Sujet Précédent Sujet Suivant

[Hijackthis] lkfsrstp.exe...virus ?

Fermé
Dzew Messages postés 2 Date d'inscription dimanche 8 juillet 2007 Statut Membre Dernière intervention 8 juillet 2007 - 8 juil. 2007 à 04:36
Dzew Messages postés 2 Date d'inscription dimanche 8 juillet 2007 Statut Membre Dernière intervention 8 juillet 2007 - 8 juil. 2007 à 19:11
Bonjour,
J'ai un virus sur mon ordinateur qui produit plusieur pop-ups lorsque je vais sur internet et je voudrais m'en débarasser. J'ai fait des scan avec quelques anti-virus et anti-spywares je detecte toujours un trojan collector que je supprime mais le virus demeure et les pop-ups de même. jai donc fait un scan avec Hijackthis. Voici ce qu'il ma donner :

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\windows\System32\lkfsrstp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\System32\PnkBstrA.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\windows\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\windows\System32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Ventrilo\Ventrilo.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Steam\steam.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\windows\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\windows\System32\ntos.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\windows\System32\ftewiuwv.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\windows\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\windows\System32\shdocvw.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10d979f458ae6e65f420/netzip/RdxIE601_fr.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: DomainService - - C:\windows\System32\lkfsrstp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\System32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Je soupçone lkfsrstp.exe d'être la cause de mes problemes mais je n'en suis pas sur et je ne connais pas très bien comment Hijackthis foctionne.

Svp aider moi.Dites moi si c'est bien lkfsrstp.exe ou si vous avez decouvert autre chose qui pourrait entrainer mon probleme.

Merci d'avance
A voir également:

2 réponses

Réponse 1 / 2
Utilisateur anonyme
8 juil. 2007 à 12:46
Bonjour

Qu'as-tu comme anti-spywares et pare-feu ?

------
Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec (redemarrage + tapotte sans arret sur F8 des que l'ordi s'allume)
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.


ET


Télécharge VundoFix
---> http://www.atribune.org/ccount/click.php?id=4

Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..

double clic dessus choisis "start for vundo"
attends quelques minutes, quand le scan est terminé clic sur "remove vundo"
un message te demandera si tu veux supprimes les fichiers sur "yes"
Quand il a terminé, clic sur "yes" ton ordinateur devrait redemarrer si non, fais le par toi même
Une fois qu'il a redémarré colle le rapport C:\vundofix.txt
0
Réponse 2 / 2
Dzew Messages postés 2 Date d'inscription dimanche 8 juillet 2007 Statut Membre Dernière intervention 8 juillet 2007
8 juil. 2007 à 19:11
Daccord merci, voici le report de SDFix :


SDFix: Version 1.90

Run by Administrator on Sun 07/08/2007 at 12:55 PM

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\windows\system32\svcp.csv - Deleted
C:\windows\system32\windev-peers.ini - Deleted
C:\windows\system32\winsub.xml - Deleted
C:\windows\Temp\$_2341233.TMP - Deleted
C:\windows\Temp\$_2341234.TMP - Deleted
C:\windows\Temp\$_2341235.TMP - Deleted



Removing Temp Files...

ADS Check:

Checking C:\windows
C:\windows
No streams found.

Checking C:\windows\system32
C:\windows\system32
No streams found.

Checking C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
No streams found.

Checking C:\windows\system32\ntoskrnl.exe
C:\windows\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\windows\\System32\\lkfsrstp.exe"="C:\\windows\\System32\\lkf"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Documents and Settings\Bertrand\My Documents\Battlefield 2142\LogoCache\www.branzone.com\img\games\bf2142\Thumbs.db
C:\Documents and Settings\Bertrand\My Documents\Battlefield 2142\LogoCache\www.dscgamers.com\Thumbs.db
C:\Program Files\Steam\steamapps\toddy@hotmail.com\counter-strike\cstrike\radial.cdb
C:\Program Files\Steam\steamapps\toddy@hotmail.com\counter-strike\cstrike\logos\Thumbs.db
C:\Program Files\Steam\steamapps\toddy@hotmail.com\counter-strike\cstrike\models\player\Thumbs.db
C:\Program Files\Steam\steamapps\toddy@hotmail.com\counter-strike\cstrike\overviews\Thumbs.db
C:\Documents and Settings\Bertrand\Local Settings\Temp\quldseql.dll
C:\WINDOWS\system32\vtutt.dll
C:\Documents and Settings\Bertrand\Local Settings\Temp\$b17a2e8.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~124.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~13.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~14.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~15.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~1C.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~1F.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~21.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~22.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~2A.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~3.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~31.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~39.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~3D.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~6.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~7.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~8.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\~A.tmp
C:\Documents and Settings\Bertrand\Local Settings\Temp\TCD8.tmp\~$ristmas gift labels.dot
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem7.inf
C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF

Finished


Je vais aller faire le VundoFix ;)
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses