Helpassistant copie a chaque ouverture .....

Question

Bonjour,

J'ai constater depuis 2 semaines que quand j'ouvre Firefox ou IE lors de la première ouverture, un dossier Helpassistant se crée et copie mes documents and settings
Je suis obligé a chaque fois de supprimer le dossier

Quelqu'un pourrais t-il m'aider?

Merci d'avance

gen-hackman · Answer

salut :

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

youpi24 · Answer

Bonjour Gen-Hackman,

un dossier Helpassistant se crée et copie mes documents and settingsPourrait tu m'expliquer ce que c'est (un virus, un spyware... ça serait dû a quoi ?) et quelle erreur j'ai fait pour en arriver là ?

Merci de m'apporter ces réponses élémentaires.

youpi24 · Answer

Voici le rapport

Merci d'avance


############################## | UsbFix V6.095 |

User : Administrateur (Administrateurs) # PC2-MAXITEC
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 08:52:08 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 1500MHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (5,34 Go free) [Systeme] # NTFS
D:\ -> Disque fixe local # 17,76 Go (11,55 Go free) [Données] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,72 Go (3,65 Go free) [KINGSTON] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
D:\Logiciels\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\AutoCAD LT 2008\acadlt.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\AdskCleanup.0001
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\CronoSoft\Quick Hide Windows\qhw.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\autorun.inf -> fichier appelé : "C:\22yj2fy1.exe" ( Absent ! )  
C:\autorun.inf  
D:\autorun.inf -> fichier appelé : "D:\22yj2fy1.exe" ( Absent ! )  
D:\autorun.inf  
F:\autorun.inf -> fichier appelé : "F:\k1d.exe" ( Absent ! )  
F:\autorun.inf  

################## | Registre |

[HKCU\SOFTWARE\XML]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0d0593ed-295e-11dc-93e8-806d6172696f}
Shell\AutoRun\command =22yj2fy1.exe 
Shell\open\Command =22yj2fy1.exe 

HKCU\..\..\Explorer\MountPoints2\{0d0593ef-295e-11dc-93e8-806d6172696f}
Shell\AutoRun\command =22yj2fy1.exe 
Shell\open\Command =22yj2fy1.exe 

HKCU\..\..\Explorer\MountPoints2\{2b96eb28-eb4c-11dc-8a1b-00e04ce01d0b}
Shell\AutoRun\command =F:\1a1dndah.exe 
Shell\open\Command =F:\1a1dndah.exe 

HKCU\..\..\Explorer\MountPoints2\{a3151aa0-6218-11de-8b94-00e04ce01d0b}
Shell\AutoRun\command =F:\k1d.exe 
Shell\open\Command =F:\k1d.exe 

HKCU\..\..\Explorer\MountPoints2\{f738ad88-db3e-11dd-8b0d-00e04ce01d0b}
Shell\AutoRun\command =F:\qkm.exe 
Shell\open\Command =F:\qkm.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.095 ! |

gen-hackman · Answer

infection par port usb en y branchant un truc vérolé

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

youpi24 · Answer

############################## | UsbFix V6.095 |

User : Administrateur (Administrateurs) # PC2-MAXITEC
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:17:07 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 1500MHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (5,33 Go free) [Systeme] # NTFS
D:\ -> Disque fixe local # 17,76 Go (11,25 Go free) [Données] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,72 Go (3,65 Go free) [KINGSTON] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
D:\Logiciels\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\autorun.inf -> fichier appelé : "C:\22yj2fy1.exe" ( Absent ! )  
Supprimé ! C:\autorun.inf 
Supprimé ! C:\Recycler\S-1-5-21-436374069-73586283-682003330-500 
D:\autorun.inf -> fichier appelé : "D:\22yj2fy1.exe" ( Absent ! )  
Supprimé ! D:\autorun.inf 
Supprimé ! D:\Recycler\S-1-5-21-436374069-73586283-682003330-500 
F:\autorun.inf -> fichier appelé : "F:\k1d.exe" ( Absent ! )  
Supprimé ! F:\autorun.inf 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{2b96eb28-eb4c-11dc-8a1b-00e04ce01d0b}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f738ad88-db3e-11dd-8b0d-00e04ce01d0b}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[03/07/2007 11:33|--a------|0] C:\AUTOEXEC.BAT 
[03/07/2007 11:23|---hs----|212] C:\boot.ini 
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin 
[03/07/2007 11:33|--a------|0] C:\CONFIG.SYS 
[07/07/2008 13:17|--ah-----|5706] C:\ffastun.ffa 
[07/07/2008 13:17|--ah-----|1073152] C:\ffastun.ffl 
[07/07/2008 13:17|--ah-----|352256] C:\ffastun.ffo 
[07/07/2008 13:17|--ah-----|2457600] C:\ffastun0.ffx 
[07/07/2008 16:44|--a------|1073152] C:\ffastunT.ffl 
[03/07/2007 11:33|-rahs----|0] C:\IO.SYS 
[03/07/2007 11:33|-rahs----|0] C:\MSDOS.SYS 
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM 
[17/11/2008 14:25|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[02/03/2010 09:24|--a------|3313] C:\UsbFix.txt 
[12/03/2008 08:30|--a------|3932214] D:\Autocad.bmp 
[11/07/2007 13:23|--a------|3932214] D:\Bureau Max 3.bmp 
[12/03/2008 11:47|--a------|82] D:\Code.txt 
[11/07/2007 17:12|--a------|3932214] D:\Ecran autocad max3.bmp 
[01/03/2010 16:10|--ah-----|5899] D:\ffastun.ffa 
[01/03/2010 16:10|--ah-----|499712] D:\ffastun.ffl 
[01/03/2010 16:10|--ah-----|40960] D:\ffastun.ffo 
[01/03/2010 16:10|--ah-----|909312] D:\ffastun0.ffx 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC2-MAXITEC.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.095 ! |

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur "all"

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

youpi24 · Answer

Euh question stupide
Pourquoi les poster sur ce site?

Merci

gen-hackman · Answer

lol

c'est pour pouvoir les lire entiers car ils sont trop longs pour rentrer dans cette page ;)

youpi24 · Answer

ci joint les 2 fichiers

http://www.cijoint.fr/cjlink.php?file=cj201003/cijBbq7Xax.txt 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijT8a9qUI.txt

Merci d'avance

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

youpi24 · Answer

J'y pense
Tout à l'heure au redemarrage de Windows avec USBFix, antivir n'apparait plus dans la barre de demarrage rapide mais a priori fonctionne car il a détecter List_Kill'em

merci d'avance

gen-hackman · Answer

oui au prochain redemarrage tu retrouveras ton icone dans ta barre des taches :)

youpi24 · Answer

Euh... quand je lance List_Kill'em une fenetre apparait avec plein de signe bizarre

Est ce normal

gen-hackman · Answer

ben oui tu as le menu qui a suivi non ?

youpi24 · Answer

je ferme le fenetre en question te rien ne se passe...
J'ai réinstaller 2 fois

gen-hackman · Answer

tu as desactivé l'antivirus ??

youpi24 · Answer

même en désactivant l'anti virs il ne se lance pas
je l'ai réinstaller plusieurs fois

gen-hackman · Answer

en mode sans echec ?

youpi24 · Answer

je suis désolé 
je dois partir
on finira après

merci encore

gen-hackman · Answer

ok j'ai tout mon temps ;)

youpi24 · Answer

Bonjour suite..........

Ca ne marche pas non plus en mode sans echec

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek)


&#9654 Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

youpi24 · Answer

Re.....
Ci joint le lien du fichier grem

http://www.cijoint.fr/cjlink.php?file=cj201003/cijiWTpCcg.txt


Pas de lignes rouge ..... bizarre??

Merci d'avance

gen-hackman · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

youpi24 · Answer

Re bonjour

J'ai passer Dr Web mais a la fin du scan (8 heures de scan...ouch) j'ai du faire une fausse manip et du coup a priori il a bien désinfecter au redemarrage et pour l'instant le Helpassistant ne s'est pas encore lancé 

Si tu veut que je contrôle avec autre chose dit le moi

Merci d'avance

gen-hackman · Answer

ok reessaie avec List'Kill'em et si ca marche pas laisse-le installé et execute ceci :

http://sd-1.archive-host.com/membres/up/829108531491024/debug.bat

Helpassistant copie a chaque ouverture .....

26 réponses

Votre réponse

Discussions similaires

Newsletters