Boîte à outils pour Windows XP

• Il est possible d’avoir accès à ce mode sans utiliser la touche F8, exécutez cette astuce.

• Démarrage normal: charge les pilotes des périphériques, les programmes et les services. C’est le mode par défaut si aucune modification n’a été effectuée dans msconfig.

• Démarrage mode diagnostic: Il correspond au mode de démarrage avec la touche F8 avec connexion réseau.

• Démarrage mode sélectif: charge les pilotes, les services et les programmes que vous choisissez avec les options en dessous, elle correspond aux onglets suivants de ce panneau.

• fastdetect: empêche la détection de la souris série (/fastdetect= [COM1]). Si vous devez utiliser un périphérique sur le port série, activez cette option (très rare).

• Safeboot: démarrage en mode sans échec.

• Noguiboot: désactive l'écran d'ouverture Windows XP.

• Bootlog: crée un fichier .txt à la racine du disque. Il faut le lire pour découvrir parfois la cause de la panne.

• Basevideo: charge le pilote de carte graphique en mode standard VGA.

• Sos: le système énumère le nom des pilotes chargés. Ainsi vous pouvez voir qui pose problème pendant le boot.
• Options avancées:

• Maxmem: vous permet d’imposer une quantité de mémoire vive (RAM) inférieure à celle qui est réellement installée : /maxmem=64.

• Numproc: permet de choisir le nombre de processeurs à utiliser.

• Pcilock: quand vous installez une carte sur le bus PCI, Windows remet à jour les paramètres de configuration. Activée, cette option empêche XP d'assigner dynamiquement les interruptions (IRQ) pour les cartes PCI et c’est donc le BIOS qui s’en charge.

• Debug: envoi d’informations de débogage à un PC distant en utilisant une connexion série.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

• Installer Spybot ou Ad-Aware, mettre leurs bases de données à jour et lancer une détection. Nettoyer ce qu'il trouve et continuer avec la suite.
  
  
• Installer Hijackthis, rendez-vous à ce dossier pour l’installation et savoir comment l’utiliser pour supprimer les clés et BHO.
  
  

• Installer CCleaner comme tout autre programme Windows.
  

• Désactiver la restauration système de windows XP: clic droit sur Poste de travail - Propiétés - volet: Restauration du système et cochez: Désactiver la restauration du système. Valider les boîtes pour quitter.
  
  

• La restauration système accessible par : Démarrer – Tous les Programmes – Accessoires – Outils système – Restauration du système.
  
  
  
• Cet outil permet de remettre Windows dans un état d’une date donnée. Les malwares en tous genres utilisent aussi cette option de récupération pour se réactiver après leurs suppressions en mode normal. Suivez ce lien pour lire une explication plus complète.

• Lancer Hijackthis et avec ce lien, collez le log d’hijackthis dans cette page pour obtenir une évaluation.

• Identifier et noter les noms des fichiers .exe ou .dll du malware et les endroits ou ils se cachent sur le disque dur avec les résultats du log d'Hijackthis.
  
  
• Vous pouvez aussi voir les processus actifs en faisant un clic droit dans un endroit libre de la barre de tâches, choisissez Gestionnaire de tâches et cliquez sur le volet Processus.
  
  
• Avec ce lien ou sur Google, faites une recherche sur ces processus afin de savoir qui ils sont exactement et si réellement ils sont à éliminer. Cet autre lien répertorie les clsid, idem pour celui-ci.
  

• Cliquez sur Démarrer - Exécuter et tapez: msconfig et validez.

• Dans le volet: Services, Cocher Masquer les services Microsoft et regarder dans la liste restante si vous apercevez un nom identique ou évoquant un malware identifié plus haut.
  
  
  
• Décocher-le(s) !
  
  
• Dans le volet: Démarrage, refaites la même opération que ci-dessus.
  
  
  
• Cliquer sur Appliquer.
  
  
• Remarquez que dans l'onglet Démarrage, le nom et le chemin de l'exécutable à éliminer sont visibles, notez-le.

• Relancer Windows en mode sans échec et exécuter vos opérations de suppressions de clés et/ou de BHO avec Hijackthis, ensuite supprimer les fichiers du malware (.exe ou .dll).

• Redémarrer Windows normalement et recontrôler si toutes traces de ceux-ci ont disparu avec Hijackthis et si nécessaire recommencer l'opération précédente.
  

• Le mieux maintenant est de supprimer tous les points de restauration enregistrés par XP.
• En allant par : Démarrer – Tous les Programmes – Accessoires – Outils système – Nettoyage de disque, sélectionnez le disque C: et valider par OK, patienter un peu pour l'analyse.
  
  
  
• Volet Autres options, le paragraphe Restauration du système, cliquer sur le bouton Nettoyer et confirmer ce choix, Patienter un peu.
  
  
  

• Exécuter un nettoyage de la base de registres et des fichiers temporaires avec CCleaner. Faites-le au moins deux fois. Faites une copie avant de supprimer.
  
  
  

• Vous pouvez maintenant remettre la restauration en service et redémarrer une dernière fois le PC.
  

• Un menu avec 3 options va s’afficher, choisissez la seconde (R) pour réparer.
  
  
  
• Choisissir l'installation correspondant à Windows XP.
• Taper le mot de passe de l'Administrateur ou Entrée si aucun mot de passe n'a été défini.
  
  
  

• Le dossier racine.

• Le dossier %SystemRoot% et les sous-dossiers de l'installation de Windows sur laquelle vous avez ouvert une session.

• Le dossier Cmdcons.

• Les lecteurs de médias amovibles tels que le lecteur de CD-ROM ou le lecteur de DVD-ROM.

• Si vous tentez d'obtenir l'accès à d'autres dossiers, le message d'erreur "Accès refusé" peut s'afficher.

• En outre, dans la console, vous ne pouvez pas copier un fichier du disque dur local sur une disquette.

• Vous pouvez en revanche copier un fichier à partir d'une disquette ou d'un CD-ROM sur un disque dur, et d'un disque dur à un autre.

• Une seconde manipulation (pas indispensable) permet de "débrider" la console pour supprimer les limitations expliquées ci-dessus. Suivez ce lien.

• Le mot de passe administrateur est obligatoire pour ouvrir l’environnement. Si vous entrez un mot de passe incorrect trois fois de suite, la console se fermera.

• Si la base de données SAM (Security Accounts Manager) est manquante ou endommagée, vous ne pourrez pas utiliser la console car les informations d'authentifications appropriées sont absentes.
  

• + : définit un attribut
• - : réinitialise un attribut
• R : attribut de fichier en lecture seulement
• S : attribut de fichier système
• H : attribut de fichier caché
• C: attribut de fichier compressé.
• Vous devez définir ou effacer au moins un attribut.
• Pour afficher les attributs, utilisez la commande dir.
  

• batch fichier_entrée [fichier_sortie].
  

• /add : ajoute une installation de Windows à la liste du menu de démarrage.
• /rebuild : parcourt toutes les installations de Windows et permet de choisir celles à ajouter.
• /scan : recherche des installations de Windows sur tous les disques et affiche les résultats pour vous permettre de spécifier celles à ajouter.
• /default : définit l'entrée de démarrage par défaut.
• /list : répertorie les entrées présentes dans la liste du menu de démarrage.
• /redirect : active la redirection dans le chargeur d'options de démarrage avec la configuration spécifiée.
• /disableredirect : désactive la redirection dans le chargeur d'options de démarrage.
• /redirect [portbaudrate] | [useBiosSettings]
  

• chkdsk lecteur /p /r
• /p : effectue une recherche exhaustive du lecteur et corrige les erreurs éventuelles.
• /r : recherche les secteurs défectueux et récupère les informations lisibles.
• Remarque Si vous spécifiez l'option /r, l'option /p est implicite. L'utilisation de la commande chkdsk sans argument vérifie le lecteur en cours sans aucune option.
• Lorsque vous exécutez la commande chkdsk, vous devez utiliser le fichier Autochk.exe. CHKDSK recherche automatiquement ce fichier dans le dossier de démarrage. Si la console de commandes a été préinstallée, le dossier de démarrage se trouve en général dans le dossier Cmdcons. Si CHKDSK ne trouve pas Autochk.exe dans le dossier de démarrage, CHKDSK tente de rechercher le CD-ROM d'installation de Windows. Si la commande ne trouve pas le support d'installation, elle vous demande de fournir l'emplacement du fichier Autochk.exe.
  

• copy source destination.

• del lecteur: chemin_accès nom_fichier
• delete lecteur: chemin_accès nom_fichier
  

• D : répertoire
• H : fichier caché
• S : fichier système
• E: crypté
• R : fichier en lecture seule
• R : fichier prêt à être archivé
• C: compressé
• P : point d'analyse
  

• disable nom_service
• Utiliser la commande listsvc pour afficher tous les services ou pilotes pouvant être désactivés. La commande disable imprime l'ancien type de démarrage du service avant de le réinitialiser sur SERVICE_DISABLED. Prenez note de l'ancien type de démarrage si vous devez réactiver le service ultérieurement.
• La commande disable affiche les valeurs start_type suivantes :
• SERVICE_DISABLED
• SERVICE_BOOT_START
• SERVICE_SYSTEM_START
• SERVICE_AUTO_START
• SERVICE_DEMAND_START
  

• /add : crée une nouvelle partition.
• /delete : supprime une partition existante.
  

• nom_périphérique : le nom du périphérique utilisé pour créer une nouvelle partition.
• nom_lecteur : un nom de lettre de lecteur, par exemple D:
• nom_partition : le nom de partition pour supprimer une partition existante.
• taille : taille de la nouvelle partition en méga octets.
  

• enable nom_service type_démarrage
• Les options valides pour la valeur type_démarrage sont :
• SERVICE_BOOT_START
• SERVICE_SYSTEM_START
• SERVICE_AUTO_START
• SERVICE_DEMAND_START
• Si vous ne spécifiez aucun nouveau type de démarrage, la commande enable imprime l'ancien type de démarrage.
  

• /y : ne pas demander confirmation avant d'écraser un fichier existant.
• /f:fichiers : identifie les fichiers à décompresser.
• /d : ne pas décompresser ; afficher uniquement la liste des fichiers contenus dans la source.
  

• expand source [/F:fichiers] [destination] [/y]
• expand source [/F:fichiers] /D
  

• fixboot nom_lecteur:
  

• fixmbr \Device\HardDisk0 réparera le premier secteur du disque 0, disque de démarrage.
• Pour connaître le nom du disque et de la partition (lecteur) de démarrage, utilisez  la commande map.
• Pour obtenir les noms ARC, utilisez la commande map arc.

• fixmbr nom_périphérique
  

• format lecteur: /Q /FS:système_fichiers
  

• map arc
  

• more nom_fichier
  

• AllowWildCards = FALSE
• AllowAllPaths = FALSE
• AllowRemovableMedia = FALSE
• NoCopyPrompt = FALSE

• type nom_fichier

• Taper : cd \ et valider.

• Taper : md save et valider.

• Taper : copy c:\boot.ini c:\save\saveboot.ini et valider.

• Taper : bootcfg /rebuild et valider.

• Une détection va s’exécuter, ensuite vous aurez le choix d’accepter l'installation proposée, le nom sera : Microsoft Windows XP et l’option /fastdetect.

• Taper exit et valider pour quitter de la console et redémarrer le PC.

• Sélectionner la session qui vient d’être enregistrée pour démarrer XP.

• Taper : map et valider, pour afficher les disques et partitions des lecteurs avec leurs lettres. Noter la lettre du lecteur CD, par exemple : d.

• Introduire le cd d’installation de Windows XP.

• Taper : expand d:\i386\driver.cab /F:hal.dll C:\windows\system32\ et valider.

• Taper exit et valider pour quitter de la console et redémarrer le PC.

• Taper : [x:] et valider. X dépend de la lettre attribuée à votre lecteur cdrom.

• Taper : cd i386 et valider.

• Taper : copy ntldr c: et valider.

• Taper : copy ntdetect.com c: et valider.

• Enlever le cdrom, taper exit et valider pour redémarrer le PC.

• /Scannow : vérifie immédiatement les fichiers système.
• /Scanonce : vérifie tous les fichiers système au prochain boot.
• /Scanboot : vérifie les fichiers système à chaque boot.
• /Revert : réinitialise les paramètres par défaut de sfc.
• /Purgecache : vide le cache des fichiers et exécute la vérification et répare le cache de protection des fichiers.
• /Cachesize =x : définit la taille du cache des fichiers.

• Clic droit sur le Poste de travail et choisir Propriétés.

• Cliquer sur le volet Avancés.

• Dans Démarrage et récupération, cliquer sur Paramètres.

• Décocher Redémarrer automatiquement.

• Valider la modification par OK et fermer.
  

• PFN_LIST_CORRUPT (en haut).

• STOP: 0x0000004E (0x00000099, 0x00000000, 0x00000000, 0x00000000)

• Parfois un nom de fichier est indiqué, notez-le aussi.
  

• Les drivers de la carte graphique, ceux du chipset de la carte mère et tous autres drivers de périphériques.

• Des erreurs RAM, des problèmes de disques durs, température élevée du processeur.

• Un BIOS non adapté à Windows XP.

• Windows XP qui n’est pas à jour.

• Un programme mal conçu.

• Etc.…. La liste est longue, malheureusement.

• Puisque vous connaissez votre erreur STOP, allez sur la page de Google, faites une recherche avec cette erreur : STOP: 0x0000004E (par exemple) et vous trouverez un début d’explication sur votre problème.

• Visiter le site du constructeur du matériel supposé faire planter le PC peut parfois aider aussi.

• Venir sur le forum exposer votre souci car d’autres personnes ont déjà peut être résolu cela. Ne soyez pas avare sur les explications données pour qu’ils puissent bien comprendre le phénomène.

• Pour résumer, comme dit un ami "il faut sortir la truffe", se documenter, respecter une réflexion logique, procéder par élimination et s’armer de patience.

• Reformater le disque et réinstallez XP ne résoudra pas le problème.

• Sur un autre PC, insérer une disquette et le cdrom d'installation de Windows XP dans les lecteurs.

• Cliquer : Démarrer - Exécuter et tapez : format a: et valider pour formater la disquette.
  
  
  

• Avec l'Explorateur Windows, copier sur la disquette les fichiers : Ntldr et Ntdetect.com qui se trouvent dans le dossier \i386 du cdrom.
  
  
  

• Avec le Notepad, ouvrir un nouveau document et copier les lignes suivantes :

[boot loader]
timeout=30
Default= multi(0)disk(0)rdisk(0)partition(1)\windows
[operating Systems]
multi(0)disk(0)rdisk(0)partition(1)\windows="Windows XP"

• Enregistrer et nommer ce document  boot.ini, copiez-le sur la disquette.
  
  
  

• Insérer la disquette dans le lecteur (modifier éventuellement la séquence de boot dans le BIOS pour pouvoir démarrer avec la disquette en premier.

• Après le boot, vous pourrez utiliser XP comme si vous aviez booté sur le disque dur et le réparer.
  

• Télécharger ce fichier à cette adresse.

• Double-clic sur le fichier win98se.exe pour démarrer la création de la disquette.
  
  
  
  

• Lors du boot, un message vous dira que vous n’avez pas de partition FAT, ce qui est normal si vous avez formaté le disque dur au format NTFS. Cette disquette n’est pas capable de gérer le NTFS, uniquement FAT.

• Télécharger le zip de la dernière version de bootpaxx ici.

• Dézipper l’archive et entrez dans le dossier.

• Copier sur la disquette le fichier bootpart.exe (la disquette sera quasi remplie).
  
  
  

• Démarrer avec cette disquette, quand la ligne de commande indiquera : A :>

• Taper : fdisk /mbr et validez. Cela sert UNIQUEMENT à restaurer le programme situé dans le Master Boot Record du disque de démarrage (disque C:).

• Taper : BOOTPART WINNT BOOT:C: (tel quel, n’oubliez pas les : et respectez les espaces, en minuscules ou majuscules) et valider. Cette commande est uniquement valable pour les systèmes NT. Pour un MBR Ms-DOS ou Linux les paramètres diffèrent.

• Enlever la disquette et rebooter le PC pour retrouver votre Windows XP.

• Télécharger ici le fichier zip : Pre-Compiled Memtest86 vx.x installable from Windows and DOS.
  
  
• Pour ceux qui n’ont pas de lecteur de disquette, une version CD-bootable existe aussi : Memtest86 v3.x ISO image. A graver avec Nero ou un autre logiciel de gravure capable de gérer les images ISO.

• Dézipper l’archive dans un dossier et entrer dedans.

• Introduire une disquette vierge formatée dans le lecteur.

• Double-clic sur le fichier : install.bat.

• Taper : a: pour désigner la lettre du lecteur de disquette et valider. Ensuite valider encore une fois.
  
  
  

• L’installation débute, c’est assez rapide.

• N’essayez pas de lire cette disquette sous XP, cela ne fonctionnera pas.

• N’oubliez pas de modifier la séquence de boot dans le bios pour démarrer avec le lecteur de disquette ou le cdrom en premier.
  
  
• Rebooter avec celle-ci, le test démarre automatiquement.
  
  
  

• Patienter car cela peut durer un certain temps, dépendant de la vitesse du processeur et de la quantité de RAM à vérifier. Les indicateurs Pass et Test indiquent en % la progression. faites au moins 1 test complet (100%).
  

• Si des erreurs sont détectées, elles seront affichées en rouge dans les colonnes : Errors et ECC Errs.

• Pour quitter le test, taper sur : esc ou echap, enlever la disquette, le reboot est automatique.
  

ProcessExplorer

Autoruns


Hijackthis

Ad-Aware

Spybot

CCleaner

• Ne peut pas supprimer le dossier, l'accès est refusé.
• Il y a eu une violation de partage.
• Le dossier source ou de destination est peut être utilisé.
• Le dossier est utilisé par un autre programme ou un autre utilisateur.
• Assurez-vous que le disque n'est pas plein ou protégé en écriture et que le dossier n'est pas actuellement utilisé.

Bart PE