LSNFIER.exe Fermé

Question

Svp aider moi, sa fait 4h que je pose des post sur un autre sujet de moi car pesonne ne vient (du moins je vous donne le lien pour les explication et les détails)


Se matin, j'ai Antivir qui m'a averti que j'avais un virus dans E:\system\ ......
Or mon system n'ai pas installer sur ce disque, donc j'ai supprimer se dossier, aprés ffait fait de suite un scan malwarbyts , antivirus, spybot. Puis j'ai découvert que se virus été "livré" avec LSNFIEr.exe . Donc j'ai lancé Clener virus MSN (car virus venant de MSN).

Le scan Antivir c'est arreter a un virus dans les driver qui été compreser et qu'il n'arrivait pas a décompressé.

Aprés de multiple recherche, j'ai fait un scan ZHP (j'ai controler, rien d'interesant) 
J'ai découvert PinkbusterA et PinkbusterB. J'ai vue qu'il été "livré" avec des jeux en ligne.Donc il vient de Batelfiled Heros.

Puis j'ai fait un scan du fichier windob avec antivir voici le resultat :

J'ai fait un scan avec ZHP, je n'ai rien trouvé de suspect mise a par PinkBusterA et PinkbusterB . Il sont apparament du a la presence de Batelfield Heros.

Clen virus msn , n'a pa fini, mais ANTIVIR a fini, voici le rapprot :

vira AntiVir Personal
Date de création du fichier de rapport : samedi 17 avril 2010 12:06

La recherche porte sur 2011046 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : TOTO
Nom de l'ordinateur : PC-DE-TOTO

Informations de version :
BUILD.DAT : 9.0.0.75 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 09:23:08
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 18:55:02
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:42:31
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 18:43:42
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:20:37
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 17:20:38
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 17:20:38
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 17:20:38
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 17:20:38
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 17:20:40
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 17:20:40
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 17:20:43
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 17:20:54
VBASE014.VDF : 7.10.6.91 2048 Bytes 15/04/2010 17:20:54
VBASE015.VDF : 7.10.6.92 2048 Bytes 15/04/2010 17:20:54
VBASE016.VDF : 7.10.6.93 2048 Bytes 15/04/2010 17:20:55
VBASE017.VDF : 7.10.6.94 2048 Bytes 15/04/2010 17:20:55
VBASE018.VDF : 7.10.6.95 2048 Bytes 15/04/2010 17:20:55
VBASE019.VDF : 7.10.6.96 2048 Bytes 15/04/2010 17:20:56
VBASE020.VDF : 7.10.6.97 2048 Bytes 15/04/2010 17:20:56
VBASE021.VDF : 7.10.6.98 2048 Bytes 15/04/2010 17:20:56
VBASE022.VDF : 7.10.6.99 2048 Bytes 15/04/2010 17:20:57
VBASE023.VDF : 7.10.6.100 2048 Bytes 15/04/2010 17:20:58
VBASE024.VDF : 7.10.6.101 2048 Bytes 15/04/2010 17:20:58
VBASE025.VDF : 7.10.6.102 2048 Bytes 15/04/2010 17:20:58
VBASE026.VDF : 7.10.6.103 2048 Bytes 15/04/2010 17:21:00
VBASE027.VDF : 7.10.6.104 2048 Bytes 15/04/2010 17:21:00
VBASE028.VDF : 7.10.6.105 2048 Bytes 15/04/2010 17:21:00
VBASE029.VDF : 7.10.6.106 2048 Bytes 15/04/2010 17:21:00
VBASE030.VDF : 7.10.6.107 2048 Bytes 15/04/2010 17:21:00
VBASE031.VDF : 7.10.6.115 78848 Bytes 16/04/2010 17:21:03
Version du moteur : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 08:11:23
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 16/04/2010 17:24:26
AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 18:08:53
AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 19:06:20
AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 17:24:01
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 18:17:25
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 19:05:09
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16/04/2010 17:23:34
AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 17:10:25
AEGEN.DLL : 8.1.3.7 373106 Bytes 16/04/2010 17:21:35
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.13.1 188790 Bytes 01/04/2010 17:10:23
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 18:08:07
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: ShlExt
Fichier de configuration......................: C:\Users\TOTO\AppData\Local\Temp\7d2b8492.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé
Catégories de dangers divergentes.............: +APPL,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : samedi 17 avril 2010 12:06

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\Windows'
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : samedi 17 avril 2010 13:50
Temps nécessaire: 1:43:47 Heure(s)

La recherche a été effectuée intégralement

15017 Les répertoires ont été contrôlés
142012 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
142011 Fichiers non infectés
1091 Les archives ont été contrôlées
1 Avertissements
0 Consignes

Configuration: Windows Vista, 4GO ram,GeForce 9600 GT,Intel Centrino 2 4Coeurs,Dolby Digital



......................................................

Aprés j'ai vue le fichier sptd.ee , qui n'aitait que un fichier avec demon tool.

Mais j'ai un fichier qui me poose problée c'estwin-xp-7.exe
Je ne sais pas se que c'est.


Enfin bref, silvous plait aidez moi.

(P.S mon ancin post : https://forums.commentcamarche.net/forum/affich-17409746-gros-virus-antiryad-win32ddraw5-exe-lsnfier#p17412141)


LEs modos svp , ne pas suppriemr se post car "double" car je travail sur se pc et j'en ai pas d'autres de dispo et il et OBLIGATOIRE pourmoi)

dédétraqué · Answer

Salut i am toto


Rien ne suspect dans les fichiers données, légitime :

On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt

@++  :)

i am toto · Answer

Je fini mon scan AD-R histoire de pas maitre 10 000 processus.

dédétraqué · Answer

Salut i am toto


OK, tu me postera son rapport également  ;)


@++   :)

i am toto · Answer

Merci de m'aider ^^

Donc le scan Clener virus msn a rien trouvé (pas de rapprot)

Rapprot AD-R :

https://www.cjoint.com/?ero2tSLobs


RSIT veux pas continuer, il reste bloquer a Listing event Logs. 

Je vait le relancer.

i am toto · Answer

Rapprot RSIT :

	https://www.cjoint.com/?erpcl7z8RL

dédétraqué · Answer

Salut i am toto


Durant que j'analyse ton rapport log, tu peux faire l'option Nettoyage de AD-R et poste le rapport.


@++   :)

i am toto · Answer

Justement, le bouton netoiyage n'etait pas dispo , il etait grisé.

Mais j'ai le rapport d'antivir :
dans le fichier user :

https://www.cjoint.com/?erpoZ574WU

le rapprot ad-r que j'ai trouvé :

	https://www.cjoint.com/?erppAHwm84

i am toto · Answer

Aussi : 

C:\Users\TOTO\AppData\Roaming\HouseCall 6.6\patch.exe 

= tend micro (antivirus) a cose de virustotal. 

C:\Users\TOTO\AppData\Roaming\Mozilla\Firefox\Profiles\80foqy8x.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\BFHUpdater.exe 


= j'ai batelfield heros, c'est pour les msie a jours. 

C:\Users\TOTO\TELECHARGEMENT\939904@vicepatch_11\ViceCity_Patch_11.exe 
C:\Users\TOTO\TELECHARGEMENT\939923@bloodpatch_v1.1\ftfvcbpp.nfo 
C:\Users\TOTO\TELECHARGEMENT\939923@bloodpatch_v1.1\gta-vc.exe 
C:\Users\TOTO\TELECHARGEMENT\939923@bloodpatch_v1.1.zip 
C:\Users\TOTO\TELECHARGEMENT\gta3_bloodpatch_1.1\gta3.exe 
C:\Users\TOTO\TELECHARGEMENT\gta3_bloodpatch_1.1.ZIP 
C:\Users\TOTO\TELECHARGEMENT\gta3_patch_1.1.exe 


= des patchs pour les gta. 

C:\Users\TOTO\TELECHARGEMENT\MicroBest Cracklock 3.8.4 by sker\MicroBest Cracklock 3.8.4 by sker83\cracklock.exe 


= logicielle pour cracker le temps sur des application (j'utilise a a des fin de test sur mes logicielles) 

C:\Users\TOTO\TELECHARGEMENT	rackmania_united_forever_patch_v_21119.exe 
C:\Users\TOTO\TELECHARGEMENT\vicepatch_11\ViceCity_Patch_11.exe 

= encore des patchs.



j'ai aussi fait un navilog, il n'y a rien.

dédétraqué · Answer

Salut i am toto


Important Désactive TeaTimer le résident de Spybot, il va gêner la désinfection en empêchant la modification des BHO


- Démarre Spybot clique sur Mode coche Mode avancé
- A gauche clique sur Outils ==> Résident 

- Décoche la case devant Résident "TeaTimer", voir la capture : 

http://apu.mabul.org/up/5/apu-5-gpdx9e06cwz2dypom2q7n6nc.jpg

- Quitte Spybot


-----


Faire un clique droit sur le raccourci d'HijackThis sur ton Bureau et choisir exécuter en tant qu'administrateur, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
Si pas de raccourci sur le bureau, il ce trouve ici :
C:\Program Files	rend micro\TOTO.exe

R3 - Default URLSearchHook is missing 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - HKLM\..\Run: [win-xp-7] C:\Program Files\Common Files\windows\win-xp-7.exe     
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)     
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)     
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU) 



- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked 

- Quitte HijackThis


-----


Mettre MalwareByte's Anti-Malware à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK  Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++   :)

i am toto · Answer

Pour malwarbyts je fait déjà un scan depuis 5h35 . 

Donc bah en attendant ... ces virus sont du a quoi ? 
Sont il dangeureux (du moisn etait ils) 
se win-xp-7.exe c'est quoi ?
Si tu y arrive un, jeu que j'ai fait sa te dit ?

dédétraqué · Answer

Salut i am toto


J'ai pas trop d'information sur ce fichier, c'est tout nouveau et il n'étais plus présent sur ton PC, restais seulement une clé du registre que l'on a fixer avec HJT.
C:\Program Files\Fichiers communs\windows\win-xp-7.exe  (Trojan.FakeAlert.H)

Il y avais aussi des reste de Toolbar que AD-R a trouver, si MBAM ne les supprimes pas on va sans occupé après.


@++   :)

i am toto · Answer

j'utilise firfox et les truc ebay & l'autre truc la, c'etait les racourrsi sur le pc déjà livré avec.

berrayahkamel · Answer

Je pense que c'est purement celui de MAN 

  lsnfier.exe   C:\Documents and Settings\User\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe