Cette page relate quelques mésaventures et les solutions qui ont été trouvées.
Un PC équipé de XPHOME donne des signes de forts ralentissements. Le son des films visionnés depuis le lecteur de DVD est de très mauvaise qualité. Une vérification du disque initiée depuis Windows se termine mal. Le CHKDSK commence comme prévu après le redémarrage, mais stoppe vers 50% et n'évolue plus. Situation inquiétante qui justifie la mise en œuvre de la Console de Récupération.
Rappels :
Pas de problème pour la démarrer en appuyant sur R, j'entre le numéro de Windows (n°1), il n'y a pas de mot de passe Administrateur, un appui sur la touche Entrée suffira pour obtenir le prompt sur le disque C.
Un premier CHKDSK sans commutateur dit que le disque semble en bon état.
Je lance un CHKDSK /P
Une surprise m'attend :
Le CHKDSK affiche trois "vérifications ou récupérations supplémentaires", puis n'évolue plus, restant à "75% effectué".
L'arrêt final tombe, sinistre :
| Le volume semble contenir un ou plusieurs problèmes irrécupérables. |
On dirait la BD "Propos irresponsables" de Binet (Les Bidochons) <== un must !
Je viens de mettre à jour quelques plugins anti-machins sur la version 3.06 de UBCD4WIN, c'est le moment de l'utiliser. Il est gravé sur un CD-RW. Après 10 minutes, il n'a toujours pas fini de démarrer. J'ai regravé ce CD-RW depuis, il démarrait bien sur un PC, mais ne donnait pas satisfaction sur d'autres. À présent le fonctionnement est satisfaisant sur tous les PC. C'est pas mon jour. Bon, j'emmène le disque dur avec moi, c'est un Maxtor SATA de 200 GB.
Je n'ai pas d'adaptateur USB pour accéder à un disque SATA. Je déconnecte tous mes disques durs et je branche celui-ci dans mon PC, le disque simplement posé sur la table. Puis je démarre une version 3.04 de UBCD4WIN, gravée sur un CD-ROM.
Cette fois le démarrage est rapide, un peu trop même puisque je loupe le panneau PreShell où on choisit la langue d'entrée. Ce n'est pas grave, après un tour dans le "Control Panel" c'est réparé.
Ouvrant une Console CMD ou Invite de Commandes via le Bouton Start >"Command Prompt (CMD)", je me positionne sur le disque C en entrant "c:" (sans les guillemets), puis je tente les habituels chkdsk, chkdsk /F, et enfin chkdsk /R
C'est à se demander ce qu'avait ce disque, car tous les CHKDSK passent bien. Je relève simplement que quelques erreurs ont été corrigées. Des CHKDSK /R sont exécutés sur les deux partitions sans problème, et c'est plutôt rapide.
Soulagé, je regarde un peu de quels outils je dispose. Je teste l'état du disque avec HDTune, le SMART est bon. J'ouvre l'explorateur de fichiers, tous les dossiers sont accessibles, les restrictions d'accès du NTFS ne jouent pas. Je nettoie quelques dossiers TEMP, ainsi que le Temporary Internet Files, et son Index.dat
Je passe un anti-spyware, sans rien détecter de grave.
Bon, le disque est réparé, il est soulagé de quelques fichiers, si on défragmentait ?
Defrag dans une Console CMD
marche très bien. Le
défragmenteur GUI de Windows est
également disponible.
Pour le fun j'effectue une troisième défragmentation avec
AusLogics Disk Defrag
(pour info il fonctionne aussi depuis Windows) ==>
Voici un disque bien défragmenté ! Ouf, il est ok ce disque finalement. Il n'y a plus qu'à le remettre en place.
Les CHKDSK et les défragmentations ont permis de vérifier le système de fichiers et le fonctionnement du disque, lequel est donc hors de cause. Le Maxtor remis en place dans son PC d'origine accepte de démarrer. Mais les lenteurs sous Windows sont toujours là, avec même des moments de gel. Le son du DVD est désagréable. La raison est donc ailleurs.
Je me rappelle alors (tilt !) avoir souvent lu l'histoire du DMA (Direct Memory Access) qui passe en PIO (Processor Input/Output) suite à de trop nombreuses erreurs de lectures du lecteur de CD, et aussi que la résolution de ce problème pouvait également résoudre le mauvais son des DVD.
La restauration du mode DMA est expliqué un peu partout sur le web, voici quelques liens avec des exemples illustrés :
Je supprime les Contrôleurs ATA/ATAPI IDE afin de d'obtenir leur réinstallation au démarrage suivant. J'ai eu du mal à exécuter la manœuvre tellement le système ralentissait. Le redémarrage est lent, mais ... ça ... se ... réinstalle ... et l'effet attendu se produit, la machine devient fluide, les films lus depuis le DVD sont à nouveau audibles, sans souffrir.
Précision :
On évite en général de monter un disque dur, en particulier le disque système,
sur la même nappe que le lecteur de CD/DVD. Sur la machine concernée, le disque
système est monté en SATA, et le lecteur est sur sa propre nappe IDE. Pas eu de
ralentissements depuis (11/2008), je n'ai donc pas expérimenté la possibilité
d'ajouter une valeur ResetErrorCountersOnSuccess. Faites-moi signe si vous avez
un témoignage.
Complément : Le PIO revient ?
Il a été
dit que la cause couramment observée était des difficultés de lecture d'un
lecteur. Une fois les Contrôleurs réinstallés on ne devrait plus être ennuyé
avant un moment. Pour ma part le problème n'est jamais réapparu malgré une
utilisation soutenue du lecteur DVD.
Si on voit le PIO se remettre
systématiquement en place il faut vérifier qu'on a bien les bons pilotes pour la
carte mère. On peut ensuite chercher une cause matérielle : cablages, broche
tordue ou oxydée, voire même dessoudée. Essayer avec un autre cable et/ou un
autre disque pour lever le doute.
http://www.google.fr/search?num=99&q=HDD+qui+passe+en+mode+PIO+tout+seul
http://www.commentcamarche.net/forum/affich-1759908-disque-dur-en-mode-pio
http://forum.hardware.fr/hfr/Hardware/Materiels-problemes-divers/disque-passe-pio-sujet_552841_1.htm
Il existe d’autres causes de ralentissement : antivirus, parasites, présence d’un réseau... Voir http://fspsa.free.fr/lenteur.htm
Ne pas confondre les arrêts et les redémarrages. Si une machine s’éteint
c’est la plupart du temps que la protection contre la surchauffe a protégé le
microprocesseur en arrêtant complètement le PC, et il n’est évidemment pas
question dans ce cas de redémarrer automatiquement. Il n’y a pas de
BSOD, et la
panne survient en général après un certain temps d’utilisation, ou lors de
l’utilisation d’un programme très demandeur en ressources, comme un jeu. On note
une augmentation de la fréquence de ce genre de problème au début de l’été. Le
problème est donc assez signé, et se résout en général simplement par un
nettoyage des radiateurs et ventilateurs. Avant de se lancer on peut vérifier les températures et les
vitesses de rotation des ventilateurs dans le BIOS, ou à l’aide d’un freeware
depuis Windows, voir chez www.gratilog.net
En ouvrant le PC on pourra visualiser les ventilateurs et la présence de
poussière.
Pour le nettoyage prendre les précautions habituelles, débrancher l’alimentation
et se décharger de toute électricité statique en touchant une masse métallique,
si possible reliée à la terre. Prudence avec l’aspirateur. Utiliser de
préférence une bombe d’air, l’aspirateur servant simplement à récupérer le nuage
de poussière. Un pinceau peut aider. On dit souvent qu’il faut bloquer les
ventilateurs mais je n’ai jamais vu de témoignage négatif. On trouve amusant de faire tourner les ventilos avec la bombe d’air et c’est vrai que
je n’ai jamais eu de problème.
Si un ventilo tourne mal, son axe est peut-être encrassé. La poussière s’y accumule et pousse l’axe. Nettoyer et repousser l’axe dans sa bonne position.
Si une machine s’arrête en présentant un BSOD c’est que Windows a un problème. Noter les informations et utiliser un moteur de recherche, ou voir les sites spécialisés, exemple : BSOD et codes d’erreur
Par défaut "Redémarrer automatiquement en cas d’erreur" est coché dans Propriétés système, Avancé, Démarrage et récupération. Dans ce cas il n’y a pas de BSOD en cas d’erreur et la machine redémarre. Il est conseillé, pour un particulier qui n’a pas les exigences d’un serveur, de décocher ce paramètre, afin d’être mieux informé en cas de problème.
Normalement une surchauffe ne provoque pas un redémarrage mais une extinction
de la machine, voir ci-dessus. Cependant une surchauffe de la RAM provoque sans
doute des redémarrages (si quelqu'un a des infos à ce sujet, merci d'avance).
La première chose à faire est de vérifier si on a un
BSOD, le but
étant de noter le code de l'erreur et le fichier en cause et de faire une
recherche sur le net. Pour que
la machine ne redémarre pas automatiquement et laisse l'utilisateur lire le BSOD, décocher
"Redémarrer
automatiquement en cas d’erreur". Si Windows ne démarre plus appuyer
sur F8 (Note 1) au démarrage
(Désactiver le redémarrage automatique en cas d'échec du système). Clavier
USB et F8 inop, voir Note 2. Si les codes d'erreur rapportés par les BSOD sont aussi divers que variés
suspecter des problèmes de disque, d'alimentation, de RAM, des mauvais contacts,
ou le cablage. Voire même la prise électrique comme relaté un peu plus bas.
Vérifier si l’Observateur d’événements
ne propose pas d'informations utiles.
Note 1 : Certaines machines interceptent F8 pour afficher un menu permettant de choisir un périphérique de démarrage. Appuyer sur Échap pour sortir de ce menu et continuer à tapoter sur F8 pour que la touche soit cette fois interceptée par WIndows et non par le BIOS.
Note 2 : Avec un clavier USB il faut
activer le Legacy USB et le support clavier USB pour qu'il fonctionne dans cette
phase du démarrage :
http://www.commentcamarche.net/forum/affich-5418277-clavier-usb-reconnu-au-bios-mais-pas-au-boot
http://www.commentcamarche.net/faq/sujet-2200-windows-mode-sans-echec-avec-clavier-usb
USB Device Legacy Support : ENABLED
All peripherals USB : ENABLED
Les
termes peuvent être différents :
Integrated Peripherals
USB Keyboard Support [Disabled] <== mettre Enabled.
Ultime solution : se
procurer un clavier PS/2 ou un
adaptateur PS/2 mâle / USB
type A femelle
Très souvent les redémarrages aléatoires sont causés par la
RAM.
On peut tester très facilement :
Le coup des paramètres BIOS par défaut qui ne conviennent pas
On vient d’acquérir de la RAM, tout a l’air bon, et pourtant ça ne marche
pas. Vérifier les réglages du BIOS. Il peut arriver que les réglages par défaut
ne correspondent pas. Adopter les
paramètres de synchronisation
affichés sur la barrette ou sur le site du constructeur. On a par exemple 5.5.5.9
par défaut dans le BIOS
alors que les barrettes réclament
5.5.5.18. Merci à
Paulchen pour l’info.
Le coup des deux barrettes défaillantes après un problème électrique, de
MemTest qui ne voit rien, et
de la difficulté du diagnostic
Les conséquences de barrettes défectueuses sont normalement des redémarrages
soudains. Mais le vécu des symptômes peut orienter vers de fausses pistes. Le
cas le plus connu est illustré par l'article
Installation de Windows XP -
Fichiers endommagés ou manquants. Un fort intéressant retour d'expérience
aimablement communiqué par Herser nous montre qu'il est important de laisser
poursuivre le travail de
MemTest
suffisamment longtemps :
De la difficulté du diagnostic.
Le coup de la multiprise
Également dans cette
conversation
De la difficulté du diagnostic, au message n°8, Luc apporte un intéressant
témoignage concernant les difficultés causées par une simple multiprise de
mauvaise qualité. Merci Luc pour ce partage qui montre comme il faut tout
remettre en question.
Le coup du radar
L'effet ne semble pas être un
redémarrage de la machine mais ces anecdotes illustrent tellement bien qu'il
faut parfois chercher assez loin la cause d'un problème qu'on ne peut résister
au plaisir de les partager. La première histoire est celle d'un IBM 38 qui
"plantait souvent le vendredi à 14H30". La cause était les gendarmes et leur
radar au bord de la route a plus de 500 m ! La seconde relate comment a été mis
en évidence le rapport entre des erreurs disque d'un ATEC et le radar des avions
situés à proximité
http://aviatechno.free.fr/passion/erreurdisque.php
Merci à Rantanplan et
Dominique Ottello (l'historique du
"pointu") pour
ces savoureux partages d'expériences.
CCM
Le site
Comment Ça Marche a
publié dans sa FAQ (googlée)
un dossier sur le sujet:
http://www.commentcamarche.net/faq/413-plantage-reboot-intempestif-du-pc
J'ai eu depuis d'autres difficultés avec ce PC assemblé par une boutique du côté de la rue Montgallet. Le voici à présent qui gèle totalement : plus de clavier (CTL+ALT+Suppr inop), plus de souris, aucune action possible autre que le reset via le bouton du boitier.
Au début il ne posait problème que lors d'un démarrage après une interruption de plusieurs jours. On venait me chercher, je redémarrais, ok. Parfois je devais redéclarer le disque de démarrage dans le BIOS. Et puis ça s'est aggravé.
L'avantage, quand la panne n'est plus aléatoire, c'est qu'on peut chercher pour de bon. Rien de pire que d'arriver chez un dépanneur avec une panne qui ne fonctionne plus et un ordinateur qui tombe en marche.
Voici une petite idée des différentes vérifications effectuées. Pour être honnête je n'ai pas fait tout ce qui est indiqué, j'ai ajouté certains items plus tard histoire de donner des idées. Avec le recul je me dis que si j'avais observé les tensions dans le BIOS dès le début j'aurais peut-être gagné du temps.
Mais avant de s'embringuer dans toutes ces recherches, commencer par traiter le gel d'explorer :
Gel d'ExplorerSi on subit une panne d'explorer à l'improviste, il y a peu de chances qu'on ait une console de commandes en train de nous attendre. Heureusement CTL+ALT+Suppr ou CTL+MAJ+Échapp permettent d'ouvrir le Gestionnaire de tâches (taskmgr.exe dans system32). Comme celui-ci a une priorité haute (voir taskmgr.exe dans les processus) on peut y faire des actions récupératrices comme :
On peut chercher la cause de l'immobilisme d'explorer en regardant dans l'observateur d'événements les actions enregistrées juste avant le problème. La cause peut être un fichier situé dans un dossier qu'on ouvre. Allez voir l'article sur les lenteurs, il y a quelques idées, et des outils. Toute la question est de savoir si le problème apparaît lié à des actions, dans quel cas on devrait arriver à trouver une solution, ou s'il semble totalement aléatoire. Dans ce cas il est possible avec Windows XP de le rendre plus résistant. Pour cela on le dédouble, et on demande au système d'utiliser un explorer pour gérer le Bureau, et une autre instance d'explorer.exe pour l'explorateur de fichiers. Pour modifier DesktopProcess, utiliser regedit :
DesktopProcess
Séparation des processus explorer avec
DesktopProcess
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\DesktopProcess
Ce contournement
est très répandu dans les FAQ pour
XP :
Barres des tâches et Bureau -
Disparition en cas de plantage
Quand l’Explorateur se fige.
SeparateProcess
Ne pas confondre DesktopProcess avec
SeparateProcess.
SeparateProcess sépare les processus de l'explorateur de
fichiers uniquement.
SeparateProcess est égal à 1 quand on a coche "Ouvrir
les fenêtres des dossiers dans un processus différent" dans les options des
dossiers.
Ce gel d'explorer s'exprime de différentes façon, la souris peut rester en partie utilisable, par exemple dans des programmes, et dans le gestionnaire de tâches. Pour le clavier plus grand chose ne fonctionne, les touches WIN ou la combinaison CTL+MAJ+Esc ne font plus afficher le menu démarrer, il n'y a que CTL+ALT+Suppr qui fonctionne encore.
Si CTL+ALT+Suppr ne fonctionne pas, si le clavier ne répond plus, si la souris ne clique plus, si le curseur ne se déplace plus sur l'écran, on a un vrai gel, la situation est grave, il faut chercher. J'ai regroupé quelques idées dans une liste :
Une connexion se débranche un peu trop facilement à mon goût. Remise en
place en s'assurant de son verrouillage.
Les broches des prises Molex ont du jeu, il est possible de les enfoncer
un peu plus en les poussant une à une.
Après cette intervention, le PC a fonctionné correctement, tout a été
reconnecté. J'ai cru que c'était ok.
Mais il a recommencé. Au vu des tensions légèrement instables affichées par le
BIOS, je me suis procuré une autre alim, plus de problèmes.
Ceci confirme que bien souvent les problèmes bizarres sont résolus en changeant
le bloc d'alimentation.
Si on peut en emprunter une, l'essai en volant n'est pas trop lourd à faire,
avant de prendre la décision d'acheter
une nouvelle alim.
Témoignage d'un cas très similaire...
Tous les BIOS ne permettent pas
d'afficher les tensions. Mais de nombreux freewares donnent toutes sortes
d'informations, températures, vitesses de rotations, tensions. Par exemple
SIW est très apprécié, il y a une version portable (sans install).
Un peu
de lecture :
http://www.canardpc.com/dossier-39-les_alimentations_noname_a_la_loupe.html
Enquête DGCCRF : 60% des alimentations PC jugées dangereuses - [commentaires]
Disque RAW causé par une alimentation
défaillante
Redémarrages intempestifs résolus en changeant l'alim
Une coupure d'alimentation peut entraîner le non démarrage. Appuyer sur F8 pendant la mise en route pour accéder aux options de démarrage avancé. Essayer "Démarrage selon dernière bonne configuration". Certains systèmes interceptent la touche F8 pour choisir le volume de démarrage : continuer à tapoter F8 après cette étape. Il peut être nécessaire de faire un chkdsk /R, ou de récupérer le registre. Suite à cette rupture d'alimentation on peut être dans l'impossibilité d'accéder au disque dur et de réparer par les moyens habituels. Cela peut se résoudre à l'aide d'un simple adaptateur USB (le tout est de savoir déposer le disque dur, ce qui n'est peut-être pas toujours aisé avec certains portables).
Cas de ruptures d'alimentation
Grève, délestage, disjoncteur qui saute cause surcharge (2 machines à laver +
four + séchoir + ...), batterie de portable en fin de
vie, action malheureuse sur le bouton de la prise multiple, j'ai oublié
d'acheter un onduleur,...
témoignages bienvenus, ça nous fera rire un peu.
Mon disque dur il est où ?
Si, après une coupure d'alimentation, le disque dur n'est plus accessible même
en utilisant la Console de Récupération,
un BARTPE, ou un
Live CD Linux, voici
ce qu'il faut savoir : en montant le disque dur dans un
adaptateur USB on
a des chances de pouvoir y accéder à nouveau. On pourra alors, c'est une
suggestion, commencer par sauvegarder ses fichiers les plus importants. Une fois
ces sauvegardes effectuées, on pourra réessayer le disque à son emplacement
originel. Et si ça ne marche toujours pas, c'est encore une fois le
CHKDSK /R qui pourrait
jouer le sauveur. Témoignages :
1, 2,
3, ...
Testdisk permet de récupérer la définition d'une partition. Certains logiciels de partitionnement comme gparted peuvent également aider à retrouver une partition.
En montant un disque dur dans un boitier externe USB j'ai eu la surprise, en voulant accéder à son contenu, d'obtenir ce déroutant message :
La solution a été TestDisk :
http://forum.pcastuces.com/sujet.asp?f=01&s=102819
Lisez absolument ces tutos avant de commencer :
http://www.pcastuces.com/pratique/materiel/reparer_raw
http://poloastucien.free.fr/testdisk_detail_h.html
http://www.cgsecurity.org/wiki/FR_TestDisk
http://www.cgsecurity.org/wiki/Exemples_de_Restauration
Reconnaître les partitions primaires et logiques
Récupération du secteur de boot NTFS A valid NTFS
Boot Sector must be present in order to access any data; even if the partition
is not bootable.
Réparation d'une partition NTFS TestDisk peut
recopier le secteur de boot de sauvegarde dans le secteur de boot et vice versa.
En particulier ce guide pas-à-pas
doit rester accessible pendant l'opération.
Procéder méthodiquement, bien lire les explications à chacune des Étapes
http://www.cgsecurity.org/wiki/TestDisk_Etape_par_Etape
Pour vous en convaincre, lisez le
témoignage de Gab
Avertissement : les ordinateurs de marques, les portables en particulier, ont souvent une partition cachée de restauration. En tenir compte pour la compréhension de ce qui sera trouvé par TestDisk. Faire des recherches sur le Net pour en savoir plus.
TestDisk fait
partie des nombreux utilitaires de UBCD4WIN,
montable en CD ou sur une clé USB.
C'est bon à savoir, en particulier pour intervenir sur un portable comme dans le
témoignage ci-dessus.
Start
>Programs>Disk Tools>Partition>TestDisk
Pour revenir à mon disque placé dans le lecteur USB, TestDisk a été comme souvent une très bonne aide, et je n'ai eu aucune difficulté, en suivant le Guide Étape par Étape évoqué plus haut, à récupérer le disque. Plusieurs CHKDSK /R et défragmentations ont été effectués par la suite sans rencontrer de problème. La cause du dysfonctionnement reste un mystère.
Je n'ai pas pensé à faire de captures d'écran lors de cette première utilisation de TestDisk, les vues qui suivent sont issues d'un autre cas, un peu différent.
Attention : ceci n'est qu'un exemple. Suivez attentivement le Guide Étape par Étape pour résoudre votre cas
Pour commencer voici une petite animation.
J'ai eu à utiliser TestDisk pour résoudre un problème de partitions devenues folles sur un autre PC suite à la création d'une nouvelle partition avec le Gestionnaire de disques (clic droit sur Poste de Travail, Gérer, ou Démarrer>Exécuter>diskmgmt.msc).
Voici le partitionnement anormal du Disque 3 tel qu'il apparaissait dans
le Gestionnaire de disques après le simple ajout d'une nouvelle partition ==>
Remarquer les dimensions anormales des partitions non allouées.
L'utilisation de TestDisk a été un succès, et la géométrie du disque a
retrouvé son aspect normal ==>
Voici, pour info, quelques captures du déroulement des opérations.
Au lancement de TestDisk on pouvait
lire : "Invalid FAT boot sector" et "Space conflict" :
Quick Search (Recherche rapide des partitions) demande s'il faut chercher aussi les partitions créées par Vista (Y pour oui) :
Analyse par TestDisk, la géométrie normale est retrouvée :
Pas eu besoin de Deeper Search (Recherche
approfondie de partitions)
Je n'ai pas pensé à enregistrer l'écran
suivant, mais c'était la nécessaire étape Write telle qu'illustrée ici :
Récupération de la table des partitions :
Write consiste à réécrire sur le
disque la table de partition telle que redéfinie par TestDisk.
Ces partitions apparaissent correctement dans le gestionnaire de
Disques. Fin de l'exercice.
Des liens sont proposés en fin d'article.
J'ai un cas où TestDisk ne m'a pas aidé. Et, nonobstant que la commande convert est considérée comme très sûre, le résultat n'a pas laissé de me surprendre ! ==> http://fspsa.free.fr/chkdsk-5phases.htm#convert-usb-impossible
Message d'erreur en voulant entrer en session :
La stratégie locale de ce système ne vous permet pas d'ouvrir une session de
manière interactive.
The local policy of this system does not permit you to logon interactively.
Un PC portable Compaq Presario 2500 équipé de XPPRO SP3 et complété d'une liaison WiFi USB sert dans un club informatique de serveur d'imprimante. On ne sait ce qui s'est passé, impossible de démarrer Windows. Quel que soit le moyen utilisé, l'entrée en session est impossible, avec le message tel que ci-dessus. Mode sans échec, Dernière bonne configuration connue, Console de Récupération, tous ces moyens se heurtent à cette restriction. La machine n'a qu'un seul compte, sans mot de passe. Avec ubcd4win il a été essayé en première approche de réinitialiser les mots de passe. Puis de mettre de nouveaux mots de passe au cas où il serait devenu absolument nécessaire d'en avoir. Sans résultat. Toujours avec l'aide de l'ami ubcd4win, un nouveau compte admin est créé. Toujours le même message. Il faut donc admettre que cela n'a rien à voir avec un problème de mot de passe même si c'est à ce moment que le message apparaît. C'est écrit, c'est un problème de Stratégie locale. Pire, on a affaire à une Restriction, prioritaire par rapport à une Stratégie qui donne des droits (interdire l'emporte sur autoriser, c'est la règle).
Une recherche finira par montrer une solution. Cette recherche a permis de voir que cette situation se produisait sans raison apparente et provoquait un grand désarroi. On est dirigé vers ces KB186529, KB276590, KB285793, KB289289 qui désespèrent l'utilisateur incapable de démarrer Windows, frustration très bien décrite ici : XPPro SP2 Login rendu impossible.
Autres liens sur le sujet :
http://technet.microsoft.com/fr-fr/library/cc738764
http://blog.apyka.com/index.php/windows/tse-la-strategie-locale-de-ce-systeme-ne-vous-permet-pas-douvrir-une-session-de-maniere-interactive/
http://google.fr/search?num=99&q=La+stratégie+locale+de+ce+système+ne+vous+permet+pas+d+ouvrir+une+session+de+manière+interactive
Forums microsoft : La stratégie locale de ce système ne vous permet pas d'ouvrir
une session de manière interactive
Il ne reste qu'à revenir à un point de restauration, plus exactement à recopier les ruches d'un point de restauration. J'ai décrit la méthode en lignes de commandes /Récupération d'une copie du Registre depuis le SVI avec la CDR/ mais c'est bien plus facile aujourd'hui avec ubcd4win (lire Réparation du Registre). Si la construction du CD ubcd4win paraît trop compliqué, tout moyen d'accéder aux fichiers est suffisant : un CD Live Linux ou le montage du disque dur sur une autre machine ou sur un support USB (nécessitera de s'approprier les droits d'accès au SVI).
SOLUTION :
Réparer la ruche C:\Windows\System32\Config\SECURITY
La ruche SECURITY correspond à la clef
HKEY_LOCAL_MACHINE\SECURITY qui défini les paramètres de sécurité locale
Elle abrite la Policy :
HKEY_LOCAL_MACHINE\SECURITY\Policy
La clé SECURITY n'est pas
accessible aux administrateurs, seulement au compte SYSTEM.
Comme on dispose de points de restauration (PR)
il suffira de réparer la ruche SECURITY :
LSA = Local
Security Authority
Recovering from Minor LSA
Corruption
Pour info, visualisés avec Remote Registry, voici les contenus de HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets avant et après réparation :
J'essaie de suivre s'il y a d'autres cas et s'ils se résolvent de la même façon, mais les gens ne reviennent pas dire s'ils ont réussi :
Voici l'histoire d'un nouveau problème irrécupérable :
Machine : portable
Dell XPS M1330 avec Vista home.
Adresse de téléchargement des drivers pour le XPS M1330
Symptôme : après mise à jour du pilote
Sigma Tel High Definition Audio CODEC, plus de son dans les haut-parleurs.
Les écouteurs fonctionnent, et les représentations graphiques du volume,
mélangeur, réglages et tests sont actives. Le retour au pilote précédent ne
résout pas. Réinstallation du premier pilote retrouvé dans un dossier du disque
dur sans résultat. Retour à un point de restauration, toujours pas de son. Le
gestionnaire de périphérique est content comme tout, aucun petit triangle jaune
ne signale d'anomalie /!\
Ce que je trouve sur le net est inquiétant :
No more sound on
XPS M1330 after installing the R171786 driver (SIGMATEL STAC 92XX C-Major HD
Audio)
En effet le driver a pris ce nouveau nom, et le rédacteur de l'article ci-dessus
a finalement abandonné pour réinstaller une image disque.
Les investigations automatiques par l'utilitaire de Dell ou celui de
Microsoft n'apportent pas de solution, le driver est déclaré à jour et tout est
ok.
http://support.microsoft.com/gp/no_sound
(amusant, il installe
powershell pour
faire fonctionner son outil)
J'ai trouvé une idée originale : renommer le driver, supprimer le
périphérique, et rechercher du nouveau matériel. Cela a pour effet d'installer
le pilote de Microsoft à la place de celui prévu par le constructeur. Nada.
Voici pour mémoire les détails de l'opération :
Dell conserve les pilotes d'origine dans c :\drivers, et les pilotes téléchargés
sont dans c :\Dell\Drivers
Le pilote téléchargé est identifié, c'est la coutume chez Dell, par un numéro :
R171786
J'ai renommé c :\Dell\R171786\stwrt.sys en stwrt-sys
Ça s'est passé comme prévu, et c'est le pilote Microsoft qui est à présent
installé.
Encore un redémarrage ... qui se termine par une nouvelle déception.
Je refais une installation en désignant manuellement le dossier d'origine c
:\Drivers\audio\R171786
Nous sommes comme qui dirait revenu au point de départ.
SOLUTION
Mettre à jour le BIOS ! Il était A12, et voyant que le site propose A15 j'ai
bondi. Bien que la courte prose accompagnant le téléchargement ne révèle en rien
un quelconque rapport avec la puce audio je lance la procédure. Le portable
étant doublement alimenté par sa batterie et le secteur, il suffit d'exécuter le
programme depuis Windows. C'est devenu bien plus confortable que par le passé.
On devine qu'une image de disquette virtuelle est créée quelque part, et le
redémarrage est demandé. On ne voit pas grand chose. Le nouveau BIOS A15 est
affiché en bas de l'écran. Une courte angoisse parce que j'ai laissé une clé USB
connectée provoquant un message "Pas de système d'exploitation, appuyez sur une
touche pour redémarrer". Clef arrachée, redémarrage, ... ding ! Enfin.
Épilogue
Le son revenu j'ai tout de même essayé d'installer à nouveau le dernier driver :
rebonjour le silence. Cette fois la réinstallation du driver d'origine a été faite
avec succès. Il ne faut donc plus mettre à jour le driver audio.
Notes
Bon driver : Sigma Tel High Definition Audio CODEC
Mauvais driver : SIGMATEL STAC 92XX C-Major HD Audio
L'occasion m'étant donnée d'examiner un portable de la marque je fais quelques investigations :
Mode sans échec
J'ai pu observer lors de cet exercice que le mode sans échec ne propose pas
l'administrateur intégré si un compte admin existe. Cette situation est normale
et décrite dans la KB942956.
Comme il est plus agréable de travailler avec le compte Administrateur intégré
(pas de mot de passe à entrer à chaque démarrage, réglages personnels sans rien
toucher aux habitudes du propriétaire) je l'ai activé avec la commande net user
administrateur /active:yes (/active:no après travaux). Il est ainsi affiché dans
l'écran d'accueil. Pas besoin de désactiver l'UAC, on est le roi. La conséquence
du fait que l'Administrateur intégré n'est pas accessible par défaut est qu'il
est plus difficile d'intervenir sur une machine dont on a perdu le mot de
passe...
Test de pénétration avec "Réparer votre ordinateur"
Ayant découvert récemment qu'il était très facile de pénétrer une machine Vista
à l'aide du DVD d'installation, j''ai regardé s'il en était de même ici. Sur la
plupart des portables F8 au démarrage permet d'accéder via les options de
démarrage avancé à "Réparer votre ordinateur" puis à l'invite de commandes. On vient de voir
que normalement on n'a pas accès au compte Administrateur sans avoir un mot de
passe. Les options de démarrage avancé comporte un item supplémentaire : "Réparer
votre ordinateur". Cet intéressant ajout, recopie du système de
récupération présent sur le DVD d'installation de Vista, évite de devoir transporter avec soi le DVD
d'installation et pouvoir réparer même en voyage, ce qui est souhaitable pour un portable.
Il y a cependant une différence par rapport au boot sur le DVD d'installation,
c'est que le mot de passe est demandé. Et pas le mot de passe vide de
l'Administrateur intégré, naaan, le mdp d'un des utilisateurs admin ! On est donc
coincé si on ne connait pas le mdp, c'est une nette amélioration. Des
petits soucis à prévoir en cas de perte de ce mot de passe, mais c'est
contournable avec la méthode de Petter Nordhal ou ubcd4win.
À la fin des Options de récupération système on trouve "Dell Factory Image Restore : Restauration du logiciel système aux paramètres définis en usine". C'est la fameuse restauration constructeur qui utilise la partition cachée de Recovery. En cliquant on a vite confirmation que tous les fichiers personnels seront écrasés. C'est vraiment l'opération de la dernière (mal) chance. Heureusement que Vista a plusieurs moyens pour se tirer d'un mauvais pas.
Test de pénétration avec ubcd4win
Les dernières versions ont le driver SATA nécessaire, accès sans problème au
disque dur. Ubuntu n'a pas eu plus de difficulté.
Aide et support Dell : problème de TAG
http://support.euro.dell.com/support/index.aspx
L'aide de Windows (WIN+F1) propose "Documentation d'aide de Dell" (Dell Edocs =
c :\DELL\Edocs32.exe). Un lien "Aller sur le site de support" affiche
automatiquement le tag de la machine. Le tag est bien celui inscrit sous le
portable, mais la machine affichée n'est pas la bonne (une antiquité : Dell
Precision V486/xxS Rev.2 FS, un ordinateur de bureau comme on n'en fait plus).
C'est plutôt déroutant quand on est dans la mouise à chercher de l'aide.
Heureusement il est possible de chercher manuellement la bonne machine (Laptops,
XPS Laptops, M1330) et d'accéder aux
manuels et autres
drivers.
Sauvegarde
Aide et Support indique comment sauvegarder l'ensemble des fichiers avec Vista
de façon à restaurer la machine avec les options de réparation (F8). Cette
fonction refuse de fonctionner sur batterie, il faut être sur secteur, c'est
bien. Il est proposé de sauvegarder sur DVD, mais on aurait pu éviter que le premier
volume proposé soit la partition D:\RECOVERY. On peut s'attendre à ce que de
nombreux utilisateurs fassent ce mauvais choix. Ça ne sauvegarde que les fichiers utilisateurs.
La solution DVD est à rejeter, la capacité est insuffisante. Le système demande un nouveau DVD mais il
est impossible de l'extraire (il y a un bouton tactile sur le haut du clavier,
il ne répond pas). J'ai affiché Ordinateur, clic droit
sur le graveur, Éjecter. Finalement j'ai opté pour une solution réseau. Il
faut que sur l'autre machine un compte du même nom existe avec le même mot de
passe. On crée un dossier partagé et on modifie les paramètres de sauvegarde
pour désigner la nouvelle cible. Le disque du portable est occupé de l'ordre de
120 Go. Il a fallu quinze heures et 500 fichiers zip de 200 Mo ! Je crois que
faire une simple image du disque sera plus simple et plus efficace.
Un cafouillage du BIOS suffit à provoquer un blocage complet. On peut croire à une défaillance définitive de la carte mère. Surtout s'il y a eu des incidents électriques juste avant. Il s'avère que la situation est peut-être moins grave qu'il n'y parait. Une simple réinitialisation du BIOS peut permettre la résurrection du petit malade. Avant cela on peut tenter une simple réinitialisation des paramètres par défaut du BIOS. Il y a un menu prévu pour cela dans le BIOS, quelque chose comme Load Fail-Safe Defaults.
Remarque : les cartes Asus auraient-elles un problème avec la conservation des données du BIOS ?
Ce symptôme, très soudain, écran qui reste noir au démarrage, jette une grande confusion. On croit à une panne matérielle sérieuse et on se prépare à des frais importants. L'écran n'est pas en panne puisqu'il affiche "No Signal Input". Il est facile de le tester avec son câble sur une autre machine. Cette hypothèse éliminée on accuse la carte graphique. Sur le cas présent, elle a fonctionné sur un autre PC. La panne est donc du côté de la carte mère ou du processeur.
La carte mère de marque Asus fonctionne : les diodes sont allumées, les tiroirs du graveur et du lecteur de CD s'ouvrent et se ferment à la demande. Le disque dur tourne mais il n'est pas lu (pas de bruit de grattage). L'appui prolongé sur le bouton ON provoque bien l'arrêt de l'alimentation. Mais on n'observe aucun bip. Normalement on doit entendre au moins un bip au démarrage (c'est le test du bip !). Et quand on retire la RAM, on devrait entendre plusieurs bips.
Tout se passe comme si le BIOS ne démarrait pas. BIOS signifie Basic Input Output System, c'est le programme qui anime la carte mère. Sans lui, même si tout fonctionne électriquement, aucune logique de démarrage n'existe et le PC n'est qu'un radiateur.
Pour mémoire le remplacement du bloc d'alimentation avec celui d'une autre machine ne donne rien. Enlever et remettre le processeur et la RAM non plus. Une recherche Internet confirme que le problème vient souvent du BIOS, il est question de le réinitialiser en enlevant la pile et en utilisant le jump prévu pour court-circuiter le condensateur, ultime protection de la partie volatile du circuit.
Enlever la pile CR2032 de la carte mère est facile, et sa vérification au multimètre révèle une tension de 2.6V au lieu de 3V. Il a suffi de la changer pour retrouver un comportement normal. Retour du bip d'auto-test, et tout est ok après quelques réglages du BIOS pour fixer la date et l'heure, l'ordre de démarrage, et autres préférences.
Je trouve plutôt étonnant ce comportement de la carte mère. Elle aurait dû continuer à fonctionner basiquement même si les réglages du BIOS n'étaient plus conservés. On aurait dû avoir quelque chose comme CMOS BATTERY FAILED, ou BIOS ROM CHECKSUM ERROR-SYSTEM HALTED. L'expérience vécue semble démontrer que la faiblesse de la pile a laissé se modifier quelques octets dans la partie volatile du circuit, jusqu'à entrainer un blocage logiciel. Ça nous ramène au cas cité à la section précédente.
Ça me rappelle le lock logiciel (bricked) du disque dur Seagate ST31000340AS que j'ai subi, suite à un mauvais firmware. Résolu gratuitement et sans pertes de données par le support de Seagate, il faut envoyer le disque en Hollande. Prendre contact, et ça se traite ensuite en une semaine avec le service i365 de récupération de données. J'ai mis à jour les firmwares des autres disques identiques avant qu'ils ne tombent eux aussi en panne. J'aurais pu en faire une rubrique ici tiens.
Bon. Après ces hasardeuses hypothèses je retiens la confirmation qu'en terme de recherche de panne il faut aller au plus simple et au plus facile d'accès. Et que, peut-être, on devrait, lors d'une intervention sur un PC ayant quelques années, changer systématiquement cette pile.
La pile Lithium CR2032 est facile à remplacer. C'est une pile bouton de 20mm de diamètre. Sa tension nominale est de 3V, elle dure environ 5 ans. Elle est disponible en grande surface au rayon pièces détachées pour 5 Euros. On peut la trouver pour moins cher.
Voici quelques liens :
http://fr.wikipedia.org/wiki/Pile_au_lithium
http://www.pcastuces.com/pratique/windows/fiches/pile.htm
http://forums.cnetfrance.fr/topic/974-pile-bios-carte-mere-changer-la-pile-pour-bios
http://www.commentcamarche.net/faq/387-carte-mere-changer-la-pile-de-la-carte-mere
Pour terminer, une de ces mémorables discussions riches d'enseignements qui
démarre sur une innocente question :
Quelles sont les précautions à prendre pour changer la pile de la carte mère ?
(on retiendra de ces échanges les précautions élémentaires comme couper
l'alimentation secteur et faire attention à l'électricité statique, ainsi que
l'idée du ruban adhésif pour éviter que la pile ne tombe au fond du boîtier).
Au démarrage on a le message "Imminent Hard Disk Failure". Cette alerte est provoquée par le système de surveillance SMART du disque (Self Monitoring Analysis and Reporting Technology), qui enregistre les défaillances et prévient l'utilisateur qu'une panne sérieuse va advenir.
On peut passer outre en appuyant sur F1, mais le système montre des anomalies, voire des écrans bleus (BSOD). Malgré la présence d'une suite Norton installée d'office par le constructeur, MBAM trouve et supprime plusieurs trojans et autres rootkits. Comme c'est hélas souvent le cas avec ces machines OEM dont le système est préinstallé sur le disque dur, le propriétaire n'a pas gravé les DVD de restauration comme demandé dans la documentation.
La première action, puisque le disque dur, un Samsung SATA de 160Go, fonctionne encore un peu, est de sauvegarder les partitions. UBCD4WIN avec son programme Drive Image XML est encore une fois une aide appréciée. On note des messages d'erreurs lors de la sauvegarde de la partition système, laquelle se déroule cependant jusqu'au bout. La partition D, dite RECOVERY, est heureusement copiée sans anomalies. HDTUNE, présent sur UBCD4WIN, confirme des défauts, et une température de fonctionnement du disque plutôt élevée. CHKDSK n'en viendra pas à bout.
Le
programme de formatage bas niveau du support Samsung n'est pas utilisable
tel quel. Le CD démarre mais le programme affiche "Can't open CD driver CD001.
SHSUCDX can't install." Solution trouvée : copier
estool.exe sur une clé USB et le relancer depuis cet emplacement. Les
défauts étaient situés vers le début du disque, aussi j'espérais voir estool.exe
donner des infos sans trop attendre. Au début le programme scanne le disque assez rapidement.
Vers 2.5% le scan ralenti, puis ce n'est plus qu'une longue litanie de messages
"Error
: LBA 123456789" (<= exemple issu de la discussion
delayed write error). Dès lors la progression est extrêmement lente. Après trois jours on n'avait pas dépassé les 5%.
Addendum : avec l'accord du propriétaire j'ai pu conserver le disque dur en
panne. UBCD propose dans sa
panoplie un programme de formatage bas niveau un peu plus récent, mais une
nouvelle tentative s'est soldée pas exactement le même échec.
Une tentative de restauration de la partition C avec Drive Image XML est bien sûr un échec. Mais entre temps un disque dur neuf de même marque d'une capacité supérieure a été approvisionné. Sur ce disque les restaurations ont fonctionné, mais le démarrage demandait ensuite à être réparé, et cette procédure n'aboutissait pas.
Heureusement la restauration de la partition RECOVERY est effective. Après quelques tâtonnements il a été possible de démarrer le programme de reformatage sortie usine à partir de la recovery, et la machine a retrouvé sa prime jeunesse.
Je retiens de ce cas qu'il n'y a pas eu de problème de tatouage de disque, et qu'il est possible de se récupérer à partir d'une copie de la partition RECOVERY effectuée (et restituée) avec Drive Image XML, ce qui fait une économie de 40 Euros (Obtention d'un jeu de disques de récupération en Europe). La restauration usine ne nécessite pas d'activation. Puisqu'on en parle, voici une astuce pour activer par téléphone.
Conclusion : gravez vos deux DVD de récupération. Compléter par des sauvegardes régulières avec Drive Image XML ou équivalent.
J'ai eu une petite idée au moment de restituer ce portable. Comme je l'avais
trouvé avec un compte utilisateur ayant les pouvoirs administrateur et, très
classiquement, truffé de parasites, j'ai rendu ce PC avec un compte
administrateur nommé "admin", destiné aux opérations de maintenance. Dans le
dossier Démarrage j'ai glissé ce message rédigé en
HTA
invitant le propriétaire à utiliser un compte Standard :
http://fspsa.free.fr/ne-pas-etre-administrateur.hta
Un portable emachines E525 ne démarre plus. Windows7-64bits Home Edition affiche l'animation de démarrage, mais reste ainsi avec sa rosace affichée au milieu de l'écran. Plus rien ne se passe, aucune réponse. Après quelques minutes dans cet état, il redémarre. Et ainsi de suite.
F8 au démarrage donne accès aux options de démarrage avancé. Le mode sans échec ou le mode dernière bonne configuration ne fonctionnent pas mieux. "Réparer l'ordinateur" n'arrive pas plus à réparer le démarrage.
Que faire ?
UBCD4WIN révèle rapidement un problème de partition. Les données affichées
sur l'écran montrent une taille négative pour la partition qu'on devine être
celle de Windows.
TestDisk fait partie de la panoplie d'ubcd4win, et le
génial outil permet de retrouver très facilement la partition. Il suffit, comme
à l'accoutumée, de confirmer par l'option
Write la réécriture de la géométrie du disque.
Le redémarrage est encore un échec, mais cette fois une demande de réparation du démarrage, après de longues minutes d'attente, finira positivement. Enfin, le panneau d'accueil apparaît.
Un seul compte est affiché, je n'ai pas le mot de passe. Pas mieux en mode sans échec ; en effet, quand un compte ayant les pouvoirs admin existe, le mode sans échec, par défaut, n'affiche pas le compte Administrateur prédéfini. S'il avait été activé avec la commande net use administrateur /active (le yes est implicite) c'eût été différent. Comme le winre ne sert à rien dans ce cas, je crée un compte admin avec ubcd4win.
Note : j'ai barré l'avis au sujet du winre (Windows Recovery) car j'ai appris depuis à activer l'Administrateur prédéfini depuis le winre. Ceci étant précisé, pour quelqu'un qui a sous la main le CD ubcd4win, la création d'un compte admin ou la suppression d'un mot de passe est très rapide.
Mon compte admin tout neuf fonctionne bien ... mais l'observateur d'événement montre des erreurs "Disk". Pour info un chkdsk /R de la partition de 300Go dure deux heures. Un cluster endommagé est identifié et éliminé. Mais une curieuse erreur est signalée à la fin de l'opération :
Échec d’écriture avec l’état 0xc0000185 au
décalage 0x477f8caa00 pour 0x200 octets.
Il est impossible d’écrire sur le
deuxième secteur d’amorçage NTFS.
Malgré l'exécution de plusieurs chkdsk, l'anomalie se confirme. Le secteur en cause est une copie de secours du secteur d'amorçage de la partition. La solution a été d'utiliser le gestionnaire de disque pour réduire légèrement la partition. Les détails de l'opération sont relatés ici : Formatage partiel avec conservation des données...
Où on apprend à mener une enquête sur les Services.
Découverte qu'un
périphérique très discret est supprimé par un virus, et qu'il suffit de recréer
la clé manquante dans le registre pour récupérer connexion et pare-feu.
C'est un ordinateur de bureau équipé de Windows XP Home SP3. Il n'est plus possible de se connecter à Internet. L'antivirus Avast râle parce qu'il n'est pas à jour, et le navigateur Internet n'accède à rien. Les commandes ping n'aboutissent pas. Le centre de sécurité avertit que l'anti-virus n'est pas à jour et que le pare-feu est inopérant.
WIN+R, services.msc permet d'examiner les services (ou clic droit sur Poste de Travail, et gérer). Le service Pare-feu refuse de démarrer. Il est intéressant de cliquer sur le titre de la colonne "Type de démarrage". On vérifie ainsi facilement quels sont les services qui auraient dû démarrer et dont l'État n'est pas "Démarré"
Le service "Client DHCP" ne démarre pas non plus, avec un sibyllin message "Erreur 10050 : une opération de socket a rencontré un réseau inactif". Une tentative de revenir à un point de restauration assez éloigné s'est soldé par un échec ; après une longue attente suivi d'un redémarrage le message était qu'une erreur s'était produite et que le système était inchangé (vive erunt). J'ai tenté quelques commandes netsh (voir plus bas) et autres réenregistrements de dll, puis une réparation des fichiers systèmes avec la commande sfc /scannow. La connexion en elle-même semble opérationnelle, mais il manque quelque chose.
Les services sont dépendants d'autres services.
Les informations de
dépendance peuvent être obtenues de différentes façons :
Un internaute (merci Robert H.) a récemment eu la bonne idée de partager la solution trouvée à son problème de Planificateur de tâches dont le service faisait bande à part. En tentant de démarrer ce service "Planificateur de tâches" (Schedule), on obtenait une "Erreur 1068: Le service ou le groupe de dépendance n'a pas pu démarrer". Ce service est dépendant du service "Journal d’événements Windows" (eventlog), lequel refusait de démarrer avec le message "Erreur 1079: Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus". La solution a été trouvée grâce au forum pcastuces : "Observateur d'événements ne démarre pas". En regardant dans le registre à la clé eventlog, il a été constaté que l'entrée ObjectName était absente. Il n'a fallu que la créer avec pour contenu "NT AUTHORITY\LocalService" pour pouvoir démarrer le service Planificateur de tâches.
On en déduit qu'un tel problème peut se résoudre en examinant les clés du registre des services liés par les dépendances. C'est exactement le schéma suivi pour la suite des opérations.
Cette discussion DHCP client won't start due to dependency montre comment exploiter la piste des dépendances au niveau du registre et de system32\drivers. DHCP dépend de trois services : DependOnService = Tcpip Afd NetBT.
Constatant la disparition de la clé AFD dans le registre du petit malade, il a été nécessaire de la recopier depuis une autre machine.
En exportant la clé depuis une machine Windows XP on obtient le fichier afd.reg, qu'il suffit d'aller fusionner dans le PC en panne de connexion :
Rappel : pour fusionner un fichier reg, il suffit de cliquer dessus, ou de
faire un clic droit et "Fusionner au registre".
Au démarrage suivant tout fonctionnait : Avast s'est
mis à jour, le pare-feu était opérationnel, le centre de sécurité est resté
tranquille, et Internet Explorer permettait enfin d'accéder à Internet.
Ce service AFD ne se trouve pas dans services.msc ; il est caché dans le Gestionnaire de périphériques. En utilisant le menu "Afficher les périphériques cachés" on rend visible la section "Pilotes non Plug-and-Play", laquelle abrite cet "AFD". Aucune info sur sa fonction. Wikipedia explique que AFD signifie "Ancillary Function Driver".
Internet étant accessible (j'ai dû adapter les paramètres de la connexion à mon réseau, mais ça c'est normal) il a été permis de mettre à jour MBAM. Cet excellent nettoyeur de parasites a alors trouvé un rootkit TDSS qui avait réussi à passer au travers des précédents scans. Ce qui montre bien que réparer ne suffit pas, il faut nettoyer la machine à l'aide de plusieurs anti-machins, à jour. L'histoire ne dit pas encore si le propriétaire de la machine va conserver Avast.
Voici un petit
exemple de désinfection bien mené, avec la description de la façon dont on
se fait infecter.
Avertissements : Faites-vous toujours aider pour
désinfecter une machine, les outils à utiliser sont particuliers, et doivent être bien connus.
Les helpers disposent en outre d'autres méthodes d'analyse. Certains programmes
d'analyse ou de désinfection ne sont pas applicables avec du 64 bits. Possible meilleur forum d'aide à la
désinfection : http://forum.zebulon.fr/securite-f40.html
La commande sc qc est une façon très rapide d'obtenir les infos utiles comme les dependencies :
|
C:\>sc qc dhcp |
Autre exemple avec une erreur 1068 du service du pare-feu
: sc qc sharedaccess
http://www.winhelponline.com/articles/145/1/Error-1068-Error-Message-when-you-try-to-start-the-Windows-Firewall-service.html
Commandes netsh pour réinitialiser la connexion et
les réglages du pare-feu
299357 : Comment réinitialiser
le protocole Internet (TCP/IP) : netsh int ip reset reset.log
920074 : Impossible de
démarrer le service Pare-feu Windows dans Microsoft Windows XP SP2 : netsh
firewall reset
http://fspsa.free.fr/ng/netsh-firewall-reset.gif
Réinitialisez le
protocole TCP/IP en utilisant la commande Netsh
En résumé :
netsh int ip reset
resetlog.txt
netsh
int ip reset all
netsh firewall reset
netsh winsock reset
ipconfig /flushdns
Épilogue
J'ai eu la surprise de
croiser un cas identique à celui-ci juste après la publication de ce
compte-rendu. C'est le rogue (faux antivirus) "Antivirus 2010" qui
semble avoir causé
la disparition de la clé AFD. Ce qui veut dire qu'une désinfection complète doit être
entreprise, car c'est un truc accrocheur. C'est
ici.
Ne surfez pas en tant qu'administrateur !
"Les noms des fichiers sont devenus n'importe quoi"
Une clé USB a été
rendue à sa propriétaire totalement inexploitable, les noms des dossiers et
fichiers sont devenus une bouillie de caractères incohérents. On ne sait pas ce
qui a provoqué cet état ; peut-être une manipulation imprudente comme
déconnecter la clé alors qu'un programme travaillait dessus, sans passer par
l'icone du systray de la barre des tâches.
La clé contient des documents professionnels. La propriétaire a pris l'habitude de travailler directement dessus, il n'y a pas de sauvegarde. C'est la cata.
Dans ce genre de situation il faut résister à l'envie de faire un chkdsk. En effet le résultat serait la suppression des fichiers. On se retrouverait avec un dossier caché FOUND.000 regroupant des centaines de bribes de fichiers numérotés FILExxxx.chk ; à éviter absolument.
La première idée est de suggérer de récupérer les fichiers à l'aide des logiciels de récupération biens connus comme recuva ; voir chez gratilog. Ça a marché pour deux fichiers, puis le temps indiqué pour la récupération des fichiers suivants est devenu très important.
La clé m'ayant été confiée ma première action a été de faire une copie de sauvegarde. J'ai utilisé pour cela le programme RAWCOPY (copie brute)qui est présent sur UBCD4WIN à BARTPE\PROGRAMS\RAWCOPY, son nom complet est Roadkil's RawCopy. Il est en anglais, mais ce freeware est très simple d'utilisation. Il n'est pas chez gratilog, ce petit utilitaire portable sans installation est dispo chez Roadkil : Disk Utilities.
Bien identifier la cible de la copie, car tout y sera effacé. On peut utiliser une autre clé USB, ou préparer de petites partitions sur un disque dur avec Partition Wizard par exemple (voir chez gratilog).
La sauvegarde commence, puis vers 18% le temps affiché augmente, la copie n'avance plus. Après quelques minutes RawCopy annonce qu'il passe en mode récupération : ça s'accélère mais ça ne présage rien de bon. Le résultat est une copie qui ressemble à l'original : une bouillie de fichiers.
RawCopy propose une coche "End of disk first". Commencer par la fin du volume pour effectuer la copie semble une bonne idée. Le résultat dépasse les espérances : non seulement la clé est copiée, mais les fichiers sont récupérés ! Et pas seulement sur la copie, mais aussi sur la clé !! Laquelle fonctionne bien depuis.
Suite à ce scoop la leçon a porté : une clé USB ne devrait pas être un volume de travail primaire ; c'est un instrument pratique pour transporter des fichiers, mais ce n'est pas un stockage sûr, c'est bien trop vulnérable. Une clé peut s'effacer accidentellement, devenir illisible, être vérolée, perdue, volée. Il faut en faire des copies régulières sur deux disques durs séparés. On peut également utiliser le cloud ; voir, par exemple, dropbox et google drive qui maintiennent à jour sur le net une copie d'un dossier du disque dur. Cette copie devient ainsi accessible depuis n'importe où. C'est très pratique et gratuit jusqu'à 5Go. Et il y a bien d'autres solutions que les deux exemples mentionnés.
Structures et
types de partition
.
MSDN :
Disk Partition Types
Blocage du PC / Ordinateur se bloque / Système gelé (freezes)
Les alimentations : description, tests, choix
http://fspsa.free.fr/lenteur.htm
http://fspsa.free.fr/lenteur.htm#sysinternals
http://fspsa.free.fr/ubcd4win.htm
http://fspsa.free.fr/ubcd4win.htm#ruche-system-endommagee
http://fspsa.free.fr/registre-sauvegarde.htm#reparation-registre
http://fspsa.free.fr/chkdsk-5phases.htm
Disques RAW
Partition disparue,
disque inaccessible (RAW)
par http://poloastucien.free.fr
http://fspsa.free.fr/chkdsk-5phases.htm#raw
PTEDIT
Partition
disparue disque inaccessible (RAW): TUTO
Outils Symantec :
ptedit.zip et
PTEDIT32.zip
http://www.ultimatebootcd.com
Ce CD bootable offre une longue listes d'outils.
Par exemple, vers la fin de la page, à la section Partition Tools,
Ranish Partition Manager permet de
réparer des partitions qui n'apparaissent plus dans le Gestionnaire de disques,
et qui ne sont plus accessibles à des outils tels que ptedit ou testdisk.
Explorer les liens dans la page d'accueil, il y a beaucoup d'informations en
anglais et en français, et une FAQ.
Tuto. Ranish ne traite
normalement pas les partitions NTFS. Mais il les trouve. En déclarant comme
FAT32 une partition NTFS dont j'avais mis à zéro
l'octet qui désigne le
type de partition (normalement 07) pour tester. J'ai eu la surprise, au
redémarrage de Windows, de voir la partition disparue réapparaître.
Éditeur hexadécimal
HxD, un éditeur hexadécimal gratuit
pour modifier des octets dans un fichier, sur une partition, ou dans la RAM
http://www.libellules.ch/dotclear/index.php?post/2007/07/10/1996-hxd-un-editeur-hexadecimal
L’observateur d’événements
Exploiter l’observateur d’événements
Désactiver le redémarrage automatique en cas d’erreur
F8
: Options avancées : Désactiver le redémarrage automatique en cas d’échec
système
BSOD : écran
bleu de la mort
BSOD : Les écrans bleus sous Windows et leurs codes d'erreur
BSOD (Blue Screen of dead) ECRAN BLEU DE
LA MORT, analyse du dump
WhoCrashed
http://www.libellules.ch/dotclear/index.php?post/2009/05/29/WhoCrashed
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?&lid=1954
http://www.korben.info/comment-trouver-lorigine-dun-plantage-windows-meme-sans-ecran-bleu.html
WhoCrashed permet de
trouver le pilote à l'origine d'un crash à partir de l'analyse du dump
enregistré par Windows.
RAM
http://www.choixpc.com/memoire.htm
http://fr.wikipedia.org/wiki/Column_Address_Strobe
http://fr.wikipedia.org/wiki/DDR_SDRAM
BIOS
http://www.commentcamarche.net/s/bios
http://www.commentcamarche.net/contents/pc/bios.php3
http://www.commentcamarche.net/contents/repar/optibios.php3
http://www.commentcamarche.net/faq/sujet-389-bios-acceder-au-setup-du-bios
http://www.commentcamarche.net/faq/sujet-7815-commandes-habituelles-du-bios
Mode sans échec
http://fspsa.free.fr/mode-sans-echec.htm
Pour ouvrir le menu d’Options avancées et accéder au Mode sans échec on
maintient la touche F8 enfoncée pendant le démarrage. Parfois cette touche est
interceptée par le BIOS pour permettre de choisir un autre support de démarrage.
Passé ce choix, il convient de se remettre à tapoter sur la touche F8.
Il arrive qu’une fois dans ce menu on ne puisse plus utiliser les touches
fléchées pour changer d’item, le clavier ne répond plus. C’est un gag habituel
avec les claviers USB ==>
http://www.commentcamarche.net/faq/sujet-2200-windows-mode-sans-echec-avec-clavier-usb
Mode sans échec et onglet Sécurité sur xphome
L'onglet Sécurité dans les Propriétés des fichiers permet de modifier les
permissions d'accès. Cet onglet n'est disponible qu'en Mode sans échec pour
xphome. Saviez-vous qu'on peut le faire apparaître en faisant croire à Windows
qu'il est en Mode sans échec ?
http://fspsa.free.fr/xphome-onglet-securite.htm
Pcastuces a publié une liste d'actions possibles.
Tout à la fin de son article, pcastuces évoque les cas de plantages suite à un clic droit. Ça se dépanne souvent, comme il est indiqué, avec l'aide de l'excellent ShellExView de NirSoft. L'objectif est de désactiver des items des menus contextuels. Comme ils sont disséminés dans le registre, ShellExView est un must car il scanne le registre et présente le résultat sous une forme facile à appréhender. Il suffit ensuite de décocher une ligne pour désactiver temporairement une fonction. Pour info ce qui est surligné en rose n'est pas d'origine ; c'est donc probablement dans ces lignes que se cache le coupable. Les clés de registre les plus souvent concernées sont :
HKEY_CLASSES_ROOT\Directory\shell
HKEY_CLASSES_ROOT\Drive\shell
HKEY_CLASSES_ROOT\Folder\shell
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell
Si on a trouvé l'origine du problème, essayer de désinstaller le programme en cause, ou d'installer une version plus récente.
La dernière suggestion de pcastuces mérite une explication. Il s'agit de recopier, sur un système 64 bits, la version 32 bits de explorer.exe située dans SysWOW64, pour coller une copie dans System32. Comme System32 est en premier dans le Path (WIN+R, cmd /k path), c'est cette version 32 bits qui sera invoquée. On espère ainsi pallier un problème d'incompatibilité.
Ce contournement ne peut être qu'une aide au diagnostic, et ne devrait pas être utilisé en permanence ; privilégier plutôt l'utilisation de ShellExView pour identifier le coupable, ou revenir à un point de restauration, ou désinstaller le dernier logiciel.
Un autre contournement parfois proposé est de désactiver la fonction DEP, Data Execution Protection = Protection d'Exécution de Données. Ça peut sortir d'embarras si on n'a pas su trouver la cause. À tenter en dernier recours.
Symptômes
Crashs d'explorer suite à un clic droit,
plantages d'applications qui mettent dix minutes à se fermer, messages d'erreur
évoquant la Prévention de l'Exécution des Données,...
La fonctionnalité DEP (Data Execution Prevention) est destinée à empêcher l'exécution de code situé dans la mémoire suite à une tentative d'attaque d'un programme (mal conçu) par "buffer overflow" (dépassement de tampon).
Cette protection est présente à la fois au niveau du processeur et au niveau du système d'exploitation. C'est sur cette dernière qu'on peut agir en la désactivant partiellement ou totalement.
Cette désactivation entraine une baisse de protection. Elle est peut-être tolérable si on considère qu'on est protégé par sa Box, le pare-feu, l'anti-virus, et qu'on a un comportement raisonnable au point de vue de la sécurité.
Microsoft recommande de vérifier d'abord s'il n'existe pas une mise à jour du programme ou du module. Rappel : il n'y a pas que Windows ; dans la panoplie de logiciels qui équipe l'ordinateur, tout correctif oublié est un affaiblissement de la sécurité, en particulier avec les programmes en liaison avec Internet et les navigateurs, tels que visualiseurs d'animations ou d'images, documents PDF, etc.
Si vraiment il est impossible de faire autrement, les liens ci-après donnent les infos nécessaires.
La désactivation totale de ce dispositif est possible en éditant la
configuration de démarrage.
Sur XP ça se passe dans le boot.ini, on remplace
/noexecute=optin par /noexecute=alwaysoff.
Avec Vista et W7 il faut utiliser la commande
bcdedit /set nx
alwaysoff
Références Microsoft
http://windows.microsoft.com/fr-FR/windows7/Change-Data-Execution-Prevention-settings
http://windows.microsoft.com/fr-FR/windows7/Data-Execution-Prevention-frequently-asked-questions
++
http://windows.microsoft.com/fr-FR/windows-vista/Change-Data-Execution-Prevention-settings
http://windows.microsoft.com/fr-FR/windows-vista/Data-Execution-Prevention-frequently-asked-questions
http://windows.microsoft.com/fr-FR/windows-vista/What-is-Data-Execution-Prevention
KB875351 :
Vous recevez un message d'erreur "Prévention de l'exécution des données"
KB875352 :
Description détaillée de la fonctionnalité Prévention de l'Exécution des Données
KB875352 :
A detailed description of the Data Execution Prevention (DEP) feature
KB886348 :
erreur Stop lorsqu'un pilote est incompatible avec la fonctionnalité PRÉVENTION
de l'exécution des données dans Windows XP Service Pack 2 ou Windows XP Édition
Tablet PC 2005
KB912923 : Comment faire pour déterminer que la prévention de
l'exécution des données par voie matérielle est disponible et configurée sur
votre ordinateur
KB971766 : Fixits pour activer ou désactiver DEP pour les
applications Office
MSDN : Boot
Parameters to Configure DEP and PAE +
/noexecute
MSDN : bcdedit /set
TECHNET :
Data Execution
Prevention
TECHNET :
Prévention de
l'exécution des données
BEX = Buffer Overflow Exception (dans un message d'erreur)
Sites, forums, blogs
http://en.wikipedia.org/wiki/Data_Execution_Prevention
http://www.micro-astuce.com/optimisation/DEP
Désactivation
partielle ou totale de la fonction DEP - Windows 7, Vista, XP par
micro-astuce
Paramétrer ou désactiver la Prévention d'Exécution des Données - Windows XP
par ccm (faq)
Désactiver totalement
la fonction DEP - Windows XP par
pcastuces
Témoignages, explications ...
Une option du logiciel de montage vidéo ferme le programme + prévention de
l'exécution des données
Windows explorer a cessé de fonctionner.
Explorer redémarre quand on clique droit sur Ordinateur, et Gérer.
En
deux temps :
1.
L'ordi a tendance à ramer et à la fermeture d'une application généralement par
la croix en haut à droite, il se bloque.
2.
J'ai des blocages un peu partout dont je n'arrive pas à trouver l'origine.
La prévention des données Windows a détecté qu'un module complémentaire essaie
d'utiliser la mémoire du système
Exemple de recherche sur social.answers (cocher pour inclure les résultats en
anglais)
Très souvent les redémarrages d'explorer suite à un clic droit sont causés par un logiciel qui est inscrit dans le menu contextuel. Il est intéressant de rechercher le programme en cause. Nirsoft nous offre une sérieuse aide avec son programme ShellExView. En voici un très joli témoignage, résolu en désactivant un programme de Sony : Un clic droit sur un exe fait redémarrer explorer..
Ne pas oublier que lorsqu'un problème apparaît, on peut essayer de revenir un point de restauration (ckoi, FAQ)
Il est également souvent fait mention du navigateur internet lors de problèmes. Les versions beta ne sont pas toujours assez stables. Penser également à surveiller les modules ajoutés. Penser au mode sans échec du navigateur ; si ça marche dans ce mode, la solution est certainement de désactiver un des modules.
Dans le cas qui suit on a la surprise de voir que c'est Firefox qui posait un problème général. Merci à Nicolas d'être revenu expliquer sa conclusion : Lorsque je fais un clic droit sur la corbeille pour la vider ou sur un fichier pour le supprimer ou le copier, explorer cesse de fonctionner.
Puisqu'on parle de navigateur et de protection de la mémoire, il existe dans les options internet une coche "Activer la protection mémoire pour continuer à atténuer les attaques en ligne"
Plus d'infos ici :
Protection de la
mémoire DEP/NX
Encore une fois, avant d'en arriver là, il vaudrait mieux
chercher si un module d'IE ne
serait pas en cause (KB956196).
Le bouton Réinitialiser IE a déjà résolu bien des cas.
Tester pour voir
en mode sans modules complémentaires avec le commutateur -extoff :
WIN+R,
iexplore -extoff
Créée le 28/10/2007
.jpg){kind=link}
