× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Bureau de Windows seven qui freeze au démarrage.
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Gaspardino
  Posté le 09/05/2014 @ 02:33 
Aller en bas de la page 
Nouvel astucien

Le 8 mai 2014, Bonsoir Messieurs.

Un barebone Shuttle a de gros problèmes d'ouverture de session. A priori ce n'est pas une infection. Cette station de travail sert à des essais d'emploi d'utilitaires et de logiciels ainsi que de périphériques divers. Elle est très rapide, elle n'a aucun problème de ralentissement. De manière de plus en plus récurrente Windows plante après l'ouverture du bureau et celà est très caractéristique : au démarrage soit après un arrêt total soit par redémarrage, le bureau apparait de façon normale sans aucun ralentissement et il est facile de voir si Windows va planter ou non. Si le Systray ne comporte qu'un petit nombre d'îcones, environ 8 au lieu de la quinzaine progammées, Windows va freezer dans les minutes suivantes, autrement la session se déroule tout à fait normalement. Un autre indice est que le réseau Lan et Wan (il y a un routeur) ne se connecte pas. On peut ouvrir une application, ou l'explorateur, faire quelques clics, puis tout se fige, tous les boutons deviennent inactifs quelqu'ils soient même celui de l'arrêt. Le taskmgr ne s'ouvre plus, sauf une petite fenêtre qui boucle "arrêter le processus". Seule la bascule de "Démarrer", Ctrl+Esc, marche. Le moulinage de l'ex-sablier peut durer des heures. l'arrêt se fait par le bouton Reset.

Bien entendu, l'OS est, disons très secoué, en raison des essais: plusieurs points de restauration par jour, plusieurs sauvegardes de la BdR, désinstallation, réinstallation de logiciels, etc. Des fichiers système doivent être endommagés. Aucun CHKDSK et SFC SCANNOW n'ont été faits par peur de perdre la localisation des secteurs défectueux, aucune sauvegarde du C: n' ayant été entreprise (Cordonnier mal chaussé......).

Un autre problème récurrent, de fréquence moindre, et plus ancien mais plus facile à régler, sauf qu'il demande un redémarrage, est la non reconnaissance par la carte réseau du WAN, le Lan est reconnu avec une Ip 169... , le routeur étant en plage 192...la station en Ip fixe 192... le Lan est reconnu, mais pas de connexion Internet. Il suffit de réinitialiser la carte avec l'Ip fixe paramétrée sur le routeur, ceci est aléatoire alors intervient aussi l'aléa du redémarrage!!! Sur la carte-mère il ya deux chips réseau et deux sorties le problème est identique pour les deux cartes.

Le mode sans échec est toujours disponible, avec réseau la carte (ou les cartes) se connecte toujours LAN et WAN. La (les) réparation a été entreprise avec le DVD original de Seven, mais la ligne spécifiant l'OS est désespérément vide (où charger les drivers ?), une réparation du MBR a été entreprise avec Bootsect, ce qui a permit un démarrage normal et l'ouverture d'une session "normale". ( Mais pas d'indication de l'OS dans la console? y-a-t il un fichier inf ou ini où on pourrait remplacer l'ancienne distribution des lettres de partition par la nouvelle distribution relativement au numérotage des volumes de 0 à n?).

En réparation ou récupération, les points de restauration sont inéfficaces, le système revient bien à un instant antérieur sans que cela résolve le problème. ERUNT ne donne rien. Il reste à examiner l'ordre du branchement des deux HDD relativement au numéro des prises sata, la partition de boot, 100Mo, étant sur un disque et le C: (Windows) sur l'autre . Nous avons eu beaucoup de problèmes de boot, pas d'ouverture de l' OS, donc pas de bureau, pas de mode sans échec, quand nous avons voulu connecter les HDD sur les deux prises sata "6" numéro 3 et 4 au lieu des sata "3" 1 et 2 données à priori pour l'OS dans la doc. Quelques indications supplémentaires:

La défragmentation par MyDefrag ou un autre outil tiers supprime tous les points de restauration (pas trouvé la raison....).

Un seul OS : Seven 64 Ultimate,

Logiciels tiers, utilitaires etc environ 130, tous complets en général sharewares achetés, les essais sur des versions "lite" ou free ne servant à rien.

Pas de cracks, pas de P2P, pas de réseaux sociaux, pas de jeux.

Protection par Kis, Mbam, Firefox, et beaucoup d'analyses par des outils types Sysinternals.

Hardware: cpu 6 coeurs, 2 Velociraptors 600, 2 HDD 1To pour des essais de stockage mais non employés en ce moment.

Ram 16 Go

De l'analyse forensique est parfois faite avec cette station.

Un LAN en aval d'un gros routeur Cisco, en amont un modem et un Firewall en dur, pas de Box, pas de WiFi.

Deux onduleurs galvaniques pour l'ensemble du réseau exclusivement filaire, donc pas de micro-coupure.

Tous les HDD sont bons. les températures de la boîte : 32° à 40° maxi pour les velociraptors, 65° pour le chipset IOS de la carte mère.

Les HDD sont divisés en deux partitions, chacune d'entre-elles occupées à moitié, d'où un espace suffissant. Défragmentation toutes les 24 heurs du C:, l'ordi restant extrèmement rapide pour tout traitement.

Ayant peu d'expérience dans la désinfection j'ai besoin de l' indication suivante: ce disfonctionnement est-il dû à un malware, rootkit, etc, quelconque et comment le reconnaître. Dans le cas contraire comment réparer l'OS sans reformater. Le reformatage ne m'apporte rien en tant qu'expérience et de plus je devrais transférer tous les logiciels et leurs archives sur une autre station. En espérant que vous pourrez m'apporter une solution je vous présente mes remerciements par anticipation.

Publicité
Evasion60
 Posté le 09/05/2014 à 08:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour, Gaspardino et bienvenue sur PCA Sécurité

Je vais t'assister au cours de cette désinfection. Si tu es d'accord, on va fixer quelques règles pour que la désinfection soit efficace.

  • Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
  • Si tu as des cracks ou des keygens, tu les supprimes,
  • Si tu as un windows illégal, je ne désinfecte pas.
  • Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
  • La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
  • Pour me permettre d'établir un diagnostic, peux-tu suivre ces consignes et éditer les trois rapports demandés ? (Adwcleaner, malwarebyte's et ZHPDiag).
  • Si tu as des questions, n'hésite pas.

Evasion60

... Défragmentation toutes les 24 heurs du C:\ ...

/!\ Grave erreur, on ne défragmente pas un disque dur tous les jour

Vérifier avec fsutil

La commande fsutil permet très simplement de vérifier l'intégrité d'un disque, ce qui permet de savoir si nous devons utiliser la commande CHKDSK afin de corriger le problème
Sous Vista/Win7 => Dans le menu Windows // Tous les programmes// Accessoires => clic droit sur "Invite de commandes" et "Exécuter en tant qu'administrateur"
Sous Win8 => Barre de charme // Rechercher => Taper « Invite de commandes» l'épingler par un clic droit. En bas à gauche "Exécuter en tant qu'administrateur"
Sous XP => Double clic ou Démarrer // Tous les programmes // Accéssoires ---> "Invite de commandes", clic droit et "Exécuter en tant qu'administrateur"

Dans la fenêtre noire qui va s'ouvrir et derriere le curseur clignotant que vous verrez et qui suit la ligne c:\windows\system32>


Image

Tapez en respectant les espaces ou par un copier/coller fsutil dirty query C: et appuyez sur la touche Entrée de votre clavier
Vous demandez à Windows de vérifier l'intégrité de votre partition C:\ ou se trouve le système d'exploitation. Une analyse va s'exécuter, patientez pendant l'opération
A l'issue de l'analyse le résultat vous sera indiqué dans la fenêtre noire, communiquez moi le



Image

Tapez en respectant les espace ou par un copier/coller "Exit", et appuyez sur la touche "Entrée" de votre clavier pour fermer l'Invite de commandes

Si le message en résultat est « Le volume C : est intègre » il ne vous sera pas nécessaire de lancer la vérification avec CHKDSK
Par contre si vous obtenez le message « Le volume C : n’est pas intègre » il va falloir lancer la vérification

Gaspardino
 Posté le 10/05/2014 à 22:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Le 10 mai 2014, Bonsoir Evasion60 et merci pour votre aide.

Hier, je n'ai pu ouvrir l'ordi, mode sans échec compris, il y a eu une réelle dégradation.

Le "moulinage" se fait sur la page d'accueil de windows et non sur le bureau, c.à.d antérieurement à l'ouverture de session.

En mode console de récupération cela est identique, après l'exécution d'une action de la console, la commande ou onglet redémarrage bloque sur la page d'accueil, le "sablier" moulinant, les icônes des comptes n'apparaissant pas; arrêt au reset.

Aujourd'hui j'ai changé le branchement des HDDs par rapport aux prises sata de la CM. La prise sata n° 1 esr reliée au disque comportant la partition réservée de 100Mo du boot. Windows sur C: est sur l'autre disque relié à la prise n°2.

Windows a démarré normalement et pour le moment a un comportement "normal" (qu'un seul redémarrage pour l'instant réalisé).

Mais je ne fais pas pour l'instant de lien entre le choix des prises et l'ouverture de session car je remarqué qu'en laissant cet ordi arrêté 24 ou 48 heures, l'ouverture de session était réalisée toujours correctement (une corrélation avec le temps d'arrêt??), et la dégradation se faisait ou ne se faisait dans les heures ou les jours suivants. Si le plantage sur le bureau commençait, le temps passant, la dégradation ne faisait qu'empirer.

J'ai exécuté la commande FSUTIL , réponse : le C: est intègre. Une remarque : la réponse est instantanée, à la frappe sur "entrée" la réponse s'affiche sans aucun battement.

Aucun problème pour l'exécution de vos "consignes". Le scan de MBam est entrain de se réaliser.

Je connais bien les problèmes de la défragmentation. Mais c'est la seule solution pratique que j'ai touvrée pour garder sa fraicheur à ce Seven qui est toujours aussi rapide qu'à son premier jour malgré une charge d'environ 130Go sur le C: sans documents.

La défragmentation est faite avec MyDefrag431, par commande manuelle, sans programmation, sans GUI, toutes ces options ainsi que tous les softs payants ou non ont été abandonnés, leurs résultats étant très médiocres.

Sans défragmentation rapprochée, ce Seven perd en rapidité et a tendance à travailler par "saccade".

Je vous tiens au courant rapidement de l'analyse Mbam, elle va finir.

Mes meilleures salutations.

Gaspardino
 Posté le 11/05/2014 à 14:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Dimanche 11 Mai 2014, Bonjour Evasion60.

Je vous donne quelques détails supplémentaires. Je n'ai pas arrêté l'ordi par précaution. J'ai fait quelques redémarrages qui se sont bien passés, mais je ne l'arrête pas avant de vous envoyer tous les rapports demandés.

J'ai exécuté Mbam Pro 1.7, il est dans la bibliothèque d 'archives de l'ordi. Mode sans échec, toutes les partitions scannées, zéro partout, pas le moindre bout de malwares. J'ai dû envoyer le rapport par "envoyer".

J'ai téléchargé la version 2.0 de Mbam de votre lien qui a écrasé la version précédente et a installé la version nouvelle version Premium en "upgrade" de la version Pro 1.7. Exécution d'un scan comme demandé mais pas en mode sans échec, aucun malware. Un rapport .txt vous sera joint.

J'ai fait de même avec Adwcleaner, scan et nettoyage de deux clés de Classe {CLSID} et de deux clés de nom "headlight", en fait une seule clé en raison de la duplication 32/64 bits. Gardant une trace à posteriori des clés supprimées, cette clé "headlight" était un reliquat d'un utilitaire de téléchargement: GetRight dont quelques essais ont été entrepris sur cette station, avant sa suppression. (j'ai cru qu' une Ask toolbar était dissimulée, bien que jamais une toolbar n'a été employée).

Une question à propos de AdwCleaner : pourquoi nomme t-il dans son rapport les lignes des fichiers des préférences des comptes sous Firefox, fichiers .js de script, il ne les supprime pas, les modifie t-il?

Je vous souhaite un agréable Dimanche, Evasion60.

Les rapports suivent dans deux réponses suivantes.

Gaspardino
 Posté le 11/05/2014 à 14:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Dimanche 11 Mai 2014.

Rapport de Mbam 2.0

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 11/05/2014
Heure de l'examen: 10:57:28
Fichier journal:
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.05.11.03
Base de données Rootkits: v2014.03.27.01
Licence: Premium
Protection contre les malveillants: Activé(e)
Protection contre les sites Web malveillants: Activé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: X

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 414354
Temps écoulé: 4 min, 58 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Avertir
PUM: Avertir

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

Gaspardino
 Posté le 11/05/2014 à 14:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Dimanche 11 Mai 2014,

Rapport de Adwcleaner:

# AdwCleaner v3.207 - Rapport créé le 11/05/2014 à 12:00:28
# Mis à jour le 05/05/2014 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : X - QUANTOR-16
# Exécuté depuis : C:\ProgramTemp\AdwCleaner_exec\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1CCCE0D-AE21-42A2-BE58-8E6109410995}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CD4D7B0F-45C6-4bb2-A1E7-54D1754E7FC5}
Clé Supprimée : HKCU\Software\Headlight

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17041


-\\ Mozilla Firefox v28.0 (fr)

[ Fichier : C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\wf2wdr0j.default\prefs.js ]


[ Fichier : C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\mfxr26jv.default\prefs.js ]


[ Fichier : C:\Users\X\AppData\Roaming\Mozilla\Firefox\Profiles\m3myxny2.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1269 octets] - [11/05/2014 11:55:45]
AdwCleaner[S0].txt - [1153 octets] - [11/05/2014 12:00:28]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1213 octets] ##########

Evasion60
 Posté le 11/05/2014 à 22:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

... J'ai exécuté la commande FSUTIL , réponse : le C: est intègre. Une remarque : la réponse est instantanée, à la frappe sur "entrée" la réponse s'affiche sans aucun battement ....

Comme demandé, cette commande se fait en Invite de Commandes et avec les droits administrateur !

A te lire

Gaspardino
 Posté le 12/05/2014 à 02:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : ZHPDiag.txt

Gaspardino
 Posté le 12/05/2014 à 02:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Lundi 12 Mai 2014,

Bonsoir Evasion60, j'ai oublié d'activer "Publier le message", je suis reparti pour mes lignes de frappe....

Fsutil a bien été réalisé sous un compte administrateur et en tant qu'administrateur.

AdwCleaner n'est pas très fiable à priori. Les deux clés Classes/CLSID/correspondent à des objets ou composants dll, ocx, com d'un logiciel parfaitement transparent, un player audio de la suite AVS4you qui bien entendu s'est mis à genoux, "access violation", il me reste l'archive. J'ai complètement oublié qu'un CLSID est un GUID, unique, et que ce CLSID en tant que valeur et non en tant que nom de clé, pouvant s'appliquer à des composants différents, doit par conséquence trainer dans le registre et donner la correspondance avec un nom de software au niveau des clés sans être repéré par l'utilitaire de nettoyage. Pour les lignes "CLSID" un nettoyage manuel est donc préférable.

J'ai retrouvé le rapport de Mbam 1.7, je le joins en texte ci-après.

Je vous en souhaite bonne réception. Je vous remercie par avance, Evasion60, pour le temps que vous pourrez accorder à l'essai de résolution de ce dysfonctionnement.

Rapport:

Malwarebytes Anti-Malware (PRO) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2014.05.10.07

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 11.0.9600.17105
X: QUANTOR-16 [administrateur]

Protection: Désactivé

10/05/2014 21:05:57
mbam-log-2014-05-10 (21-05-57).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 1623095
Temps écoulé: 1 heure(s), 34 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

http://fichiers.pcastuces.com/rapports/196605-20140512020634_ZHPDiag.txt.zip

Publicité
Evasion60
 Posté le 12/05/2014 à 12:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

... Un barebone Shuttle a de gros problèmes d'ouverture de session ...

La commande MsDos que je demande, est bien effectuée sur la session en cause ?

Gaspardino
 Posté le 13/05/2014 à 23:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Mardi 13 Mai 2014, Bonsoir Evasion60.

La Cde MsDos.....Oui, elle a été effectuée sur la session en cause.

Il y a trois comptes activés sur cette machine : deux comptes utilisateur-administrateur (permissions courantes des comptes administrateurs) et le compte "grand-administrateur"; toutes les sessions se font avec le compte utilisateur(administrateur) courant, l'autre compte utilisateur-administrateur dont le bureau est très succint est employé très rarement pour des actions séparées du compte courant, l'Administrateur sert au dépannage. On ne se trompe pas à ce niveau. Ce n'est pas la meilleure manière de protéger l'ordi, peut-être, mais ce dernier sert strictement à des essais et est paramétré en fonction des manipulations à faire. L'interpréteur de commande et l'exécution d'applications nouvelles se fait par le menu contextuel. Si le mode sans echec doit être employé, on ne change pas de session.

Un point suspect est le suivant : en cas de "freeze" comme expliqué au début ou de plantage au démarrage, problèmes de boot, sans espoir d'ouverture de session, la dîte session étant abandonnée, l'ordi arrêté complètement et éteint, une reprise de session après un ou plusieurs jours ouvre normalement neuf fois sur dix (donc ce n'est pas toujours vrai) et en cours de session, le "freezage" apparaît que dans 50% des cas.

Je cherche des incomptabilités entre les applications installées et Windows.

Bonsoir Evasion60.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
42,95 €Boîtier PC ATX Fractal Focus G à 42,95 €
Valable jusqu'au 30 Novembre

Amazon propose actuellement le très bon boîter moyen tour Fractal Design Focus G à 42,95 € livré gratuitement alors qu'on le trouve ailleurs à plus de 69 €. Le boitier Fractal Design Focus G est une plateforme ultra-polyvalente douée de fonctions ultra pratiques (format ATX, filtres, USB 3.0, 2 ventilateurs LED inclus, emplacements 5,25 pouces pour lecteur DVD/Blu-Ray, montage facile).


> Voir l'offre
4,99 €Ventilateur Arctic F12 PWM PST 120 mm à 4,99 €
Valable jusqu'au 30 Novembre

Amazon fait une promotion sur le ventilateur Arctic F12 PWM PST 120 mm qui passe à 4,99 € au lieu de 7 €. Ce ventilateur vous permettra de refroidir efficacement et en silence votre boîtier. La fonction PWM permet de faire fonctionner le ventilateur précisément à la vitesse nécessaire.


> Voir l'offre
18,69 €Clé USB 3.0 SanDisk Ultra Flair 128 Go à 18,69 €
Valable jusqu'au 30 Novembre

Amazon fait une promotion sur la clé USB 3.0 SanDisk Ultra Flair 128 Go qui passe à 18,69 € alors qu'on la trouve ailleurs à plus de 25 €. Cette clé USB offre des débits jusqu'à 150 Mo/s.


> Voir l'offre

Sujets relatifs
Demarrage windows en mode sans échec seulement
Ecran figé sur Motherboard avant démarrage de windows
Problème de fermeture et de démarrage de Windows
Phénomènes observés au démarrage de Windows 7
pc bloque au démarrage windows 7 (virus?)
Windows lance une vérification de disques à chaque démarrage?
Bureau devient quasi noir après 2 sec au démarrage
Démarrage, explorer, Windows update, instable voir inutilisable.
Démarrage Windows 7 / 64
ecran noir demarrage windows 7
Plus de sujets relatifs à Bureau de Windows seven qui freeze au démarrage.
 > Tous les forums > Forum Sécurité