× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Impossible d'accéder mode sans echecSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
ampere
  Posté le 18/11/2010 @ 10:33 
Aller en bas de la page 
Petit astucien

Bonjour,

Je crains après lecture des rubriques "Mode sans echec impossible" sur ce forum que Vista est Infecté ! !

En effet je souhaitais passer de Avast 4.8 en Avast 5 et pour ce faire j'ai suivi la procédure conseillée soit utiliser le logiciel de désinstallation "aswClear5.exe" proposé par Avast qui conseille d'utiliser ce "désinstallateur" en mode sans échec ............... vous avez deviné la suite ! ! Impossible d'accéder à ce mode.! !

J'ai fait un Scan Malwarebytes Antimalwares et un Scan Secuser qui ne détecte rien ! !

Pour info j'ai été infecté en 2009 par un "Bagle" à priori sur ce disque dur mais une autre partition et j'avais réinstallé Vista sur une nouvelle partition du disque ! !

Est ce que ce "ver" peut migrer sur une autre partition ???? enfin je souhaite en avoir le coeur net et retrouver Mon Mode sans echec .

Je vous remercie de votre aide et/ou conseils.

Publicité
qmike549
 Posté le 18/11/2010 à 10:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

bonjour

essais ceci pour passer au prochain démarrage en mode sans échec

* Suppression du message par la modération; méthode non conseillée en cas de doute pour une infection par Bagle.

Anonyme
 Posté le 18/11/2010 à 10:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour a tous

@ qmike549

*

la methode "Mode sans echec" avec MSconfig n'est pas recommandée:
-risques de plantage du pc et redémarrage en boucle
-un virus pourrait empêcher l'utilitaire de configuration de fonctionner correctement

il vaut mieux réparer la clé safe boot qui est peut être corrompue ou absente.(réfèrence a Bagle)

*

@ ampere

*

1) SafeBootKeyRepair de sUBs
*

  • Télécharge et enregistre sur ton bureau SafeBootKeyRepair de sUBs=> ICI
  • Ferme tous les programmes ouverts.
  • Double-clique sur l'exécutable pour le lancer.(Sous Vista /7, clic droit "Executer en administrateur")
  • une fenêtre noire s'ouvre et demande d'attendre
  • Laisse l'utilitaire faire son travail (cela peut durer quelques minutes).
  • A l'issue un rapport sera généré que tu trouveras aussi ici : C: \ SafeBoot_Repair.txt
  • Ne poster le rapport que s'il y a eu des erreurs !
  • Tu peux ensuite supprimer l'exécutable et le rapport

2) Aide au diagnostic d'un pc infecté (PCAstuces)

*

3) Poster les rapports a l'attention du Groupe Sécurité

*

bonne journée



Modifié par Anonyme le 18/11/2010 11:14
ampere
 Posté le 18/11/2010 à 11:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour et Merci "qmike549",

J'ai lu sur un des post du forum qu'en cas soupçon d'infection il était déconseillé de passer par msconfig/safeboot au risque de tourner en boucle au démarrage ! !

Qu'en penses tu ??

ampere
 Posté le 18/11/2010 à 11:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci "australien",

Merci pour ta confirmation "msconfig" et les risques associés,

Cet outil est t'il Vista "universel" quelquesoit la version ou le SP ????

si oui Je me lancerai ensuite dans la manip que tu proposes

Je reviendrai au "rapport" ensuite

le tarbais
 Posté le 18/11/2010 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

à tous

petite question vite fait pour ampere as tu changé recemment ton clavier?

qmike549
 Posté le 18/11/2010 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

bonjour

je remercie fortement australien pour ces informations complémentaires

un virus pourrait empêcher l'utilitaire de configuration de fonctionner correctement

il vaut mieux réparer la clé safe boot qui est peut être corrompue ou absente



Modifié par qmike549 le 18/11/2010 11:16
Anonyme
 Posté le 18/11/2010 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re.

j'ai editée ma réponse

l'outil est normalement "ok" Windows toutes versions et ne posera pas de problême si "incompatible",

....de plus ZHPDiag permettra (je pense) devoir si ton MSE est ok ou pas, en tout cas il va donner le + d' informations....

@+ je laisse place au GS maintenant (je vais contacter un de ses membres)



Modifié par Anonyme le 18/11/2010 12:39
ampere
 Posté le 18/11/2010 à 11:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

OK Merci ,, je me lance

Publicité
ampere
 Posté le 18/11/2010 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Réponse pour "le tarbais":

Je n'ai pas changé de clavier

Merci à toi

ampere
 Posté le 18/11/2010 à 11:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

L'opération "safebootrepair" n'a rien donné:

Exécuté en tant qu'administrateur puis fenêtre fond noir me disant appuyer sur une touche pour continuer puis l'écran s'est "restauré" et plus rien pas de travail du PC et pas de rapport ! !

Aurais je raté un épisode ??

Je me lance donc dans dans la procéure aide au diagnostic

Anonyme
 Posté le 18/11/2010 à 11:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Je me lance donc dans dans la procéure aide au diagnostic

oui.

va voir si un rapport est présent => C: \ SafeBoot_Repair.txt

j'ai contacté un membre du Groupe Sécurité ....il n'a pas encore lu ses mps, mais cela devrait pas tardé.

bonne continuation



Modifié par Anonyme le 18/11/2010 11:43
ampere
 Posté le 18/11/2010 à 11:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci de ton aide "australien",

Je n'ai pas trouvé dans la racine C: de fichier "safebot.......text"

Bonne Journée

ampere
 Posté le 18/11/2010 à 12:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le lien du rapport ZHPDiag :

http://cjoint.com/?0lsmhqBye55

Merci pour votre analyse

Anonyme
 Posté le 18/11/2010 à 12:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
ampere a écrit :

Voici le lien du rapport ZHPDiag :

http://cjoint.com/?0lsmhqBye55

Merci pour votre analyse

Ok.

poste le malwarebytes aussi.

mon mp a été lu par le GS contacté....je m'efface et c'est ma derniere intervention, pour ne pas "parasiter"

@+



Modifié par Anonyme le 18/11/2010 12:17
ampere
 Posté le 18/11/2010 à 12:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci voici le rapport MAB :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5142

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

18/11/2010 10:11:31
mbam-log-2010-11-18 (10-11-31).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 141358
Temps écoulé: 7 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci por votre analyse

pear
 Posté le 18/11/2010 à 12:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Certains émulateurs de CD/DVD peuvent hooker le pilote atapi de façon légitime comme Alcohol xx%,CDSpace,Circle Virtual CD,CloneCD,Daemon Tools,Virtual CloneDrive,Virtual CD,VirtualDrive,
WinCDEmu,et empêchent cet affichage.

Télécharger DeFogger de Jpshortstuff sur le bureau.

Double cliquer sur DeFogger pour démarrer l'outil.

La fenêtre de DeFogger apparaît
Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.
Cliquer sur Yes pour continuer
Un message 'Finished!' apparaîtra
Cliquer sur OK
DeFogger demandera de redémarrer la machine, OK

Ne réactivez PAS ces drivers avant la fin de la désinfection


Téléchargez sur le bureau
MBR Rootkit Detector 0.2.4 by gmer
Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)
Vous les réactiverez après la désinfection terminée.
Clic sur l'onglet "rootkit"
Clic sur Scan
- Un rapport sera généré -> mbr.log.
En Copier/coller le résultat dans la réponse .
En cas d'infection,vous devriez voir un rapport de ce genre:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x858e41c0
\Driver\atapi -> 0x89bf0410
NDIS: GlobeTrotter HSxPA - Network Interface #2 -> SendCompleteHandler -> 0x8591de70
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Dans Démarrer-> Exécuter
Copiez/Collez :
"%userprofile%\Bureau\mbr" -f

Guillemets indispensables
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"


si votre machine est saine,
Mbr.log vous dit:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Publicité
ampere
 Posté le 18/11/2010 à 13:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Merci "pear",

J'ai effectué le contrôle MBR Roolkit et voici le rapport encourageant à priori :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD4000KD-55NSB2 rev.04.06A04 -> Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-6

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Puis je réactiver les emulateurs ??

Merci de m'orienter pour la suite

pear
 Posté le 18/11/2010 à 13:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Puis je réactiver les emulateurs ??

Attendez, il n'y a pas urgence.

Téléchargez SystemLook sur le Bureau à partir d'un des liens ci-dessous.
Miroir de téléchargement #1
Miroir de téléchargement #2
* Double-cliquer sur SystemLook.exepour le lancer.
* Clic droit|Copier sur ce qui suit , en vert et clic droit|Coller dans la zone texte de SystemLook :

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment /s

* Cliquer sur le bouton Look pour démarrer l'examen.
* le Bloc-notes s'ouvrira avec le résultat de l'analyse.
Copier-coller le rapport dans la prochaine réponse.
Note : Le rapport peut aussi être trouvé sur le Bureau sous le nom SystemLook.txt


ampere
 Posté le 18/11/2010 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport "SystemLook",

SystemLook 04.09.10 by jpshortstuff
Log created at 13:55 on 18/11/2010 by Robert
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option]
(Unable to open key - key not found)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment]
"ComSpec"="%SystemRoot%\system32\cmd.exe"
"FP_NO_HOST_CHECK"="NO"
"OS"="Windows_NT"
"Path"="C:\Program Files\Common Files\Microsoft Shared\Windows Live;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Windows Live\Shared"
"PATHEXT"=".COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC"
"PROCESSOR_ARCHITECTURE"="x86"
"TEMP"="%SystemRoot%\TEMP"
"TMP"="%SystemRoot%\TEMP"
"USERNAME"="SYSTEM"
"windir"="%SystemRoot%"
"PROCESSOR_LEVEL"="15"
"PROCESSOR_IDENTIFIER"="x86 Family 15 Model 4 Stepping 7, GenuineIntel"
"PROCESSOR_REVISION"="0407"
"NUMBER_OF_PROCESSORS"="2"
"asl.log"="Destination=file;OnFirstLog=command,environment"
"CLASSPATH"=".;C:\Program Files\Java\jre6\lib\ext\QTJava.zip"
"QTJAVA"="C:\Program Files\Java\jre6\lib\ext\QTJava.zip"


-= EOF =-

pear
 Posté le 18/11/2010 à 14:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Jusque là, tout va bien.

Recherche Win32kDiag
Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français
Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.

Vers le bureau ,
Télécharger (Win32kDiag.exe)
Double-cliquez sur Win32kDiag.exe et patientez
Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque
Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

ampere
 Posté le 18/11/2010 à 14:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désolé "pear" ! !

j'ai un soucis avec Avast pour désactiver la protection résidente, ce qui est proposé dans le tuto proposé est pour Avast 5 ! ! je suis en 4.8 ! !

Merci

Morgane
 Posté le 18/11/2010 à 15:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Maîtresse astucienne

Bonjour,

Tu as de la chance j'ai retrouvé cette "vieille" capture sur mon DD externe

Clic droit sur l'icône à côté de l'horloge et sélectionner "Arrêter la protection résidente"

Profite de l'occasion pour le désinstaller !

pear
 Posté le 18/11/2010 à 15:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Une mise à jour s'imposera,

Avast 5 est aussi bon que Avast 4 est mauvais( ce ne serait une mauvaise chose de profiter de cette occasion)

Cela dit, essayez tout de même le tuto et si ça ne marche pas décochez Avast dans Msconfig.

ampere
 Posté le 18/11/2010 à 15:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hé oui "pear" mais c'est bien en voulant remplacer Avast 4 par Avast 5 que j'ai découvert l'impossibilité de passer en mode sans Echec ! !

ampere
 Posté le 18/11/2010 à 15:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci "Morgane" mais ce que tu proposes n'empêchera pas la remise en service de la protection si un redémarrage est demandé

{#}Merci quand même de ton aide

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
22,99 €Carte mémoire microSDXC SanDisk 128 Go pour Nintendo Switch à 22,99 €
Valable jusqu'au 15 Août

Amazon propose actuellement la carte mémoire microSDXC 128 Go pour Nintendo Switch à 22,99 € alors qu'on la trouve ailleurs à partir de 35 €. Cette carte mémoire offre des vitesses jusqu'à 100 Mo/s et vous permet d'ajouter 128 Go de stockage pour vos jeux sur la console Nintendo Switch. 


> Voir l'offre
22,17 €Souris sans fil Logitech M280 à 22,17 €
Valable jusqu'au 17 Août

Amazon fait une petite promotion sur la souris sans fil Logitech M280 qui passe à 22,17 €. On la trouve ailleurs à partir de 30 €. Sa forme profilée est adaptée aux droitiers. Son autonomie est de 18 mois (pile AA que vous pourrez remplacer).


> Voir l'offre
82,65 €Disque dur externe portable Seagate Basic 4 To USB 3.0 à 82,65 € avec le code AFFAIRE10
Valable jusqu'au 15 Août

Cdiscount fait une promotion sur le disque dur externe portable Seagate Basics d'une capacité de 4 To qui passe à 82,65 € grâce au code promo AFFAIRE10. Ce disque dur externe portable au format 2,5 pouces dispose d'une interface USB 3.0 compatible USB 2.0. Une excellente affaire pour ce disque dur qui offre des débits de 115 Mo/s. Il n'est pas soudé et est donc démontable si vous souhaitez le réutiliser ailleurs (console, NAS, PC).


> Voir l'offre

Sujets relatifs
Bonjour, Impossible d'accéder au mode sans echec
impossible de demarrer en mode sans echec
Accès au mode sans échec impossible+message BIOS
mode sans echec impossible
mode sans échec impossible ?
Impossible de demarer windows sauf mode sans echec
Mode sans échec impossible ??
[Annulé]Infecté et mode sans echec impossible
Virus, impossible ouvrir sans mode sans echec
mode sans echec impossible
Plus de sujets relatifs à Impossible d''accéder mode sans echec
 > Tous les forums > Forum Sécurité