Discussion:
Windows Updates malicieuses
(trop ancien pour répondre)
Robert
2010-04-14 08:56:43 UTC
Permalink
Bonjour,

Les faits nous montrent que certaines Windows Update de "sécurité" émises
par Microsoft sont beaucoup plus dangereuses que d'éventuels virus.
Lors d'une Windows update de fin mars, tous mes serveurs Windows Server 2003
où la mise à jour avait été acceptée bootent et rebootent sans fin. Ce sont
des serveurs de test mais leur réinstallation va prendre plus de 10 jours
;-(
Y-a t-il des anti-virus qui repèrent et désactivent ces Windows Updates
vérolées ?
Merci.
Herser
2010-04-14 09:27:07 UTC
Permalink
Post by Robert
Bonjour,
Les faits nous montrent que certaines Windows Update de "sécurité"
émises par Microsoft sont beaucoup plus dangereuses que d'éventuels
virus. Lors d'une Windows update de fin mars, tous mes serveurs Windows
Server 2003 où la mise à jour avait été acceptée bootent et rebootent
sans fin. Ce sont des serveurs de test mais leur réinstallation va
prendre plus de 10 jours ;-(
Y-a t-il des anti-virus qui repèrent et désactivent ces Windows
Updates vérolées ?
Merci.
Bonjour

Il est bien de partager
Il serait mieux de signaler quelle màj te pose problème sur Server 2003.
On pourra ainsi faire attention.

Une des mises à jour de février (KB977165) provoquait ainsi un reboot,
surtout sur XP.
Mais Server 2003 et Vista semblent avoir été aussi touchés :
http://www.extremepc.fr/actualite-3259-la-mise-a-jour-kb977165-empeche-le-demarrage-de-windows-xp.html

Il y a donc une astuce pour redémarrer en désinstallant la màj à partir de
la console de récupération
Donc en bootant sur le CD Server 2003.

Ce que ne dit pas l'article, c'est que ce bug n'est pas lié à Microsoft,
mais à un virus présent sur le PC
Un TDSS (Alureon) patche le fichier atapi.sys, provoquant ainsi une page
bleue et un redémarrage continu.

Il faut donc d'abord nettoyer le PC, mais ces virus de la famille TDSS sont
coriaces.On y arrive en suivant ce tuto :
http://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon
D'abord essayer TDSSKiller de Kasperski (lire préliminaires avant)

Tu disais : Y-a t-il des anti-virus qui repèrent et désactivent ces Windows
Updates vérolées ?
Fallait dire, dans le cas cité ici :
Y-a t-il des anti-virus qui repèrent et désactivent les virus qui plantent
Windows Update ?
Kaspersky, à jour, le fait.


Au plaisir de te lire

Herser
Robert
2010-04-14 12:34:19 UTC
Permalink
Post by Robert
Post by Robert
Bonjour,
Les faits nous montrent que certaines Windows Update de "sécurité"
émises par Microsoft sont beaucoup plus dangereuses que d'éventuels
virus. Lors d'une Windows update de fin mars, tous mes serveurs Windows
Server 2003 où la mise à jour avait été acceptée bootent et rebootent
sans fin. Ce sont des serveurs de test mais leur réinstallation va
prendre plus de 10 jours ;-(
Y-a t-il des anti-virus qui repèrent et désactivent ces Windows
Updates vérolées ?
Merci.
Bonjour
Il est bien de partager
Il serait mieux de signaler quelle màj te pose problème sur Server 2003.
On pourra ainsi faire attention.
Une des mises à jour de février (KB977165) provoquait ainsi un reboot,
surtout sur XP.
http://www.extremepc.fr/actualite-3259-la-mise-a-jour-kb977165-empeche-le-demarrage-de-windows-xp.html
Il y a donc une astuce pour redémarrer en désinstallant la màj à partir de
la console de récupération
Donc en bootant sur le CD Server 2003.
Ce que ne dit pas l'article, c'est que ce bug n'est pas lié à Microsoft,
mais à un virus présent sur le PC
Un TDSS (Alureon) patche le fichier atapi.sys, provoquant ainsi une page
bleue et un redémarrage continu.
Il faut donc d'abord nettoyer le PC, mais ces virus de la famille TDSS
http://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon
D'abord essayer TDSSKiller de Kasperski (lire préliminaires avant)
Tu disais : Y-a t-il des anti-virus qui repèrent et désactivent ces
Windows Updates vérolées ?
Y-a t-il des anti-virus qui repèrent et désactivent les virus qui plantent
Windows Update ?
Kaspersky, à jour, le fait.
Au plaisir de te lire
Herser
Bonjour Herser,

Je ne sais pas encore précisément quelle màj est incriminée dans ce problème
: je cherche et en ferai part lorsque j'aurai trouvé.
Par ailleurs j'ai essayé TDSSKiller de Kasperski : il ne détecte rien.

Robert
Robert
2010-04-14 15:59:20 UTC
Permalink
Bonsoir,

TDSSKiller de Kasperski n'a rien trouvé.
Maleware Bytes ne trouve rien non plus.
La Console de récupération ne récupère rien....
Quelque idée ?
Merci pour toute aide!
Post by Robert
Post by Robert
Bonjour,
Les faits nous montrent que certaines Windows Update de "sécurité"
émises par Microsoft sont beaucoup plus dangereuses que d'éventuels
virus. Lors d'une Windows update de fin mars, tous mes serveurs Windows
Server 2003 où la mise à jour avait été acceptée bootent et rebootent
sans fin. Ce sont des serveurs de test mais leur réinstallation va
prendre plus de 10 jours ;-(
Y-a t-il des anti-virus qui repèrent et désactivent ces Windows
Updates vérolées ?
Merci.
Bonjour
Il est bien de partager
Il serait mieux de signaler quelle màj te pose problème sur Server 2003.
On pourra ainsi faire attention.
Une des mises à jour de février (KB977165) provoquait ainsi un reboot,
surtout sur XP.
http://www.extremepc.fr/actualite-3259-la-mise-a-jour-kb977165-empeche-le-demarrage-de-windows-xp.html
Il y a donc une astuce pour redémarrer en désinstallant la màj à partir de
la console de récupération
Donc en bootant sur le CD Server 2003.
Ce que ne dit pas l'article, c'est que ce bug n'est pas lié à Microsoft,
mais à un virus présent sur le PC
Un TDSS (Alureon) patche le fichier atapi.sys, provoquant ainsi une page
bleue et un redémarrage continu.
Il faut donc d'abord nettoyer le PC, mais ces virus de la famille TDSS
http://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon
D'abord essayer TDSSKiller de Kasperski (lire préliminaires avant)
Tu disais : Y-a t-il des anti-virus qui repèrent et désactivent ces
Windows Updates vérolées ?
Y-a t-il des anti-virus qui repèrent et désactivent les virus qui plantent
Windows Update ?
Kaspersky, à jour, le fait.
Au plaisir de te lire
Herser
Robert
2010-04-14 17:15:20 UTC
Permalink
Bonsoir,

Y a t-il dans Windows Server 2003 des "Points de restauration" comme dans XP
?
Si oui, où les trouver et comment les utiliser ?
Nous avons désinstallé la KB977165 mais cela n'a rien amélioré.
Autres idées ?
Merci
Post by Robert
Post by Robert
Bonjour,
Les faits nous montrent que certaines Windows Update de "sécurité"
émises par Microsoft sont beaucoup plus dangereuses que d'éventuels
virus. Lors d'une Windows update de fin mars, tous mes serveurs Windows
Server 2003 où la mise à jour avait été acceptée bootent et rebootent
sans fin. Ce sont des serveurs de test mais leur réinstallation va
prendre plus de 10 jours ;-(
Y-a t-il des anti-virus qui repèrent et désactivent ces Windows
Updates vérolées ?
Merci.
Bonjour
Il est bien de partager
Il serait mieux de signaler quelle màj te pose problème sur Server 2003.
On pourra ainsi faire attention.
Une des mises à jour de février (KB977165) provoquait ainsi un reboot,
surtout sur XP.
http://www.extremepc.fr/actualite-3259-la-mise-a-jour-kb977165-empeche-le-demarrage-de-windows-xp.html
Il y a donc une astuce pour redémarrer en désinstallant la màj à partir de
la console de récupération
Donc en bootant sur le CD Server 2003.
Ce que ne dit pas l'article, c'est que ce bug n'est pas lié à Microsoft,
mais à un virus présent sur le PC
Un TDSS (Alureon) patche le fichier atapi.sys, provoquant ainsi une page
bleue et un redémarrage continu.
Il faut donc d'abord nettoyer le PC, mais ces virus de la famille TDSS
http://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon
D'abord essayer TDSSKiller de Kasperski (lire préliminaires avant)
Tu disais : Y-a t-il des anti-virus qui repèrent et désactivent ces
Windows Updates vérolées ?
Y-a t-il des anti-virus qui repèrent et désactivent les virus qui plantent
Windows Update ?
Kaspersky, à jour, le fait.
Au plaisir de te lire
Herser
Robert
2010-04-16 08:15:26 UTC
Permalink
Alors ? Y'a person qui son ?
olegna
2010-04-16 09:11:33 UTC
Permalink
Post by Robert
Alors ? Y'a person qui son ?
Que veux-tu que l'on réponde à une question aussi idiote que la tienne?
Les mises à jour de Windows Update ne peuvent pas être malveillantes!
--
/olegna/
/qui préfère utiliser le groupe sans communiquer son adresse email/
Robert
2010-04-16 14:14:17 UTC
Permalink
< ne peuvent pas être malveillantes ???>
???
Et la destruction de trois serveurs, ce n'est pas malveillant ?
Ce n'est pas la première fois que j'ai des pb après des Windows Updates,
mais pb relativement mineurs : par ex. telle appli ne fonctionne plus après
la mise à jour.
Mais là c'est très grave.
Aucun virus ni rootkit n'a été détecté par tous les anti malwares que j'ai
essayé.
Post by olegna
Post by Robert
Alors ? Y'a person qui son ?
Que veux-tu que l'on réponde à une question aussi idiote que la tienne?
Les mises à jour de Windows Update ne peuvent pas être malveillantes!
--
/olegna/
/qui préfère utiliser le groupe sans communiquer son adresse email/
Luc
2010-04-16 14:49:33 UTC
Permalink
Robert a écrit...
Post by Robert
< ne peuvent pas être malveillantes ???>
???
Et la destruction de trois serveurs, ce n'est pas malveillant ?
Puisque tu es persuadé que Windows Update propose des mises à jour
malveillantes , autrement dit qu'il s'agit de virus (tu parlais de "ces
Windows Updates vérolées" dans ton post initial), intente une action en
justice contre Microsoft car nous, ici, nous n'en pouvons mais.
--
Cordialement,

Luc Burnouf [MVP]
http://www.faqoe.com/
Robert
2010-04-16 15:29:00 UTC
Permalink
Bonjour Luc,

Je crains de n'avoir pas les moyens d'intenter une action en justice. ;-)
Mais si une mise à jour a le même effet qu'un virus, pourquoi ne pas
l'appeler par son nom ?
Cordialement,
Luc
2010-04-16 16:10:30 UTC
Permalink
Robert a écrit...
Post by Robert
Bonjour Luc,
Je crains de n'avoir pas les moyens d'intenter une action en justice. ;-)
Il ne faut pas te défiler, tu es sûr de gagner... enfin d'après tes
affirmations.
Post by Robert
Mais si une mise à jour a le même effet qu'un virus, pourquoi ne
pas l'appeler par son nom ?
Parce que si c'est vrai, ce n'est pas ici qu'il faut agir, c'est en justice
et si c'est faux, tes propos pourraient être considérés comme diffamatoires.

Mais c'est toi qui vois, hein ! Moi, personnellement, je m'en tamponne le
coquillard, juste que je ne vois pas ce que tu attends de ce groupe.

Pour ta gouverne, je n'ai jamais constaté quelque action malicieuse que ce
soit des mises à jour proposées par Windows Update et nous sommes quelques
centaines de millions dans ce cas.
Post by Robert
Cordialement,
--
Cordialement,

Luc Burnouf [MVP]
http://www.faqoe.com/
Th.A.C
2010-04-16 15:25:07 UTC
Permalink
< ne peuvent pas être malveillantes ???>
???
Et la destruction de trois serveurs, ce n'est pas malveillant ?
Ce n'est pas la première fois que j'ai des pb après des Windows Updates,
mais pb relativement mineurs : par ex. telle appli ne fonctionne plus après
la mise à jour.
Mais là c'est très grave.
Aucun virus ni rootkit n'a été détecté par tous les anti malwares que j'ai
essayé.
Est-ce que tu as au moins désactivé le reboot automatique sur erreur et
regardé ce que disait le blue screen?

As-tu essayé de déinstaller TOUTES les mises à jour de fin mars ou au
moins essayé d'isoler la coupable?

Sinon, les règles de base pour toute modification sur un serveur:
- sauvegarde à jour et procédure de remise en état testée...
- test de la modification sur une machine à part ou sur le serveur si on
peut le couper sans dommage pour le restaurer.
- Applications des patchs uniquement quand on est sur du résultat.

Pour enfoncer un peu le clou, on peu prendre le cas d'une mise à jour
d'un logiciel type base de donnée.
Si la mise à jour modifie la structure des bases et que ca se passe mal,
tu n'auras que tes sauvegardes pour t'en sortir.

Ok, ce sont des serveurs de test, mais 10 jours de perdu c'est énorme...
Robert
2010-04-17 08:13:40 UTC
Permalink
Bonjour Th.A.C.

Oui, j'ai fait "Désactiver le redémarrage automatique en cas d'échec
système":
Voici le message de l'écran bleu :
----------------------------------------------------
Un problème a été détecté et Windows a été arrête afin de prévenir tout
dommage sur votre ordinateur.
Si cet écran apparaît encore, suivez ces étapes :
Vérifiez que vous disposez de suffisamment d'espace disque. Si un pilote est
identifié dans le message d'arrêt, désactivez le pilote ou contactez le
fabricant. Essayez de remplacer la carte vidéo.
Obtenir une mise à jour du BIOS.
Désactiver les options de mémoire du BIOS telles que la mise en cache ou la
copie shadow.
Informations techniques :
*** STOP: 0x0000008E (0xC0000005, 0x00000020,0xF89A934,0x00000000)
-----------------------------------------------

J'ai vérifié la capacité des deux partitions de mon disque :
Disque C: (Partition Windows XP) :
Espace utilisé : 18.8 Go - Espace libre : 44.0 Go
Disque H: (Partition Windows Server 2003) :
Espace utilisé : 25.3 Go - Espace libre : 62.7 Go
Problème de drivers? Je n'ai installé aucun matériel récent, ni de
logiciel.... et il faut noter que cet écran bleu est apparu sur 3 serveurs
simultanément (1 serveur CD et 2 serveurs membre).
Désinstaller les mises à jour de fin mars : j'ai commencé, pour l'instant
cela n'a rien amélioré, mais je continue....
Sinon, les règles de base pour toute modification sur un serveur:...Ben oui,
je vais devoir les metttre en place consciencieusement.
Merci encore,
Post by Th.A.C
< ne peuvent pas être malveillantes ???>
???
Et la destruction de trois serveurs, ce n'est pas malveillant ?
Ce n'est pas la première fois que j'ai des pb après des Windows Updates,
mais pb relativement mineurs : par ex. telle appli ne fonctionne plus après
la mise à jour.
Mais là c'est très grave.
Aucun virus ni rootkit n'a été détecté par tous les anti malwares que j'ai
essayé.
Est-ce que tu as au moins désactivé le reboot automatique sur erreur et
regardé ce que disait le blue screen?
As-tu essayé de déinstaller TOUTES les mises à jour de fin mars ou au
moins essayé d'isoler la coupable?
- sauvegarde à jour et procédure de remise en état testée...
- test de la modification sur une machine à part ou sur le serveur si on
peut le couper sans dommage pour le restaurer.
- Applications des patchs uniquement quand on est sur du résultat.
Pour enfoncer un peu le clou, on peu prendre le cas d'une mise à jour d'un
logiciel type base de donnée.
Si la mise à jour modifie la structure des bases et que ca se passe mal,
tu n'auras que tes sauvegardes pour t'en sortir.
Ok, ce sont des serveurs de test, mais 10 jours de perdu c'est énorme...
Th.A.C
2010-04-17 14:04:22 UTC
Permalink
Post by Robert
Bonjour Th.A.C.
Oui, j'ai fait "Désactiver le redémarrage automatique en cas d'échec
----------------------------------------------------
Un problème a été détecté et Windows a été arrête afin de prévenir tout
dommage sur votre ordinateur.
Vérifiez que vous disposez de suffisamment d'espace disque. Si un pilote est
identifié dans le message d'arrêt, désactivez le pilote ou contactez le
fabricant. Essayez de remplacer la carte vidéo.
Obtenir une mise à jour du BIOS.
Désactiver les options de mémoire du BIOS telles que la mise en cache ou la
copie shadow.
*** STOP: 0x0000008E (0xC0000005, 0x00000020,0xF89A934,0x00000000)
-----------------------------------------------
il n'y a rien d'autre en dessous? un nom de driver (ntfs.sys, ...)

Questions subsidiaires:
- les serveurs de test sont dans la même pièce?
- isolé des autres (seuls dans la pièce)?
- ils ont planté en semaine ou au retour d'un we?
- as-tu tenté un chkdsk depuis la console de récupération?
Post by Robert
Sinon, les règles de base pour toute modification sur un serveur:...Ben oui,
je vais devoir les metttre en place consciencieusement.
rien de méchant dans mes propos, juste quelques mots pour bien mettre en
évidence certaines règles qu'on a tendance à oublier (moi le premier) :-)
Robert
2010-04-17 15:42:53 UTC
Permalink
Merci Th.A.C,

Réponses dans le texte

Robert
Post by Th.A.C
Post by Robert
Bonjour Th.A.C.
Oui, j'ai fait "Désactiver le redémarrage automatique en cas d'échec
----------------------------------------------------
Un problème a été détecté et Windows a été arrête afin de prévenir tout
dommage sur votre ordinateur.
Vérifiez que vous disposez de suffisamment d'espace disque. Si un pilote est
identifié dans le message d'arrêt, désactivez le pilote ou contactez le
fabricant. Essayez de remplacer la carte vidéo.
Obtenir une mise à jour du BIOS.
Désactiver les options de mémoire du BIOS telles que la mise en cache ou la
copie shadow.
*** STOP: 0x0000008E (0xC0000005, 0x00000020,0xF89A934,0x00000000)
-----------------------------------------------
il n'y a rien d'autre en dessous? un nom de driver (ntfs.sys, ...)
Non, il n'y a rien d'autre comme information technique : voir la copie
d'écran bleu (partie basse) sur ci-joint:
Loading Image...
Post by Th.A.C
- les serveurs de test sont dans la même pièce?
Réponse :Oui !
Post by Th.A.C
- isolé des autres (seuls dans la pièce)?
Réponse : Tous dans la même pièece, reliés en réseau. Mais isolés de tout
autre réseau entreprise.
Post by Th.A.C
- ils ont planté en semaine ou au retour d'un we?
Réponse : ils ont planté en milieu de semaine, au démarrage du matin (nous
les éteignons chaque nuit).
Post by Th.A.C
- as-tu tenté un chkdsk depuis la console de récupération?
Réponse : nous avons fait plusieurs chkdsk avec ou sans / F /R : rien
d'anormal
Post by Th.A.C
Post by Robert
Sinon, les règles de base pour toute modification sur un serveur:...Ben oui,
je vais devoir les metttre en place consciencieusement.
Réponse : Je vois que j'ai mis trois "t" à metttre en place... cela exprime
ma profonde conviction ;-)
Post by Th.A.C
rien de méchant dans mes propos, juste quelques mots pour bien mettre en
évidence certaines règles qu'on a tendance à oublier (moi le premier) :-)
Quelque soit le résultat final, merci d'avoir essayé...
Th.A.C
2010-04-17 15:56:55 UTC
Permalink
Post by Robert
Non, il n'y a rien d'autre comme information technique : voir la copie
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkt1XoCa.jpg
heu, il en manque beaucoup :-)

d'habitude, c'est une pleine page écran
Robert
2010-04-17 17:08:18 UTC
Permalink
Pardon, j'avais cru bien faire en faisant "léger" car l'autre partie de
l'écran n'apporte pas grand-chose comme info technique.
Mais la voilà:
Loading Image...
Post by Th.A.C
Post by Robert
Non, il n'y a rien d'autre comme information technique : voir la copie
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkt1XoCa.jpg
heu, il en manque beaucoup :-)
d'habitude, c'est une pleine page écran
Th.A.C
2010-04-17 19:00:32 UTC
Permalink
Post by Robert
Pardon, j'avais cru bien faire en faisant "léger" car l'autre partie de
l'écran n'apporte pas grand-chose comme info technique.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijZuEzOVe.jpg
Mince, effectivement il n'y a rien de plus, désolé...
Robert
2010-04-18 08:43:40 UTC
Permalink
Bonjour Th.A.C,

A titre indicatif, voici comment un certain Peter Foldes interprète cela :
Robert

You are not the first one to have the same issue with this W2K3 update. Your
Video
Cards driver is out of date on all of your 3 W2K3 machines
Here is the short answer for your Stop Error and reason for your continuous
reboots.

<STOP: 0x0000008E (0xC0000005, 0x00000020, 0xF789A834, 0x00000000)>
Translation of the above error that is generated
A kernel mode program generated an exception which the error handler didn't
catch.
These are nearly always hardware compatibility issues (which sometimes means
a
driver issue or a need for a BIOS upgrade).

Boot into Safe mode and remove (uninstall) the Update. Then make sure you
will have
the Updated driver for you Video Card before attempting to download and
install this
update again
--
Peter
Post by Th.A.C
Post by Robert
Pardon, j'avais cru bien faire en faisant "léger" car l'autre partie de
l'écran n'apporte pas grand-chose comme info technique.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijZuEzOVe.jpg
Mince, effectivement il n'y a rien de plus, désolé...
testeur
2010-04-17 17:05:47 UTC
Permalink
Moi je n'aurais pas attendu 3 jours.
Une "réparation" avec le CD original de Windows, c'est la seule solution quand on a pas pris soin de
faire une sauvegarde de type image disque.
il faudra réappliquer les mises à jours Microsoft (en évitant les dernières soupçonnées)

La réparation dure environ 30 Mn, mais en général ça remet tout d'aplomb (sauf panne matérielle
mémoire ou disque)

Olivier
Robert
2010-04-17 17:19:56 UTC
Permalink
Bonjour Olivier,

La réparation via la Console de récupération a bien été tentée sur un des
serveurs en question (qui sont tous en dual boot avec XP Pro)
La réparation a bien duré 30 mn, mais après la réparation, nous n'avions
plus accès ni à Win Server 2003 ni a XP Pro.
Donc pour ce serveur c'est une réinstall complète qui se profile...

Robert
Post by testeur
Moi je n'aurais pas attendu 3 jours.
Une "réparation" avec le CD original de Windows, c'est la seule solution
quand on a pas pris soin de faire une sauvegarde de type image disque.
il faudra réappliquer les mises à jours Microsoft (en évitant les
dernières soupçonnées)
La réparation dure environ 30 Mn, mais en général ça remet tout d'aplomb
(sauf panne matérielle mémoire ou disque)
Olivier
testeur
2010-04-17 17:39:07 UTC
Permalink
"La réparation via la Console de récupération a bien été tentée"
Je ne parle pas de la console de récupération, mais de l'option "Réparation" du CD d'installation.
Démarrer sur le CD
à la première question: répondre Installer
le programme va vous afficher les version de Windows détectées,
à la deuxième question répondre "Réparer"

comme c'est expliqué en détail là
http://www.informatruc.com/reparer_2.php

C'est le B.A BA de tout administrateur de réseau.

Olivier
Robert
2010-04-17 18:33:38 UTC
Permalink
<Vous cliquez donc sur Entrée et non sur R >
Merci,
J'ai appris quelque chose ce soir !
Mais je ne suis pas administrateur de réseau...
Après consultation de mon collègue, il me dit l'avoir fait *avant* la
console de réparation, sans succès.

Robert
Post by testeur
"La réparation via la Console de récupération a bien été tentée"
Je ne parle pas de la console de récupération, mais de l'option
"Réparation" du CD d'installation.
Démarrer sur le CD
à la première question: répondre Installer
le programme va vous afficher les version de Windows détectées,
à la deuxième question répondre "Réparer"
comme c'est expliqué en détail là
http://www.informatruc.com/reparer_2.php
C'est le B.A BA de tout administrateur de réseau.
Olivier
testeur
2010-04-17 19:00:06 UTC
Permalink
"Après consultation de mon collègue, il me dit l'avoir fait *avant* la
console de réparation, sans succès."

Sans mettre la parole de votre collègue en doute, je ne pense pas qu'il l'ai fait dans cet ordre,
car la console de récupération ne sert à rien après une "réparation" telle que je vous l'ai
proposée.
Le seul intérêt de la console de récupération est de :

- faire un chkdsk
- faire FIXMBR
- faire FIXBOOT
- éventuellement de désinstaller une mise à jour
il n'y a même pas d'éditeur de texte permettant de modifier boot.ini ou un fichier de paramètres.

S'il a vraiment fait une "réparation" (qui n'est ni plus ni moins qu'une complète réinstallation de
Windows sur lui même, sans suppression des données et programmes utilisateurs), qu'a t il constaté
en fin de l'opération ?

Olivier
Robert
2010-04-17 20:07:45 UTC
Permalink
Hum, après reflexion et concertation, il semble bien que vous vous ayez
raison quant à l'ordre des opérations.
Lors de l'usage de la console de récupération, seule la suppression de la
KB977165 fut réalisée (sa date semblant proche de celle de nos ennuis) mais
cela n'a rien amélioré.
Le problème subsistait après la "réparation".

Robert
Post by testeur
"Après consultation de mon collègue, il me dit l'avoir fait *avant* la
console de réparation, sans succès."
Sans mettre la parole de votre collègue en doute, je ne pense pas qu'il
l'ai fait dans cet ordre, car la console de récupération ne sert à rien
après une "réparation" telle que je vous l'ai proposée.
- faire un chkdsk
- faire FIXMBR
- faire FIXBOOT
- éventuellement de désinstaller une mise à jour
il n'y a même pas d'éditeur de texte permettant de modifier boot.ini ou un
fichier de paramètres.
S'il a vraiment fait une "réparation" (qui n'est ni plus ni moins qu'une
complète réinstallation de Windows sur lui même, sans suppression des
données et programmes utilisateurs), qu'a t il constaté en fin de
l'opération ?
Olivier
testeur
2010-04-17 21:07:38 UTC
Permalink
"Le problème subsistait après la "réparation".

La je suis surpris, car la "réparation" se passe en 2 phases :
1 - les fichiers d'installation sur copiés du CD vers le disque système (durée qq minutes)
2 - Le PC Reboote et la phase d'installation démarre
il est demandé la clé d'installation
puis les périphériques sont détectés et installés
puis ensuite les programmes et paramètres sont mis à jour
il faut confirmer les paramètres régionaux
A t il eu tout ce processus ?

A la fin de l'installation, le PC reboote et redémarre normalement

Nota : s'il y a un multiboot :
pendant l'installation, le timeout est mis à 1mn et le démarrage est mis par défaut sur le système
en cours de réparation.
puis tout est remis en l'état original à la fin de l'installation

Olivier
Robert
2010-04-17 21:25:50 UTC
Permalink
Post by testeur
"Le problème subsistait après la "réparation".
1 - les fichiers d'installation sur copiés du CD vers le disque système
(durée qq minutes)
2 - Le PC Reboote et la phase d'installation démarre
il est demandé la clé d'installation
puis les périphériques sont détectés et installés
puis ensuite les programmes et paramètres sont mis à jour
il faut confirmer les paramètres régionaux
A t il eu tout ce processus ?
Réponse : Oui (nous l'avons fait sur un seul serveur) Demain, si les grèves
de SNCF le permettent, nous referons toutes ces manips sur les deux autres
serveurs concernés, sous l'oeil d'un ingénieur système. Je vous tiens au
courant du résultat. Merci pour tout.
Post by testeur
A la fin de l'installation, le PC reboote et redémarre normalement
pendant l'installation, le timeout est mis à 1mn et le démarrage est mis
par défaut sur le système en cours de réparation.
puis tout est remis en l'état original à la fin de l'installation
Olivier
Robert
2010-04-19 20:59:41 UTC
Permalink
Bonsoir Olivier,

Hier dimanche un ingénieur système a travaillé toute la journée pour tester
les services qui pourraient être incriminés, les KB, les pilotes... sans
rien trouver.
Sur l'un des serveur j'avais de coté une image disque de la partion
incriminée (Image ACRONIS True Image Echo Server) que nous avons restaurée
et qui a fonctionné une demi-journée auhourdh'ui. Puis j'ai eu un plantage
suivi d'un redémarrage suivi d'un écran bleu....boot et reboot...
J'ai tenté une réparation et là j'ai bien fait :
- à la première question: répondre Installer
- le programme va vous afficher les version de Windows détectées,
- à la deuxième question répondre "Réparer"
Ce qui, comme sur le premier serveur où avait été tenté cette manip, a
détruit les *deux* partitions !
Je ne dis pas que cette manip est mauvaise en principe, mais là elle a un
effet déconcertant. Je ne sais plus quoi faire ni quelle question poser.
Une semaine de travail déjà perdue et ce n'est pas fini
Je suis dans la m....
Post by testeur
"La réparation via la Console de récupération a bien été tentée"
Je ne parle pas de la console de récupération, mais de l'option
"Réparation" du CD d'installation.
Démarrer sur le CD
à la première question: répondre Installer
le programme va vous afficher les version de Windows détectées,
à la deuxième question répondre "Réparer"
comme c'est expliqué en détail là
http://www.informatruc.com/reparer_2.php
C'est le B.A BA de tout administrateur de réseau.
Olivier
testeur
2010-04-19 21:42:30 UTC
Permalink
"Image ACRONIS True Image Echo Server) que nous avons restaurée
et qui a fonctionné une demi-journée aujourd'hui"

Si cette image a été faite avant application des mises à jour Microsoft, cela exonère donc
complètement ces mises à jour.

"redémarrage suivi d'un écran bleu....boot et reboot..".
La première chose à faire quand un système re-fonctionne c'est de supprimer le redémarrage
automatique.
Propriétés système
Avancées
Démarrage et récupération
décocher Redémarrer automatiquement

Sinon, on peut normalement le faire dans la séquence de boot en appuyant sur F8 pour afficher le
panneau options de démarrage.
Est ce que le mode sans -échec fonctionne ?


"Ce qui, comme sur le premier serveur où avait été tenté cette manip, a
détruit les *deux* partitions"
Je ne pense pas que ce soit le cas, voir ma réponse précédente sur le multiboot,
simplement il faut être rapide pour afficher les options de boot
==> appuyer à répétition sur F8 pendant le démarrage de Windows

le fait que vous ayez le problème simultanément sur 3 serveurs me fait penser à une surtension
électrique qui aurait pu griller un composant (mémoire ?) sur les 3 machines.

Avez vous un CD du type UBCD4WIN, qui permet d'analyser le système de façon externe ?
http://www.ubcd4win.com/

Olivier
Robert
2010-04-20 07:19:34 UTC
Permalink
Post by testeur
"Image ACRONIS True Image Echo Server) que nous avons restaurée
et qui a fonctionné une demi-journée aujourd'hui"
Si cette image a été faite avant application des mises à jour Microsoft,
cela exonère donc complètement ces mises à jour.
Réponse : Elle a effectivement été faite plusieurs semaines avant la mise à
jour
Post by testeur
"redémarrage suivi d'un écran bleu....boot et reboot..".
La première chose à faire quand un système re-fonctionne c'est de
supprimer le redémarrage automatique.
Propriétés système
Avancées
Démarrage et récupération
décocher Redémarrer automatiquement
Réponse : J'ai fait cela et j'ai pris une photo de l'écran bleu pour avoir
le message d'erreur, mais c'est toujour le même, précédemment cité.
Post by testeur
Sinon, on peut normalement le faire dans la séquence de boot en appuyant
sur F8 pour afficher le panneau options de démarrage.
Est ce que le mode sans -échec fonctionne ?
Réponse : Oui, le mode sans échec fonctionne sur les partitions à problème
Post by testeur
"Ce qui, comme sur le premier serveur où avait été tenté cette manip, a
détruit les *deux* partitions"
Je ne pense pas que ce soit le cas, voir ma réponse précédente sur le multiboot,
simplement il faut être rapide pour afficher les options de boot
==> appuyer à répétition sur F8 pendant le démarrage de Windows
le fait que vous ayez le problème simultanément sur 3 serveurs me fait
penser à une surtension électrique qui aurait pu griller un composant
(mémoire ?) sur les 3 machines.
L'une des machines est un portable ASUS (dont l'alim est branchée sur le
secteur): est-ce qu'une surtension peut avoir de l'effet sur une telle
machine?
Mais il est vrai que le seul serveur qui a échappé au massacre est protégé
par un onduleur...
Post by testeur
Avez vous un CD du type UBCD4WIN, qui permet d'analyser le système de façon externe ?
http://www.ubcd4win.com/
Je n'ai pas mais je vais travailler cela.
Post by testeur
Olivier
Merci pour tes suggestions
Th.A.C
2010-04-19 23:08:55 UTC
Permalink
Post by Robert
Ce qui, comme sur le premier serveur où avait été tenté cette manip, a
détruit les *deux* partitions !
Normalement le mode réparation, une fois que le système a été trouvé,
ne touche pas au partitionnement et donc ne peut pas détruire les 2
partitions.

Ce qui arrive quelques fois, c'est que la partition n'est plus reconnue,
a priori un problème de signature (un code numérique à rallonge qui
permet d'identifier chaque partition sans ambiguité et de lui attribuer
toujours la même lettre de disque).

En général, dans le gestionnaire de disque, les partitions sont biens
visibles, mais windows les reconnaît bizarrement. Je ne me rappelle plus
si c'est format inconnu ou format raw ou ...

En général, je m'en sors en supprimant cette signature dans la base de
registre ce qui force windows a détecter la partition et lui réattribuer
une lettre.
Ou alors de facon plus 'bourrin' en faisant un fdisk/mbr depuis un cd de
boot win98, ce qui fait sauter la signature du disque et force également
windows à redétecter le disque et réattribuer également une lettre à
chaque partition du disque.

Sinon, as-tu tenté de redescendre une dernière fois la sauvegarde?
Post by Robert
Je ne dis pas que cette manip est mauvaise en principe, mais là elle a un
effet déconcertant. Je ne sais plus quoi faire ni quelle question poser.
Une semaine de travail déjà perdue et ce n'est pas fini
Je suis dans la m....
houps, je compatis sincèrement...

mais comme le dis testeur, ca sent le problème hard.

Une dernière question, les postes sont ils bien protégés (virus, ...)?
Robert
2010-04-20 07:10:42 UTC
Permalink
Bonjour Th.A.C.
Post by Robert
Ce qui, comme sur le premier serveur où avait été tenté cette manip, a
détruit les *deux* partitions !
Normalement le mode réparation, une fois que le système a été trouvé, ne
touche pas au partitionnement et donc ne peut pas détruire les 2
partitions.
Réponse : Là je pense avoir fait la manip posément, mais après je n'ai plus
qu'une seule partition (vide !) au lieu de deux. Elle fait la totalité de
l'espace disque.
Ce qui arrive quelques fois, c'est que la partition n'est plus reconnue, a
priori un problème de signature (un code numérique à rallonge qui permet
d'identifier chaque partition sans ambiguité et de lui attribuer toujours
la même lettre de disque).
En général, dans le gestionnaire de disque, les partitions sont biens
visibles, mais windows les reconnaît bizarrement. Je ne me rappelle plus
si c'est format inconnu ou format raw ou ...
En général, je m'en sors en supprimant cette signature dans la base de
registre ce qui force windows a détecter la partition et lui réattribuer
une lettre.
Ou alors de facon plus 'bourrin' en faisant un fdisk/mbr depuis un cd de
boot win98, ce qui fait sauter la signature du disque et force également
windows à redétecter le disque et réattribuer également une lettre à
chaque partition du disque.
Sinon, as-tu tenté de redescendre une dernière fois la sauvegarde?
Réponse : Je vais le refaire !
Post by Robert
Je ne dis pas que cette manip est mauvaise en principe, mais là elle a un
effet déconcertant. Je ne sais plus quoi faire ni quelle question poser.
Une semaine de travail déjà perdue et ce n'est pas fini
Je suis dans la m....
houps, je compatis sincèrement...
mais comme le dis testeur, ca sent le problème hard.
Une dernière question, les postes sont ils bien protégés (virus, ...)?
Réponse : J'ai une assistante qui est très férue de sécurité et qui met
régulièment à jour tous les anti virus, anti rot kit, anti machin.... De
plus nous sommes derrière une free Box qui, nous dit on, fait un peu office
de firewall.

Merci pour tes suggestions
testeur
2010-04-20 08:47:30 UTC
Permalink
"Là je pense avoir fait la manip posément, mais après je n'ai plus
qu'une seule partition (vide !) au lieu de deux. Elle fait la totalité de
l'espace disque"

Là je ne comprend vraiment pas !
J'ai fais cette opération au moins une cinquantaine de fois sur tous les systèmes depuis NT4, W2000,
XP, Vista et W7, sans aboutir à ce résultat.
Pour supprimer des partitions, il faut soit répondre explicitement "supprimer"., lors d'une
"Installation", soit utiliser un utilitaire partitionneur.
En plus je ne comprend pas comment la partition unique résultante peut être vide, si la phase "
réparation" c'est déroulée normalement jusqu'au bout, comme vous semblez le dire .

Si le mode sans échec fonctionnait, il fallait à partir de là faire des analyses complètes :
fichiers d'évènements
fichiers logs
chkdsk
désactivation d'un maximum de processus
désinstallation de drivers

Si vous avez toujours ce même message d'erreur STOP: 0x0000008E , apures restauration de l'image
Acronis, je pense que c'est quand même un problème hardware qui est survenu simultanément sur vos
trois machines.
Refaire un CHKDSK /F /R et si des erreurs sont signalées, le répéter plusieurs fois.
Et avec UBCD4WIN, faire un Memtest pour vérifier la mémoire.

Après je n'ai plus d'idée, sans avoir les machines sous la main.

Olivier
Robert
2010-04-20 17:27:57 UTC
Permalink
Olivier,

Autre aspect du problème : ce matin j'ai re-restauré une image disque
Acronis sur la partition Win Server 2003 du portable. Elle a bien fonctionné
pendant plusieurs heures, puis j'ai eu besoin de revenir à la partition XP.
Là ça marchait toujours, mais lorsque j'ai voulu revenir à la partition Win
Server : écran bleu, boot et reboot... Pourrait-il y avoir quelque chose de
pollué au niveau du secteur de boot, qui aurait échappé à tous les
anti-virus?
Je n'ai pas encore eu le temps de faire les tests que tu indiquais, en
particulier Memtest.
Post by testeur
"Là je pense avoir fait la manip posément, mais après je n'ai plus
qu'une seule partition (vide !) au lieu de deux. Elle fait la totalité de
l'espace disque"
Là je ne comprend vraiment pas !
J'ai fais cette opération au moins une cinquantaine de fois sur tous les
systèmes depuis NT4, W2000, XP, Vista et W7, sans aboutir à ce résultat.
Pour supprimer des partitions, il faut soit répondre explicitement
"supprimer"., lors d'une "Installation", soit utiliser un utilitaire
partitionneur.
En plus je ne comprend pas comment la partition unique résultante peut
être vide, si la phase " réparation" c'est déroulée normalement jusqu'au
bout, comme vous semblez le dire .
Si le mode sans échec fonctionnait, il fallait à partir de là faire des
fichiers d'évènements
fichiers logs
chkdsk
désactivation d'un maximum de processus
désinstallation de drivers
Si vous avez toujours ce même message d'erreur STOP: 0x0000008E , apures
restauration de l'image Acronis, je pense que c'est quand même un
problème hardware qui est survenu simultanément sur vos trois machines.
Refaire un CHKDSK /F /R et si des erreurs sont signalées, le répéter plusieurs fois.
Et avec UBCD4WIN, faire un Memtest pour vérifier la mémoire.
Après je n'ai plus d'idée, sans avoir les machines sous la main.
Olivier
testeur
2010-04-20 17:59:59 UTC
Permalink
"Pourrait-il y avoir quelque chose de pollué au niveau du secteur de boot, qui aurait échappé à tous
les anti-virus?"
Ce n'est pas au niveau du secteur de boot puisqu'on démarre, mais c'est la partition W7 qui est
vérollée quand on y accède à partir de XP.
Question : est ce que tous les disques sont bien en NTFS ?
(pour info j'ai eu un problème un peu semblable il y a quelques années, tout fonctionnait bien,
après reboot, toutes les partitions Fat32 étaient vérolées. Apres analyse longue et difficile j'ai
fini par isoler une barrette mémoire qui était la cause de ce problème : ça générait une erreur dans
la table des partitions FAT32, à la fermeture de Windows).

Olivier
Gérard Ducouret
2010-04-21 07:59:00 UTC
Permalink
Bonjour Olivier,

Toutes mes partitions sont en NTFS
Hier soir j'ai fait le test Memtest: sur le portable ASUS : zéro erreur!
Comment ce phénomène peut-il aparaître simultanément sur 3 machines ?
Les partitions XP ont été épargnées par le phénomène (sauf celle qui a
disparu aprè une tentative de réparation)
Et le phénomène se régénère après une restauration de la partition Win
Server 2003 à partir d'une image ACRONIS qui a bien fonctionné pendant
plusieurs heures...
Post by testeur
"Pourrait-il y avoir quelque chose de pollué au niveau du secteur de boot,
qui aurait échappé à tous les anti-virus?"
Ce n'est pas au niveau du secteur de boot puisqu'on démarre, mais c'est la
partition W7 qui est vérollée quand on y accède à partir de XP.
Question : est ce que tous les disques sont bien en NTFS ?
(pour info j'ai eu un problème un peu semblable il y a quelques années,
tout fonctionnait bien, après reboot, toutes les partitions Fat32 étaient
vérolées. Apres analyse longue et difficile j'ai fini par isoler une
barrette mémoire qui était la cause de ce problème : ça générait une
erreur dans la table des partitions FAT32, à la fermeture de Windows).
Olivier
Robert
2010-04-21 08:21:14 UTC
Permalink
Etant en panne, j'ai pris le PC de mon collègue pour répondre, d'où le
changement de nom qui peut intriguer.
Post by Robert
Bonjour Olivier,
Toutes mes partitions sont en NTFS
Hier soir j'ai fait le test Memtest: sur le portable ASUS : zéro erreur!
Comment ce phénomène peut-il aparaître simultanément sur 3 machines ?
Les partitions XP ont été épargnées par le phénomène (sauf celle qui a
disparu aprè une tentative de réparation)
Et le phénomène se régénère après une restauration de la partition Win
Server 2003 à partir d'une image ACRONIS qui a bien fonctionné pendant
plusieurs heures...
Post by testeur
"Pourrait-il y avoir quelque chose de pollué au niveau du secteur de
boot, qui aurait échappé à tous les anti-virus?"
Ce n'est pas au niveau du secteur de boot puisqu'on démarre, mais c'est
la partition W7 qui est vérollée quand on y accède à partir de XP.
Question : est ce que tous les disques sont bien en NTFS ?
(pour info j'ai eu un problème un peu semblable il y a quelques années,
tout fonctionnait bien, après reboot, toutes les partitions Fat32 étaient
vérolées. Apres analyse longue et difficile j'ai fini par isoler une
barrette mémoire qui était la cause de ce problème : ça générait une
erreur dans la table des partitions FAT32, à la fermeture de Windows).
Olivier
testeur
2010-04-21 08:52:41 UTC
Permalink
Il me vient tout d'un coup un doute :
Votre version de Serveur 2003 est bien une version officielle, dument activée, pas une version de
test, ou une release candidate ?
(on en trouvait sur le site de Microsoft Technet)
Parce qu'on a un phénomène équivalent avec la RC de WIN7 qui s'arrête brusquement (mais au bout de
2H) avec un stop du même style (0000009E je crois), mais Microsoft avait averti les utilisateurs.

Sinon je commence à être à court d'idées, et je passe la main à d'autres.

Olivier
Robert
2010-04-21 10:00:56 UTC
Permalink
Olivier,

Il s'agit bien d'une version officielle Windows Server 2003 Entreprise
Edition + SP2, dûment activée.
En tous cas, merci d'avoir essayé!

Robert
Post by testeur
Votre version de Serveur 2003 est bien une version officielle, dument
activée, pas une version de test, ou une release candidate ?
(on en trouvait sur le site de Microsoft Technet)
Parce qu'on a un phénomène équivalent avec la RC de WIN7 qui s'arrête
brusquement (mais au bout de 2H) avec un stop du même style (0000009E je
crois), mais Microsoft avait averti les utilisateurs.
Sinon je commence à être à court d'idées, et je passe la main à d'autres.
Olivier
Continuer la lecture sur narkive:
Loading...