Trojan : wnslvxtf; eqvwamkl; wnslvxtf....

Question

Bonjour,

Je crains avoir des Trojans sur mon PC, car depuis quelques temps mon PC est devenue très très lent. Je vous copie une copie de mon Log Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:11:48, on 21/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\ProgramData\Prevx\pxbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: LastPass Browser Helper Object - {95D9ECF5-2A4D-4550-BE49-70D42F71296E} - C:\Program Files\LastPass\LPBar.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - (no file)
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: LastPass Toolbar - {9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5} - C:\Program Files\LastPass\LPBar.dll
O3 - Toolbar: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [DigidesignMMERefresh] D:\Digidesign\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\Windows\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RMTray.exe /H
O4 - HKCU\..\Run: [EPSON Stylus TX200 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEFL.EXE /FU "C:\Windows\TEMP\E_SF263.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\expsrv32.dll
O21 - SSODL: wnslvxtf - {55DC42B5-1BC6-45F7-BF65-E88FF17DF7B4} - (no file)
O21 - SSODL: eqvwamkl - {9FD69FF7-825D-44F3-9CB9-CBF2809DAD6C} - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - D:\Digidesign\Digidesign\Drivers\MMERefresh.exe
O23 - Service: digiSPTIService - Digidesign, A Division of Avid Technology, Inc. - D:\Digidesign\Digidesign\Pro Tools\digiSPTIService.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Update Service (gupdate1c9df9b423212ba) (gupdate1c9df9b423212ba) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: M-Audio Conectiv Installer (MAudioConectivService) - Avid Technology, Inc. - C:\Program Files\M-Audio\Conectiv\MAUSBCVInst.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PREVXAgent - Prevx - C:\Program Files\Prevx2\PXAgent.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: PXVistaSvc - Prevx Ltd. - C:\Program Files\Prevx2\PXVistaSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Nic00 · Answer

*edit*

Salut,

voilà ce que tu vas faire:

déjà vire un de tes 2 antivirus -->vire avast.

ensuite,

&#9654;Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) : 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

&#9654;Déconnecte-toi, ferme toute tes applications et désactive tes défenses ( anti-virus, anti-spyware,...) le temps de la manip !! 

&#9654;Installe le logiciel à la racine de C:\ ( et pas ailleurs! --->C\:SmitfraudFix.exe) . 

Tuto (aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php 

&#9654;Double clique sur SmitfraudFix.exe
&#9654; Double clique sur l'icône "Smitfraudfix.exe" , sélectionne 1 puis appuie sur la touche "Entrée".
&#9654;Patiente jusqu’à la fin de l’analyse de ton PC.
&#9654;Poste le rapport («rapport.txt" qui se trouve sous C\ :)

ericvvv · Answer

Bonjour merci pour ta réponse rapide.


J'ai déconnecté avast et fait ce que tu m'as demandé mais le programme me note C:\ Smitfraudfix\Getpaths.vbs WshShell ne peut pas ouvrir la clée du registre "Hkey_Local_Machine\softwzre\Microsoft\windows\CurrentVersion\Exploerer\Shell Folders\Common Favorites"


Sinon j'ai réussi à faire un scan en mode sans échec dont voici le log ci-dessous : 

SmitFraudFix v2.423

Scan done at 11:41:22,30, 23/07/2009
Run from C:\SmitfraudFix
OS: Microsoft Windows [Versi¢n 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\J‚r“me


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\JRME~1\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\J‚r“me\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\JRME~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\Windows\System32\expsrv32.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Je te remercie par avance des conseils que tu pourras me donner.

Nic00 · Answer

Ok. Il faut carrément que tu vires avast.
voici un utilitaire pour le désinstaller: https://www.avast.com/fr-fr/uninstall-utility

&#9654;Redémarre l'ordinateur en mode sans échec (tapote la touche F8 au démarrage de l’ordinateur)
&#9654;Double clique sur SmitfraudFix.exe
&#9654; Sélectionne 2 et appuie sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
&#9654; A la question: Voulez-vous nettoyer le registre ? réponds O (oui) et appuie sur Entrée afin de débloquer le fond d'écran et de supprimer les clés de registre de l'infection.
&#9654;Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et appuie sur Entrée pour remplacer le fichier corrompu.
&#9654; Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. 
&#9654; Le rapport se trouve à la racine du disque système C:\rapport.txt

ericvvv · Answer

Salut,

J'ai fait ce que tu m'as demandé à savoir :
- Virrer Avast (je n'ai donc plus d'Antivirus ...tu me suggeres de le réinstaller ou d'en choisir un autre ?)
- Le processus SmitfraudFix.exe  en mode sans échec dont tu pourras lire le rapport ci_dessous :

SmitFraudFix v2.423

Scan done at 12:18:54,55, 23/07/2009
Run from C:\SmitfraudFix
OS: Microsoft Windows [Versi¢n 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{557E266C-82B5-4468-9039-71E9F90FC5D3}: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Que dois-je faire maintenant ? Merci d'avance

Nic00 · Answer

je n'ai donc plus d'Antivirus
-->tu n'as pas spyware doctor ? Il est présent dans ton rapport donc tu l'as.

ericvvv · Answer

C'est un anti-spyware non un anti virus ?


Sinon, il y a sur Hijack toujours ces lignes suspectes :
O20 - AppInit_DLLs: C:\Windows\System32\expsrv32.dll
O21 - SSODL: wnslvxtf - {55DC42B5-1BC6-45F7-BF65-E88FF17DF7B4} - (no file)
O21 - SSODL: eqvwamkl - {9FD69FF7-825D-44F3-9CB9-CBF2809DAD6C} - (no file) 


Dois-je encore faire un autre processus ou déjà mon pc n'est plus infecté ?


Merci ?

Nic00 · Answer

Non, spyware doctor fais parti des anti-virus.

# Désinstalle le on va en mettre un bien meilleur à la place.

ll faut tout d’abord désactiver le logiciel en cliquant sur « Démarrer », puis choisir « Exécuter », Tape "service.msc" sera ouvert, faire un double-clic sur « service » et sélectionner « Pc Tools Spyware Doctor (SDhelper) », dans « type de démarrage », choisir « Désactiver » puis cliquer sur « Arrêter » puis sur OK ; une fois le logiciel désactivé, on procède alors à la désinstallation proprement dite, aller sur « Démarrer », choisir et « Panneau de configuration », sélectionner « Ajout/Suppression », désinstaller Spyware Doctor


# Maintenant on vire les traces restantes:

>> Télécharge CCleaner: 
http://download.piriform.com 

>Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour. 

> Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 

>Pour les autres paramètres, laisse-le avec ses réglages par défaut. 

> Puis dans le menu Nettoyeur 
> Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois) 
> Clique sur le bouton Lancer le nettoyage. 
> Clique une seconde fois sur le bouton Lancer le nettoyage 
> Fait de même pour le menu "Chercher des erreurs"
=>A faire régulièrement. 


# Télécharge et installe Antivir:
http://www.commentcamarche.net/telecharger/telecharger 55 antivir

Configure le de la manière suivante pour qu'il protège ton PC un maximum:

1.Une fois installé, ouvre la page centrale de démarrage.
2.Clique sur « configuration » (en haut à droite)
3.Clique sur la case « mode expert » (en haut à gauche)
4.Dans « fichiers », sélectionne « tous les fichiers »
Dans « Autres réglages » ; sélectionne toutes les cases sauf « Ignorer les fichiers hors lignes »
5.Clique sur le petit « + » a coté de scanner dans le menu à gauche.
6.Clique sur "recherche", puis « archives », et TOUT sélectionner.
7.Dans le menu à gauche, sous archives, clique sur « Heuristique ». Sélectionne tout, et
sélectionne « Haute détection »
8.Clique sur le petit « + » de « Guard »
9.Clique sur le petit « + » de "recherche".
10.Sélectionne l’option « contrôler a la lecture et a l’écriture » dans « Mode de recherche».
Sélectionne l’option « Tous les fichiers » dans « fichiers »
Sélectionne toutes les options dans « archives »
11.Clique sur le petit « + » dans « Généralités » dans le menu à gauche
12.Sélectionne « catégorie étendues »
13.Engage l’option « tout sélectionner »


Sinon, il y a sur Hijack toujours ces lignes suspectes :
O20 - AppInit_DLLs: C:\Windows\System32\expsrv32.dll
O21 - SSODL: wnslvxtf - {55DC42B5-1BC6-45F7-BF65-E88FF17DF7B4} - (no file)
O21 - SSODL: eqvwamkl - {9FD69FF7-825D-44F3-9CB9-CBF2809DAD6C} - (no file)

->on voit tout ça après que tu est fais les différentes étapes au-dessus.


Dois-je encore faire un autre processus ou déjà mon pc n'est plus infecté ?

ericvvv · Answer

Salut,

Antivir ne veut n'y s'installer en mode normal ou en mode sans echec.....L'insatallation reste toujours en cours de préparation.

Nic00 · Answer

Ok, y'a sans doute qulque chose qui coince. On va regarder...

&#9654; Télécharge random's system information tool (RSIT) 
http://images.malwareremoval.com/random/RSIT.exe
&#9654;Enregistre le sur ton Bureau
&#9654; Double clique sur RSIT.exe pour l’exécuter. 
&#9654; Clique sur "continue" à l'écran Disclaimer. 
&#9654; Une fois le scan terminé , 2 rapports vont apparaitre. 
&#9654; Poste les dans ton prochain message 
&#9654; Note : les rapports se trouvent aussi ici : ( log.txt & info.txt )
&#9654;Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

ericvvv · Answer

Salut,


Le rapport Log TXT :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Jérôme at 2009-07-23 15:45:45
Microsoft® Windows Vista™ Home Premium  Service Pack 1
System drive C: has 13 GB (25%) free of 54 GB
Total RAM: 3061 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:08, on 23/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\System32\M-AudioTaskBarIcon.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Registry Mechanic\RMTray.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Windows\System32undll32.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\JRME~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Jérôme\Desktop\avira_antivir_personal_free.exe
C:\Users\JRME~1\AppData\Local\Temp\RarSFX0\basic\presetup.exe
C:\Users\JRME~1\AppData\Local\Temp\RarSFX0\basic\vcredist_x86.exe
d:\484438282e730e2a19\install.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird	hunderbird.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Jérôme\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Jérôme.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\ProgramData\Prevx\pxbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: LastPass Browser Helper Object - {95D9ECF5-2A4D-4550-BE49-70D42F71296E} - C:\Program Files\LastPass\LPBar.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - (no file)
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: LastPass Toolbar - {9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5} - C:\Program Files\LastPass\LPBar.dll
O3 - Toolbar: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\Windows\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [DigidesignMMERefresh] D:\Digidesign\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RMTray.exe /H
O4 - HKCU\..\Run: [EPSON Stylus TX200 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEFL.EXE /FU "C:\Windows\TEMP\E_SF263.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\expsrv32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - D:\Digidesign\Digidesign\Drivers\MMERefresh.exe
O23 - Service: digiSPTIService - Digidesign, A Division of Avid Technology, Inc. - D:\Digidesign\Digidesign\Pro Tools\digiSPTIService.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Update Service (gupdate1c9df9b423212ba) (gupdate1c9df9b423212ba) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: M-Audio Conectiv Installer (MAudioConectivService) - Avid Technology, Inc. - C:\Program Files\M-Audio\Conectiv\MAUSBCVInst.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PREVXAgent - Prevx - C:\Program Files\Prevx2\PXAgent.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: PXVistaSvc - Prevx Ltd. - C:\Program Files\Prevx2\PXVistaSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Nic00 · Answer

Ah je comprends mieux... ▶Télécharge UsbFix (de C_XX & Chiquitine29) sur ton bureau: http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe ▶/!\ si tu as Vista, désactive l’UAC le temps de la désinfection : Panneau de configuration>comptes utilisateurs>activer/désactiver le contrôle des comptes utilisateurs>décoche la cas puis fais OK . ▶Lance l'installation avec les paramètres par défaut. ▶Branche tes sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir. ▶Double-clique sur le raccourci UsbFix sur le Bureau. (Sous Vista, il faut cliquer sur le raccourci UsbFix et choisis "Exécuter en tant qu'administrateur") *Choisis l'option 1 (Recherche). *Laisse travailler l'outil. *Poste le rapport. Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt). Usbfix va certainement te trouver des infections. Si tu sais analyser le rapport qu'il te fournira tu pourras passer à l'option 2 (suppression). Si non, ne prends pas de risques et attend demain matin. De toute façon il y aura encore d'autres étapes. A demain dans tous les cas. Bonne nuit.

ericvvv · Answer

Bonjour,


UsbFix n'a pas marché en mode normal mais seulement en mode échec, je te copie le log ci-dessous : 

############################## | UsbFix V6.010 |

User : Jérôme (Administradores) # JÉRÔ1
Update on 23/07/09 by Chiquitine29 & C_XX
Start at: 17:58:03 | 23/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft® Windows Vista™ Home Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]
AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
AV : Prevx 2.0 1.0.1.33 [ (!) Disabled | Updated ]
FW : Norton Internet Security[ (!) Disabled ]2007

C:\ -> Disco fijo local # 52,65 Go (13,1 Go free) [ACER] # NTFS
D:\ -> Disco fijo local # 52,31 Go (29,64 Go free) [DATA] # NTFS
E:\ -> Disco CD-ROM # 7,17 Go (0 Mo free) [elephorm] # CDFS
H:\ -> Disco fijo local # 76,69 Go (15,01 Go free) [Choclo] # NTFS
I:\ -> Disco fijo local # 465,76 Go (183,34 Go free) [Jérôme mule] # NTFS

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! E:\autorun.inf  

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\SYSTEM\CurrentControlSet\Services\FileZilla Server  
Présent ! HKLM\SYSTEM\ControlSet001\Services\FileZilla Server  
Présent ! HKLM\SYSTEM\ControlSet002\Services\FileZilla Server  
Présent ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{07f7e2f9-7a6f-11dc-a15d-0016d4ae587c}
shell\Auto\command =G:\AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{21489793-a1ab-11dc-b05d-0016d4ae587c}
shell\AutoRun\command =F:	yktjfww.exe 
shell\explore\Command =F:	yktjfww.exe 
shell\open\Command =F:	yktjfww.exe 

HKCU\..\..\Explorer\MountPoints2\{810eb15b-fe1e-11dd-809a-0016d4ae587c}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\bot.vbs

HKCU\..\..\Explorer\MountPoints2\{81af1061-cfa2-11dd-a9e2-0016d4ae587c}
shell\AutoRun\command =F:\Install\Setup.exe 

HKCU\..\..\Explorer\MountPoints2\{99471fa9-4007-11dc-b8c7-806e6f6e6963}
shell\AutoRun\command =E:\Formation.exe 

HKCU\..\..\Explorer\MountPoints2\{b4e5fd84-8be8-11dc-b835-0016d4ae587c}
shell\AutoRun\command =3o.exe 
shell\explore\Command =3o.exe 
shell\open\Command =3o.exe 

HKCU\..\..\Explorer\MountPoints2\{d23378eb-e965-11dd-b053-0016d4ae587c}
shell\AutoRun\command =F:\9.cmd 
shell\explore\Command =F:\9.cmd 
shell\open\Command =F:\9.cmd 

HKCU\..\..\Explorer\MountPoints2\{dc951181-f15c-11dc-9e9b-0016d4ae587c}
shell\AutoRun\command =F:\pa39xth.cmd 
shell\explore\Command =F:\pa39xth.cmd 
shell\open\Command =F:\pa39xth.cmd 

HKCU\..\..\Explorer\MountPoints2\{dc951192-f15c-11dc-9e9b-0016d4ae587c}
shell\AutoRun\command =F:\b.com 
shell\explore\Command =F:\b.com 
shell\open\Command =F:\b.com 

HKCU\..\..\Explorer\MountPoints2\{ead6ae53-00ca-11dd-af90-0019d22bf19e}
shell\AutoRun\command =F:\i.exe 
shell\explore\Command =F:\i.exe 
shell\open\Command =F:\i.exe 

HKCU\..\..\Explorer\MountPoints2\{efbe7c16-9765-11dc-bb0e-0016d4ae587c}
shell\AutoRun\command =I:\h6o0re.cmd 
shell\explore\Command =I:\h6o0re.cmd 
shell\open\Command =I:\h6o0re.cmd 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.010 ! |


J'ai aussi remarqué que CCleaner ne voulait pas effacer (en mode normal)  le fichier temp\logishrd\LPRcInJ01.dll...il reste bloqué...

Sinon, j'ai essayé d'installer Antivir en mode échec, ça n"a pas marché mais ça m'a noté comme message "Runtine Error, Program C This application has requested the reuntime to terminate it in an usual way" 


Merci par avance pour ton aide

Nic00 · Answer

Ok, on regarde ça après. Pour le moment:

 /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "Exécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note: Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt)

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller)

ericvvv · Answer

Bonjour, 


J'avais le processus que tu me dictes hier. 

Aujourd'hui j'ai essayé dans tous les modes mais cela ne fonctionne pas....En fait quand le PC redémarre UsbFix se lance mais reste de couleur blanche et ne réagit pas .....

Nic00 · Answer

Ok.

/!\Désactive l’UAC le temps de la désinfection :
Panneau de configuration >> comptes utilisateurs >> activer/désactiver le contrôle  des comptes utilisateurs >> décoche la cas puis fais OK 

Désactive aussi ton anti-virus et autre logiciels de protection tant que tu y es.

N'oublie pas de lancer usbFix en faisant clic-droit >> Exécuter en tant qu'administrateur.

Essaye comme ça et redis moi.

ericvvv · Answer

Hola,


J'ai fait ce que tu m'as dit mais lorsque le PC redémarre  la fenêtre UsbFix reste blanche et rien ne se passe
. Je colle le log avant le processus de suppression ? Ne devrais-je pas formater mon PC & si oui ? Quel conseil pourrais-tu me donner ?


############################## | UsbFix V6.010 |

User : Jérôme () # JÉRÔ1
Update on 23/07/09 by Chiquitine29 & C_XX
Start at: 10:32:32 | 24/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft® Windows Vista™ Home Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
AV : Prevx 2.0 1.0.1.33 [ (!) Disabled | Updated ]

C:\ -> Disco fijo local # 52,65 Go (10,48 Go free) [ACER] # NTFS
D:\ -> Disco fijo local # 52,31 Go (29,64 Go free) [DATA] # NTFS
E:\ -> Disco CD-ROM # 7,17 Go (0 Mo free) [elephorm] # CDFS
H:\ -> Disco fijo local # 76,69 Go (15,01 Go free) [Choclo] # NTFS
I:\ -> Disco fijo local # 465,76 Go (173,7 Go free) [Jérôme mule] # NTFS

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! E:\autorun.inf  

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\SYSTEM\CurrentControlSet\Services\FileZilla Server  
Présent ! HKLM\SYSTEM\ControlSet001\Services\FileZilla Server  
Présent ! HKLM\SYSTEM\ControlSet002\Services\FileZilla Server  
Présent ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{07f7e2f9-7a6f-11dc-a15d-0016d4ae587c}
shell\Auto\command =G:\AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{21489793-a1ab-11dc-b05d-0016d4ae587c}
shell\AutoRun\command =F:	yktjfww.exe 
shell\explore\Command =F:	yktjfww.exe 
shell\open\Command =F:	yktjfww.exe 

HKCU\..\..\Explorer\MountPoints2\{810eb15b-fe1e-11dd-809a-0016d4ae587c}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\bot.vbs

HKCU\..\..\Explorer\MountPoints2\{81af1061-cfa2-11dd-a9e2-0016d4ae587c}
shell\AutoRun\command =F:\Install\Setup.exe 

HKCU\..\..\Explorer\MountPoints2\{99471fa9-4007-11dc-b8c7-806e6f6e6963}
shell\AutoRun\command =E:\Formation.exe 

HKCU\..\..\Explorer\MountPoints2\{b4e5fd84-8be8-11dc-b835-0016d4ae587c}
shell\AutoRun\command =3o.exe 
shell\explore\Command =3o.exe 
shell\open\Command =3o.exe 

HKCU\..\..\Explorer\MountPoints2\{d23378eb-e965-11dd-b053-0016d4ae587c}
shell\AutoRun\command =F:\9.cmd 
shell\explore\Command =F:\9.cmd 
shell\open\Command =F:\9.cmd 

HKCU\..\..\Explorer\MountPoints2\{dc951181-f15c-11dc-9e9b-0016d4ae587c}
shell\AutoRun\command =F:\pa39xth.cmd 
shell\explore\Command =F:\pa39xth.cmd 
shell\open\Command =F:\pa39xth.cmd 

HKCU\..\..\Explorer\MountPoints2\{dc951192-f15c-11dc-9e9b-0016d4ae587c}
shell\AutoRun\command =F:\b.com 
shell\explore\Command =F:\b.com 
shell\open\Command =F:\b.com 

HKCU\..\..\Explorer\MountPoints2\{ead6ae53-00ca-11dd-af90-0019d22bf19e}
shell\AutoRun\command =F:\i.exe 
shell\explore\Command =F:\i.exe 
shell\open\Command =F:\i.exe 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.010 ! |

Nic00 · Answer

c'est l'option 1 que tu m'as refais là.
Il me faut la 2

ericvvv · Answer

Bonjour,

J'ai commencé à faire l'option 2 en mode sans echec et normal en temps qu'admidnistrateur ça ne marche pas.

Ensuite j'ai recommencé à faire l'option 1 (qui a marché seulement en mode echec) et j'ai esayé l'option 2 qui ne marche pas.

Nic00 · Answer

Ok, on va tenter autrement:

Télécharge Flash Disinfector de SuBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

# Ignore toute alerte éventuelle de ton antivirus concernant Flash Disinfector.

# Branche tes disques amovibles (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

# Lance Flash Disinfector en double cliquant sur Flash_Disinfector.exe

# SURTOUT ne pas double-cliquer sur les disques amovibles dans le poste de travail !!!

# Ouvre le poste de travail

# Clique sur le menu Outils en haut à droite puis Options des dossiers

# Dans la nouvelle fenêtre, cliquez sur l'onglet Affichage en haut

# Coche dans la liste "Afficher les fichiers cachés"

# Décoche "Masquer les fichier protéger du système d'exploitation"

# tu vas recevoir un message qui dit que cela peut endommager le système, n'en tiens pas compte.

# Clique sur OK et ferme la fenêtre

# Ouvre de nouveau le poste de travail

# Pour chaque disque amovible (clé USB, disque dur externe, etc...) dans le poste de travail : fais un clic droit sur le disque amovible - surtout ne double-clique pas dessus.

# Choisis Ouvrir dans le menu déroulant.

# Cherche un fichier autorun.inf (ou Autorun.inf) et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs

# Si présents, supprime-le(s) en faisant un clic droit puis Supprimer.

# Répète l'opération sur tous les disques amovibles se trouvant dans le poste de travail.

# Ensuite vide la corbeille et redémarre ton PC.

Trojan : wnslvxtf; eqvwamkl; wnslvxtf....

19 réponses

Votre réponse

Discussions similaires

Newsletters