Bonjour,
 
Suite à un problème de virus, je souhaiterais éditer la base de registre.
Le problème est qu'il s'agit non pas de la base de registre en cours mais celle sur un autre DD rajouté à l'ordi.
Impossible de le faire sur l'ordi d'origine avec son DD non plus -> crash avec l'écran bleu de la mort et recyclage même en mode sans échec et apparentés.
 
Pour info le virus, ou plutôt le programme rogue/scélérat est Antivirus Soft:
http://www.bleepingcomputer.com/vi [...] virus-soft
mais dans une version plus coriace que celle évoquée ci-dessus, associé aux fichiers vérolés:
kqlbsftav.exe
crt4.dll
kbdatat4.dll
 
Je n'ai pas encore pu trouver comment la contamination a eu lieu.
 
Regedit.exe semble n'accepter que la base de registre en cours.
Comment faire ? Existe-t-il un équivalent de regedit pour base de registre "externe" ?
 
note: j'ai pu récupérer tous les fichiers perso, importants ou non.
 
Merci.

bonjour,
 
Il y a pas un registre pour chaque DD.
 
Tout les fichiers/répertoires de partitions ou DD dont le système de fichier a été installés/utilisé sous Windows, sont référencés dans le registre de Windows.  
 
Si vous n'avez pas de message d'erreur issu de possibles traces d'infections dans le registre.
Laissez ça en place, y toucher pas.
 
Les nettoyage de registre ne sont pas conseillés, à moins dans vérifier chaque ligne/valeurs à supprimées.
 
Bien sur y a toujours les sauvegardes de portions de registre à supprimer.  
Ce qui est bon, jusqu'à ce que Windows ne redémarre plus.

Bonjour,
 
J'ai tenté de remettre le DD avec son Windows installé dans son ordi d''origine, mais le problème est toujours le même alors que rajouté sur un autre ordi avec le Windows de cet ordi tout fonctionne normalement.
 
Antimalware et antivirus ne trouvent rien lorsque le DD est mis dans l'autre ordi, impossible de passer quoi que ce soit avec le DD dans l'ordi d'origine ( -> ecran bleu de la mort ) même avec les divers modes sans échec.
 
J'aurais bien aimé dévéroler ce DD sans devoir tout reformater et réinstaller Windows dessus.
Je pensais tenter de nettoyer la base de registre associée à ce DD selon le lien que j'ai donné plus haut mais pour cela il faut que j'accède à cette base !

..
 
bon.. , vous avez 2 PC.
L'un de ces ordi. à été mettons multi-infecté.  
Depuis vous avez un écran bleu sur cette ordi, ce qui le rend difficilement accessible, pour le remettre en état.
 
Et lorsque vous branchez le disque dur de cet ordi problème, sur l'autre ordi "sain".
Vous voudriez accéder au registre de ce disque dur pour réglé le problème.
_______________________________________________________
 
Au lieu de chercher à aller dans le registre ?
Au fait pourquoi dites vous savoir que le problème d'écran bleu vient du registre.
Avez vous fait de manip. par vous même lors de la désinfection, qui aurait avoir avec le registre..
 
Ont va commencer par le début, soit l'écran bleu, qui contient toute l'info sur les causes du problème de démarrage. Ce qui nous orientera dans la direction à suivre, pour fixer le problème.
 
Pour ça vous allez installer BlueScreenView.
Ensuite allez dans le répertoire C:\windows\minidump\.. du disque problème et ramasser les fichiers (récents au problème) mini*****-**-**.dmp, pour les copier dans le même répertoire de l'ordi. sain.
 
En lançant BlueScreenView, les erreurs d'écran bleu s'afficheront en ligne(s).
Postez les codes d'erreurs tel que sur cette image.

Le virus, enfin le programme scélérat, a pu être identifié sans aucun doute car juste après l'infection j'ai reçu par email l'image identique à celle du lien sur Antivirus Soft :
http://www.bleepingcomputer.com/vi [...] virus-soft
 
et 2 autres images ont pu être reconnues également si l'on clique sur l'image du lien précédent.
La dernière action que l'ordi a pu faire est d'envoyer, in extremis, cet email-SOS car ensuite l'ordi est entré dans un cycle infernal démarrage-écran bleu ne s'arrêtant pas. Impossible d'en sortir avec les modes sans échec de Windows.
Antimalware, en greffant le DD sur l'autre ordi, a trouvé les fichiers cités au départ, que j'ai neutralisés. Ils sont tous datés du moment de l'infection, ce qui prouve bien qu'ils sont impliqués avec ce virus. Le cycle infernal a continué malgré ce nettoyage.
 
Impossible d'accéder à Windows pour installer le programme pour l'écran bleu.
J'ai tout de même réussi ( avec beaucoup de mal )  à prendre une photo de l'écran bleu. Il faut encore que je la transfère vers l'ordi et je n'ai pas le câble sous la main pour le moment.
 
Vu que j'ai pu récupérer toutes les données, importantes ou non, est-ce que cela vaut la peine de dévéroler ce DD plutôt que reformater et réinstaller Windows ?
 
Il y a toutefois un point qui m'ennuie beaucoup et non élucidé, c'est comment cette infection est entrée. Fichier vérolé ? Sur Internet il est question de telle contamination par des pdf. Je garde pour le moment tous les fichiers récupérés en quarantaine.

..
 
Comme vous dîtes, probablement d'une version d'Adobe non à jours.

 
Si vous avez pu mettre le disque sur un autre PC.
C'est donc que vous pouvez récupérer le fichier C:\windows\minidump\mini*****-**-**.dmp, pour l'ouvrir avec BlueScreenView.
► Anyway ont checkra la photo.
 
► Poster également le rapport de suppression du logiciel de désinfection utilisé !
 
Avec ce qu'il y a de références, au lien que vous avez placé, pour cet Antivirus Soft.
Il ne devrait pourtant y avoir aucun fichiers système de touché ?
Et dans le registre, que des \Run pour charger ce rogue et des modif. de proxy pour I.E.
 
Selon le message d'erreur.
Pour de possibles réparations, genre de secteurs de disque, fichiers de démarrage etc..
► Avez vous le CD de Windows ou une version pré-installée de Windows.
 
____________________________________________________
 
Règlement du forum.
 
Pour tout les rapports à poster.
• Aller sur le site CJoint,
• Appuyez sur [Parcourir] et chercher le rapport sur le disque,
• Ensuite appuyez sur [Créer le lien CJoint],
 
>> Une adresse http//......(bleu, mauve) sera créé.
► Postez cette adresse http//.......

J'ai pu transplanter le DD sur un autre PC en plus du DD d'origine de ce PC.
Je démarre ce PC avec le Windows d'origine de ce PC, pas avec le Windows transplanté.
 
Si je démarre avec le DD vérolé, c'est sur le PC qui lui correspond et je n'ai pas du tout accès à Windows.
J'arrive au menu des choix safe mode, mais quel que soit le choix, quelques secondes plus tard, c'est l'écran bleu pendant une fraction de seconde puis reboot.
Je n'ai donc pas pu installer le programme BlueScreenView, ni quelque programme Windows que ce soit.
 
J'ai réussi à obtenir une copie de l'écran bleu ( dur vu qu'il ne s'affiche qu'une fraction de seconde ):

Je confirme qu'en dehors du 7F, il n'y a bien que des zéros en hexadécimal et pas de message complémentaire en ligne suivante.
Pas de nom de fichier affiché.
Cela n'apporte pas grand chose:
http://support.microsoft.com/kb/137539/
 
Je n'ai pas conservé le rapport antimalware, il ne donne plus trace d'infection maintenant.
J'ai toutefois conservé la liste des m**des:
E:\Documents and Settings\Admin\Local Settings\Application Data\eqvbac\kqlbsftav.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Documents and Settings\Admin\Local Settings\Temp\_26.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\crt4.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\kbdatat4.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
 
et conservé à part une copie des fichiers concernés avant suppression. Tous ont la même date et heure correspondant au moment du problème.
Scan AVG -> clean
AVG détecte les fichiers vérolés lors d'un test spécifique sur les copies.
 
Normalement ce rogue ne met pas le bordel comme cela, il incite simplement à payer pour s'en débarrasser ( du moins on peut l'espérer ). A noter que Windows n'était pas en C:, cela a pu faire buguer ce rogue.
 
J'ai le CD OEM de Windows XP Pro SP3.

..
 
Vérifier le démarrage du PC, en enlevant une barrette de mémoire, puis la remettre et enlever l'autre.
Et aussi avec memtest86.
 
Avez vous overclocker le processeur - Réf.
 
Vous n'aviez absolument pas accès au mode sans échec.

memtest, c'est fait avec diskette:
http://www.memtest.org/
pas de problème.
 
J'ai fait le test de mettre un vieux DD ( Seagate ST36531A de... 6.5GB ! ) sur cet ordi avec un Windows installé au plus simple ( sans clef, 30 jours avant activation avec le SP3 ), cela fonctionne sans problème.
J'ai testé le DD vérolé ( chkdisk de Windows pendant une transplantation ), il semble fonctionner normalement.
 
Pas d'overclock ni d'usage hors norme.
J'aimerais éviter de manipuler les barettes mémoires, d'autant que je suis très "électrique" ( le synthétique... ).
 
Il est très possible que le rogue ait flingué un driver quelconque qu'utilise Windows ou saboté AVG qui était en fonction sur lórdi.
 
J'ai bien accès à la fenêtre de menu du Safe Mode, mais quel que soit le choix cela enchaine sur l'écran bleu, même le choix de restorer une ancienne configuration.
Je fais <enter>, écran noir quelques secondes puis écran bleu très bref et le reboot suit. J'ai eu tenté CTRL-Alt-Del sans succès.

..
 
Serait surprenant qu'un rogue ait touché aux fichiers système.
 
Selon les délais qu'occasionne cet ordi. non utilisable pour vous.
 
Avec un CD de démarrage genre Hiren's (toujours utile).
Vous pourriez accéder aux fichiers Créer et Mofidier des répertoires ;
C:\windows\system32\drivers\..
C:\windows\system32\
C:\windows\..
User\..\AppData\..
User\..\Temp\..
C:\..
En disposant les fichier de ces répertoires, pour qu'ils soient listés du plus récent aux plus anciens.
Où pourriez vérifier que ceux qui date du problème.
 
 
Téléchargement & préparation du CD  Hiren's.
Téléchargement ; Hiren's.BootCD.10.2  
• Décompressez Hiren's.BootCD.10.2.zip  
 
>> Par défaut le clavier de l'image .iso prête à être graver sur CD, est en US (QWERTY).
 
Pour changer de clavier,  
• Dans le lot de fichiers décompresser, il y a un autre .zip
• Décompresser le avec les autre fichiers,  
• Double-cliquer sur "Patch.cmd" et procéder ..
.. Alors un nouveau fichier.ISO serait créé et prêt à être graver ;  
.. FR Patched Hiren's.BootCD.10.2.iso,,  
 
 
Si nécessaire pour graver le fichier .ISO
Aucune installation, qu'une fenêtre unique !
• BurnCDCC (gratuit), pour créer un CD démarrage de Hiren's ou autre.
 
 
 
Utilisation du CD Hiren's.
• Démarrer sur le CD.
• Choisissez ; Mini Windows XP  
..ouverture d'un environnement émulé de Windows.
 
 
 
P.S.:
L'icône "HBCD Menu" offre une multitude d'application d'utilité ; récupération des données, FixBoot etc..
Par ex.; si vous aviez la console de récupération C:\cmdcons\ d'installée.
Un jet de combofix (dans HBCD Menu) pourrait, le cas échéant, fixer les fichiers système manquant ou patchés(modifiés).
 
Le tutoriel de BleepingComputer montre avec combofix, comment installer cette console de récupération.
Qui offre entre autre aussi de réparer aussi les fichiers de démarrage endommagé ou manquant

J'ai récupéré Hiren's Boot cd et j'ai gravé directement l'ISO vu que j'ai un clavier QWERTY.
J'ai tenté Combofix, mais il analyse le Windows en cours et pas celui du DD vérolé.    
J'ai tenté la console de récupération, elle s'installe automatiquement mais elle ne concerne que le nouveau Windows également.
 
Finalement je ne vais pas passer des heures à me casser la tête, je vais tout reformater et réinstaller, surtout qu'un peu de ménage sera une bonne chose car il y avait diverses anomalies qui se manifestaient. Je vais voir cela après Pâques maintenant. En attendant il y a un autre ordi pour dépanner et si jamais cela recommence avec ce rogue j'aime autant que ce soit cet ordi qui prenne,
 
J'aurais bien aimé trouver la solution par curiosité, mais rien ne prouve que cela aurait résolu correctement le problème malgré tout.
 
Je soupçonne fortement que c'est un pdf qui a démarré automatiquement sur un site qui a permis l'infestation. Il semble que ce soit la nouvelle tendance des infestations virales maintenant avec le flash.
 
Merci beaucoup à toi.