Autorun.inf, besoin d'aide.

Question

Salut a tous,

Voila, je suis infecter par Autorun.inf qui viens de mon DD externe... Ca doit venir du PC d'un ami. Bref.
J'ai besoin de votre aide pour le retirer! Je suis aller jeter un oeil sur le net, et au finale je prefere avoir quand meme affaire a quelqu'un de competent plutot que de tenter le tout pour le tout avec des logiciels.

Voici un rapport HijackThis:

P.S: Merci de votre aide!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:57, on 7/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "j:	homas\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4228914E-32D2-4CF3-9B23-D5FE502F1EB1}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c9f0f3414c2c00) (gupdate1c9f0f3414c2c00) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

Nic00 · Answer

Salut,

&#9654;Télécharge UsbFix (de C_XX & Chiquitine29) sur ton bureau:

http://sd-1.archive-host.com/membres/up/127028005715545653/U­sbFix.exe

&#9654;/!\   si tu as Vista, désactive l’UAC le temps de la désinfection :	
Panneau de configuration>comptes utilisateurs>activer/désactiver le contrôle  des comptes utilisateurs>décoche la cas puis fais OK .

&#9654;Lance l'installation avec les paramètres par défaut.                                                                                &#9654;Branche tes sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.                                                                                                                                                      &#9654;Double-clique sur le raccourci UsbFix sur le Bureau.
(Sous Vista, il faut cliquer sur le raccourci UsbFix et choisis "Exécuter en tant qu'administrateur") 
*Choisis l'option 1 (Recherche). 
*Laisse travailler l'outil. 
*Poste le rapport.

Note : 
Le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Nic00 · Answer

Le lien ne fonctionne pas, j'en cherche un autre...

Mortarius · Answer

Salut,

Je n'arrive pas a telecharger USB fix sur ton lien :/

J'hesite a le telecharger ailleurs... C'est que ce genre de liens sont souvent bourrer de mechancetes.
Tu pourrais m'en redonner un s'il te plait?

Mortarius · Answer

Oops, desole, j'avais pas vu ton message...

J'ai une connection en carton, et je suis tete en l'air ce soir ^^

Nic00 · Answer

Le logiciel a été fusionné avec FindyKill donc c'est normal...
 
Ne t'occupe pas de mon premier post.

&#9654;Télécharge FindyKill (par Chiquitine29) sur ton Bureau:
Prends le lien ici car j'ai des soucis pour le poster (il se brise): http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=31#790

Prends bien le nouveau, pas l'ancien ^^ Ne te trompes pas.

&#9654;Lance l'installation avec les paramètres par défaut. 
&#9654;Double-clique sur le raccourci FindyKill situé sur ton Bureau (Sous Vista : faire un clic droit sur le raccourci de FindyKill et choisir Exécuter en tant qu'administrateur). 
&#9654;Choisis F pour Français puis appuie sur Entrée. 
&#9654;Au menu principal, choisis l'option 1 (Recherche). 
&#9654;Enregistre le rapport FindyKill.txt sur ton Bureau une fois le scan terminé. 
&#9654;Poste le rapport stp.

Mortarius · Answer

Salut!

Desole pour hier, coupure de courant, j'habite en Inde, c'est tres tres frequent, surtout en ce moment...

Le gouvernement de l'etat du Karnataka (celui ou j'habite, y'as un gouvernement pour chaque etat (28 etats au totale) qui sont diriges par un gouvernement generale) a decide de faire des coupures de 10 a 12h par 24h parceque soi disant "On a pas assez d'electricite"... C'est surtout pour forcer les gens a accepter la construction d'une centrale nucleaire!!

Bref.

Meme pas eu le temps de dire que je devais couper.
Pis occuper toute la journee.

Encore desole!

Le lien que tu m'as passer fonctionne, mais le lien pour telecharger ne fonctionne pas... 
"http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe"

"Page Load Error" me dit firefox :/

Est-ce normale? Me suis-je trompe? C'est bien le 3eme lien du post de Chiquitine29?
Merci de ton aide encore une fois.

Nic00 · Answer

Il fonctionne très bien chez moi ce lien. Réessaye (avec Firefox - Internet Explorer).
Sinon prends le ici (en début de page): https://www.malekal.com/tutorial-findykill/

Mortarius · Answer

0.0 incroyable, meme avec IE je peux pas le telecharger, meme sur le lien de Malekal (qui est enfaite le meme...)

Je vais voir pour le DL avec mon autre PC et le transferer sur le PC infecte...
J'ai pas trop de temps, je suis au boulot la... :/

Nic00 · Answer

Oui mais /!\Attention/!\ le virus se transmet par support externe (Clé USB, DD externe, carte mémoire...) ^^

Mortarius · Answer

oui, c'est comme ca que je l'ai eu, le pc sur lequelle je compte dl findykill l'as filer a mon DD qui l'as mis sur mon PC...

Nic00 · Answer

Wahou compliquer ^^

Du coup tes 2 PC sont infectés alors ?!
Zap le virus sur tes 2 PC en suivant la démarche que je t'ai mise:

http://www.commentcamarche.net/forum/affich 13165990 autorun inf besoin d aide#5

=>Il faudra certainement passé à l'option 2 après mais je préfère d'abord être sur avec l'option 1...on est jamais trop prudent...

Mortarius · Answer

Yep.
Sinon j'ai l'ancien Findykill... Mais bon, y'as pas USBfix dedans quoi...

merci encore.

Nic00 · Answer

Non ça ne servira à rien.

Mortarius · Answer

Okkkk... je viens d'accéder au second PC. (celui d'où me viens l'infection). meme probleme, impossible de telecharger Findykill. Mais en plus de cela, sur l'autre PC, le mien, les 3 quarts des sites webs sont inaccessible, comme si il filtrais les accés... ca peut venir de mon modem, mais il est possible que ca vienne du virus... je vais checker un autre lien pour findykill.

Dsl de tout ce temps avant de répondre, mais répondre pour dire "je ne peux toujours pas accéder a l'autre PC" aurais été inutile :)

Mortarius · Answer

V'la que je refait un scan et n'as pus de virus, meme avec l'ancien Findykill... o.0

Je poste un rapport Hijackthis, tant que je peux acceder au net? Quoi que la, j'accede a bcp de sites je trouve, seul le lien de telechargement ne marche pas...

Nic00 · Answer

Lien Findykill: http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 
Oui reposte moi un nouveau Hijackthis stp.

Mortarius · Answer

Re,

Le lien ne marche pas, comme tout les autres, celui de Malekal etc etc... Comme si le site "sd-1.archive-host.com" etait bloquer... (Tout les liens sont de ce site... peut-etre qu'avec un autre...)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:35, on 7/25/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\V-Gear BEE\VBService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
J:\Thomas\World of Warcraft\WoW-3.0.2.9056-to-3.0.3.9183-frFR-downloader.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Blizzard Installer Bootstrap - 019694b7\Installer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MotiveReportAgent] "C:\Program Files\Common Files\Motive\McciBootStrapper.exe" /url="-APPKEY=Motive -WindowContext=ReportAgent -url=file://C:\Program Files\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Program Files\Common Files\Motive\MotiveBrowser.exe" /hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "j:	homas\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4228914E-32D2-4CF3-9B23-D5FE502F1EB1}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate1c9f0f3414c2c00) (gupdate1c9f0f3414c2c00) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe


End of file - 8004 bytes

Encore merci de ton aide. Bonne soiree.

Nic00 · Answer

# Télécharge DelLater :
https://diamondcs.com.au/

# Place le sur ton bureau ou dans le dossier Windows MAIS PAS AILLEURS!!
#Dézippe-le (clic droit > Extraire ici) 
# Ouvre le bloc-note (Démarrer / exécuter et tape notepad puis clic sur OK)
# Copie/colle le contenu du cadre ci-dessous :

dellater.exe C:\Windows\services.exe
dellater.exe C:\windows\system32\winkey.dll
dellater.exe C:\WINDOWS\system32\fservice.exe
dellater.exe C:\windows\system32\wininv.dll
dellater.exe C:\windows\system32\reginv.dll
dellater.exe C:\WINDOWS\ktd32.atm
dellater.exe C:\windows\system\sservice.exe

Une fois le contenu collé dans le bloc-note
Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom del.bat sur ton bureau.

Ouvre un nouveau bloc-note et copie/colle le contenu du cadre ci-dessous : 

Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]


# Une fois le contenu collé dans le bloc-note
# Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom fix.reg
# Désactive tous les logiciels de protection (antivirus, anti-spyware etc..) qui peuvent être installé sur ton ordinateur
# Double-clique sur fix.reg et accepte l'inscription des données.
# Télécharge et installe AVG Anti-Spyware:
 https://www.01net.com/telecharger/

# analyse ton pc avec.

# Démarre Windows en mode sans échec : tapotes la touche F8 au démarrage de ton pc.


>> Télécharge et installe Malawarebytes’Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

>> Laisse le se mettre automatiquement à jour. 
>>Une fois mis à jour, le programme va se lancer. Va dans l´onglet Paramètres, et coche la case : "Arreter internet explorer pendant la suppression".
>>Retourne ensuite sur l’onglet  Recherche
>> Choisis « Exécuter un examen complet » en cliquant dessus. 
>> Clique sur Rechercher 

>> Patiente jusqu’à la fin du scan…..une fenêtre s’ouvrira, clique alors sur OK 

>> Si MalwareByte's n'a rien détecté, clique sur Ok. Un rapport va apparaître ferme-le. 

>> Si MalwareByte's a détecté des infections, clique sur Afficher les résultats puis sur Supprimer la sélection 

>> Enregistre le rapport sur ton Bureau pour le trouver plus facilement.
>>  Poste ensuite ce rapport. 

Note : 
•	Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
•	Les rapports sont aussi rangé dans l onglet  rapport/log

Mortarius · Answer

Tu es sur de ce que tu fait?
Fservices.exe et services.exe sont des dossier necessaire a windows... Enfin necessaire. Disons partie integrante de windows... Je les ai supprimer alors que Avira me les avais detecte comme virus... Je suis aller jeter un oeil sur le net pour m'apercevoir que ce n'etait pas des virus, mais des fichiers souvent considerer comme des virus...

J'attends ta reponse pour faire ce que tu me dit de faire. On est jamais trop prudent, n'est-ce pas?

Nic00 · Answer

Bien sur, je suis sur de moi.

Ton infection se situe ici:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

-->c'est une infection Troj/Prorat-D/Backdoor.Prorat.15 qui est un trojan qui permet de prendre le contrôle à distance de ton ordinateur.

Mortarius · Answer

Ah ouai... Donc j'ai du m'gourer... Bein merci, j'vais faire ca desuite.

Mortarius · Answer

Deux ou trois choses... Je doit redemarrer le PC en mode sans echec et ensuite telecharger Malware? J'me vois mal aller sur le net en mode sans echec lol... Autant le telecharger et le mettre a jour avant de rentrer en mode sans echec et de faire un scan.

J'utilise pas IE, c'est important de le desactiver quand meme j'imagine?

Pour terminer, le lien pour telecharger AVG marche, mais le lien que le site me donne (http://download.avgfree.com/filedir/inst/avgas-setup-7.5.1.43.exe) me sort une page 404 not found... Tu aurais pas un autre lien, s'il te plait?

Merci. :)
Desole de t'embeter :)

Mortarius · Answer

Ce lien est-il bon? Le poids est le meme que le site 01net.

Ou sinon celui de CCM, mais le poids est beaucoup plus lourd, je suppose donc que celui de CCM est l'antivirus en lui meme et non pas seulement l'anti-spyware...

Qu'en pense tu?
Encore merci.

Nic00 · Answer

Ben oui c'est écrit, suffit de lire ^^

Ton premier lien est celui qu'il faut prendre.

Mortarius · Answer

Oui-da, je fait ca desuite. :) del.bat je le lance jamais parcontre?

Nic00 · Answer

Non pas besoin d'y toucher

Mortarius · Answer

J'ai lancer le .reg, maintenant j'analyse le systeme avec AVG. Des que finis je relance en mode S-E et je fait un scan malware que je viens de mettre a jour. J'en ai profiter pour decocher la case "arreter IE pendant la suppression"...

Merci encore!

Nic00 · Answer

Dac ;-)

Mortarius · Answer

C'est fait. Voila le rapport.

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2421
Windows 5.1.2600 Service Pack 2

7/26/2009 05:46:46
mbam-log-2009-07-26 (05-46-46).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 167815
Temps écoulé: 41 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)









Ce fut loooong... Pfiiiu... Suis aller dormir un coup lol j'ai +3h30 chez moi ^^

Eh bien... Je suis pas sur, mais je crois bien que c'est finis? J'attends ta reponse :)

Encore merci de ton aide!

Nic00 · Answer

Fais un scan en ligne avec Bitdefender:
http://www.bitdefender.fr/scan_fr/scan8/ie.html
 
et poste le rapport .

Mortarius · Answer

J'arrive pas :/ je crois que ma connection n'est pas assez rapide. Elle se deconnecte souvent de toute maniere, et il faut IE... J'utilise plus (+) Firefox, suis pas a jour avec IE... Un autre moyen ou je persevere?

Nic00 · Answer

Oui c'est vrai tu as la version 6.

Télécharge d'abord windows xp sp3 car tu as le sp2:
http://download.microsoft.com/download/c/3/e/c3ea9fa6-d8e6-4832-8795-06dd27be9bc9/WindowsXP-KB936929-SP3-x86-FRA.exe

Autorun.inf, besoin d'aide. - Page 2

Discussions similaires

Newsletters