Erreur démarrage Fermé

Question

Bonjour, 



Configuration: Windows 7 / Firefox 30.0

J'ai actuellement un souci avec mon PC fixe, je vous envoie ce message de mon PC portable.

Après un bruit de ventilo dans mon PC je l'ai éteint, mis un coup d'air comprimé dans le PC, je n'ai absolument rien débranché ni touché, sauf le ventilo que j'ai démonté, nettoyé et refixé comme je l'ai fait des dizaines de fois.

Cependant, j'ai une erreur au démarrage, Windows ne se lance pas et je tombe sur la page de "Réparation du démarrage".

Je ne m'alarme pas je me dis simplement que l'ordi à eu un petit bug rien de grave j'ai déjà eu un crash minidump il y a un an et de multitude d'autres petits souci.

Sauf que cette fois-ci, l'outil de réparation de démarrage ne détecte aucune solution.

L'erreur serait sur le CLFS.SYS, un fichier que je connais, mais, cette erreur est sur le lecteur D !!!

J'ai donc un souci sur D:\CLFS.SYS, je pense donc que mon PC ne comprends plus qu'il faut démarrer sur le lecteur C

Ma théorie est appuyée par le fait que je n'ai aucune possibilité de faire une restauration fichiers (aucun point selon mon PC alors qu'il y en a).

En recherchant dans mon PC je trouve la configuration suivante.

- Un lecteur C: appelé "SYSTEM RESERVED", noté à 69,7Mo libre sur 99,9Mo mais sans rien dedans (ou que je ne puisse voir)
- Un lecteur D: appelé "ACER", qui était donc mon lecteur C: auparavant avec mes dossiers sans changement
- Un lecteur E: appelé "DATA", qui était donc mon lecteur D:, idem rien n'a changé.
- Un lecteur F: PQSERVICE, avec des fichiers de boot standards
- Un lecteur X: (WTF ???), avec des fichiers program fils de 2009 qui serait peut être le fichier d'installation windows.

Je ne suis pas novice en informatique, mais sur ce coup j'avoue ne pas avoir de solution claire pour résoudre mon souci étant donné que je n'en comprends pas vraiment la raison.


PS : je pense que la solution serait de sélectionner manuellement une image système dans mes lecteurs auxquels je peux accéder sans aucun souci

PSPS : Pour info j'ai fait un checkdisk, rien de rien.


Merci d'avance pour vos réponses.

tribun · Answer

Bonjour 
Mais le système est toujours sur C sur un pc.
Est ce que tu as apporté des modifications aux lettres des lecteurs ?
Changé de lettre.
Parce que C: avec SYSTEME RESERVED et 100 Mo ce n'est pas possible pour installer un système.

Utilisateur anonyme · Answer

Salut

- SYSTEM RESERVED" appelé ici C : c'est le lanceur de W7. Normal.
- Un lecteur D: appelé "ACER": C'est le système en lui-même.
- Un lecteur E: appelé "DATA": ce sont les données.
- Un lecteur F: PQSERVICE : partition recovery, interne au pc.
- Un lecteur X: ta clé usb ou ton DVD.

clfs.sys est un pilote de fichier journal de windows; voir ici

https://support.microsoft.com/fr-fr/help/946084

Tente un démarrage via F8 en mode sans échec, ou carrément depuis l'invite de commandes en mode sans échec, et tente ce qui est proposé ici (en remplaçant C par D):

http://www.ehow.com/how_12151499_fix-clfssys-software.html

Tu peux aussi essayer un point de restauration ou carrément un 

sfc /scannow

PS... le changement de lettre n'est pas déterminant... si tu as utilisé diskpart, celui-ci modifie fréquemment les lettres, mais ce n'est que provisoire et ça n'influe en rien sur le fonctionnement du système.

Linkmojo · Answer

Alors j'ai tenté le F8 au démarrage mais ça ne fonctionne pas je vais voir si tes conseils peuvent aider pépère a démarrer, merci beaucoup en tout cas.

Et concernant le scannow, ça me met le void suivant.

"Une réparation système en attente nécessite la fin du redémarrage. Redémarrez Windows et exécutez de nouveau sfc.

Linkmojo · Answer

Alors j'ai suivi tes instructions à la lettre et à la fin il me mets que je n'ai aucun point de restauration sur le lecteur système.

J'ai bien fait toutes les opérations sfc /SCANNOW, sfc /VERFYONLY, mais à chaque fois le même message, "une réparation système en attente nécessite la fin du redémarrage. Redémarrez Windows et exécutez de nouveau sfc."

Linkmojo · Answer

Je serais surpris d'avoir un virus car j'ai Kaspersky + anti Malware qui tourne environ une à deux fois par semaine.

Mais bon tout est possible j'ai lancé le scan j'éditerais pour mettre le résultat

Edit : Alors c'est très étrange, le check reste comme "bloqué" à 1050 enregistrements de fichiers sur 504576

Linkmojo · Answer

Bah l'examen continue, beaucoup de remplacement de clusters mais pas encore fini

Linkmojo · Answer

Oui pas bon signe mais l'ordi tourne et mes fichiers sont là. Le check est fini.

J'ai fait la manip "sfc /scannow offbootdir=d:\ /offwindir=d:\windows" ça me met le menu :

/Scannow
/Verifyonly
/Scanfile
/Verifyfile
/Offbootdir
/Offwindir

Avec des explications de chaque commande.*

Par contre toujours le même message disant que la réparation système est en attente et qu'il faut que je redémarre windows.

Linkmojo · Answer

Ok j'ai refait en recopiant la nouvelle ligne

Ca me dit :

"La protection des ressources windows a trouvé des fichiers endommagés, mais n'a pas réussi à tous les réparer. Des détails sont inclus dans le journal CBS.log windir\logs\CBS\CBS.log Par exemple C:\Windows\Logs\CBS\CBS.log

Linkmojo · Answer

J'ai pas relancé le démarrage au cas où tu aurais une autre ligne de code à me faire entrer, je retente le démarrage.



EDIT : La réparation du démarrage m'a remis la même chose mais j'ai redémarré et le PC s'est mis directement sur Windows. Je pense que ça doit être bon.

Je vais regarder le journal d'évènement pour en savoir plus.

Merci beaucoup à toi ikewdu, si t'es sur paris je te paye un coup !

Linkmojo · Answer

Désolé du double post mais je ne pouvais plus modifier le précédent.

Donc j'ai réussi à aller sur le bureau avec explorer.exe qui rebootait à l'infini, j'ai donc utilisé le gestionnaire des taches pour terminer l'arborescence de l'application et j'ai constaté que Kaspersky était corrompu. Je l'ai donc désinstallé puis je me suis connecté sur le site Kaspersky pour dl un Kaspersky tout neuf.

L'ordi est en train de redémarrer j'espère que cette fois j'arriverai directement sur windows sans avoir à faire 40 manips !!

En tout cas tu as eu le nez creux, c'était bien un virus en tout cas ça en a l'allure.

Linkmojo · Answer

Revirement de situation après avoir essayé de réinstaller Kaspersky, j'ai eu un message comme quoi l'installation était un échec et ils m'ont demandé d'installer un autre produit Kaspersky pour faire une détection anti-virus. J'ai donc accepté et là, écran bleu, et re-impossible d'accéder à Windows. 

J'ai essayé en mode sans échec avec prise en charge de réseau et en mode sans échec tout court mais windows ne redémarre plus alors que j'avais pourtant réussi à y aller et même à désinstaller Kaspersky.

Fausse joie le souci n'est pas encore résolu.


Erreur au démarrage RAVCpl64.exe :

"C:Windows\system32\WINSPOOL.DRV n'est pas conçu pour s'exécuter sous Windows ou il contient une erreur. Installer à nouveau le programme à l'aide du support d'installation d'origine ou bien contactez votre administrateur système ou le fournisseur de logiciel pour obtenir du support"

Linkmojo · Answer

Pas de CD et pas d'ordi qui peut graver donc je me bats avec mon PC pour accéder à ma clef usb mais je n'y arrive pas.

Linkmojo · Answer

Disk management :

[URL=http://www.hostingpics.net/viewer.php?id=974375DISKMANAGEMENT.png][IMG]http://img11.hostingpics.net/pics/974375DISKMANAGEMENT.png/IMG[/URL]

Linkmojo · Answer

Sinon Malwarebytes :


Vendor / Category / Item / Other
- Trojan.FakeAV / File / "X:\I386\System32\wzcsvc.dll" / Rien
- Trojan.FakeAV / Memory Module/ "X:\I386\System32\wzcsvc.dll" / Rien
- Malware.Packer.Gen / File / "X:\I386\System32\keybtray.exe" / Rien
- Malware.packer.Gen / Memory Process / "X:\I386\System32\keybtray.exe" / 1784
- Malware.packer.Gen / File / "X:\I386\System32\msxml2.dll" / Rien
- Malware.packer.Gen / File / "X:\I386\System32\vbscript.dll" / Rien
- Malware.packer.Gen / Registry Key / "HKCR\CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} / Rien
- Malware.packer.Gen / Registry Key / "HKCR\TypeLib\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} / Rien
- Malware.packer.Gen / Registry Key / "HKCR\Interface\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} / Rien
- Malware.packer.Gen / Registry Key / "HKCR\VBScript\RegExp / Rien
- Trojan.Patched / File / "X:\I386\System32\sfcfiles.dll / Rien
- PUM.Hijack.Help / Registry Data / "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerlNoSMHelp" / Bad: (1) Good: (0)
- Heuristics.Reserved.Word.Exploit / File / "B:\Temp\explorer.exe" / Rien

Je pense que ce dernier explique pourquoi mon explorer faisait n'importe quoi.

Cela recoupe également l'analyse de GMER.

Donc maintenant question, est-ce que je les remove via Malwarbytes où est-ce que je dois faire une autre manipulation pour les supprimer manuellement, par exemple en faisant un jump to location et lancer un autre programme de HIREN sur chaque élément ?

Linkmojo · Answer

Voici le malwarebytes

Linkmojo · Answer

Ainsi que les photos de mon Regback et du config

Linkmojo · Answer

Alors j'ai dl Resource Hacker 3.6.0.92 et j'ai pu constater que wzcsvc.dll, msxml2.dll, sfcfiles.dll et vbscript.dll sont bien corrompues.

J'ai dl les .dll d'orignie mais lorsque j'ai redémarré mon PC, les .dll corrompues avaient fait leur grand retour. Est-il possible de concerver les modifications faites sur les .dll même sur le mini xp ?

J'ai fait un test en modifiant la valeur d'un .dll comme indiqué sur le site pour voir si mon ordi à un virus qu'ils appellent global retag, mais apparemment je n'ai pas ce genre de virus, la modification est donc possible selon eux mais pas les .dll infectées évidemment ça serait trop beau.

Utilisateur anonyme · Answer

Salut,

Désolé de l'absence..... très occupé cette semaine: 

Essaie déjà après avoir passé malwarebytes. Sinon, il faudra recommencer. 

Quant à regback, les 5 fichiers sont datés du 17/06. Dans config, ils sont du 30/06. On peut donc essayer de remplacer les récents par les anciens. Tu retrouveras alors la base de registre comme elle était le 17 juin. Il faudra ensuite repasser malwarebytes et autres antivirus, car cette base de registre peut aussi être partiellement vérolée.

Linkmojo · Answer

Oula aucun souci tu m'aides et je t'en remerci totalement normal que tu sois pas à ma disposition ! Au contraire c'est à moi de m'excuser car je te prend beaucoup de ton temps !

Fichier renommé, ordi relancé ... F12, je reviens sur le pc avec le mini xp, malware, rien n'a changé exactement les mêmes erreurs y compris les erreurs de registre.

Je pense vraiment que la solution c'est d'y aller avec un modificateur de .dll avec un thermos de café.

Linkmojo · Answer

Alors on avance dans la blague. Maintenant windows à, de lui même, trouvé un fichier de réparation. Très bien l'ordi me demande de redémarrer car il n'arrive pas à installer les fichiers système, mais évidemment, il redémarre en boucle. 

Donc maintenant j'ai à nouveau le contrôle de mon clavier et de ma souris quand je démarre windows en mode normal ou sans échec, mais le souci c'est qu'il est "coincé" en pleine réinstallation certainement les trojan qui mettent le bazar.

Ouep ouep ouep.

C'est con y'a 4 ans on m'a proposé le même pc avec linux.

Cependant j'ai accès au boot menu et donc je peux toujours revenir sur mini xp pour essayer de faire qqch

PS ; malgré le passage de quasi tous les fichiers de HIREN, les trojans et leurs petits copains sont toujours là.





Ma question est donc la suivante, si je lance les fichiers HIREN depuis le boot et non pas depuis mini xp, est-il possible que les programmes parviennent à désinfecter correctment mon ordi ?

Merci d'avance