Redémarrage XP après arrêt forcé durant scan

Résolu
mekesepasstil -  
 mekesepasstil -
Bonjour,

il y a un jour mon PC a eu un problème durant un scan antivirus.
Ayant prêter l'ordi à quelqu'un qui a ouvert des fichiers d'une clé USB infectée par un worm et un "DRP" , j'ai décider de lancer un scan avec avast. Durant ce scan mon bureau à disparu et il ne restait de visible que le fond d'écran. Le scan était encore en marche mais je n'avait plus la main et il était devenu particulièrement lent. Je l'ai alors éteint à la barbare en appuyant longuement sur le bouton start. Depuis, au démarrage il me demande de choisir un certain nombre d'option pour lancer windows (XP) : "meilleur config connue", "mode sans échec", "démarrer normalement" etc... Mais aucune ne marche et le PC redémarre à chaque fois.

Avez vous une idée de ce que c'est et comment y remédier ?

Merci d'avance.

26 réponses

  • 1
  • 2
  1. lili34500 Messages postés 187 Statut Membre 16
     
    tu pourait lancer une réparation de windows? Si tu as le disque windows ...
    0
  2. mekesepasstil
     
    Malheureusement je ne l'ai pas, ayant déménager entre temps, j'ai du perdre le cd.
    0
  3. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
     
    Salut,
    Si ton ordinateur répond encore - mais il faudrait dire jusqu'à quel point et comment - je pourrais transférer ce topic dans Virus/Sécurité...
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. mekesepasstil
     
    On peux aller dans F2 (bios), il lis les cd et puis voilà.
    Le truc c'est que j'avais programmer un scan au démarrage et qu'après que windows fasse son scan pour vérifier l'état du disque il y a deux, trois lignes qui annoncent le scan de l'antivirus et puis ça redémarre tout de suite.
    0
    1. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Mais une fois le PC redémarré, que se passe-t-il : tu n'as plus le contrôle ?
      0
    2. mekesepasstil
       
      il redémarre et on revient a la page de choix de démarrage de windows
      0
    3. mekesepasstil
       
      c'est un cercle viscieux. il lance windows, normalement ou en mode sans echec et puis trés rapidement , avant meme que le lancement de windows se finisse, il redemarre et on revient a la page de choix.
      0
    4. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Et le <Ctrl>+<Alt>+<Delete> te donne le même résultat ?
      0
    5. mekesepasstil
       
      oui sa redemarre
      0
  6. mekesepasstil
     
    J'ai désactiver le redémarrage automatique en cas d'échec et voilà ce que me dit windows

    le registre ne peut pas charger la ruche (le fichier)
    /sytemroot/system32/config/software est endommagé
    0
  7. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
     
    Ici, cela sort de mes compétences.
    Je suppose que pour avancer, il te faudrait disposer d'un backup de ta base de registre.
    Mais cela devient du chinois pour moi... qui ne suis pas mandarin.
    ...
    Désolé.
    0
    1. mekesepasstil
       
      merci quand même.
      0
    2. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Faut pas perdre espoir : si quelqu'un d'avisé n'est pas encore intervenu jusqu'à présent, c'est normal (pour ne pas interférer).
      En attendant, ce que tu pourrais peut-être faire est créer, sur un autre ordinateur qui fonctionne bien celui-là, un LiveCD Ubuntu (sur DVD ou sur clé-USB) pour accéder à ton ordi malade en n'utilisant que la RAM.

      <EDIT>
      Tu trouveras un excellent tuto ici : http://www.vista-xp.fr/forum/topic2618.html
      </EDIT>
      0
    3. mekesepasstil
       
      Top
      0
  8. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
     
    Re,
    Une suggestion qui vaut ce qu'elle vaut...
    Avec le LiveCD Ubuntu, vois si dans le répertoire d'origine Windows de ton disque-système il y a un sous-répertoire nommé Repair.
    Si c'est le cas, copie le fichier Software dans le répertoire Windows\System32\Config de ton disque-système.
    Cdlt.
    0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    dans les options de démarrage avancé, tu as "dernière bonne configuration connue" ?

    Si oui, ça donne quelque chose ?

    Sinon, tu as un autre ordi pour créer un live CD ?

    Si oui,

    Fais ça :

    1) sur l'ordi sain

    Télécharger OTLPEnet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

    Enregistre le sur ton Bureau et exécute le (double clic sous Xp, clic droit et Exécuter en tant qu'administrateur sous Vista et Xp).

    Mets un CD réinscriptible dans ton graveur.

    Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
    Sélectionner toutes les lignes de la zone blanche ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

    netsvcs
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles

    Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
    Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
    Enregistrer le fichier sous le nom OTLPE-1.txt
    Fermer le Bloc-notes.

    Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.

    2) sur l'ordi malade

    Modifie le BIOS du PC malade afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici http://forum.telecharger.01net.com/forum/

    Fair redémarrer le PC, qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE

    Tu as des outils pour copier tes données (si le DD est lisible) sur un support externe.

    Cherche aussi la commande Exécuter et tape

    chkdsk c: /f

    puis OK.

    Répare les fichiers si nécessaire.

    ===

    Faire un double clic sur l'icône OTLPE
    A la demande "Do you wish to load the remote registry", répondre Yes
    A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
    Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

    L'écran principal de OTLPE s'affiche:

    Vérifier que les paramètres sont identiques à ceux de l'image ci-dessous.

    http://assiste.com.free.fr/m/nick/OTLPE-main.png

    Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

    Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
    Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

    Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" http://assiste.com.free.fr/m/nick/OTL-Paste.png et choisir Coller.

    Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".

    Puis cliquer sur le bouton Run Scan:

    Le fichier rapport est sauvegardé dans C:\OTL.txt

    Poste le dans ta réponse (en le transférant via la clé USB si tu n'as pas accès à Internet).

    0
  10. mekesepasstil
     
    Salut,

    merci pour cette technique.

    Je n'ai pas eu le temps de l'utilisée.
    En effet j'ai réussi à récupérer mes fichiers de registre à partir de la console de récupération de XP. exemple pour le fichier software:

    md tmp

    copy c:\windows\system32\config\software c:\windows\tmp\software.bak

    delete c:\windows\system32\config\software

    copy c:\windows\repair\software c:\windows\system32\config\software.

    A savoir que l'opération est à répéter pour les fichiers "default", "system","security", et "sam".

    Mon registre à eu une erreur, que j'ai réussi à corriger en bidouillant comme ça.
    Le soucis c 'est que je n'en connais pas l'origine.
    D'ailleurs, la redirection du post est a mon avis une erreur, car il s'agit bien d'un problème windows.
    0
    1. mekesepasstil
       
      Petite précision, le fichier system a eu un probleme.
      lors de sa copie du dossier windows\repair vers le dossier \system32\config\ j'ai remarquer que le fichier system ne s'y trouvait pas.

      Dans le dossier repair, il n'y avait que system.bak c'est ce fichier que j'ai repris.
      0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    si tu as de nouveau accès à une session, le mieux est de faire ça :

    Télécharge la dernière version de ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

    pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur Cijoint

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  12. mekesepasstil
     
    Salut,

    Je n'ai pu m'occuper de ça que ce soir.

    Voilà le fichier de scan zhpscan dans le répertoire de zhpdiag

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijvRKXFsF.txt
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    c'est ZHPDiag.txt dont j'ai besoin (dans le même répertoire).
    0
    1. mekesepasstil
       
      ok .je le poste ce soir
      0
    2. mekesepasstil
       
      Voilà ZHPDAIG.txt

      http://www.cijoint.fr/cjlink.php?file=cj201106/cijOcjKQph.txt
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    entre autres, des toolbars que je te suggère de me laisser supprimer (ça ne sert à rien).

    Des restes de Norton.

    Utilise ce lien pour les éliminer :

    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
    0
  15. mekesepasstil
     
    Merci

    pour ton aide lyonnais, j'ai plus ou moins compris ce qui était dit dans le diagnostic, mais sans vraiment savoir à quoi cela faisait référence.

    Comment savoir décrypter ces resultats ?
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    à mon avis, on n'en a pas terminé.

    Je voulais ton accord pour supprimer les toolbars et il y a un logiciel (cacaoweb) à enlever (+ des bricoles).
    0
  17. mekesepasstil
     
    Ok comment faire pour détruire ça?
    0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    on fait comme ça :

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    O43 - CFD: 05/06/2010 - 14:54:00 - [385776] ----D- C:\Program Files\cacaoweb
    O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 05/06/2011 - 19:53:12 ---A- . (...) -- C:\WINDOWS\003819_.tmp   [0]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
    [HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
    [HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
    O4 - HKLM\..\Run: [TaskTray] Clé orpheline
    O23 - Service:  (ccEvtMgr) - Clé orpheline
    O23 - Service:  (ccISPwdSvc) - Clé orpheline
    O23 - Service:  (ccProxy) - Clé orpheline
    O23 - Service:  (ccSetMgr) - Clé orpheline
    O23 - Service:  (comHost) - Clé orpheline
    O23 - Service:  (navapsvc) - Clé orpheline
    O23 - Service:  (NSCService) - Clé orpheline
    O23 - Service:  (SAVScan) - Clé orpheline
    O23 - Service:  (SNDSrvc) - Clé orpheline
    O23 - Service:  (SPBBCSvc) - Clé orpheline
    O23 - Service:  (Symantec Core LC) - Clé orpheline


    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.
    0
  19. mekesepasstil
     
    Voilà le rapport de ZHPFIX.

    A savoir; j'ai utilisé les outils de suppression des antivirus présents entre temps.

    Rapport de ZHPFix 1.12.330 par Nicolas Coolman, Update du 05/06/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-09-06-2011-18-41-42.txt
    Run by Propriétaire at 09/06/2011 18:41:42
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
    SUPPRIME HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
    ABSENT HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
    ABSENT Service: ccEvtMgr
    ABSENT Service: ccISPwdSvc
    ABSENT Service: ccProxy
    ABSENT Service: ccSetMgr
    ABSENT Service: comHost
    ABSENT Service: navapsvc
    ABSENT Service: NSCService
    ABSENT Service: SAVScan
    ABSENT Service: SNDSrvc
    ABSENT Service: SPBBCSvc
    ABSENT Service: Symantec Core LC

    ========== Valeur(s) du Registre ==========
    ABSENT RunValue: TaskTray

    ========== Dossier(s) ==========
    SUPPRIME C:\Program Files\cacaoweb

    ========== Fichier(s) ==========
    SUPPRIME c:\windows\003819_.tmp

    ========== Récapitulatif ==========
    14 : Clé(s) du Registre
    1 : Valeur(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)

    End of the scan
    0
  20. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    oui, les absents sont liés à Norton. Ce qui prouve que la suppression est complète.

    Pour en terminer,

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique sur le A rouge (Nettoyeur de Tools).

    Clique sur Nettoyer.

    Fais redémarrer l'ordi pour terminer le nettoyage.
    0
  • 1
  • 2