Up

C’est bien ce qui me semblait, le fichier “subinacl” n’est pas présent.

Tu dois avoir cela :

[Photo supprimée]

Le 01 décembre tu m’as dit avoir fait tout ce que j’avais écrit, or, d’après ce que je peux voir, tu n’as pas installé “subinacl”.

Télécharge et installe:
www.microsoft.com…

Ensuite, relance les commandes précédentes.

J’ai installer subinacl et refait la derniere manipulation, j’ai ensuite redemarrer l’ordinateur mais le problème et toujours la

Dommage que tu n’ais pas fait de capture d’écran … j’aurais bien aimé m’assurer que tout s’est exécuté correctement.
Est-ce que tu as toujours le même problème pour lancer TeamViewer?

Oui le problème et toujours la, y’aurait t’il moyen de me donner le fichier Team Viewer compresser en .rar comme sa je le decompresserait dans program files
Edité le 05/12/2010 à 11:28

Il suffit de le télécharger dans la logitech Clubic : ici

Escusez moi mais si vous aviez suivit le topic vous auriez vue que je ne pouvait pas l’installer normalement

Merci quand même

Cordialement
Edité le 05/12/2010 à 19:46

Voici ce que je te propose :

Si tu as un 2ème ordinateur chez toi, connecte le au routeur si tu en as un, sinon connecte les via un câble Ethernet, l’essentiel est qu’ils soient en réseau (Sinon, tu peux sûrement demander à un ami de venir avec un portable ou te le prêter, sinon ce n’est pas un ami ).

Sur ce 2ème ordinateur :

• Démarrer
• Exécuter
• mstsc
• Saisir le nom de ton ordinateur 1 ou IP (problématique)

Bien sûr, il faut s’assurer que l’ordinateur 1 autorise les connexions à distance.
(Windows + Pause > Paramètres système avancés > Onglet “Utilisation à distance” > La case doit être cochée)

===

Dans ce cas de figure, on pourrait tester de faire une session TeamViewer sur le 2ème ordinateur pour avoir accès à ton PC.

Je vien d’installer teamviewer sur mon mon ordinateur, nous pouvont commencer des que tu est disponible, un tchat pour donner les ID serait mieux ^^
Edité le 09/12/2010 à 20:51

Up
Edité le 09/12/2010 à 20:51

Désolé du “retard”, je viens de voir ton message.

Envoie moi par message privé l’ID et le pass.

Désolé je ne peut pas le faire ce soir mais demain entre 18h et 23h je suis disponible, merci de me dire l’heure a la quel tu est disponible.

J’ai juste une heure de moins par rapport à l’heure française, demain je serai disponible entre 20h30 et 23h (GMT).

Demain envoie moi l’ID et le pass par messagerie privée, on va éviter d’écrire sur ce post pour éviter de le “polluer”, on postera la solution quand le problème sera résolu.

L’objectif de la session de demain est de faire un premier check et de prendre quelques captures, j’analyse tout cela et je te répondrai dimanche maximum.

Pense à télécharger Sysinternals Suite car je vais en avoir besoin :
technet.microsoft.com…

Je ne répondrai pas aux autres posts du forum car je vais me concentrer à fond sur ton problème afin de le résoudre.

À demain.
Edité le 09/12/2010 à 22:47

Problème résolu

Traval plus que satifesant du coter de fanabe204, il et a l’écoute et vraiment bon dans se domaine

Merci fanabe
Edité le 11/12/2010 à 23:59

Le problème est désormais résolu, comme convenu, voici le résumé de la session à distance.

*** Vendredi ***

Voici le symptôme principal, lorsqu’on clique sur l’icône du centre de sécurité Windows, on obtient un message d’erreur “rundll32.exe”.

[Photo supprimée]

Comment résoudre cela?

J’ai commencé par exécuter “calc” et “mspaint”, cela fonctionnait donc pas de problème d’accès à %systemroot%

Voici la liste des actions que j’ai effectué :

1. AUTORUNS

Suppression d’une entrée suspecte dans l’onglet “Logon”

Suppression d’une entrée suspecte dans l’onglet “Explorer”

Suppression d’entrées suspectes dans l’onglet “Scheduled Tasks”

Suppression d’entrées suspectes dans l’onglet “Services”

Suppression d’entrées suspectes dans l’onglet “Drivers”

La majorité de ces éléments étaient sans icône, sans description et avec un path inhabituel.

=> Même problème

2. TCPVIEW + PROCESS EXPLORER + PROCMON

Aucun process suspect

3. TDSKILLER

Suppresion d’un élément, un reboot est nécessaire pour le supprimer.

Reboot

=> Même problème

4. AUSLOGICS BOOTSPEED

Réparation du registre

Analyse disque (et defrag en passant)

=> Même problème

5. SPYBOT

Suppression d’un malware

=> Même problème

6. SERVICE PACK 3

Téléchargement

Réinstallation

=> Même problème

7. SFC /SCANNOW

=> Changement de 2 valeurs à “C:\i386”
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\SourcePath
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SourcePath

Il a fallu télécharger l’ISO de XP SP3 mais le serveur de téléchargement était très long (5 à 6 heures).
J’ai donc demandé à wazazuzu de le télécharger et de reprendre la session à distance le lendemain.

*** Samedi ***

8 ) KASPERSKY VIRUS REMOVAL TOOL

Suppression du cheval de Troie “Backdoor.Win32.Poison.aylh” dans C:\RECYCLERS

Suppresion du virus HEUR dans C:\System Volume Information

Suppresion du cheval de Troie “Win32.Vapsup” dans C:\System Volume Information

J’ai désactivé la restauration système sur C:\

=> Même problème

9 ) SFC /SCANNOW

Au final, pour nous avons gravé l’image sur un DVD-RW et exécuté “sfc /scannow”

=> Même problème

10. BATCH

cd /d “%ProgramFiles%\Windows Resource Kits\Tools”
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrateurs=f /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrateurs=f /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrateurs=f /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=administrateurs=f /grant=system=f
subinacl /subdirectories %windir%*.* /grant=administrateurs=f /grant=system=f
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
pause

=> Même problème

11. PROCMON

Reproduction du problème en capturant une trace ave l’option “BackingFile” pour éviter de saturer la RAM et ralentir la session à distance.

Cette capture m’a immédiatement fait pensé à un problème de permissions niveau fichiers/registre.

[Photo supprimée]

12. PROFILS

Création d’un nouvel utilisateur, ouverture d’une session, le problème ne se pose plus.

Renommage de “ntuser.dat” en “ntuser.old” pour la session problématique, lenteur d’ouverture de session et même problème.

Reboot en mode sans échec avec Teamviewer (excellent option), copie du fichier ntuser.dat de la session probléamatique à la nouvelle session, le problème se pose.

J’en ai alors conclu à un problème lié à “ntuser.dat”, donc à HKEY_CURRENT_USER

Pour ceux qui souhaitent en savoir davantage sur ntuser.dat

Contents of a user profile
technet.microsoft.com…

J’ai alors pensé à faire une capture de la session problématique et de la session qui fonctionne puis de les comparer, mais c’est bien trop long.

J’ai tenté d’accéder à la console des services mais j’ai obtenu l’erreur suivante :

[Photo supprimée]

J’ai alors exécuté le fichier “C:\WINDOWS\system32\services.msc” en tant que l’utilisateur nouvellement créé, cela fonctionnait. Une valeur empêchait donc l’utilisateur d’avoir accès à la console des services.

J’ai lancé “devmgmt.msc” et cela fonctionnait, le problème était alors spécifique à “services.msc”.

J’ai alors vérifié la clé de registre suivante :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\

[Photo supprimée]

J’ai supprimé cette clé et tous les problèmes étaient résolus

Conclusion :

Cause du problème : une infection virus/trojan

Résolution du problème : Suppression de la clé en forme de carré dans :

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones
Edité le 12/12/2010 à 01:20