resycledboot.com

Le
Thierry P F
Bonsoir,


Suivant les indications de Sabrem JORAM sur le fil WindowsXP, je vous
soumets le problème consécutif au formatage de la partition système et à la
réinstallation de WindowsXP SP2 (SP3 par MàJ) :
lorsque je souhaite ouvrir une partition (C: ou D:) du disque à partir du
poste de travail, apparaît le message "C:esycledboot.com n'est pas une
application WIN32 valide"

J'ai tenté Malwarebytes : 8 anomalies trouvées, éliminées mais le message
d'erreur apparaît toujours.

Connaissez-vous la/les solutions ?
Merci d'avance.

Thierry
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
chrispra
Le #18231511
"Thierry P F" de news:
Bonsoir,


Suivant les indications de Sabrem JORAM sur le fil WindowsXP, je vous
soumets le problème consécutif au formatage de la partition système et à
la réinstallation de WindowsXP SP2 (SP3 par MàJ) :
lorsque je souhaite ouvrir une partition (C: ou D:) du disque à partir du
poste de travail, apparaît le message "C:resycledboot.com n'est pas une
application WIN32 valide"

J'ai tenté Malwarebytes : 8 anomalies trouvées, éliminées... mais le
message d'erreur apparaît toujours.

Connaissez-vous la/les solutions ?
Merci d'avance.




Salut
Pas mieux que Sabrem Joram
tu peux lire les commentaires sur ce lien, certains peuvent peut-être
t'aider :
http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/

--
Christian
JF
Le #18232001
*Bonjour chrispra * !

"Thierry P F" news:
Bonsoir,

Suivant les indications de Sabrem JORAM sur le fil WindowsXP, je vous
soumets le problème consécutif au formatage de la partition système et à la
réinstallation de WindowsXP SP2 (SP3 par MàJ) :
lorsque je souhaite ouvrir une partition (C: ou D:) du disque à partir du
poste de travail, apparaît le message "C:resycledboot.com n'est pas une
application WIN32 valide"

J'ai tenté Malwarebytes : 8 anomalies trouvées, éliminées... mais le
message d'erreur apparaît toujours.

Connaissez-vous la/les solutions ?
Merci d'avance.






Salut
Pas mieux que Sabrem Joram
tu peux lire les commentaires sur ce lien, certains peuvent peut-être t'aider
:
http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/



Ce serait donc la seconde partition la source
de cette réinfection immédiate via un autorun.inf

Voici quelques infos pour Thierry
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm

Il faut afficher les fichiers systèmes et cachés et renommer les
autorun.inf en autorun.txt

Ce serait sympa de nous en indiquer le contenu.

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
USB et virus :
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
Sabrem JORAM
Le #18232301
> *Bonjour chrispra * !

"Thierry P F" de news:
Bonsoir,

Suivant les indications de Sabrem JORAM sur le fil WindowsXP, je vous
soumets le problème consécutif au formatage de la partition système et à
la réinstallation de WindowsXP SP2 (SP3 par MàJ) :
lorsque je souhaite ouvrir une partition (C: ou D:) du disque à partir du
poste de travail, apparaît le message "C:resycledboot.com n'est pas une
application WIN32 valide"

J'ai tenté Malwarebytes : 8 anomalies trouvées, éliminées... mais le
message d'erreur apparaît toujours.

Connaissez-vous la/les solutions ?
Merci d'avance.






Salut
Pas mieux que Sabrem Joram
tu peux lire les commentaires sur ce lien, certains peuvent peut-être
t'aider :
http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/



Ce serait donc la seconde partition la source
de cette réinfection immédiate via un autorun.inf

Voici quelques infos pour Thierry
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm

Il faut afficher les fichiers systèmes et cachés et renommer les autorun.inf
en autorun.txt

Ce serait sympa de nous en indiquer le contenu.



Bonjour,

Pour ceux qui voudrait "remonter le temps" et rassembler plus
d'éléments sur ce problème intéressant (notamment les symptômes qui
m'ont induit en erreur), le fil d'origine est ici :

Thread :
http://groups.google.com/groups?threadm=mn.dcc37d8c7060de55.95354%40enfrance.net.invalid
Post :
http://groups.google.com/groups?selm=mn.dcc37d8c7060de55.95354%40enfrance.net.invalid

Amicalement,

--

http://www.worldcommunitygrid.org/
http://www.worldcommunitygrid.org/reg/viewRegister.do?teamID=T5FG4T4VRP1
JF
Le #18233441
*Bonjour Pascal * !

Pour ceux qui voudrait "remonter le temps" et rassembler plus d'éléments sur
ce problème intéressant (notamment les symptômes qui m'ont induit en erreur),
le fil d'origine est ici :



Thread :
http://groups.google.com/groups?threadm=mn.dcc37d8c7060de55.95354%40enfrance.net.invalid
Post :
http://groups.google.com/groups?selm=mn.dcc37d8c7060de55.95354%40enfrance.net.invalid



Je savais que tu viendrais aussi t'ai-je laissé le soin de ce raccord
;-)

Thierry :
Est-ce que resycledboot.com est bien ortographié ?
Je trouve des réponses sous ces deux orthographes :

http://www.google.fr/search?num™&q=resycled%5Cboot.com
http://www.google.fr/search?num™&q=recycled%5Cboot.com

L'orthographe correcte serait reCycledboot.com
En effet le but serait ainsi de cacher le parasite
dans le conteneur des Corbeilles C:Recycled pour du FAT32
(procédé utilisé autrefois par la Corbeille protégée Norton).
En NTFS le nom de ce dossier est recycleR.

Pour rappel on peut supprimer Recycler ou Recycled en appuyant sur la
touche MAJ (pour ne pas passer par la Corbeille) ou procéder en deux
temps : renommer Recycler, le supprimer plus tard. Un nouveau dossier
est créé lors de la suppression d'un fichier de la partition.

Vu le nombre de réponses avec reSycled, on a l'impression qu'une
version du parasite comportait une faute de frappe. Si c'est de cette
version qu'il s'agit il aurait dû y avoir un dossier reSycled sur le
disque. Etait-ce le cas ? Il était probablement système et caché
http://fspsa.free.fr/fichiers-systemes-caches.htm

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Avast ? Antivir ? AVG 8 ?
http://forum.malekal.com/viewtopic.php?t659#p89934
Thierry P F
Le #18234731
Bonjour à vous tous qui menez ce dur labeur acharné contre cette rosse !

Oui, Jean-François, la graphie "resycled", pas très ortho, soit, est bien
celle qui apparaît dans le message d'erreur.
Mais il y a du nouveau !
Dorénavant, la tentative d'ouverture de la partition système C: à partir du
poste de travail se solde par (avec toujours la même "mésorthographie") :
"Windows ne trouve pas 'resycledboot.com. Vérifiez que vous avez entré le
nom correctement et essayez à nouveau. Pour rechercher un fichier cliquez
sur le bouton démarrer, puis sur rechercher'.
Suivant le même chemin, la tentative d'ouverture de la partition non-système
aboutit au message d'erreur initialement rencontré.

Le dossier démarrage est vide même en affichant tout ce qui peut être caché.
La recherche d'un fichier recycl*.* ou resycl*.* n'étant pas pertinente et
ne pouvant accéder aux partitions, j'ouvre Word sur D: en affichant tous
les fichiers :

NB : le lien vers D: est bleu

apparaissent alors, hormis mes dossiers habituellement visibles :
- RECYCLER, vide

- resycled (en bleu) contenant un seul fichier : boot.com dont le contenu ne
s'affiche pas sous word

- autorun.inf dont le contenu est lisible sous word :
[autorun]

;(null)

shellexecute="resycledboot.com d:"

;(null)

shellOpencommand="resycledboot.com d:"

;(null)

shell=Open

;(null)



La même procédure appliquée à C:
- RECYCLER, vide

- autorun.inf :
[autorun]

;(null)

shellexecute="resycledboot.com c:"

;(null)

shellOpencommand="resycledboot.com c:"

;(null)

shell=Open

;(null)


- boot.ini :
[boot loader]

timeout0

default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP
Gilles RONSIN
Le #18235811
"Thierry P F" 2008 13:10:11, écrivait ceci:

Salut tous,
J'ai eu cette infection sur une de mes bécanes (avec création d'un
dossier resycled/boot.com). Le symptome principal était que mon AV (AVG
free) ne trouvait plus de mise à jour. En vérifiant ma connexion
internet, je me suis aperçu que le serveur DNS était un serveur
étranger à mon réseau appliqué à toutes mes cartes réseau. Ce DNS était
inchangeable.

Je ne sais pas si elle y était liée mais il y avait un rootkit détecté
par gmer (j'ai pas mémorisé le nom).
Ce qui m'a surpris c'est qu'il n'y avait pas de détection par les
antivirus habituels (après désactivation des fonctions de masquage).
Je ne connais pas le nom réel du néfaste.
Pour décontaminer :
Je travaille toujours avec totalcommander (ce qui fait que je n'ai pas
de recontamination avec l'explorateur )
Téléchargement de gmer.
lancement et repérage du nom du fichier rootkit (dans c:windows
commence par msq je crois et de suffixe .sys)
renommage du fichier resycledboot.com pour éviter
Suppression du fichier autoruns.inf, création d'un répertoire de nom
autoruns.inf pour empêcher la création d'un fichier de même nom.
redémarrage en mode sans échec
lancement de gmer
Suppression des rootkits (présentés en rouge)
renommage du fichier c:windowsmqsxxxxxx.sys
lancement de regedit
recherche de la chaine msq et suppression de toutes les clés y faisant
référence (la plupart étaient réservée au système et à tout le monde
(donc modifiable par internet), il a fallu modifier les droits pour les
accorder aux administrateur pour permettre la suppression)
redémarrage, controle des paramètres réseaux, de l'accès aux MAJ d'AVG

Ensuite j'ai tenté d'identifier l'infection en envoyant les fichiers
renommés chez les éditeurs d'AV, mais aucun ne me l'ont reconnu. J'ai
donc tout supprimé.
JF
Le #18236701
*Salut Thierry* !

Bonjour à vous tous qui menez ce dur labeur acharné contre cette rosse !



Oui, Jean-François, la graphie "resycled", pas très ortho, soit, est bien
celle qui apparaît dans le message d'erreur.
Mais il y a du nouveau !
Dorénavant, la tentative d'ouverture de la partition système C: à partir du
poste de travail se solde par (avec toujours la même "mésorthographie") :



Thierry tu nous abreuves de bonne humeur, de citations succulentes, et
de mots nouveaux ! Je n'ai pas trouvé de définition officielle de
mésorthographie, quoique toutefois j'en comprenne facilement l'idée,
tout en reconnaissant la créativité de son auteur... j'ai trouvé son
frère : http://fr.wikipedia.org/wiki/Dysorthographie



"Windows ne trouve pas 'resycledboot.com. Vérifiez que vous avez entré le
nom correctement et essayez à nouveau. Pour rechercher un fichier cliquez sur
le bouton démarrer, puis sur rechercher'.



Il est remarquable que dès qu'on donne le message exact, Google ramène
des réponses pertinentes
http://www.google.fr/search?q=Windows+ne+trouve+pas+resycled%5Cboot.com+Vérifiez+que+vous+avez+entré+le+nom+correctement+et+essayez+à+nouveau+Pour+rechercher+un+fichier+cliquez+sur+le+bouton+démarrer+puis+sur+rechercher



Suivant le même chemin, la tentative d'ouverture de la partition non-système
aboutit au message d'erreur initialement rencontré.



Tu n'as pas renommé autorun.inf ???
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
Pour empêcher autorun.inf d'être recréé,
créer un nouveau dossier nommé autorun.inf




Le dossier démarrage est vide même en affichant tout ce qui peut être caché.



Le but était de mettre en évidence autorun.inf
sur la racine de la partition.
J'avais suggéré (fortement) de le renommer.



La recherche d'un fichier recycl*.* ou resycl*.* n'étant pas pertinente et ne
pouvant accéder aux partitions, j'ouvre Word sur D: en affichant tous les
fichiers :



Bloc-Notes est suffisant



NB : le lien vers D: est bleu



Le disque D est compressé ?



apparaissent alors, hormis mes dossiers habituellement visibles :
- RECYCLER, vide



Affiche normalement le contenu de la Corbeille.
Si la Corbeille a été vidée, les Recycler sont vides....



- resycled (en bleu) contenant un seul fichier : boot.com dont le contenu ne
s'affiche pas sous word



Merci d'avoir confirmé.
Word est fait pour afficher du texte, pas ce genre de fichier.
Suggestion : renommer resycled
Surveiller qu'il ne se recrée pas.



- autorun.inf dont le contenu est lisible sous word :



Oui, autorun.inf, comme tous les fichiers.inf, est du texte


[autorun]
;(null)
shellexecute="resycledboot.com d:"
;(null)
shellOpencommand="resycledboot.com d:"
;(null)
shell=Open
;(null)



Voir explications sur cette syntaxe
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm




La même procédure appliquée à C:
- RECYCLER, vide
- autorun.inf :
[autorun]
;(null)
shellexecute="resycledboot.com c:"
;(null)
shellOpencommand="resycledboot.com c:"
;(null)
shell=Open
;(null)



MERCI !
Si tu as bien lu mon article, tu as compris qu'à chaque fois que tu
cliques sur ton lecteur, le virus essaie de s'exécuter. Renommer les
autorun.inf devrait redonner un comportement normal. Créer des dossiers
autorun.inf devrait empêcher le virus de créer des autoruns.



- boot.ini :
[boot loader]
timeout0
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP


Thierry P F
Le #18242711
Bonjour Jean-François et Gilles,

Je groupe ma réponse et mes remerciements sur le même post.

Le rootkit me semble être une bonne piste : l'AV securitoo d'orange a
déclaré il y a seulement quelques heures la présence d'un rootkit qu'il n'a
pu traité qu'en le renommant... l'origine de la "mésorthographie" ?


"JF" a écrit dans le message de news:
O2gyO$
*Salut Thierry* !

Bonjour à vous tous qui menez ce dur labeur acharné contre cette rosse !



Oui, Jean-François, la graphie "resycled", pas très ortho, soit, est bien
celle qui apparaît dans le message d'erreur.
Mais il y a du nouveau !
Dorénavant, la tentative d'ouverture de la partition système C: à partir
du poste de travail se solde par (avec toujours la même
"mésorthographie") :



Thierry tu nous abreuves de bonne humeur, de citations succulentes, et de
mots nouveaux ! Je n'ai pas trouvé de définition officielle de
mésorthographie, quoique toutefois j'en comprenne facilement l'idée, tout
en reconnaissant la créativité de son auteur... j'ai trouvé son frère :
http://fr.wikipedia.org/wiki/Dysorthographie




Oui, pardon pour ce verbiage... j'ai préféré le néologisme construit sur la
structure de 'mésusage', la dysorthographie se rapportant, me semble-t-il à
un trouble du langage écrit plus vaste que la "coquille" maligne à laquelle
nous nous attelons...


"Windows ne trouve pas 'resycledboot.com. Vérifiez que vous avez entré
le nom correctement et essayez à nouveau. Pour rechercher un fichier
cliquez sur le bouton démarrer, puis sur rechercher'.



Il est remarquable que dès qu'on donne le message exact, Google ramène des
réponses pertinentes
http://www.google.fr/search?q=Windows+ne+trouve+pas+resycled%5Cboot.com+Vérifiez+que+vous+avez+entré+le+nom+correctement+et+essayez+à+nouveau+Pour+rechercher+un+fichier+cliquez+sur+le+bouton+démarrer+puis+sur+rechercher




Je n'ai obtenu que le premier message d'erreur indiqué dans le post publié
dans "comment ça marche" et précisément après avoir renommer les autorun.inf
en autorun.txt qui n'existent que dans le répertoire d'installation de
l'imprimante HP.
L'imprimante comporte un lecteur amovible qui n'est jamais utilisé.



Suivant le même chemin, la tentative d'ouverture de la partition
non-système aboutit au message d'erreur initialement rencontré.



Tu n'as pas renommé autorun.inf ???
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
Pour empêcher autorun.inf d'être recréé,
créer un nouveau dossier nommé autorun.inf



Si, si, bien sûr, renommé autorun.txt.




Le dossier démarrage est vide même en affichant tout ce qui peut être
caché.



Le but était de mettre en évidence autorun.inf
sur la racine de la partition.
J'avais suggéré (fortement) de le renommer.



Là, ça m'échappe !
Je t'ai bien suivi dans ta suggestion de renommer mais le dossier étant
vide... je n'ai même pas tenté de renommer le vide (une angoisse
métaphysique, probablement) !



La recherche d'un fichier recycl*.* ou resycl*.* n'étant pas pertinente
et ne pouvant accéder aux partitions, j'ouvre Word sur D: en affichant
tous les fichiers :



Bloc-Notes est suffisant



J'avais oublié ce Bloc-Note... et c'est peut-être une bonne chose car si le
fichier autorun.inf apparaît dans Word>fichier>ouvrir>D:(partition
non-système) il reste invisible avec Bloc-Note !? Une fois renommé en .txt
il apparaît et son contenu est lisible sous les 2 éditeurs de textes.




NB : le lien vers D: est bleu



Le disque D est compressé ?



C'est possible car il est bien rempli et windows a dû s'en chargé avant la
panne. Je ne connaissais pas cette "signalisation" en bleu.



apparaissent alors, hormis mes dossiers habituellement visibles :
- RECYCLER, vide



Affiche normalement le contenu de la Corbeille.
Si la Corbeille a été vidée, les Recycler sont vides....



OK, donc ça c'est normal.





- resycled (en bleu) contenant un seul fichier : boot.com dont le contenu
ne s'affiche pas sous word



Merci d'avoir confirmé.
Word est fait pour afficher du texte, pas ce genre de fichier.
Suggestion : renommer resycled
Surveiller qu'il ne se recrée pas.



- autorun.inf dont le contenu est lisible sous word :



Oui, autorun.inf, comme tous les fichiers.inf, est du texte


[autorun]
;(null)
shellexecute="resycledboot.com d:"
;(null)
shellOpencommand="resycledboot.com d:"
;(null)
shell=Open
;(null)



Voir explications sur cette syntaxe
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm




La même procédure appliquée à C:
- RECYCLER, vide
- autorun.inf :
[autorun]
;(null)
shellexecute="resycledboot.com c:"
;(null)
shellOpencommand="resycledboot.com c:"
;(null)
shell=Open
;(null)



MERCI !
Si tu as bien lu mon article, tu as compris qu'à chaque fois que tu
cliques sur ton lecteur, le virus essaie de s'exécuter. Renommer les
autorun.inf devrait redonner un comportement normal. Créer des dossiers
autorun.inf devrait empêcher le virus de créer des autoruns.



J'ai bien lu et relu ton article pointu pour tenter de savoir quoi et
comment l'utiliser : chacun en nos domaines nous traitons de
l'habituellement invisible et il faut parvenir à entrer dedans... j'ai eu
quelques lenteurs !
Mais ÇA MARCHE !! Le comportement semble redevenu normal.
Et le Rootkit dans tout ça ??

Arrivé à ce point, je supprimerais bien les fichiers renommés mais est-ce
prudent ?... d'autant que je ne sais pas comment exploiter les programmes
téléchargeables au bout des liens ci-dessous.
ERUNT : OK
GMER : a provoqué un arrêt du système similaire à une coupure d'alimentation
électrique en cours de traitement, redémarrage de Windows avec message de
récupération d'une "erreur sérieuse" !

L'apprenti sorcier ne maîtrise pas la suite des événements !...





- boot.ini :
[boot loader]
timeout0
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP




JF
Le #18244531
*Bonjour Thierry P F * !

J'élague un peu pour clarifier. Insister si j'en ai trop coupé.


Je t'ai bien suivi dans ta suggestion de renommer mais le dossier étant
vide... je n'ai même pas tenté de renommer le vide (une angoisse
métaphysique, probablement) !



L'idée de départ avait été de créer un fichier nommé autorun.inf et de
le protéger en lecture pour empêcher le parasite de créer le sien.
Cette vision naïve avait été retoquée par Gilles qui avait argumenté
qu'il était plus efficace de créer un dossier "autorun.inf" plutôt
qu'un fichier. Le fait que le dossier soit vide est secondaire,
l'objectif est d'occuper le chemin c:autorun.inf et de gêner le
parasite
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger

La technique est décrite dans l'article de l'ami Gof
http://forum.zebulon.fr/blog/gof/index.php?showentryT0
http://pagesperso-orange.fr/-Gof/screen/5_fl_cle_partiellement_desinf.JPG



J'avais oublié ce Bloc-Note... et c'est peut-être une bonne chose car si le
fichier autorun.inf apparaît dans Word>fichier>ouvrir>D:(partition
non-système) il reste invisible avec Bloc-Note !? Une fois renommé en .txt
il apparaît et son contenu est lisible sous les 2 éditeurs de textes.



Tiens oui, c'est vrai. Il faut dire que je ne procède jamais ainsi.
Une fois rendus visibles les fichiers systèmes et cachés,
je clique directement sur autorun.inf dans l'explorateur de fichiers,
et il s'ouvre dans Bloc-Notes par défaut.

Une autre façon d'opérer qui fonctionne
même si on n'affiche pas les fichiers cachés :
Démarrer>Exécuter>notepad d:autorun.inf

Notepad.exe étant l'exécutable de Bloc-Notes.
Cette méthode est pratique pour éditer boot.ini rapidement.



J'ai bien lu et relu ton article pointu pour tenter de savoir quoi et comment
l'utiliser : chacun en nos domaines nous traitons de l'habituellement
invisible et il faut parvenir à entrer dedans... j'ai eu quelques lenteurs !
Mais ÇA MARCHE !! Le comportement semble redevenu normal.



Tes disques s'ouvrent à nouveau normalement.
Le clic n'est plus détourné par autorun.inf


Et le Rootkit dans tout ça ??



C'était une hypothèse de Gilles, voir son message.



Arrivé à ce point, je supprimerais bien les fichiers renommés mais est-ce
prudent ?...



Des autorun.inf n'ont rien à faire, en dehors de la volonté expresse de
l'utilisateur, sur les disques durs. Une méthode courante quand on ne
sait pas trop quoi faire avec des fichiers : on les déplace dans un
dossier créé pour l'occasion, avec un petit mot d'explications. Plus
tard, quand on aura constaté qu'il n'y a pas de problème, on pourra
éventuellement supprimer. Perso je garderais tout ce matériel en
souvenir. En général quand on a été victime une fois, ça se reproduit
tôt ou tard (surtout si on travaille en tant qu'Administrateur), et on
aime bien retrouver des infos...

Autre chose : il est évident qu'il faut vérifier tous les lecteurs
amovibles, disques externes, clés USB,...




GMER : a provoqué un arrêt du système similaire à une coupure d'alimentation
électrique en cours de traitement, redémarrage de Windows avec message de
récupération d'une "erreur sérieuse" !



Oups. Jamais vu une plainte pareille, Herser en saura peut-être plus.
Suggestions :

1/ Désactiver le redémarrage automatique
lors d'une défaillance du système
WIN+Pause pour afficher les Propriétés système
- Onglet Avancé
- Paramètres Démarrage et récupération
- Décocher "Redémarrer automatiquement"
Le BSOD et sera alors affiché en cas d'erreur grave
http://fr.wikipedia.org/wiki/Écran_bleu_de_la_mort
http://fspsa.free.fr/ng/bsod-ne-pas-redemarrer-automatiquement.gif
http://fspsa.free.fr/ng/mse-desactiver-redemarrage-automatique.gif

2/ Essayer gmer en mode sans échec (ou un scan anti-virus)

3/ Tester la ram http://docxp.mvps.org/MemTest.htm

J'ai retesté gmer pour voir (jamais eu de soucis avec)
http://www.gmer.net/gmer.zip
Il scanne actuellement les disques dans poser de problème.

Malwarebytes avait comme tu l'indiques repéré et éliminé des anomalies
(il y a un log ?). En renommant les autoruns.inf tu as supprimé
l'inconvénient qui restait. Je pense qu'en scannant à nouveau avec un
ou deux autres anti-virus cela devrait être ok. Relire le message de
Gilles et rechercher la chaine msq dans le registre et le fichier
windowsmsq*.sys

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Avast ? Antivir ? AVG 8 ?
http://forum.malekal.com/viewtopic.php?t659#p89934
JF
Le #18250431
Précision :

J'avais oublié ce Bloc-Note... et c'est peut-être une bonne chose car si le
fichier autorun.inf apparaît dans Word>fichier>ouvrir>D:(partition
non-système) il reste invisible avec Bloc-Note !? Une fois renommé en .txt
il apparaît et son contenu est lisible sous les 2 éditeurs de textes.



Ouvrir, Fichiers de type :
Pour aider l'utilisateur Bloc-Notes
n'affiche que les Fichiers texte (.TXT)
On peut demander l'affichage de "Tous les fichiers".

Fonctionne aussi avec la plupart des programmes :
Taper *.* dans "Nom du fichier" pour afficher tous les fichiers.

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les 50 KB les + consultées : http://support.microsoft.com/gp/desktop50
Publicité
Poster une réponse
Anonyme