je suis sous mode sans echec help svp .sys
Forum Sécurité - Virus : je suis sous mode sans echec help svp .sys
Bonjour je connais pas grand chose en informatique je suis connecté en mode sans echec sous windows 2000 pro! depuis hier en mode normal impossible de démarrer normalement! le message suivant est =
impossible de charger le pilote
e:winnt\system32\epsonsys.sys!
avec un ecran bleu! je suis aller en mode sous echec dans le dossier system32 et j'ai trouver ce epsonsys.sys j'avais mis 1 h pour l'effacer avec 'Chaos Shredder v2.3 FR' j'avais réussi mais quand j'ai redémarrer en acceptant le profil 1 ! il est revenu et je suis obliger de demarrer en mode sans echec! j'ai pas de cd windows 2000! juste adsl haut debit! par contre ce fichier epsonsys.sys fait 0 octet ! comparer au autre .sys qui sont exemple de 37 ko etcc.. pourquoi celui la fait 0 octet? comment l'effacer? pour démarrer en mode normal? j'avais fait clik droit sur ce fichier et propriété et activer mode ecriture etcc.. mais depuis j'arrive plus! il existe bien un moyen de le delete sans cd windows? helpppp
bisous
voila un log avec hijacktis
an saved at 04:17:08, on 23/12/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\Explorer.exe
E:\Program Files\mozilla.org\Mozilla\mozilla.exe
E:\WINNT\System32\lsfnuqcurv.EXE
E:\WINNT\system32\drwtsn32.exe
E:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O1 - Hosts: 200.80.43.9 aquasonyc.sudnet.org
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - E:\WINNT\localNRD.dll
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - E:\WINNT\System32\qopol.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - E:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
O4 - HKLM\..\Run: [Client Server Runtime Process] E:\WINNT\System32\csrs.exe
O4 - HKLM\..\Run: [Printer Spooler] E:\WINNT\System32\ofzghaub.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] E:\WINNT\System32\algs.exe
O4 - HKLM\..\Run: [NeroFil] NeroFil.EXE
O4 - HKLM\..\Run: [Microsoft IIS] E:\WINNT\System32\00xstmp.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\Run: [elitemedia] E:\WINNT\elitemediapop.exe
O4 - HKLM\..\Run: [winsync] E:\WINNT\System32\pkqwrq.exe reg_run
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Windows Network Firewall] E:\WINNT\System32\firewall.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [MICROSFT ANTIVIRUS UPDATE SUPPORT] lsfnuqcurv.EXE
O4 - HKLM\..\Run: [Spooler SubSystem App] E:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [DRam prosessor] WindowsUpdate.exe
O4 - HKLM\..\Run: [Disk check] chkdisk32.exe
O4 - HKLM\..\Run: [hwdetect] E:\WINNT\System32\hwdetect.exe
O4 - HKLM\..\Run: [yahoo inc.] ypages.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] sanupdate.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [NeroFil] NeroFil.EXE
O4 - HKLM\..\RunServices: [AdobeReaderPro] chkdisk.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKLM\..\RunServices: [MICROSFT ANTIVIRUS UPDATE SUPPORT] lsfnuqcurv.EXE
O4 - HKLM\..\RunServices: [DRam prosessor] WindowsUpdate.exe
O4 - HKLM\..\RunServices: [Disk check] chkdisk32.exe
O4 - HKLM\..\RunServices: [yahoo inc.] ypages.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sanupdate.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunServices: [NeroFil] NeroFil.EXE
O8 - Extra context menu item: &NeoTrace It! - E:\PROGRA~1\NEOTRA~2\NTXcontext.htm
O8 - Extra context menu item: Web Rebates - file://E:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - E:\PROGRA~1\NEOTRA~2\NTXtoolbar.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/1 [...] comInt.cab
O20 - Winlogon Notify: printpnp - E:\WINNT\SYSTEM32\printpnp.dll
O20 - Winlogon Notify: qopol - E:\WINNT\SYSTEM32\qopol.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - E:\WINNT\MSmedia.exe
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - E:\WINNT\system32\syscntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - E:\WINNT\shost.exe
O23 - Service: windows setup manager (startup manager) - Unknown owner - E:\WINNT\startupmgr.exe
Salut,
Ton PC c'est un nid à merdes...
Y'a un grand ménage de printemps qui s'impose là !!
Fais bien tout ce que je te dis :
1) Redémarre l'ordinateur en mode sans échec.
1) Redémarre l'ordinateur
2) Après les écritures du BIOS, appuie sur la touche F8 (si F8 ne marche pas, appuie sur F5) pour arriver à un menu avec des écritures blanches sur un fond noir.
3) Dans ce menu, utilises les flèches de ton clavier pour naviguer et choisir le mode sans échec. Valide avec la touche Entrée.
4) Le démarrage en mode sans échec est long généralement. Tu vas avoir des écritures blanches bizarres, ne t'inquiète pas c'est normal. Prend ton mal en patience pour que ça démarre.
5) Si au bout d'un trop long temps (genre 5 minutes), ça n'a toujours pas redémarré, dis le, je t'expliquerais comment faire sans redémarrer en mode sans échec.
[/quote]
2) Relance HijackThis pour fixer des lignesDo a system scan only[/b] cette fois-ci.
Coche toutes les lignes que je t'indique, et appuie sur Fix Checked.
| Citation :
|
3) Affiche tous les fichiersPoste de Travail[/b], et fais ceci :
Outils -> Options des dossiers -> onglet Affichage
Il faut que la configuration de ces trois lignes soit comme ceci :
Afficher les fichiers cachés : Cochée
Masquer les extensions des types connus : Décochée
Masquer les fichiers protégés du système d'exploitation : Décochée
4) Supprime des servicesDémarrer -> Exécuter ->[/b] et tape services.msc
Tu auras alors la liste des services qui se lancent sur ta machine au démarrage.
Il ne faut pas toucher à ces services sans que l'on te dise quoi faire, tu pourrais nuire au bon fonctionnement de ton PC.
Dans la liste des services, trouve ces services :
MicroSoft Media Tools
Network Harware Detection (NetDDTC) (NetDDTC)
Service Hosts (ServiceHost)
windows setup manager (startup manager)
Pour chaque service, double-clique dessus.
Appuie sur le bouton Arrêter, et dans "Type de démarrage", choisi Désactivé.
5) Supprime des programmesAjout/Suppression de programmes[/b].
Trouve, et désinstalle les programmes suivants que tu ne trouveras pas forcément, si tu ne les trouves pas, tant pis :
Web Rebates
Zango Programs
6) Supprime des dossiersZango Programs\[/b]
E:\Program Files\Web_Rebates\
7) Supprime des fichierslocalNRD.dll[/b]
E:\WINNT\System32\csrs.exe
E:\WINNT\System32\ofzghaub.exe
E:\WINNT\System32\algs.exe
E:\WINNT\elitemediapop.exe
E:\WINNT\System32\pkqwrq.exe
E:\WINNT\System32\firewall.exe
E:\WINNT\System32\00xstmp.exe
E:\WINNT\System32\spoolsvc.exe
E:\WINNT\System32\hwdetect.exe
E:\WINNT\SYSTEM32\printpnp.dll
E:\WINNT\MSmedia.exe
E:\WINNT\system32\syscntrl.exe
E:\WINNT\shost.exe
E:\WINNT\startupmgr.exe
/!\ Attention, certains fichiers ont une écriture presque équivalente à certains fichiers de Windows !
Ne supprime que les fichiers avec l'écriture exacte, et le chemin exact !!
Si tu trouves d'autres fichiers portant le même nom dans d'autres répertoires, signale le moi ! /!\
NeroFil.EXE
ntsfd.exe
msnchecker.exe
lsfnuqcurv.EXE
WindowsUpdate.exe
chkdisk32.exe
ypages.exe
sanupdate.exe
scvhost.exe
chkdisk.exe
ntsfd.exe
chkdisk32.exe
[/b]
Généralement, ces fichiers sont situés dans C:\Windows ou C:\Windows\system32.
Si tu ne les trouves pas, fais une recherche avec Windows pour les trouver.
8) Redémarre normalement9) Remet la configuration de l'affichage comme avantMasquer les fichiers protégés du système d'exploitation[/b] décochée.
10) Fais un scan online avec KasperskyKaspersky Online Scanner[/b]
- Tu auras une pop-up qui s'ouvre avec quelques explications sur le scan online. Appuie sur Accept
- Si tu lances Kaspersky Online Scanner pour la première fois, il faudra accepter l'Active X.
- Kaspersky met à jour les définitions de virus, patiente...
Une fois que la mise à jour est finie.
- Clique sur Next
- Clique sur My Computer
- Le scan va alors se réaliser (attention, le scan risque d'être long)
- Une fois que le scan est fini, poste moi ton log
11) Reposter un log HijackThis[/color]
Peut-être que la première vague de suppression ne suffira pas, dans ce cas là, reposte un log HijackThis.
Hello merci je viens de tout ce que tu ma dit de faire jusqua la ligne 9! mais le site http://www.kaspersky.com/virusscanner
ne répond pas ! plutot page blanche meme avec internet explorer! site hs ou en panne! :-?
donc je suis bloqué ici! je vais essayer dans la journée
merci d'avance!
bisous
Salut,
Je viens d'essayer d'aller sur le site et ça marche.
Sinon, si ça ne marche pas :
http://www.pandasoftware.com/products/activescan.htm
Tu peux faire le scan chez Panda.
Puis après fais la suite :-)
Il y a 1933 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
