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP162\snapshot

.

.

.

 

Ils sont listés en commençant par le point de restauration le plus récent, jusqu'au plus ancien.

 

Pour restaurer les ruches de la machine depuis un de ces points de restauration, prenez simplement la ligne que vous désirez et copiez/collez-la dans un correctif en utilisant la section :restorepoint, comme ceci:

 

:restorepoint

[2010/02/08 14:04:53 | 000,000,000 | ---D | M] -- C:\System Volume Information\_restore{78FB2821-AC54-4A12-BD2D-C6728C0F7E78}\RP168\snapshot

 

 

OTL va prendre les ruches de la machine dans le point de restauration donné et les copier à la racine du disque système.

Il aura alors besoin d'un redémarrage pour déplacer ces copies dans le dossier config.

L'utilisateur DOIT redémarrer normalement pour que cela puisse s'effectuer.

Redémarrer dans l'environnement PE NE fonctionnera PAS.

Comme les ruches sont remplacées en direct, certaines machines ont affiché des BSODs.

Tout va bien.

Faites simplement redémarrer la machine normalement une nouvelle fois, et tout devrait être rentré dans l'ordre.

 

Si vous avez une machine qui est vraiment complètement bousillée, et si vous avez besoin de la faire revenir dans un état antérieur, c'est un moyen facile de le faire.

 

 

 

 

 

Ensuite:

 

Revenez àl'' écran d'OTLPE

OTLPE-main.png

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

wininit.exe

afd.sys

ipsec.sys

netbt.sys

tcpip.sys

/md5stop

CREATERESTOREPOINT

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites
Madscalp Power Member

Madscalp

Posté(e)
  • Auteur
Posté(e)

J'ai passé l'après-midi sur ce problème.

J'arrive au panneau de solutions HP mais la récupération du système est grisée donc inexploitable.

Par ailleurs toutes les tentatives de restauration à partir de dates antérieures ont échoué.

Comme en plus chez HP il n'y a pas de disque de recup c'est la m...

Evidemment je ne sais pas si c'est ce dernier log qui est en cause mais c'est arrivé après...

Lien vers le commentaire
Partager sur d’autres sites
Madscalp Power Member

Madscalp

Posté(e)
  • Auteur
Posté(e) (modifié)

Bon ....la machine boote bien sur le CD mais après la barre de progression je n'ai même pas l'écran d'accueil Reatogo...

Bilan: pas de possibilité de mode sans échec

outil de récupération sans effet

aucun point de restauration possible

pas de Reatogo

C'est bon j'abandonne...

Une machine à la casse...une

Modifié par Madscalp
Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Si vous n'obtenez pas Reatogo, c'est très probablement que votre cd n'est pas bien gravé.

C'est du moins la raison que l'on voit généralement.

Ca vaut la peine de réessayer!

 

 

Je me dois d'ajouter une expérience personnelle récente:

 

Ecran, souris bloqués.

Redémarrage impossible.

Lancement d'Otlpe(précedemment testé donc fonctionnel)

On entend le cd tourner mais otlpe ne se lance pas

 

Conclusion: carte mère HS!

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...