RESOLU==>epsonsys.sys virus et ma log HIJACK qui va avec
Forum Sécurité - Virus : RESOLU==>epsonsys.sys virus et ma log HIJACK qui va avec
Bonjour cher (e) Sauveur,
Le virus epsonsys.sys a encore frappé chez moi cette fois-ci . D'apres ce que j'ai vu , il faut faire un log hijackthis.
Quelqu'un peut-il me dire quel est la ligne qui me pourrie la vie ? (Desolé jpm1951 et Bob_, je crois que j'ai posté mon premier message au mauvais endroit) . Comme je démarre en mode restreint, je n'ai plus internet sur mon pc, et c'est vraiment galère , surtout pour télécharger des anti-virus par exemple... . Sinon, sais-t-on comment on attrape cette cochonnerie ?
Logfile of HijackThis v1.99.1
Scan saved at 19:07:25, on 08/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mead.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Mead Corporation
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.mead.com/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [CW3DSound] CWB3DSnd.exe
O4 - HKLM\..\Run: [TpHotkey] C:\THINKPAD\tphkmgr.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\00xstmp.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mead.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = mead.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mead.com
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: printpnp - C:\WINNT\SYSTEM32\printpnp.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IreIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\IreIKE.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: LucentIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\LucentIKESvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
thanks a lot.
LaSan
Salut,
Il faut que tu vérifies quelque chose, car j'ai pas de Windows 2000 sous la main.
Va dans C:\WINNT\system32 et regarde si tu as un fichier nommé winlogon.exe avec une image de lune derrière une fenetre ?
Si tu as ce fichier, fais ceci :
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\00xstmp.exe
[/quote]
2) Supprime ces deux fichiers :
C:\WINNT\system32\00xstmp.exe
C:\WINNT\winlogon.exe -stealth
Si tu n'as pas ce fichier :
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\00xstmp.exe
[/quote]
2) Supprime ce fichier :
C:\WINNT\system32\00xstmp.exe
As tu encore des soucis ou pas ???
Désolée Omar, j’ai toujours le probleme epsonsys.sys . J’ai supprimé les 2 lignes. Winlogon étant chargé en mémoire, je l’ai supprimé via HJT reboot, et j’ai l’ai fixé à nouveau. Les 2 lignes n’apparaissent plus dans la log. Il reste 2 fichiers winlogin dans winnt\system32 et winnt\servicepackfiles\i386 (ceux avec fenetre à lune). J’imagine qu’ils ne sont pas chargés.
Que faire mainteant ?
Merci beaucoup
Salut,
Poste un nouveau log.
Omar, voici un nouveau Log. Comme mon pc n'a plus internet, je mets la log sur une disquette et je vais chez le voisin pour te l'envoyer d'où des temps de réponses un peu long. Quel galère ! Merci de m'aider.
Logfile of HijackThis v1.99.1
Scan saved at 21:02:26, on 14/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mead.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Mead Corporation
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.mead.com/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [CW3DSound] CWB3DSnd.exe
O4 - HKLM\..\Run: [TpHotkey] C:\THINKPAD\tphkmgr.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mead.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = mead.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mead.com
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: printpnp - C:\WINNT\SYSTEM32\printpnp.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IreIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\IreIKE.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: LucentIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\LucentIKESvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
Bonsoir,
fixe ces lignes :
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mead.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = mead.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mead.com
O20 - Winlogon Notify: printpnp - C:\WINNT\SYSTEM32\printpnp.dll
fais ceci :
Relance HijackThis
Clique sur le bouton Open the Misc Tools Section
Clique sur Delete a file on reboot...
Dans "Nom du fichier :" colle C:\WINNT\SYSTEM32\printpnp.dll puis clique sur Ouvrir
À la question "Voulez-vous redémarrer maintenant ?" clique sur Oui
Après redémarrage poste un nouveau rapport HJT.
Bah merde, comment je suis passé à coté de ce virus moi ? :-?
:-(
Bonjour les Garçons,
Je ne me jette pas par la fenêtre , ce n’est pas assez haut…
J’ai toujours ce message « le pilote \ ??\c:\winnt\system32\epsonsys.sys non trouvé » malgré vos recommandations.
D’ailleurs, j’ai remarqué qu’avant de fixer une ligne en mémoire genre printpnp.dll, il faut d’abord reboutter en activant sa suppression, puis la fixer ensuite.
Voici ma nouvelle log, si vous pouvez m’aider à nouveau ? (pour info, j’ai le pack office, lotus Notes, pour le reste…) . Merci d’avance pour votre aide
Logfile of HijackThis v1.99.1
Scan saved at 22:01:37, on 17/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mead.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Mead Corporation
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.mead.com/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [CW3DSound] CWB3DSnd.exe
O4 - HKLM\..\Run: [TpHotkey] C:\THINKPAD\tphkmgr.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IreIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\IreIKE.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: LucentIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\LucentIKESvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
Re: epsonsys.sys virus et ma log HIJACK qui va avec
Je crois que je n'ai pas répondu sur Esteban, voila qui est fait maintenant!
Donc, Bonjour
J'ai toujour le même probleme : J’ai toujours ce message « le pilote \ ??\c:\winnt\system32\epsonsys.sys non trouvé » malgré vos recommandations.
D’ailleurs, j’ai remarqué qu’avant de fixer une ligne en mémoire genre printpnp.dll, il faut d’abord reboutter en activant sa suppression, puis la fixer ensuite.
Voici ma nouvelle log, si vous pouvez m’aider à nouveau ? (pour info, j’ai le pack office, lotus Notes, pour le reste…) . Merci d’avance pour votre aide
Logfile of HijackThis v1.99.1
Scan saved at 22:01:37, on 17/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mead.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Mead Corporation
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.mead.com/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [CW3DSound] CWB3DSnd.exe
O4 - HKLM\..\Run: [TpHotkey] C:\THINKPAD\tphkmgr.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IreIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\IreIKE.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: LucentIKE - Unknown owner - C:\Apps\Lucent Technologies\SafeNet Soft-PK\LucentIKESvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
Essaie ceci :
Démarrer/Exécuter/ tape regedit puis Entrée
Dans la liste des services : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
cherche le service EPS Printer driver
puis clic droit sur ce service puis Supprimer et réponds OUI à la question de confirmation.
Cherche aussi dans
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
et
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
pour voir s'il y a ce service, et supprime-le si tu le trouves.
Enfin quitte Regedit.
Redémarre et dis-nous ce que ça donne.
Bonjour.
J'avais posté un message au sujet du fichier epsonsys.sys, il y a quelques jours.
Le problème a été résolu !
La solution pour le résoudre a consisté à supprimer les 2 entrées suivantes trouvées par Hijackthis :
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\System32\00xstmp.exe
Une fois que mobsync.exe a été viré, il a été facile d'effacer les fichiers epsonsys.sys et 00xstmp.exe,
qui re-apparaissaient à chaque lancement.
Je vous invite donc à virer mobsync.exe ...
Bonjour,
la ligne
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
est légitime, ainsi que le fichier C:\WINDOWS\System32\mobsync.exe
sources :
http://www.sysinfo.org/startuplist [...] obsync.exe
http://www.bleepingcomputer.com/startups/
Pour virer mobsync.exe, j'ai suivi la recommandation qu'Omar_Sharif avait donnée en réponse à un problème identique, posté sur ce forum le 23 Décembre.
Voir http://www.infos-du-net.com/forum/ [...] ys#1106664
La ligne en question était peut-être légitime ...
Tout ce que je peux dire, c'est que le problème est résolu et que Windows fonctionne normalement maintenant.
Cette ligne n'est en aucun cas liée à l'infection epsonsys.sys
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
par contre celle-ci semble être liée :
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\System32\00xstmp.exe
Bravo Esteban, dans le mille ! et merci Omar.
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ epson driver est supprimé et j'ai pu démarrer mon ordi ! Ouf.
Pour info , J'ai restauré x00stmp.exe et ça marche.
Par contre mon modem interne n'est plus reconnu (IBM think pad TP 600E) , je vais chercher pourquoi et si je ne trouve pas alors je vous demanderai peut-être une nouvelle aide.
MErci beaucoup, . Je vais fermer l'incident en RESOULU.
Merci JPM pour ta remarque ; Salut
Il y a 1770 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
