Troj Gen Adv avec trend micro et Win planté - Page 2
Dernière réponse : dans Sécurité
bonjour,
Mon entreprise a également été touché par ce problème.
6 PC on été touchés. Pour 4 d'entre eux, j'ai simplement recopié explorer.exe et rpcss.dll a leur emplacements d'origine et c'est reparti.
Mais pour les deux autres, rien à faire:
- Aprés avoir recopié les deux fichiers, le bureau se relance, mais c'est très lent, trend micro ne se relance pas et peu de choses sont utilisables.
- Impossible de faire une restauration
- Impossible de désinstaller trend micro
- J'ai essayé de copier la dernière version du fichier lpr* dans le répertoire de trend micro en effaçant les autres, mais ça n'a pas marché non plus
là à part un formatage, je ne sais plus quoi faire
Mon entreprise a également été touché par ce problème.
6 PC on été touchés. Pour 4 d'entre eux, j'ai simplement recopié explorer.exe et rpcss.dll a leur emplacements d'origine et c'est reparti.
Mais pour les deux autres, rien à faire:
- Aprés avoir recopié les deux fichiers, le bureau se relance, mais c'est très lent, trend micro ne se relance pas et peu de choses sont utilisables.
- Impossible de faire une restauration
- Impossible de désinstaller trend micro
- J'ai essayé de copier la dernière version du fichier lpr* dans le répertoire de trend micro en effaçant les autres, mais ça n'a pas marché non plus
là à part un formatage, je ne sais plus quoi faire
Lassé par la pub ? Créez un compte
Mise à jour : http://lg2i.fr/trend/Patch_trend_V2.zip (14.7Mo)
Inclus :
- Intégration de la version 529 des MAJ de Trend (lpt$vpn.529)
- Mise à jour du batch avec :
del "C:\Program Files\Trend Micro\Internet Security\lpt*"
copy lpt$vpn.529 "C:\Program Files\Trend Micro\Internet Security"
Normalement avec cette mise à jour, ça devrait être mieu.
Je repars en clientèle, @+
Inclus :
- Intégration de la version 529 des MAJ de Trend (lpt$vpn.529)
- Mise à jour du batch avec :
del "C:\Program Files\Trend Micro\Internet Security\lpt*"
copy lpt$vpn.529 "C:\Program Files\Trend Micro\Internet Security"
Normalement avec cette mise à jour, ça devrait être mieu.
Je repars en clientèle, @+
Nous avons eu le même problème à grande échelle également,merci Trend Micro ! ![:fou:]( ":fou:")
Suppression d explorer.exe et rpcss.dll.![:pfff:]( ":pfff:")
il faut donc les réinjecter : attention selon le SP,c'est des versions différentes)
Au redemarrage, le service RPC ne se lance plus et donc forcement tout un tas de services derrière ....
cela proviens d une clé REG_EXPAND_SZ endommagée dans la base de registre
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCSS\Parameters\ServiceDLL qui n'a plus le chemin de la dll
il faut donc remettre %SystemRoot%\system32\rpcss.dll
Puis relancer tous les autres services...
Suppression d explorer.exe et rpcss.dll.
il faut donc les réinjecter : attention selon le SP,c'est des versions différentes)
Au redemarrage, le service RPC ne se lance plus et donc forcement tout un tas de services derrière ....
cela proviens d une clé REG_EXPAND_SZ endommagée dans la base de registre
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCSS\Parameters\ServiceDLL qui n'a plus le chemin de la dll
il faut donc remettre %SystemRoot%\system32\rpcss.dll
Puis relancer tous les autres services...
Trend Micro a sortit un correctif pour solutionner le problème de certains lancement de services RPC.
J'ai donc testé la chose sur les quelques PC qui me resistaient (2 sur 30 dépannés pour le moment), et ca marche !![;)]( ";)")
Je l'ai donc inclus dans une 3ème MAJ de mon Patch que vous pourrez trouver ici : http://lg2i.fr/trend/Patch_trend_V3.zip
(j'ai ajouté également la démarche à suivre dans le fichier "Procédure et infos complémentaires_V3.txt" à l'intérieur.
Par prudence, je recommande tout de même de faire une restauration, donc si ça ne se lance la première fois, retenter la manip. Une fois la base de registre modifiée, les services se relanceront correctement uniquement au 2ème Boot.
L'utilitaire de TrendMicro est accessible sur http://LG2i.fr/trend/RestoreTool.exe
Ou sur le site de l'Editeur :
ftp-download.trendmicro.com.ph/consumer/Tools/RestoreTool.exe
Ensuite on vous demande le login et mot de passe :
login : conftpuser
MDP : consumer-trend
Et pour les infos techniques de la démarche à suivre avec ce RestoreTool.exe, vous le trouverez sur http://LG2i.fr/trend/infoRT.txt
(je l'ai mis là afin de ne pas surcharger le forum).
PS : Je n'ai testé cette solution que sur des XP SP2, merci de me signaler la réaction sur du SP3 ou Vista !
J'ai donc testé la chose sur les quelques PC qui me resistaient (2 sur 30 dépannés pour le moment), et ca marche !
Je l'ai donc inclus dans une 3ème MAJ de mon Patch que vous pourrez trouver ici : http://lg2i.fr/trend/Patch_trend_V3.zip
(j'ai ajouté également la démarche à suivre dans le fichier "Procédure et infos complémentaires_V3.txt" à l'intérieur.
Par prudence, je recommande tout de même de faire une restauration, donc si ça ne se lance la première fois, retenter la manip. Une fois la base de registre modifiée, les services se relanceront correctement uniquement au 2ème Boot.
L'utilitaire de TrendMicro est accessible sur http://LG2i.fr/trend/RestoreTool.exe
Ou sur le site de l'Editeur :
ftp-download.trendmicro.com.ph/consumer/Tools/RestoreTool.exe
Ensuite on vous demande le login et mot de passe :
login : conftpuser
MDP : consumer-trend
Et pour les infos techniques de la démarche à suivre avec ce RestoreTool.exe, vous le trouverez sur http://LG2i.fr/trend/infoRT.txt
(je l'ai mis là afin de ne pas surcharger le forum).
PS : Je n'ai testé cette solution que sur des XP SP2, merci de me signaler la réaction sur du SP3 ou Vista !
Info amusante la veille du carnage :
http://www.distributique.com/actualites/lire-trend-micr...
En effet, ça décolle même dans les forums de dépannage !
http://www.distributique.com/actualites/lire-trend-micr...
En effet, ça décolle même dans les forums de dépannage !
lg2i a dit :
Mise à jour : http://lg2i.fr/trend/Patch_trend_V2.zip (14.7Mo)Inclus :
- Intégration de la version 529 des MAJ de Trend (lpt$vpn.529)
- Mise à jour du batch avec :
del "C:\Program Files\Trend Micro\Internet Security\lpt*"
copy lpt$vpn.529 "C:\Program Files\Trend Micro\Internet Security"
Normalement avec cette mise à jour, ça devrait être mieu.
Je repars en clientèle, @+
+++++++++++++++++
Pour ma part, cela n'a pas suffit.
il a fallut aussi réécrire ds la base de registre les services RPCSS et DCOMLAUCH.
je les ai pris sur un pc sain.
- à coller ds le bloc notes et enregistrer sous rpcss.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]
"Description"="Fournit le mappeur du point de sortie et divers services RPC."
"DisplayName"="Appel de procédure distante (RPC)"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,72,00,70,00,\
63,00,73,00,73,00,00,00
"ObjectName"="NT Authority\\NetworkService"
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
00,02,00,00,00,60,ea,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,70,00,63,00,73,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Security]
"Security"=hex:01,00,14,80,a8,00,00,00,b4,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,78,00,05,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,18,00,8d,00,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\
18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,21,02,00,00,01,01,00,\
00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Enum]
"0"="Root\\LEGACY_RPCSS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
- à coller ds le bloc notes et enregistrer sous dcomlauch.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DcomLaunch]
"Description"="Fournit la fonctionnalité de lancement des services DCOM."
"DisplayName"="Lanceur de processus serveur DCOM"
"ErrorControl"=dword:00000001
"Group"="Event Log"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,44,00,63,00,\
6f,00,6d,00,4c,00,61,00,75,00,6e,00,63,00,68,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
00,02,00,00,00,60,ea,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DcomLaunch\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,70,00,63,00,73,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DcomLaunch\Security]
"Security"=hex:01,00,14,80,b4,00,00,00,c0,00,00,00,14,00,00,00,34,00,00,00,02,\
00,20,00,01,00,00,00,02,80,18,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,20,02,00,00,02,00,80,00,05,00,00,00,00,03,18,00,8d,00,02,00,01,01,00,\
00,00,00,00,01,00,00,00,00,00,00,00,00,00,03,18,00,ff,01,0f,00,01,02,00,00,\
00,00,00,05,20,00,00,00,20,02,00,00,00,03,18,00,8f,00,02,00,01,02,00,00,00,\
00,00,05,20,00,00,00,23,02,00,00,00,03,18,00,9d,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,23,02,00,00,00,03,18,00,9d,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,21,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,\
00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DcomLaunch\Enum]
"0"="Root\\LEGACY_DCOMLAUNCH\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
-ensuite executer les 2 fichiers ci dessus et le tour est joué
tout redemarre normalement
Voici ma procedure qui été utilisée deja chez plus d'une dizaine de clients (avec adapteur USB) temps par machine 15Min sans resto system.
Première partie
Pour exécuter la première partie, procédez comme suit :
1. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM, puis redémarrez l'ordinateur.
2. Lorsque l'écran de bienvenue du programme d'installation s'affiche, appuyez sur la touche R pour démarrer la Console de
récupération.
3. Lorsque vous y êtes invité, tapez le mot de passe administrateur. Si le mot de passe administrateur est vide, appuyez
simplement sur ENTRÉE.
4. À l'invite de commandes de la Console de récupération, tapez les lignes suivantes en appuyant sur ENTRÉE après chaque
ligne :
d:\
cd I386\
copy EXPLORER.EX_ c:\windows\explorer.ex_
copy RPCSS.DL_ c:\windows\system32
c:\
cd c:\windows
expand explorer.ex_ explorer.exe
cd c:\windows\system32
expand RPCSS.DL_ RPCSS.DLL
cd c:\windows\system32\config
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default
5. Tapez exit pour quitter la Console de récupération. Votre ordinateur va redémarrer.
Deuxième partie
Pour exécuter la procédure décrite dans cette section, vous devez d'abord démarrer Windows XP en Mode sans échec et vous
devez avoir ouvert une session en tant qu'administrateur ou utilisateur disposant des droits d'un administrateur (un utilisateur
dont le compte figure dans le groupe Administrateurs).
Pour démarrer Windows XP en Mode sans échec, procédez comme suit :
1. Cliquez sur Démarrer, sur Arrêter (ou sur Arrêter l'ordinateur), sur Redémarrer, puis sur OK (ou sur Redémarrer).
2. Appuyez sur la touche F8.
3. Utilisez les touches de direction pour sélectionner l'option de Mode sans échec appropriée et appuyez sur ENTRÉE.
Dans cette deuxième partie, vous copiez les fichiers de Registre à partir de leur emplacement de sauvegarde, à l'aide de la
Restauration du système. Ce dossier n'est pas disponible dans la Console de récupération et n'est généralement pas visible en
mode d'utilisation classique. Avant de commencer cette procédure, vous devez modifier certains paramètres pour rendre le
dossier visible :
1. Démarrez l'Explorateur Windows.
2. Dans le menu Outils, cliquez sur Options des dossiers.
3. Cliquez sur l'onglet Affichage.
4. Sous Fichiers et dossiers cachés, activez Afficher les fichiers et dossiers cachés, puis désactivez la case à cocher Masquer les fichiers protégés du système d'exploitation ( recommandé), et Utiliser le partage de fichier simple (recommandé).
5. Cliquez sur Oui dans la boîte de dialogue qui s'affiche pour
vous inviter à confirmer votre choix d'affichage de ces fichiers.
6. Double-cliquez sur le lecteur où est installé Windows XP pour afficher la liste des dossiers. Il est important de sélectionner le lecteur approprié.
7. Ouvrez le dossier System Volume Information. Ce dossier n'est pas disponible et s'affiche estompé, car il est défini comme dossier doublement caché.
Remarque : Ce dossier contient un ou plusieurs dossiers _restore {GUID}, tels que :
« _restore{87BD3667-3246-476B-923FF86E30B3E7F8} ».
Remarque: Le message d'erreur suivant peut s'afficher : C:\System Volume Information n'est pas accessible. Accès refusé.
Si ce message s'affiche :
1. Cliquez avec le bouton droit sur le dossier System Volume
Information dans le dossier racine, puis cliquez sur Partage
et sécurité.
2. Cliquez sur l'onglet Sécurité.
3. Cliquez sur Ajouter, puis tapez le nom de l'utilisateur
auquel accorder l'accès au dossier. Sélectionnez
l'emplacement du compte si nécessaire (local ou sur le
domaine). Il s'agit généralement du compte avec lequel
vous avez ouvert la session. Cliquez sur OK, puis de
nouveau sur OK.
8. Ouvrez un dossier qui n'a pas été créé lors de cette procédure. Vous devrez peut-être cliquer sur l'option Détails du menu Affichage pour vérifier la date de création de ces dossiers. Ce dossier peut contenir un ou plusieurs dossiers commençant par « RPx ». Il s'agit de points de restauration.
9. Ouvrez l'un de ces dossiers , le plus récent avant le 05/09, pour rechercher un sous-dossier nommé Snapshot. Exemple de chemin d'accès au dossier
Snapshot :
C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RP162\Snapshot
10. À partir du dossier Snapshot, copiez les fichiers suivants dans le dossier C:\Windows\system32\config\Tmp :
• _REGISTRY_USER_.DEFAULT
• _REGISTRY_MACHINE_SECURITY
• _REGISTRY_MACHINE_SOFTWARE
• _REGISTRY_MACHINE_SYSTEM
• _REGISTRY_MACHINE_SAM
11. Renommez les fichiers du dossier C:\Windows\system32\config\Tmp comme suit :
• Renommez _REGISTRY_USER_.DEFAULT en DEFAULT
• Renommez _REGISTRY_MACHINE_SECURITY en SECURITY
• Renommez _REGISTRY_MACHINE_SOFTWARE en SOFTWARE
• Renommez _REGISTRY_MACHINE_SYSTEM en SYSTEM
• Renommez _REGISTRY_MACHINE_SAM en SAM
12. Supprimez les fichiers de signature Trend, pour cela se positionner dans le répertoire « c:\Program Files\Trend
Micro\Internet security\ »
• ssaptn.*
• lpt$vpn.*
Remarque : afficher les fichier par taille et ils apparaitront les uns a la suite des autres en haut ou bas de la fenêtre suivant le
l’affichage (Ces fichiers sont tous de taille supérieur a 15Mo)
Troisième partie
Dans la troisième partie, vous supprimez les fichiers du Registre existants, puis copiez les fichiers du Registre de Restauration
du système vers le dossier C:\Windows\System32\Config.
1. Démarrez la console de récupération ( Etape 1).
2. À l'invite de commandes, tapez les lignes suivantes en appuyant sur ENTRÉE à la fin de chaque ligne :
del c:\windows\system32\config\sam
del c:\windows\system32\config\security
del c:\windows\system32\config\software
del c:\windows\system32\config\default
del c:\windows\system32\config\system
copy c:\windows\ system32\config\tmp\software c:\windows\system32\config\software
copy c:\windows\ system32\config\tmp\system c:\windows\system32\config\system
copy c:\windows\ system32\config\tmp\sam c:\windows\system32\config\sam
copy c:\windows\ system32\config\tmp\security c:\windows\system32\config\security
copy c:\windows\ system32\config\tmp\default c:\windows\system32\config\default
3. Tapez exit pour quitter la Console de récupération. Votre ordinateur redémarre.
Remarque :Cette procédure part de l'hypothèse que Windows XP est installé dans le dossier C:\Windows. S'il s'agit d'un
emplacement différent, remplacez C:\Windows par le dossier_windows approprié.
Quatrième partie
Démarrer Windows XP en Mode normal,.
1. Cliquez sur Démarrer, puis sur Tous les programmes.
2. Cliquez sur Accessoires, puis sur Outils système.
3. Cliquez sur Restauration du système, puis sur Restaurer vers un point de restauration précédent.
Ou
6. Examiner les fichiers mis en quarantaine par Trend Micro de la façon suivante :
a. Cliquer sur Virus & Programmes Espions.
b. Cliquer sur Quarantine dans la fenêtre de droite.
c. Cliquer Examiner les Fichiers en quarantaines
d. Dans la fenêtre Mise en Quarantaine de Virus, sélectionner les fichiers qui doivent être
restauré puis cliquer sur Restorer.
Cette procédure peut être plus rapide en branchant le disque dur sur un adaptateur USB et en effectuant toutes les opération à partir d’une autre machine.
Première partie
Pour exécuter la première partie, procédez comme suit :
1. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM, puis redémarrez l'ordinateur.
2. Lorsque l'écran de bienvenue du programme d'installation s'affiche, appuyez sur la touche R pour démarrer la Console de
récupération.
3. Lorsque vous y êtes invité, tapez le mot de passe administrateur. Si le mot de passe administrateur est vide, appuyez
simplement sur ENTRÉE.
4. À l'invite de commandes de la Console de récupération, tapez les lignes suivantes en appuyant sur ENTRÉE après chaque
ligne :
d:\
cd I386\
copy EXPLORER.EX_ c:\windows\explorer.ex_
copy RPCSS.DL_ c:\windows\system32
c:\
cd c:\windows
expand explorer.ex_ explorer.exe
cd c:\windows\system32
expand RPCSS.DL_ RPCSS.DLL
cd c:\windows\system32\config
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default
5. Tapez exit pour quitter la Console de récupération. Votre ordinateur va redémarrer.
Deuxième partie
Pour exécuter la procédure décrite dans cette section, vous devez d'abord démarrer Windows XP en Mode sans échec et vous
devez avoir ouvert une session en tant qu'administrateur ou utilisateur disposant des droits d'un administrateur (un utilisateur
dont le compte figure dans le groupe Administrateurs).
Pour démarrer Windows XP en Mode sans échec, procédez comme suit :
1. Cliquez sur Démarrer, sur Arrêter (ou sur Arrêter l'ordinateur), sur Redémarrer, puis sur OK (ou sur Redémarrer).
2. Appuyez sur la touche F8.
3. Utilisez les touches de direction pour sélectionner l'option de Mode sans échec appropriée et appuyez sur ENTRÉE.
Dans cette deuxième partie, vous copiez les fichiers de Registre à partir de leur emplacement de sauvegarde, à l'aide de la
Restauration du système. Ce dossier n'est pas disponible dans la Console de récupération et n'est généralement pas visible en
mode d'utilisation classique. Avant de commencer cette procédure, vous devez modifier certains paramètres pour rendre le
dossier visible :
1. Démarrez l'Explorateur Windows.
2. Dans le menu Outils, cliquez sur Options des dossiers.
3. Cliquez sur l'onglet Affichage.
4. Sous Fichiers et dossiers cachés, activez Afficher les fichiers et dossiers cachés, puis désactivez la case à cocher Masquer les fichiers protégés du système d'exploitation ( recommandé), et Utiliser le partage de fichier simple (recommandé).
5. Cliquez sur Oui dans la boîte de dialogue qui s'affiche pour
vous inviter à confirmer votre choix d'affichage de ces fichiers.
6. Double-cliquez sur le lecteur où est installé Windows XP pour afficher la liste des dossiers. Il est important de sélectionner le lecteur approprié.
7. Ouvrez le dossier System Volume Information. Ce dossier n'est pas disponible et s'affiche estompé, car il est défini comme dossier doublement caché.
Remarque : Ce dossier contient un ou plusieurs dossiers _restore {GUID}, tels que :
« _restore{87BD3667-3246-476B-923FF86E30B3E7F8} ».
Remarque: Le message d'erreur suivant peut s'afficher : C:\System Volume Information n'est pas accessible. Accès refusé.
Si ce message s'affiche :
1. Cliquez avec le bouton droit sur le dossier System Volume
Information dans le dossier racine, puis cliquez sur Partage
et sécurité.
2. Cliquez sur l'onglet Sécurité.
3. Cliquez sur Ajouter, puis tapez le nom de l'utilisateur
auquel accorder l'accès au dossier. Sélectionnez
l'emplacement du compte si nécessaire (local ou sur le
domaine). Il s'agit généralement du compte avec lequel
vous avez ouvert la session. Cliquez sur OK, puis de
nouveau sur OK.
8. Ouvrez un dossier qui n'a pas été créé lors de cette procédure. Vous devrez peut-être cliquer sur l'option Détails du menu Affichage pour vérifier la date de création de ces dossiers. Ce dossier peut contenir un ou plusieurs dossiers commençant par « RPx ». Il s'agit de points de restauration.
9. Ouvrez l'un de ces dossiers , le plus récent avant le 05/09, pour rechercher un sous-dossier nommé Snapshot. Exemple de chemin d'accès au dossier
Snapshot :
C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RP162\Snapshot
10. À partir du dossier Snapshot, copiez les fichiers suivants dans le dossier C:\Windows\system32\config\Tmp :
• _REGISTRY_USER_.DEFAULT
• _REGISTRY_MACHINE_SECURITY
• _REGISTRY_MACHINE_SOFTWARE
• _REGISTRY_MACHINE_SYSTEM
• _REGISTRY_MACHINE_SAM
11. Renommez les fichiers du dossier C:\Windows\system32\config\Tmp comme suit :
• Renommez _REGISTRY_USER_.DEFAULT en DEFAULT
• Renommez _REGISTRY_MACHINE_SECURITY en SECURITY
• Renommez _REGISTRY_MACHINE_SOFTWARE en SOFTWARE
• Renommez _REGISTRY_MACHINE_SYSTEM en SYSTEM
• Renommez _REGISTRY_MACHINE_SAM en SAM
12. Supprimez les fichiers de signature Trend, pour cela se positionner dans le répertoire « c:\Program Files\Trend
Micro\Internet security\ »
• ssaptn.*
• lpt$vpn.*
Remarque : afficher les fichier par taille et ils apparaitront les uns a la suite des autres en haut ou bas de la fenêtre suivant le
l’affichage (Ces fichiers sont tous de taille supérieur a 15Mo)
Troisième partie
Dans la troisième partie, vous supprimez les fichiers du Registre existants, puis copiez les fichiers du Registre de Restauration
du système vers le dossier C:\Windows\System32\Config.
1. Démarrez la console de récupération ( Etape 1).
2. À l'invite de commandes, tapez les lignes suivantes en appuyant sur ENTRÉE à la fin de chaque ligne :
del c:\windows\system32\config\sam
del c:\windows\system32\config\security
del c:\windows\system32\config\software
del c:\windows\system32\config\default
del c:\windows\system32\config\system
copy c:\windows\ system32\config\tmp\software c:\windows\system32\config\software
copy c:\windows\ system32\config\tmp\system c:\windows\system32\config\system
copy c:\windows\ system32\config\tmp\sam c:\windows\system32\config\sam
copy c:\windows\ system32\config\tmp\security c:\windows\system32\config\security
copy c:\windows\ system32\config\tmp\default c:\windows\system32\config\default
3. Tapez exit pour quitter la Console de récupération. Votre ordinateur redémarre.
Remarque :Cette procédure part de l'hypothèse que Windows XP est installé dans le dossier C:\Windows. S'il s'agit d'un
emplacement différent, remplacez C:\Windows par le dossier_windows approprié.
Quatrième partie
Démarrer Windows XP en Mode normal,.
1. Cliquez sur Démarrer, puis sur Tous les programmes.
2. Cliquez sur Accessoires, puis sur Outils système.
3. Cliquez sur Restauration du système, puis sur Restaurer vers un point de restauration précédent.
Ou
6. Examiner les fichiers mis en quarantaine par Trend Micro de la façon suivante :
a. Cliquer sur Virus & Programmes Espions.
b. Cliquer sur Quarantine dans la fenêtre de droite.
c. Cliquer Examiner les Fichiers en quarantaines
d. Dans la fenêtre Mise en Quarantaine de Virus, sélectionner les fichiers qui doivent être
restauré puis cliquer sur Restorer.
Cette procédure peut être plus rapide en branchant le disque dur sur un adaptateur USB et en effectuant toutes les opération à partir d’une autre machine.
lg2i a dit :
Info amusante la veille du carnage : http://www.distributique.com/actualites/lire-trend-micr...
En effet, ça décolle même dans les forums de dépannage !
Mort de rire, excellent trouvaille ça...
PS : excellent boulot pour le batch (il va pas nous servir vu qu'on a déjà tout réparé à la mano mais pour ceux qui sont pas technique c'est super
)
Ayant encore affiné la chose suite aux cas que j'ai rencontrés chez mes clients, aux différentes remarques et différents forums, voici les améliorations de cette version par rapport au Patch_trend_V3.zip :
- kill de l'explorer qui lançait partiellement le bureau.
- Rétablissement des liens DCOM (causant soucis dans word, excel, ainsi que les installers en général)
- Mise à jour TrendMicro en version 5.33 (datant du 10.09.08).
- Redémarrage automatique après installation.
La restauration système est à faire manuellement une fois la machine relancée à une date antérieure au mercredi 3 septemble.
Vous pourrez trouver cette nouvelle version sur http://www.lg2i.fr/trend/Patch_trend_V4.zip
La procédure à suivre est dans le zip ainsi que tous les fichiers nécessaires.
- kill de l'explorer qui lançait partiellement le bureau.
- Rétablissement des liens DCOM (causant soucis dans word, excel, ainsi que les installers en général)
- Mise à jour TrendMicro en version 5.33 (datant du 10.09.08).
- Redémarrage automatique après installation.
La restauration système est à faire manuellement une fois la machine relancée à une date antérieure au mercredi 3 septemble.
Vous pourrez trouver cette nouvelle version sur http://www.lg2i.fr/trend/Patch_trend_V4.zip
La procédure à suivre est dans le zip ainsi que tous les fichiers nécessaires.
HE bien je peux dire un grang merci a lg2i car son fichier batch marche a merveille.
J'ai fait environs une petite dizaine de portable avec cette soluce et sa a fonctionner pour tout sauf 1.
Mes collègues qui eux s'occupent des desktops on utilisé le même et on aussi un très grand pourcentage de réussite.
C'est quand même grave que ce soit les internautes qui doivent pondre un solution eux même. A se demander ce qu'il glande chez Trend Micro.
Je vais leur sonner pour leur annoncer la nouvelles.
J'ai fait environs une petite dizaine de portable avec cette soluce et sa a fonctionner pour tout sauf 1.
Mes collègues qui eux s'occupent des desktops on utilisé le même et on aussi un très grand pourcentage de réussite.
C'est quand même grave que ce soit les internautes qui doivent pondre un solution eux même. A se demander ce qu'il glande chez Trend Micro.
Je vais leur sonner pour leur annoncer la nouvelles.
Heureux d'avoir pu rendre service.
Je travaille actuellement avec un confrère d'un autre forum afin de simuler un cash tel qu'il y en a eu vendredi dernier.
En fonction du résultat, une version 5 sortira peut-être afin de régler certains soucis qui actuellement ne sont peu perceptibles mais qui peuvent nuire au bon fonctionnement des applications.
Vu les retours que j'ai pu avoir sur ce patch (forum et e-mails), n'hésitez pas à communiquer le lien afin de dépanner d'autres utilisateurs coincés par ce problème.
Je travaille actuellement avec un confrère d'un autre forum afin de simuler un cash tel qu'il y en a eu vendredi dernier.
En fonction du résultat, une version 5 sortira peut-être afin de régler certains soucis qui actuellement ne sont peu perceptibles mais qui peuvent nuire au bon fonctionnement des applications.
Vu les retours que j'ai pu avoir sur ce patch (forum et e-mails), n'hésitez pas à communiquer le lien afin de dépanner d'autres utilisateurs coincés par ce problème.
sur quelques postes, j'ai eu des problèmes avec le COM+, donc j'ai ajouter un ".reg" pour réactiver correctement le service...
-------------- COM+ Reg ------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp]
"Type"=dword:00000010
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,6c,00,6c,\
00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2f,00,50,00,72,00,\
6f,00,63,00,65,00,73,00,73,00,69,00,64,00,3a,00,7b,00,30,00,32,00,44,00,34,\
00,42,00,33,00,46,00,31,00,2d,00,46,00,44,00,38,00,38,00,2d,00,31,00,31,00,\
44,00,31,00,2d,00,39,00,36,00,30,00,44,00,2d,00,30,00,30,00,38,00,30,00,35,\
00,46,00,43,00,37,00,39,00,32,00,33,00,35,00,7d,00,00,00
"DisplayName"="Application système COM+"
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Gère la configuration et le suivi des composants de base COM+ (Component Object Model) . Si le service est arrêté, la plupart des composants de base COM+ ne fonctionneront pas correctement. Si ce service est désactivé, les services qui en dépendent de manière explicite ne pourront pas démarrer."
"FailureActions"=hex:1e,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,57,00,53,\
00,01,00,00,00,e8,03,00,00,01,00,00,00,88,13,00,00,00,00,00,00,e8,03,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp\Enum]
"0"="Root\\LEGACY_COMSYSAPP\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
-------------- COM+ Reg ------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp]
"Type"=dword:00000010
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,6c,00,6c,\
00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2f,00,50,00,72,00,\
6f,00,63,00,65,00,73,00,73,00,69,00,64,00,3a,00,7b,00,30,00,32,00,44,00,34,\
00,42,00,33,00,46,00,31,00,2d,00,46,00,44,00,38,00,38,00,2d,00,31,00,31,00,\
44,00,31,00,2d,00,39,00,36,00,30,00,44,00,2d,00,30,00,30,00,38,00,30,00,35,\
00,46,00,43,00,37,00,39,00,32,00,33,00,35,00,7d,00,00,00
"DisplayName"="Application système COM+"
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Gère la configuration et le suivi des composants de base COM+ (Component Object Model) . Si le service est arrêté, la plupart des composants de base COM+ ne fonctionneront pas correctement. Si ce service est désactivé, les services qui en dépendent de manière explicite ne pourront pas démarrer."
"FailureActions"=hex:1e,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,57,00,53,\
00,01,00,00,00,e8,03,00,00,01,00,00,00,88,13,00,00,00,00,00,00,e8,03,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSysApp\Enum]
"0"="Root\\LEGACY_COMSYSAPP\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
2 postes que nous avions récupéré manuellement sont repartis en vrac après un scan (définition des virus à jour et base quarantaine vidée) alors que les 2 autres postes récupérés de la même manière n'ont pas eu ce soucis...
Bizarre...
On les a de nouveau réparé puis lancé un scan et ça semble bon...
Bizarre...
On les a de nouveau réparé puis lancé un scan et ça semble bon...
Salut à tous, je débute dans l'informatique, j'ai effectivement le même souci depuis quelques jours. J ai rencontré un technicien qui a dépanné une boite sur paris, ca marche. Je lui ai demandé le nom de la boite il m'a donné : GSD Info à lyon.
Je vais me renseigner pour avoir plus d'infos. Si vous avez d autres pistes je suis preneuse
Je vais me renseigner pour avoir plus d'infos. Si vous avez d autres pistes je suis preneuse
Nous remercions lg2i pour nous avoir sorti de cette catastrophe.
Notre entreprise était bloquée, et ce n'est que le 13 septembre avec le patch sur http://www.lg2i.fr/trend/Patch_trend_V4.zip que nous avons pu retrouver une situation normale.
Bravo! et encore merci.
Très cordialement.
Notre entreprise était bloquée, et ce n'est que le 13 septembre avec le patch sur http://www.lg2i.fr/trend/Patch_trend_V4.zip que nous avons pu retrouver une situation normale.
Bravo! et encore merci.
Très cordialement.
Bonsoir à vous tous
Je rallume la mèche , ayant le même soucis que tous le monde avec trend micro .
je n est pas peu m empêcher de joindre cette fameuse société GSd info .
Qui m a fait le plaisir de rallumer ma machine en 5 min top chrono.
Mais avec des dysfonctionnement sur mon système à différents niveaux (chose qui n existais pas avant ) toujours du à cette panne d antivirus .Donc par conséquent , j ai fait appel à cette société qui viens me rallumer la machine uniquement ..., et disparait dans l'heure , pour qu'ensuite il me revende un formatage et une réinstallation du système ...
car soit disant les soucis restant ne sont pas dans son contrat .
Je ne trouve pas ça très sérieux pour une société ... qui une fois le règlement réceptionné disparait..
Effectivement c est un profiteur
Ceci est mon avis , et n engage personnes d autres .
je partage l information histoire de ne pas se faire avoir .
Un Grand merci à LG2i qui au moins reste fidèle à des valeurs d entraides et de partages .
Je rallume la mèche , ayant le même soucis que tous le monde avec trend micro .
je n est pas peu m empêcher de joindre cette fameuse société GSd info .
Qui m a fait le plaisir de rallumer ma machine en 5 min top chrono.
Mais avec des dysfonctionnement sur mon système à différents niveaux (chose qui n existais pas avant ) toujours du à cette panne d antivirus .Donc par conséquent , j ai fait appel à cette société qui viens me rallumer la machine uniquement ..., et disparait dans l'heure , pour qu'ensuite il me revende un formatage et une réinstallation du système ...
car soit disant les soucis restant ne sont pas dans son contrat .
Je ne trouve pas ça très sérieux pour une société ... qui une fois le règlement réceptionné disparait..
Effectivement c est un profiteur
Ceci est mon avis , et n engage personnes d autres .
je partage l information histoire de ne pas se faire avoir .
Un Grand merci à LG2i qui au moins reste fidèle à des valeurs d entraides et de partages .
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumRapport de Trend Micro
- ForumTrend micro hijackthis v2 0 2
- ForumRapport Logfile of Trend Micro HijackThis v2.0.2
- ForumRapport Trend Micro HijackThis v2.0.2 [Résolu]
- ForumTrend Micro 2007 Exeptions
- ForumAide sur rapport Trend Micro HijackThis
- ForumLogfile of Trend Micro HijackThis v2.0.2
- Forumprobleme mise a jour trend micro pc cillin 2008
- Forumimpossible de supprimer trend micro
- Forumoublie mot de passe trend micro
- Voir plus
