[Résolu] Échec du mode sans échec

[Ryllas]

Bonjour,

 

Je me permets cette fois-ci, contrairement à d'autres infections où j'ai pu me débrouiller seul, de vous demander de l'aide. Je ne suis pas sûr d'être virusé ou si j'ai touché quelque chose à la base de donnée (ou les deux) mais voici l'histoire.

 

Configuration du système :

Toshiba Satellite P300-1GK
Windows Vista Edition familiale Premium pack 2 (x32)
Intel Core 2 Duo CPU P8600 @2,4Ghz
4Go mémoire vive
ATI Mobility Radeon HD4650

 

Symptômes depuis quelques mois :

- impossibilité de mettre à jour Avira donc changement d'antivirus pour Avast puis vu la lenteur du PC, retour à Avira

- lenteur sur internet et blocage temporaire de plusieurs secondes

- impossibilité de me connecter à internet alors que l'ordi me dit que je suis connecté (hier soir. Revenu à la normal après redémarrage)

- impossibilité de me connecter à mes comptes bancaires via firefox alors même que je peux dans les mêmes conditions avec un compte professionnel (site différent) (Je peux néanmoins le faire en passant par IE que je n'utilisais pas jusqu'à présent et je peux le faire en utilisant l'ordinateur de ma femme via firefox).

- impossible de faire une défrag (il semble que je puisse maintenant le faire après nettoyage)

- impossibilité de libérer de l'espace disque (je ne peux toujours pas utiliser ce service windows)

- impossible de faire un scan online avec Zebulon (J'ai finalement pu en faire un avec ESET et un scan rapide directement sur bitdefender)

- UC utilisait beaucoup de ressources parfois

- impossibilité de faire un pt de restauration, tous mes points de restauration antérieurs ayant d'ailleurs disparu (il est possible que j'ai restauré il y a quelques temps) [Erreur détectée dans le fournisseur de clichés instantanés lors du traitement de la commande spécifiée (0x8004230F)]. Impossibilité de créer un pointt de restauration aussi lorsque j'utilise Revo uninstaller.

- disparition du bouton Hubic sur la barre de tâches et impossibilité de charger de nouveaux fichiers

- réception quotidienne de plusieurs messages virusés ou véreux sur ma boite mail (mais ça c'est peut être le lot de tout le monde)

- internet coupé à ZHPDiag donc update impossible.

 

Et maintenant le pire (l'échec se traduit par un arrêt de l'ordinateur. Pas de moment précis particulier)

- Echec du mode sans échec

- Echec de la réparation d'ordinateur

- Echec de l'outil de redémarrage système

- Echec parfois de l'ouverture windows (généralement juste après avoir tenté le mode sans échec. En attendant un peu, je peux à nouveau ouvrir windows)

 

Actions entreprises :

Scan d'avira (Free antivirus) il y a quelques temps :

- EXP/CVE-2013-2423.D.GEN

- ADWARE/InstallCore.A.421

 

Scan sur ESET :

- Win32/YourFileDownloader.B

- Win32/Toolbar.Babylon.D

- Win32/InstallMonetizer.AQ (plusieurs fois)

- Une variante probable de Win32/RegistryBooster

- Une variante de Win32/Openinstall

- Une variante de Win32/RegistryBooster

 

Scan rapide Bitdefender : rien

 

Scan Malwarebytes antimalwares : rien

 

Kaspersky security scan : rien

 

Tous ces scans ont bien sûr été fait dans le mode normal vu que je n'ai pas accès au mode sans échec.

 

Rapport ZHPDiag

 

Edit de Notpa :

 

Pour les longs rapports, merci de les stocker sur un hébergeur comme Cjoint. C'est moins lourd et ça facilite la lecture. C'est ce que j'ai fait avec ton rapport:

 

http://cjoint.com/?DIirBcdVGOH

 

 

En vous remerciant par avance de l'aide que vous pourrez me fournir.

Modifié le 21 septembre 2014 par Ryllas
Posté rapport sur Cjoint

[pear]

Bonjour,

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix.

sur le bureau ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista et + clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre

Script ZHPFix

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211701196}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211701196}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{31111111-1111-1111-1111-110211701196}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536]
Kaspersky Security Scan v12.0.1.881
[MD5.EFB2614E9142FA4427CE82EE6DC0CA7B] - (.Kaspersky Lab ZAO - Kaspersky Security Scan.) -- C:\Program Files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe [202080] [PID.920]
O44 - LFC:[MD5.6BF62F77F124B86841CC6C95D382C0B7] - 08/09/2014 - 10:00:49 ---A- . (...) -- C:\Windows\IE9_main.log [3464]
SR - | Auto 15/06/2014 202080 | (KSS) . (.Kaspersky Lab ZAO.) - C:\Program Files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe
O43 - CFD: 18/03/2011 - 16:25:04 - [0] ----D C:\Program Files\ToolbarInstaller
EmptyPrefetch
EmptyFlash
EmptyClsid
FirewallRaz
Ifeofix
Proxyfix
ShortcutFix
Sysrestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt



Mises à jour Java et Flash:
Télécharger FlashPlayerUpdate.exe

Désactiver l'anti virus provisoirement.
Sous Windows Vista / 7 / 8 (clique-droit > exécuter en tant qu'administrateur


JavaUpdate de Pierre13
Désinstallation des anciennes versions ou corrompues si présentes.
Installation de la dernière version. (si l'utilisateur accepte)
Proposition de désactivation de la mise à jour auto(parce qu'il y a des indésirables qui seraient alors installés)

Java peut mettre en péril la sécurité de votre ordinateur.
Il vous est fortement conseillé de le désactiver de vos navigateurs WEB, si vous en avez pas l'utilité.
Lorsqu'une application Java se présentera, un message d'avertissement vous demandera d'installer Java ou d'activer le plug-in.
Vous le désactiverez dès que vous aurez fini d'utiliser l'application écrite en Java.

Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.
Un rapport apparait sur le bureau
Les fichiers supprimés sont dans la corbeille.
Cela donne la possibilité de replacer les fichiers supprimés par erreur dans leur dossier original.
Il suffit de faire un clic droit sur le fichier concerné => Restaurer.
Pour les supprimer, clic droit sur la corbeille => Vider la corbeille.

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Noter que le copier/coller de l'adresse ne fonctionne pas sous Firefox.
Dans ce cas, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

[Ryllas]

Merci de me répondre Pear.

 

J'ai suivi à la lettre.

 

Voici le rapport ZHPfix : http://cjoint.com/?DIiu4UwY4mm

 

Voici le rapport SFTGC : http://cjoint.com/?DIiu6xhes60

Modifié le 8 septembre 2014 par Ryllas

[pear]

Et comment va la machine ?

[Ryllas]

Désolé j'ai été un peu long.

Alors, pour le principal :

echec du mode sans échec et de la réparation du démarrage. L'ordinateur se coupe net. Pas forcément au même endroit. J'ai testé deux fois le mode sans échec.

Impossible par la suite de démarrer windows. L'ordinateur se coupe net. J'ai attendu, j'ai mis les ventilos et j'ai pu rouvrir la machine.

 

Pas possible de libérer de l'espace disque. Pas possible d'utiliser la défrag. Dans mon premier message j'ai été un peu présomptueux. Il fallait lancer la defrag après l'analyse pour voir qu'on analysait de nouveau. (A moins qu'il ne soit pas possible de lancer la défrag quand le système estime qu'il n'y a rien à défrag ?!)

 

Point de restauration : impossible, toujours la même phrase : Erreur détectée dans le fournisseur de clichés instantanés lors du traitement de la commande spécifiée (0x8004230F)

 

J'aurais une question bête : Le mode sans échec utilise-t-il plus de ressources que le mode normal. En gros, l'ordi chauffe-t-il plus en mode sans échec?

[pear]

Donc des problèmes matériels!

 

Réparer Windows avec Windows Repair (All in One)

Suivez toutes les étapes de Step 1 à Step 5

Pour déterminer quels fichiers ne peuvent pas être réparés par l'outil Vérificateur des fichiers système :

Ouvrez une Invite de commande et Exécuter en tant qu'administrateur.
À l'invite de commandes,copiez/collez la commande suivante
findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log > %userprofile%\Desktop\sfcdetails.txt
Validez
ou
Télécharger cbslog.bat
Enregistrez-le sur le Bureau
Clic droit sur cbslog.bat
Le rapport sfcdetailsrepair.txt s'affiche,

Vérifiez si votre problème est résolu.

Dans le cas où le problème persiste:
allez à cette étape "Start Repairs"

Cliquer Unselect All en bas
Cochez les numéros suivants

01- Remettre les permissions du registre par défaut
02 - Remettre les permissions des fichiers par défaut
03 - Remettre les permissions des services par défaut (ajoute au besoin les permissions d'accès Administrators = Full, System = Full, TrustedInstaller = Full )
04 - Ré-enregistrer les fichiers systèmes
05 - Réparer le WMI (Windows Management Instrumentation : gestion du système)
08 - Réparer le MDAC (Microsoft Data Access Components) et Microsoft Jet
10 - Supprimer les restrictions systèmes mises par certaines infections (regedit, taskmanager, etc)
13 - Réparer Winsock et le cache DNS (problème connexion)
17 - Réparer Windows Update
19 - Réparer le service des clichés instantanés système (Restauration système et "version précédentes" des fichiers)

N'oubliez pas de cocher l'option "Restart/Shutdown pc when finished"
cliquer sur "Start" à droite.

[Ryllas]

Bonjour. Alors je suis à la step 3 et j'ai un doute.

J'ai fait un "check" et tweaking semble me dire "No errors found on the drive". Mais en regardant le log, il est marqué :

 

V‚rification du journal USN termin‚e.
La bitmap du volume est incorrecte.
Windows a d‚tect‚ des problŠmes sur le systŠme de fichiers.
Ex‚cutez CHKDSK avec l'option /F pour les corriger.

 

http://cjoint.com/?DIjlGVb3eaU

 

En outre, la détermination des fichiers qui ne peuvent pas être réparés ne semble pas fonctionner. L'invite de commande répond à la suite de la validation de la commande :

FINDSTR : impossible d'ouvrir C:\Windows\Logs\CBS\CBS.log

 

J'ai donc essayé la solution cbslog.bat, voici les rapports :

sfcdetails.txt : http://cjoint.com/?DIjlMR9ywKj

sfcdetailsrepair.txt : http://cjoint.com/?DIjlNu3lFn1

 

Je n'ai donc pas appuyé pour l'instant sur le "do it" du step 3.

[pear]

 

Ex‚cutez CHKDSK avec l'option /F pour les corriger.

Ouvrez une invite de commandes avec élévation de privilèges.

Pour ce faire, cliquez sur Démarrer-> Tous les programmes->Accessoires->Clic sur Invite de commande et Exécuter en tant qu'administrateur.

Si vous êtes invité à donner un mot de passe administrateur ou à confirmer une opération, tapez le mot de passe ou cliquez sur Autoriser.

Taper

Chkdsk /f/r

 

il l y a un espace après le k.

 

Windows vous dira qu'il ne peut exécuter cette commande car le disque est en "application"

et il vous proposera d'effectuer chkdsk au prochain redémarrage,

tapez O pour accepter, puis valider. et redémarrez le pc

La fonction chkdsk s'exécutera alors automatiquement.

 

[Ryllas]

Alors step 3 :

1/ j'ai fait ce que vous m'avez dit dans votre dernier message. Je n’ai jamais pu aller plus loin que 2% de chdsk. L’ordi s’est coupé

2/ j'ai ensuite refait un check qui m'a mis le même message dans le log que plus haut :

V‚rification du journal USN termin‚e.
La bitmap du volume est incorrecte.
Windows a d‚tect‚ des problŠmes sur le systŠme de fichiers.
Ex‚cutez CHKDSK avec l'option /F pour les corriger.

Tweaking se contentant d’un « No error found on the driver », je n’ai pas appuyé sur le bouton “Do it”.

3/ J'ai refait l'opération de votre dernier message après une bonne période de repos. Je n’ai pas été plus loin que 20%.

4/ J’ai finalement quand même appuyé sur « Do it ». L’ordi a pu vérifier jusqu’au bout mais s’est coupé au redémarrage windows. Je ne sais donc pas s’il devait y avoir un rapport.

5/ Pas d’amélioration des pts cruciaux..

 

Step 4 :

J’ai exécuté « Do it ».

Message final :

La vérification 100% est terminée.

La protection des ressources windows a trouvé des fichiers endommagés, mais n'a pas réussi à tous les réparer. Des détails sont inclus dans le journal CBS.Log windir\Logs\CBS\CBS.log.

Rapport : Il semblerait que ça soit très long à charger. Dans la mesure où je ne sais si vous en avez besoin, je poste tout de suite les résultats et posterai plus tard le rapport s'il arrive un jour.

 

Victoire : j’ai accès à la defrag.

 

Step 5 :

Pour le registry backup, je ne sais pas si ça a fonctionné mais cela l’a été pour la restaurations système. Il semblerait que j'ai pu créer un point grâce à Tweaking.

 

Pas d’autres améliorations et notamment pas de possibilité de créer un pt de restauration directement par le système windows.

 

Repair :

1 victoire : possibilité de créer les pts de restauration. En revanche, tjs impossible de libérer de l’espace disque et toujours cette coupure en mode sans échec.

 

 

Hypothèse :

La coupure nette de l’ordinateur ne pourrait-elle être due à une faiblesse du ventilateur? Quand j’ai acheté l’ordi, après 13 mois, l’ordinateur s’est mis à s’arrêter brutalement de la même manière juste après l’ouverture de l’ordi avant même le chargement de windows. Renvoyé chez Toshiba, ils ont changé le ventilateur qui ne fonctionnait plus. La sécurité de l’ordi faisait donc planter immédiatement. Heureusement.

Dans mon cas d’aujourd’hui, ne peut-on envisager une faiblesse du ventilateur qui s’arrêterait d’un seul coup en cas de surcharge de travail? J’ai vraiment l’impression que le ventilo fonctionne normalement en mode normal mais qu’il accélère en mode sans échec ou en mode « vérification », genre chdsk. Et c'est justement dans ces moments-là que l'ordinateur se coupe.

 

N.B. : Le contrôle de sécurité Windows ne trouve pas de protection antivirus (alors que j'ai Avira) mais trouve Avira dans la rubrique protection des logiciels espions et autres programmes malveillants. J'avais coupé Avira le temps du repair. Tweaking avertissait qu'il était préférable de couper l'antivirus.

Modifié le 9 septembre 2014 par Ryllas

[pear]

Il semble donc y avoir du mieux.

 

Voyons le rapport cbs.log.

 

 

ne peut-on envisager une faiblesse du ventilateur

On peut tout imaginer, mais c'est à vous d'en faire la recherche.

Je ne peux rien y faire.

Modifié le 10 septembre 2014 par pear