Problème d'installation d'un hotfix (blocage à l'extraction)

"Orokana" <Orokana@discussions.microsoft.com> a écrit dans le message de
news:F541E7B5-B18A-4788-AC24-9B6CE755F347@microsoft.com...

Bonjour à tous,

j'essaie depuis plusieurs jours d'installer le correctif KB909095 qui
règle
un problème de mise en veille prolongée pour les pc étant équipés de plus
d'1
Go de RAM.

Je l'ai téléchargé à l'adresse qui va bien
(https://www.microsoft.com/downloads/details.aspx?FamilyID20f96a-a8d6-4627-89f7-787cd9b3852c&displaylang=fr),
et lorsque je lance le fichier .exe téléchargé, j'ai une erreur à la fin
de
l'extraction des fichiers, avec une fenêtre qui s'ouvre, intitulée "Echec
lors de l'extraction", qui dit "Le fichier est endommagé".

L'exécutable n'est pas en cause, puisque je l'ai copié sur une autre
machine
équipée du même Windows, et il y fonctionne très bien.
De même, j'ai purgé proprement le dossier de fichiers temporaires, et j'ai
supprimé tous répertoires temporaires d'installation de correctifs.

Il semblerait que ce problème se soit souvent posé à ceux qui essayaient
d'installer des SP1 ou SP2 à partir de fichier stand-alone.

Je ne sais pas trop comment m'en sortir (sachant que je n'ai pas
spécialement envie de réinstaller Windows entièrement).

Pourriez-vous me venir en aide ?

Merci d'avance !

Bonsoir,

Désactivez votre antivirus et tout autre antitruc.. avant d'exécuter ce
correctif.

--
Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

Bonsoir et merci de votre réponse,

j'ai désactivé tout ce que j'avais : applications particulières, de carte
graphique, de carte son, désactvé toutes les cartes réseau. Bref tout ce qui
est désactivable, y compris des processus via le gestionnaire de tâches:
toujours le même problème.

Je me suis dit que, puisque sur un autre PC, le correctif était correctement
extrait, j'allais récupérer les fichiers extraits pour voir le contenu.

Il y a la structure classique des correctifs Windows, donc un dossier avec
"spuninst.exe" et "spmsg.dll", et deux sous-dossiers : sp2qfe et update.

Dans le dossier "update" se trouve un fichier apparemment courant pour les
mises à jour : update.exe. Eh bien, dès que je copie ce fichier de la clé usb
(qui m'a servi à faire le transfert d'un pc à l'autre) vers le disque du
poste à problème, ce fichier est supprimé du disque!

Si je le renomme simplement en "updat.exe", cela fonctionne. Si c'est
"update.exe", il est supprimé. Si je l'appelle "updat.exe", je le passe en
lecture seule, et je le renomme en "update.exe", il n'est pas supprimé, mais
le lancer ne provoque rien du tout. Avec "updat.exe", le lanchement provoque
une erreur.

En plus, mon mode sans échec ne fonctionne plus (il commence à se lancer en
faisant défiler les dll, puis l'ordinateur reboote seul).

Ca ne sentirait pas le virus, tout cela ?

Je lance un scan en ligne.

"Orokana" <Orokana@discussions.microsoft.com> a écrit dans le message de
news:F571DA61-2126-497A-B2FC-9F6A67374790@microsoft.com...

Bonsoir et merci de votre réponse,

j'ai désactivé tout ce que j'avais : applications particulières, de carte
graphique, de carte son, désactvé toutes les cartes réseau. Bref tout ce
qui
est désactivable, y compris des processus via le gestionnaire de tâches:
toujours le même problème.

Je me suis dit que, puisque sur un autre PC, le correctif était
correctement
extrait, j'allais récupérer les fichiers extraits pour voir le contenu.

Il y a la structure classique des correctifs Windows, donc un dossier avec
"spuninst.exe" et "spmsg.dll", et deux sous-dossiers : sp2qfe et update.

Dans le dossier "update" se trouve un fichier apparemment courant pour les
mises à jour : update.exe. Eh bien, dès que je copie ce fichier de la clé
usb
(qui m'a servi à faire le transfert d'un pc à l'autre) vers le disque du
poste à problème, ce fichier est supprimé du disque!

Si je le renomme simplement en "updat.exe", cela fonctionne. Si c'est
"update.exe", il est supprimé. Si je l'appelle "updat.exe", je le passe en
lecture seule, et je le renomme en "update.exe", il n'est pas supprimé,
mais
le lancer ne provoque rien du tout. Avec "updat.exe", le lanchement
provoque
une erreur.

En plus, mon mode sans échec ne fonctionne plus (il commence à se lancer
en
faisant défiler les dll, puis l'ordinateur reboote seul).

Ca ne sentirait pas le virus, tout cela ?

Je lance un scan en ligne.

mmmmmmmmmm....

Faites un log avec ce programme :
http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php
postez le log ici.

Le fait que le fichier update se supprime est "certainement" du à la
présence d'un spyware !

--
Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

Bonsoir,

voici le log :

========================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:32, on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesMicrosoft IntelliType Proitype.exe
C:Program FilesMicrosoft IntelliPointipoint.exe
C:WINDOWSSystem32spoolDRIVERSW32X863fppdis1.exe
C:Program FilesMagicRotationMagicPvt.exe
C:WINDOWSsystem32kxmixer.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:Program FilesCpuIdlecpuidle.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMSN Messengerusnsvc.exe
C:WINDOWSTBPanel.exe
C:WINDOWSsystem32msiexec.exe
C:Program FilesAdobeAcrobat 7.0ReaderAcroRd32Info.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.5.0_11binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [itype] "C:Program FilesMicrosoft IntelliType
Proitype.exe"
O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft
IntelliPointipoint.exe"
O4 - HKLM..Run: [pdfFactory Pro Dispatcher v1]
C:WINDOWSSystem32spoolDRIVERSW32X863fppdis1.exe
O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Nero DriveSpeed] C:DOCUME~1ChadiBureauDRIVES~1.EXE
O4 - HKLM..Run: [MagicRotation] C:Program FilesMagicRotationMagicPvt.exe
O4 - HKLM..Run: [kX Mixer] C:WINDOWSsystem32kxmixer.exe --startup
O4 - HKLM..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe"
-lang 1033
O4 - HKLM..Run: [CpuIdle] C:Program FilesCpuIdlecpuidle.exe
O4 - HKLM..Run: [Gainward] C:WINDOWSTBPanel.exe /A
O4 - HKLM..Run: [MSConfig]
C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 - HKLM..Run: [AAWTray] C:Program FilesLavasoftAd-Aware
2007AAWTray.exe
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_11binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_11binssv.dll
O9 - Extra button: Create Mobile Favorite -
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
C:PROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
C:WINDOWSbdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSbdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan
Agent 6.6) -
http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus
scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl
Class) -
http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1190198750546
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190196807656
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 -
HKLMSystemCCSServicesTcpip..{C5692F39-5041-4EAB-B0A3-E0DF6F7C7658}:
NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:Program FilesFichiers
communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - C:Program FilesAlex
FeinmanISO RecorderImapiHelper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSsystem32nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
CACE Technologies - C:Program FilesWinPcaprpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner -
C:WINDOWSsystem32ZoneLabsvsmon.exe (file missing)

--
End of file - 6873 bytes


========================================================

Je n'y vois rien de suspect il me semble... Comme on peut le voir avec les
ActiveX, j'ai fait des scans en ligne avec plusieurs antivirus, et un passage
de Ad-Aware 2007 mis à jour...

Bonjour,

Je fait fausse route, car rien ne semble pas normale la.
Faites quand même ce test, EN MODE SANS ECHEC NORMALEMENT (mais le votre est
HS.. ce qui n'est pas normale !)
exécuter MSCONFIG
Allez dans l'onglet "Démarrage"
supprimez TOUT
Allez dans l'onglet "Services" cochez en bas la case pour masquer les
services Microsoft.
Puis supprimez TOUT ce qui reste.

Relancer votre PC et faites de nouveau le test d'installation du correctif.

--
Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

Je viens d'essayer de faire cela, et le problème reste entier.

Je pense être bon pour un formatage.

"Orokana" <Orokana@discussions.microsoft.com> a écrit dans le message de
news:E7872C20-08C3-4086-BCAD-99D45D461102@microsoft.com...

Je viens d'essayer de faire cela, et le problème reste entier.

Je pense être bon pour un formatage.

Ba... faudrait tout contrôler pour être sur avant...
Genre. réinstaller le SP2 avant !
Désactiver le redémarrage automatique du PC en cas de problème et voir le
code d'erreur de mode sans échec !
Faire un SCF /SCANNOW...
S'assurer qu'aucun services utile n'ai été désactivé !
Bref... si le formatage ne vous gêne pas plus.. oui, mais vaux mieux TOUT
tenter avant :-)

--
Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

Bon,

j'ai lancé un scan avec F-Secure Blacklight, qui a détecté des processus et
fichiers cachés. Il s'agit vraisemblablement du spyware Bagle, qui supprimait
tout fichier permettant une mise à jour/installation d'anti-quelquechose.
D'où le fait que je ne réussissais pas à installer zoneAlarm depuis un moment.

Donc, j'ai renommé ces fichiers, et tout est rentré dans l'ordre, j'ai
réussi à installer le correctif !

A savoir donc : le fichier update.exe utilisé pour les correctifs windows
peut être mis à mal par un spyware qui empêche toute installation.

Me reste le problème du mode sans échec qui ne fonctionne pas : il commence
à se lancer avec l'affichage des DLL, puis la bande "apuyer pour ne pas
charger machin.dll", et puis, d'un coup, l'ordinateur reboot.

Je vais tenter un scf/scannow...

Tous mes problèmes sont réglés.

Voilà donc exactement d'où venaient les problèmes, qui étaient donc liés:

Le ver Bagle, qui se transmet par e-mail, effectue les actions suivantes (je
cite la source :
http://www.viruslist.com/fr/viruses/encyclopedia?virusid5852) :

- il crée des fichiers dans le dossier [Documents and
SettingsMon_utilisateurApplication Datahidres], qui peuvent notamment
s'appeler hidn2.exe, hldrrr.exe, hidres.exe, rosa.sys

(parfois le dossier final s'appelle autrement, par exeple hidn)

- Il ajoute une clé de registre dans
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun] afin d'être exécuté sur
la machine à chaque démarrage de windows

- il supprime la clé de registre suivante :
[HKLMSystemCurrentControlSetControlSafeBoot], ce qui rend impossible le
boot en mode sans échec.

- il supprime systématiquement tout fichier .exe servant à installer un
logiciel antivirus, antispyware, pare-feu. En tout cas, zoneAlarm et les
correctifs pour Windows (hotfix) sont concernés, et ne sont donc pas
déployables.

Pour le supprimer, une méthode peut donc consister :

- à scanner et renommer les processus et dossiers cachés à l'aide de
F-Secure Blacklight (une fois renommés, chez moi le dossier caché, [Documents
and SettingsMon_utilisateurApplication Datahidres], est devenu visible et
j'ai pu le supprimer,

- à supprimer la clé de registre créee citée plus haut,

- à restaurer la clé de registre supprime par Bagle. Il doit exister des
méthodes "propres", pour ma part j'ai utilisé le .reg fourni sur ce site :
http://blog.didierstevens.com/2007/02/19/restoring-safe-mode-with-a-reg-file/
qui provient d'une installation propre de Windows XP SP2.

Voilà, en espérant que ça pourra servir à d'autres !

Merci pour votre aide en tout cas !

"Orokana" <Orokana@discussions.microsoft.com> a écrit dans le message de
news:22E66557-D2EA-4A5C-B531-0F6C7B55BE82@microsoft.com...

Tous mes problèmes sont réglés.

Voilà donc exactement d'où venaient les problèmes, qui étaient donc liés:

Le ver Bagle, qui se transmet par e-mail, effectue les actions suivantes
(je
cite la source :
http://www.viruslist.com/fr/viruses/encyclopedia?virusid5852) :

- il crée des fichiers dans le dossier [Documents and
SettingsMon_utilisateurApplication Datahidres], qui peuvent notamment
s'appeler hidn2.exe, hldrrr.exe, hidres.exe, rosa.sys

(parfois le dossier final s'appelle autrement, par exeple hidn)

- Il ajoute une clé de registre dans
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun] afin d'être exécuté
sur
la machine à chaque démarrage de windows

- il supprime la clé de registre suivante :
[HKLMSystemCurrentControlSetControlSafeBoot], ce qui rend impossible
le
boot en mode sans échec.

- il supprime systématiquement tout fichier .exe servant à installer un
logiciel antivirus, antispyware, pare-feu. En tout cas, zoneAlarm et les
correctifs pour Windows (hotfix) sont concernés, et ne sont donc pas
déployables.

Pour le supprimer, une méthode peut donc consister :

- à scanner et renommer les processus et dossiers cachés à l'aide de
F-Secure Blacklight (une fois renommés, chez moi le dossier caché,
[Documents
and SettingsMon_utilisateurApplication Datahidres], est devenu visible
et
j'ai pu le supprimer,

- à supprimer la clé de registre créee citée plus haut,

- à restaurer la clé de registre supprime par Bagle. Il doit exister des
méthodes "propres", pour ma part j'ai utilisé le .reg fourni sur ce site :
http://blog.didierstevens.com/2007/02/19/restoring-safe-mode-with-a-reg-file/
qui provient d'une installation propre de Windows XP SP2.

Voilà, en espérant que ça pourra servir à d'autres !

Merci pour votre aide en tout cas !

Bonsoir et merci pour le retour,

Le spyware.. .je le sentait.. c'est pour cela qu'il faut faire le scanne
hijackthis en mode sans échec.

--
Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm