Ouverture et fermeture XP en mode fenetre

Résolu/Fermé
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010 - 26 mai 2010 à 13:21
clem73 Messages postés 4461 Date d'inscription jeudi 3 janvier 2008 Statut Modérateur Dernière intervention 31 décembre 2016 - 26 mai 2010 à 23:02
Bonjour,

Depuis hier, lorsque j'ai nettoyé avec ZA des chevaux de troie qui avait infecté mon registre, j'ai bizaremment une petite fenetre au lieu du plein écran lors du démarrage et de la fermeture d'XP.

Dit autrement, les messages "Demarrage de Windows", à l'ouverture et "Enregistrement de vos paramètres", "Fermeture de Windows" à la fermeture, apparaissent sur fond noir dans une petite fenetre bleue, alors que normalement ces messages sont en plein ecran sur fond bleu.

Il me semble que je doive restaurer certains paramètres d'affichage dans le registre.
Mai lesquels et où ?

Merci pour votre aide.






A voir également:

8 réponses

marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
Modifié par marc1301 le 26/05/2010 à 22:36
si tu t'y connais pourquoi viens tu demander de l'aide ?? tu es en fait vexé que je sois plus doué que toi, tout en étant plus jeune et en ayant beaucoup de choses a apprendre d'autres personnes contrairement a toi!
tu as énnoncé un souci, je t'ai donné la solution, mais tu ne veux l'entendre car tu es borné, ta compagne dois te le rabâcher depuis des années, mais dans ton monde, toi seul a raison, tu es le grand , le plus beaux, le plus fort! .... alors que veux tu de plus, tu ne me connais pas et tu me prend de haut, je suis peu être plus âgé que toi ! de toutes manière l'age importe peu, ravale un peu ta fierté et va faire une mise a niveau si tu veux te débrouiller tout seul et surtout, ne mord pas la main qui t'est tendue ! au risque de te noyer !

et de toutes manières, ca y est ton pc fonctionne maintenant donc c'est bon, on en reste la ! ;-)


je te souhaite un bon surf. @ +
5
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
Modifié par marc1301 le 26/05/2010 à 13:53
bonjour, il semble que zone alarme rencontre des soucis de faux positif (erreur de détection), restaure les fichiers mis en quarantaine dans zone alarme.

---------------------ensuite ----------------------------


exécute zhp diag afin de regarder s'il y a bien infection ou faux positif



Télécharge la dernière version de ZHPDiag : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint : http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
2
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 15:02
Bonjour marc1301 et merci pour ta réponse.

Je n'ai malheureusement pas le temps de tester ta méthode, et c'est la raison pour laquelle j'ai posté la question sur ce forum, ayant moi-même 15 ans d'exp en info.

Concernant les faux semblants avec ZA, ça a dû arrivé par le passé, mais je n'ai pas rencontré ce souci recemment en tous cas.

Sans vouloir aucunement te vexer, je préfère essayer une autre méthode.

Je peux simplement mettre la liste des éléments retirés ci-après pour plus d'info (ZA ne me permet malheureusement pas d'acceder aux nombreuses clés identifées avant la mise en quarantaine), comme cela on verra si ce sont de faux semblants :

Win32.1sass
Win32.services (oui, ça veut pas dire grand chose)
Win32.Trojan.Agent.97836 A
Win32.Worm.Socks.BW
Win32.Worm.Socks.BY

Il faut dire qu'il m'a détecté tout ça à 3H00 du mat, et j'avais un peu la tête dans les choux. J'ai donc regardé brièvement, avant de mettre en quarantaine.

Avant de les restaurer, et de risquer de remettre une éventuelle infection dans le système, ce serait sympa de me renseigner sur ces "infections".

Merci.
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
Modifié par marc1301 le 26/05/2010 à 18:52
je ne remet en doute ton expérience, le souci est que je ne peu te donner des démarches a suivre sans avoir pu prendre connaissance de l'état de ton pc !!!

Tu est du métier, donc tu sais comme moi, les autres démarches possibles, réparation sois a partir de ta console de récupération si tu l'as installé et si tu sais quelles fichiers sont endommagés, sois réparations a partir du cd, si ton cd n'intègre pas le sp3 tu n'as pas d'autres soluces que de faire la réparation en supprimant le dit sp3(si Windows accepte de le faire bien sure!).

Sinon tu récupère tout fichiers importants et tu repart sur un systeme tout neuf et tu attend quelque jours avant de réinstaller Z A afin que le faux positif sois corrigé .

ne pouvant t'aider plus sans les rapports demandés, car je ne donnerais pas de démarches a suivre sans connaitre l'état de ton pc, je vais solliciter l'aide d'un ami plus qualifier que moi .... en espérant qu'il accepte de t'aider a l'aveugle !


je te souhaite une bonne fin d'après midi;-)
2
salut neuveu ;-)
j'ai eu ton mp
je plussoie, je plussoie , mdr
0
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 19:27
Sans vouloir changer la nature de ce post, afin qu'il y ait plus de commentaires que de solutions, je suis en mesure de dire les choses suivantes :

- La simple restauration des fichiers en quarantaine resoud le problème (encore une fois je suis désolé de ne pas avoir vu ton lien www.commentçamarche... - il faudrait peut-être d'ailleurs que le webmaster les mette en rouge, mon oeil l'a carrément zappé). Meme si tu ne pouvais pas le savoir, rien ne t'empêchait de réagir lorsque j'ai collé les noms des worms puisque c'était exactement les memes que dans ton lien.

- Est-ce que je mets le post en résolu ? Le Webmaster en jugera, pour moi NON. Car qu'est-ce qui me prouve qu'au fond ZA n'a pas raison, et que mon PC est bien infecté ?

Dans un premier temps je relance donc un scan et je vais poster les clés de registre en question. Et je verifierai avec d'autres antispyware par la suite s'ils détectent des choses ou non.

Ce serait malsain de dire à des gens qui ont le même problème que le problème est résolu, sans connaitre vraiment le FOND du problème. Hein "collègue" ?
Pourtant objectivement le problème des fenetres est résolu.

- Quant à ton approche du métier, elle t'est propre et elle te regarde. Il fut un temps ou on te distait "Tapez Format C: et réinstallez Windows"...
Perso, je pense avoir le niveau sur certains problèmes pour dire "telle clé de registre à tel endroit, ou tel fichier est manquant ou corrompu". D'autres que moi en savent nettement plus, et vu qu'il s'agissait visiblement d'un problème de la couche système et non applicative, c'est à la portée de gens qui connaissent bien XP.

Voilà mon avis, mais je respecte ta démarche.
0
juste quelques remarques sur tes mots :

Merci l'ami, mais je n'ai de problème electrique.

oui, c'est vrai, c'est le cablage qui te manque !!!

au cas ou tu l'aurais zappé, je te le mets en évidance :

Electricien 69 : Contributeur sécurité CCM

Je continuerai demain mes recherches, merci pour l'info, je connaissais pas Google, c'est bien ça ? Ca vient de sortir, non ?

je pense que tu vas te débrouiller comme un grand !
d'autre part, Google ne vient pas de sortir, il faut juste s'en servire, c'est tout, mais vu que les présentation sont faites, bon surf et bonne soirée.
2
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
26 mai 2010 à 21:54
Lu'

ça y est je me suis pissé a la culotte en lisant ce topique ....:D
0
hello JFK,
tu ne plussoie pas? mdr
il vaut être au courant, qu'il le demande, mdr
pas mal, mais on rigole bien :-)
c'est la grande délire, j'attends un modo de passage ;-)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
26 mai 2010 à 20:24
bonsoir l'ami internaute,
les clés de registre en dehors de leur context de rapport ne disent pas grandes choses,

malgré l'expérience dont tu nous fait part, tu fais néomoins confiance à ZA, ce qui est fort bien,

comme tu dis et pour ne pas changer de context de ce poste, marc1301 m'a demandé de voir ton poste, ce que j'ai fait.
Ici, on fonctionne avec des rapports complets sur la demande de helper, et non par le petit bout de rapport.

maintenant, reste à voir, ou tu as besoin d'aides, à ce moment, laisse nous te guider pour résoudre ton problème, ou tu te fies à notre meilleur ami sur net que je te présente :

Google

Cordialement

Electricien 69 : Contributeur sécurité CCM
1
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 20:58
Merci l'ami, mais je n'ai de problème electrique.
Le problème du changement de l'interface XP a été identifé puisqu'à priori il vient de l'absence de ces clés au niveau système.
Je les ai donc postées au cas où des gens connaitraient leurs actions ou interactions.
D'autre part, peut-être que ZA est en avance sur ses concurrents et que leur equipe a identifié avant d'autres un problème de sécurité qui perdure depuis longtemps, et que dans les jours à venir d'autres softs vont nous sortir les mêmes choses.
Je continuerai demain mes recherches, merci pour l'info, je connaissais pas Google, c'est bien ça ? Ca vient de sortir, non ?
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
26 mai 2010 à 21:31
cwam75, tu devrais peu être arrêter l'informatique, et te mettre a la couture, je suis sur que vu ta modestie tu es du genre a prendre l'autoroute a contre sens et au bout de 15 km, tu engueule ta femme en lui disant que c'est de sa faute !!

tu as perdu plus de 6 heures pour des sottises et maintenant que tu a enfin utilisé ton cerveau pour réfléchir et que tu as exécuté les manip demandés au poste numéro 1, tu viens râler car tu ne sais pas si ton pc est infecté, vue que tu est fort de plus de 25 ans d'expériences en informatique et vue ton comportement et ta façon de t'exprimer

je ne vois qu'un truc a te dire :


" DÉBROUILLE TOI TOUT SEUL COMME UN INFORMATICIEN DE + DE 25 ANS D'EXPÉRIENCES"
0
clem73 Messages postés 4461 Date d'inscription jeudi 3 janvier 2008 Statut Modérateur Dernière intervention 31 décembre 2016 188
26 mai 2010 à 23:02
Bonsoir,

La discussion dégénérant inutilement, on ferme...
1
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
26 mai 2010 à 15:10
justement, tu n'est pas le seul sur le forum a avoir exactement ce problème avec zone alarme aujourd'hui

https://forums.commentcamarche.net/forum/affich-17742907-zonealarm-detecte-trojan-dans-registre


maintenant si tu ne me fait pas parvenir les rapports demandés, je ne pourrais te dire s'il est question d'infections ou pas ;-)


un faux positifs peux sortir d'une minutes a l'autre, aucuns antivirus n'en est a l'abri
0
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 15:24
Merci Marc,

Oui je suis bien pour le partage des infos, pas de souci.
Par contre, je ne mettrai pas le contenu de mon PC en ligne, pour des raisons liées à la production. Donc si ZHPDiag est du genre Hijackthis, je préfère trouver une autre soluce.

Je me permets de rajouter les faits suivants :

Le problème est identique avec une deconnexion de session, et à la reconnexion (je ne pouvais le voir ayant un autologon). J'ai donc une fenêtre d'invite style "Windows 2000" avec mon nom de user, et un champ en dessous pour rentrer le mot de passe.

Il semblerait donc qu'une partie de l'interface liée à XP ait été zappée...
0
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 15:25
Je vais jeter un oeil à ton ZhpDiag quand même pour voir le resultat.
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
Modifié par marc1301 le 26/05/2010 à 15:32
si ton souci est de divulguer des informations que tu pense sensibles (zhpdiag tout comme hijackthis, donne tout au plus que le nom que tu a donné a ton pc dans certains chemins de fichiers)

tu peux pour être tranquille, me faire parvenir le fameux rapport par message privé, vu que tu es inscris sur ccm, ainsi je serais le seul a avoir accès a ce contenu, pour me poster le rapport, il te suffit de cliquer sur mon pseudo puis cliquer sur envoyer un message privé comme cela nous pourrons avancer ;-)
0
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 15:51
ZhpDiag plante à mi-parcours et me donne erreur système Code 3 "chemin spécifié introuvable". Si tu sais si je peux récupérer au moins dans le cache une partie de ce qui a été fait ce serait déjà pas mal.

Par contre sur la confidentialité avancée...
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
26 mai 2010 à 16:06
Concernant Zhpdiag, cela ne me surprend pas, Z A détiens dans sa quarantaine des fichiers de ton système injustement, ton systeme risque de devenir de plus en plus instable ......


désolé je ne comprend pas ta question?

Si tu sais si je peux récupérer au moins dans le cache une partie de ce qui a été fait ce serait déjà pas mal.
Tu peux récupérer tout ce que tu veux, si cela se trouve ton pc était sain avant le déclenchement de la procédure de Z A.



Ni ton affirmation ?

Par contre sur la confidentialité avancée...

Sans confiance, nous ne pourrons avancer :-(
0
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 19:52
Voilà les clés en question :

Win32.1sass

RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0006
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0007
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0008
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0009
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0005
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0006
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0007
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0008
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0009
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Enum
Directory: C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5
Directory: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
RegistryKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\NULL
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS
RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum


Win32.Worm.Socks.BW

RegistryKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost


Win32.Worm.Socks.BY

RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\0005
0
cwam75 Messages postés 11 Date d'inscription mercredi 26 mai 2010 Statut Membre Dernière intervention 26 mai 2010
26 mai 2010 à 19:53
J'ai remplacé mon nom par %user%
0