Ce sont les problèmes les plus courants car bien entendu les problèmes rencontrés peuvent avoir des origines multiples.
Vous allez voir que les désinfections peuvent être complexes et selon comment (scan antivirus/antispywares) cela peut conduire au plantage du système dans le où les fichiers infectieux sont supprimés sans le nettoyage du registre ou par exemple dans le cas de patch de fichiers systèmes qui sont mis en quarantaine, se reporter à la page Malwares et patch/remplacement fichiers systèmes pour comprendre la problématique du patch de fichiers systèmes.
La page sera enrichie au fur et à mesures des problèmes rencontrés.
Processus de démarrage de session
Une partie est décrite sur cette page : Le processus de démarrage de Windows
Nous allons voir le démarrage de session, c'est à dire à partir de la fenêtre où vous devez rentrer les informations de connexion, à ce stade là ont été démarrés :
- Le kernel Windows est démarré (ntoskrnl.exe)
- hal.dll (hardware abstraction layer)
- kdcom.dll Kernel Debugger HW Extension DLL
- Session Manager Subsystem (smss.exe) et donc :
- win32k.sys : permet de switcher en mode graphique.
- Les drivers (donc certains rootkits kernel-mode).
- puis enfin démarre Windows Logon Manager (winlogon.exe)
- Winlogon ouvre le graphical identification and authentication (GINA - (GINA Wikipedia et GINA sur MSDN) avec la demande de nom d'utilisateur / mot de passse
- L'utilisateur rentre les informations de connexions
- GINA redonne la main à Winlogon
- Winlogon envoie les informations au LSA.
- LSA détermine quel accompte est utilisé
- Local SAM
- Domain SAM
- Active Directory
- Winlogon (démarré par SMSS)
Winlogon démarre ensuite le Service Control Manager (SCM) qui se charge de démarrer tous les services qui sont en Auto-Start (démarrage automatique) (voir Les services Windows
Local Security Authority Subsystem Service (lsass.exe) est ensuite démarré (Message "chargement des paramètres personnels") : cela charge permissions utilisateur etc.
Le Shell est ensuite démarré puis userinit.exe est les fichiers qui en dépendent.
Mets à jour les ControlSets; et LastKnownGood control : Le démarrage de Windows étant considéré comme réussi, LastKnownGood (Dernière bonne configuration connue) est donc mis à jour afin d'être réutilisé dans le cas où Windows ne démarre plus
Windows démarre ensuite les clefs de démarrage (peuvent être configuré via msconfig)- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- %USERPROFILE%\Menu Démarrer\Programmes\Démarrage\ - %USERPROFILE%\Start Menu\Programs\Startup\
Problème d'authenfication : mot de passe refusé
Trojan Vundo insère une DLL dans les clefs relatives au LSA [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 c:\windows\system32\tuvUMdDT
Lors d'une désinfection le mieux est de ne pas toucher à cette clef, sinon vous risquez d'empécher toute identification sur Windows.[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ddaba.dll
La session se ferme après identification (ou redémarrage en boucle lors de l'arrivée sur fond d'écran)
C'est très certainement un problème au niveau du fichier système userinit.exe juste après la phase d'authentification
- Soit le fichier a été supprimé (par exemple par un antivirus suite à un patch/remplacement par une version infectieuse - se reporter à la page Malwares et patch/remplacement fichiers systèmes pour mieux comprendre la problématique des patchs de fichiers)
- Soit la valeur de la clef HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit est erroné (userinit.exe a été supprimé de la clef), celle-ci n'est pas lisible (problème de droit), la clef a été supprimée etc.
Résolution :
Se reporter à cette page pour ce problème : http://forum.malekal.com/virus-msn-win3 ... ml#p145135
Utilisez un CD Live (voir seconde page)
Le menu démarrer ne s'ouvre pas, Windows reste bloqué sur le fond d'écran
Cela peut venir du fait qu'Explorer plante et donc se ferme (certains malware se chargeant dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
ont tendance à faire planter Explorer).
Cela peut aussi être un problème au niveau du Shell : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Winlogon\Shell
Par défaut le Shell Windows est explorer.exe, certains malware modifie cette clef.
Le menu Démarrer ne se charge alors plus.
Résolution :- Appuyez sur CTRL + ALT + SUPPR pour lancer le gestionnaire de tâches.
- Cliquez sur le menu Fichier / Exécuter et tape : regedit puis OK
- Déroulez l'arborescence suivante en cliquant sur les + à gauche : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Winlogon\
- A droite, dans la liste, double-cliquez sur Shell, saisissez si non présent Explorer.exe
- Validez et fermer la fenêtre de l'éditeur du registre.
- De retour sur le gestionnaire de tâches, à nouveau cliquez sur le menu Fichier / exécuter et tape : shutdown -t 1 puis validez
- Cela va redémarrer l'ordinateur, le shell devrait alors se charger.
Voici quelques liens d'aides pour vous aider dans la résolution de problème :
Console de récupération Windows et utilisation de la console de récupération de Windows pour restaurer des fichiers systèmes : Restauration de fichiers systèmes Windows
CD Live
Dans le cas où la session ne démarre pas, vous pouvez tenter de résoudre le problème en démarrant sur un CD Live.
L'Ultimate Boot CD peut vous y aider : http://www.ubcd4win.com/
Le but étant de démarrer sur le CD afin de pouvoir aider le registre Windows et réparer les clefs erronnées empéchant le démarrage de la session.
Vous pouvez vous aider de cette page pour créer et graver le CD : https://www.malekal.com/Scanner_CDLive_Ubcd4Win.php
Pour les personnes à base de Windows Vista, vous pouvez aussi utiliser VistaPE : Tutorial : Créer un CD Live VistaPE qui contient les mêmes programmes de récupération.
Vous pouvez aussi utiliser OTLPE : http://forum.malekal.com/otlpe-live-t23453.html#p195540
Une fois gravé, démarrez sur le CD en question.- Cliquez sur le menu Start puis Programs.
- Allez dans Registry Tools puis RegEdit.
Dans la partie de gauche, les éléments du registre s'affiche.
Le registre à l'écran est celui du CD Live, il ne sert donc à rien de naviguer dedans puisque celui qui nous intéresse est celui de votre Windows qui se trouve très certainement sur votre disque C.
Il nous faut charger le registre de votre Windows pour cela :- Cliquez sur HKEY_LOCAL_MACHINE afin de le sélectionner.
- Cliquez sur le menu File puis Load Hive
Le registre Windows se trouve dans le dossier config du répertoire system32 de Windows soit donc dans la plupart du temps : C:\Windows\system32\config
on y retrouve les diverses ruches (HKEY_CLASS, HKEY_LOCAL_MACHINE etc) :
Software = HKEY_LOCAL_MACHINE\Software et HKEY_LOCAL_MACHINE\System
System = HKEY_LOCAL_MACHINE\System et HKEY_CURRENT_CONFIG
Vous trouverez un descriptif de ces fichiers sur cette page : http://msdn.microsoft.com/en-us/library ... S.85).aspx
Dans le cas où ces fichiers sont corrompus, le registre Windows est donc illisible, cela peut empécher Windows de démarrer avec des erreurs de type :
ouWindows XP n'a pas pu démarrer car le fichier suivant est manquant ou endommagé : \WINDOWS\SYSTEM32\CONFIG\SYSTEM
La FAQ Microsoft suivante vous explique comment rétablir le registre à partir des fichiers de sauvegarde (.sav) depuis la console de récupération : http://support.microsoft.com/kb/307545Arrêt : c0000218 {Défaillance d'un fichier du Registre} Le Registre ne peut pas charger la ruche (fichier) : \SystemRoot\System32\Config\SOFTWARE ou son journal ou sa copie
Dans notre cas, nous visons la clef HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ de notre Windows.
Nous devons donc charger le fichier Software.
Il vous ai demandé de nommer la ruche... tapez le nom qui vous convient, dans notre exemple ce sera : Registre Windows
La ruche apparaît en déroulant HKEY_LOCAL_MACHINE (cliquez sur le + devant).
Vous pouvez alors dérouler l'aborescence Software\Microsoft\Windows NT\CurrentVersion\Winlogon
afin de visualiser la clef userinit par exemple.
Accèder au registre depuis un ordinateur du réseau
Le CD Live vout permet donc d'éditer le registre dans le cas où cela est impossible depuis votre Windows.
A noter que dans le cas d'un démarrage de session, les services Windows sont démarrés, il est donc possible de charger la ruche depuis un ordinateur du registre.
Il vous suffit de lancer regedit et de choisir dans le menu Fichier l'option Connexon au Registre réseau
Vous devez ensuite éventuellement saisir le nom de l'ordinateur et le mot de passe si la connexion ne se fait pas automatiquement.
Pour que cela fonctionne, sur le PC où le registre doit être ouvert depuis un ordinateur du réseau, le service Windows Registre Distant doit être démarré.
Si ce n'est pas le cas et comme Windows n'est pas accessible sur le poste, vous pouvez tenter de démarrer le service à distance, pour cela, sur un ordinateur du réseau :- Clic droit sur le Poste de travail puis Gérer l'ordinateur
- En haut sur Gestion de l'ordinateur local, faites un clic droit puis se connecter à un autre ordinateur...
- Saisissez le nom ou l'IP de l'ordinateur (soit l'identification est automatique, soit vous devez saisir un couple utilisateur/mot de passe administrateur du poste distant).
- Vous pouvez maintenant gérer l'ordinateur à distance et notamment aller dans Services et applications.
- Les services de l'ordinateur distant sont visualisables, vous pouvez les démarrer par un clic droit / Démarrer
- Démarrez alors le service Registre Distant si celui-ci ne l'est pas.