Virus, aucune desinfection possibleRésolu/Fermé

Question

Bonjour, une personne a passé un keygenerator a un ami à moi, et son PC plante sous Vista.

Il ne peut plus démarrer en ce mode, mais le MSE fonctionne.

J'ai essayé de passer MBAM , il ne se lance pas.
J'ai essayé de passer SpyBot S&D, il ne peut s'installer.
J'ai essayé de passer SmitfraudFix,  "il a cessé de fonctionner".
J'aii passé CCleaner pour un "nettoyage " de registre mais en vain.
Impossible de restaurer.....


Le keygenerator provient du site "dailykeys" (un site de virus).


Cependant j'ai pu passer le rapport Hijacthis, voici le log :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:56:58, on 26/11/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe
C:\Users\lionel alibelli\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: C:\Windows\system32\jsne87fidgf.dll - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\Windows\system32\jsne87fidgf.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\ljJBrRiJ.dll,#1
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
O4 - HKLM\..\Run: [rs32net] C:\Windows\System32s32net.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winqio32.rom,sXQgYjK
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe
O4 - HKCU\..\Run: [gadcom] "C:\Users\lionel alibelli\AppData\Roaming\gadcom\gadcom.exe" 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [12ZFG94-F641-2SF-K31P-5N1ER6H6L2] C:\RECYCLER\S-1-5-21-4283478514-2609503500-752888321-8035\service.exe
O4 - HKCU\..\Run: [rs32net] C:\Windows\System32s32net.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\Windows\system32\jsne87fidgf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\EA Games\Need for Speed Undercover\PB\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

gen-hackman · Answer

salut voila ce qui arrive quand on cracke et qu'on veux utiliser des keygens......lol

ComboFix: 

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware et ta connection internet 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 


puis :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique maintenant sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Poste le rapport généré. (C:\TB.txt) 

puis :



Telecharge maintenant FindyKill sur ton bureau : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

--> Lance l installation avec les parametres par default 

--> Fais un clic droit sur le raccourci FindyKill sur ton bureau 

--> Choisi executer en tant qu administrateur 

--> Au menu principal,choisi l option 1 (Recherche) 

--> Post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Hadrienen · Answer

Merci de ton aide
Combofix ne se lance pas....



   -----------\  ToolBar S&D 1.2.5   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz )
   BIOS : Ver 1.00PARTTBL
   USER : lionel alibelli ( Administrator )
   BOOT : Fail-safe with network boot
   Antivirus : avast! antivirus 4.8.1229 [VPS 081124-0] 4.8.1229 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:74 Go (Free:9 Go)
   D:\ (CD or DVD)
   E:\ (USB) - FAT - Total:967 Mo (Free:0 Go)
   F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
   Option : [1] ( 26/11/2008|10:15 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\LIONEL~1\Desktop\Bureau\Crack
   C:\Users\LIONEL~1\Desktop\Bureau\clef mme battini\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen.rar
   C:\Users\LIONEL~1\Desktop\Bureau\Crack\iw3sp.exe
   C:\Users\LIONEL~1\Desktop\Jeux\GTA San Andreas\data\Decision\Craig\crack1.ped
   C:\Users\LIONEL~1\Documents\Downloads\Nero 7.10.1.0\Keygen.exe



   1 - "C:\ToolBar SD\TB_1.txt" - 26/11/2008|10:16 - Option : [1]

   -----------\  Fin du rapport a 10:16:36,55

gen-hackman · Answer

supprime tes crackes et keygen et envoie le rapport findy kill

Hadrienen · Answer

je vais faire le rapport findykill



   -----------\  ToolBar S&D 1.2.5   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz )
   BIOS : Ver 1.00PARTTBL
   USER : lionel alibelli ( Administrator )
   BOOT : Fail-safe with network boot
   Antivirus : avast! antivirus 4.8.1229 [VPS 081124-0] 4.8.1229 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:74 Go (Free:9 Go)
   D:\ (CD or DVD)
   E:\ (USB) - FAT - Total:967 Mo (Free:0 Go)
   F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
   Option : [2] ( 26/11/2008|10:25 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\LIONEL~1\Desktop\Bureau\Crack
   C:\Users\LIONEL~1\Desktop\Bureau\clef mme battini\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen.rar
   C:\Users\LIONEL~1\Desktop\Bureau\Crack\iw3sp.exe
   C:\Users\LIONEL~1\Desktop\Jeux\GTA San Andreas\data\Decision\Craig\crack1.ped
   C:\Users\LIONEL~1\Documents\Downloads\Nero 7.10.1.0\Keygen.exe



   1 - "C:\ToolBar SD\TB_1.txt" - 26/11/2008|10:16 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 26/11/2008|10:25 - Option : [2]

   -----------\  Fin du rapport a 10:25:42,57

Hadrienen · Answer

le voila 



----------------- FindyKill V4.705 ------------------

* User : lionel alibelli - PC-DE-PARME
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/11/08 par Chiquitine29
* Recherche effectuée à 10:27:43 le 26/11/2008
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe
C:\Program Files\DAP\DAP.EXE
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\Windows 
 
 
»»»» Presence des fichiers dans C:\Windows\Prefetch 
 
Found ! - C:\Windows\prefetch\100.EXE-F8C56394.pf 
 
»»»» Presence des fichiers dans C:\Windows\system32 
 
 
»»»» Presence des fichiers dans C:\Windows\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Users\lionel alibelli\AppData\Roaming 
 
 
»»»» Presence des fichiers dans C:\Users\LIONEL~1\AppData\Local\Temp 
 
 
»»»» Presence des fichiers dans C:\Users\lionel alibelli\Local Settings\Temporary Internet Files\Content.IE5 
 
 
--------------- [ Registre / Startup ] ----------------  
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]

   ehTray.exe=C:\Windows\ehome\ehTray.exe
   ISUSPM Startup=C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
   WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
   BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
   EA Core=C:\Program Files\Electronic Arts\EADM\Core.exe -silent
   xsjfn83jkemfofght=C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
   MSSMSGS=rundll32.exe winqio32.rom,sXQgYjK
   Jnskdfmf9eldfd=C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe
   gadcom="C:\Users\lionel alibelli\AppData\Roaming\gadcom\gadcom.exe" 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
   12ZFG94-F641-2SF-K31P-5N1ER6H6L2=C:\RECYCLER\S-1-5-21-4283478514-2609503500-752888321-8035\service.exe
   rs32net=C:\Windows\System32s32net.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]

   Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
   Camera Assistant Software="C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
   SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
   IAAnotif=C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
   avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
   ISUSScheduler="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
   QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
   iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
   NeroFilterCheck=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
   MSServer=rundll32.exe C:\Windows\system32\ljJBrRiJ.dll,#1
   xsjfn83jkemfofght=C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
   rs32net=C:\Windows\System32s32net.exe
 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
 
--------------- [ Etat / Services ] ---------------- 
 
Clé manquante : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden 
 
  - des fichiers cachés non fonctionnel !! 
 
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot 
 
 - sans echec non fonctionnel !! 
 
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal 
 
 - sans echec non fonctionnel !! 
 
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network 
 
 - sans echec non fonctionnel !! 
 


+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

 Ndisuio - Type de démarrage = 3 
 
 EapHost - Type de démarrage = 3 
 
 Wlansvc - Type de démarrage = 2 
 
 /!\ SharedAccess - Type de démarrage = 4 
 
 wuauserv - Type de démarrage = 2 
 
 wscsvc - Type de démarrage = 2 
 
 WinDefend - Type de démarrage = 2 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe
E: - Lecteur amovible
F: - Lecteur de CD-ROM
 
+- Contenu de l'autorun : F:\autorun.inf  

[AutoRun]
open=setup.exe
icon=setup.exe,0


































 
+- presence des fichiers :  

Found ! [02/03/2006 13:00][-r-------] - F:\autorun.inf 
 
 
--------------- [ Registre / Mountpoint2 ] ----------------  
 
 
-> Not found ! 
 
 
------------------- ! Fin du rapport ! --------------------

gen-hackman · Answer

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir 


--> Fais clic droit sur le raccourci FindyKill sur ton bureau 

--> Choisi executer en tant qu administrateur 

--> Au menu principal,choisi l option 2 (Suppression) 


/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué" 

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal ! 

-------> ensuite post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 

suivi d un nouvel hijackthis s il te plait

Hadrienen · Answer

J'ai lancé la suppression, l'ordi à redémarrer, mais à planter (il s'est executé en mode normale...)(il arrive jusqu'au charglent de Vista et plus rien..)

Je fais quoi?

gen-hackman · Answer

il ne redmarre pas du tout ?

Hadrienen · Answer

Il redemarre, mais il y a la barre de chargement Vista et après plus rien.... je redemarre en MSE ...

gen-hackman · Answer

Choisi executer en tant qu administrateur 

tu l'as execute comme indique ?

Hadrienen · Answer

Oui oui, mais aprs au redemarrage, il reboot pas en MSE, mais en mode normale et là, il plante:/

gen-hackman · Answer

alors peux tu recuperer un hijackthis en mode sans echec avec prise en charge reseau ?

Hadrienen · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:16, on 26/11/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe
C:\Users\lionel alibelli\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: C:\Windows\system32\jsne87fidgf.dll - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\Windows\system32\jsne87fidgf.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\ljJBrRiJ.dll,#1
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
O4 - HKLM\..\Run: [rs32net] C:\Windows\System32s32net.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winqio32.rom,sXQgYjK
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe
O4 - HKCU\..\Run: [gadcom] "C:\Users\lionel alibelli\AppData\Roaming\gadcom\gadcom.exe" 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [12ZFG94-F641-2SF-K31P-5N1ER6H6L2] C:\RECYCLER\S-1-5-21-4283478514-2609503500-752888321-8035\service.exe
O4 - HKCU\..\Run: [rs32net] C:\Windows\System32s32net.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\Windows\system32\jsne87fidgf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\EA Games\Need for Speed Undercover\PB\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

gen-hackman · Answer

refais Combofix en sans echec total et ne touche a rien pendant qu il travaille

Hadrienen · Answer

combofix ne veut pas se lancer, je réessay...

gen-hackman · Answer

refais hijackthis et coche ceci puis "fix checked" :

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe 
O4 - HKCU\..\Run: [gadcom] "C:\Users\lionel alibelli\AppData\Roaming\gadcom\gadcom.exe" 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257 
O4 - HKCU\..\Run: [12ZFG94-F641-2SF-K31P-5N1ER6H6L2] C:\RECYCLER\S-1-5-21-4283478514-2609503500-752888321-8035\service.exe

Hadrienen · Answer

c'est fait. que dois-je faire maintenant ? encore merci pour ton aide

gen-hackman · Answer

vois si tu peux redemarrer en normal sinon reprends au post6

Parmenion2a · Answer

salut, je suis celui qui a le probleme de virus ^^

j'ais fais tout ce que tu as dis, et le pc ne refonctionne pas. jai refais encore une fois ce que tu me dis dans le post 6; mais pareil que la derniere fois, vista ce lance au redémarrage, et aprés la barre de chargement il plante.

je voulais savoir, comme j'ai linux d'installé sur le pc, si il n'y a pas une solution en passant par linux...

gen-hackman · Answer

Bonjour, 

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace 
Procèdes comme ceci : 
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm 

A bientôt.......

Source = Regis59

Hadrienen · Answer

BOnsoir gen-hackman, je suis l'ami de Parmenion2a, c'est lui qui a le problème du PC ;) étant en cours ensemble, je l'aidais...mais maintenant il est chez lui;) donc je vous laisse travailler.

gen-hackman · Answer

ok...faut suivre hein ?

Parmenion2a · Answer

^^


donc si quelqu'un peut m'aider svp, je suis en galere total...

gen-hackman · Answer

Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau... 
- Double-clique sur OTMoveIt3.exe pour le lancer. 
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ). 


:processes
explorer.exe

:files
c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe 
c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe 
C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe 
C:\Users\lionel alibelli\AppData\Roaming\gadcom\gadcom.exe
C:\Windows\system32\ljJBrRiJ.dll
C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe 


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

laisse booter en normal voir s il le fait.................;;

ensuite fais le post 16 et fais resuivre un hijackthis

Parmenion2a · Answer

salut

je n'arrive pas a le telecharger, et quand je clique sur le lien, il m'affiche une page vide. je vais le fair a partir d'un autre pc.
merci de m'aider encore ^^

gen-hackman · Answer

ok renvoies le repport suivi d un hijackthis stp

Parmenion2a · Answer

salut

voila le rapport de OTMoveIT:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe not found.
File/Folder c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe not found.
C:\Users\LIONEL~1\AppData\Local\Temp\csrssc.exe moved successfully.
File/Folder C:\Users\lionel alibelli\AppData\Roaming\gadcom\gadcom.exe not found.
DllUnregisterServer procedure not found in C:\Windows\system32\ljJBrRiJ.dll
C:\Windows\system32\ljJBrRiJ.dll NOT unregistered.
C:\Windows\system32\ljJBrRiJ.dll moved successfully.
File/Folder C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe not found.
========== COMMANDS ==========
File delete failed. C:\Users\LIONEL~1\AppData\Local\Temp\etilqs_Y2FrnlOkqYEr7bS8FHc1 scheduled to be deleted on reboot.
File delete failed. C:\Users\LIONEL~1\AppData\Local\Temp\~DF1E8E.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\LIONEL~1\AppData\Local\Temp\~DF1EA2.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\LIONEL~1\AppData\Local\Temp\~DF27FE.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\LIONEL~1\AppData\Local\Temp\~DF280D.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Users\lionel alibelli\AppData\Local\Mozilla\Firefox\Profiles\537y6j7k.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Users\lionel alibelli\AppData\Local\Mozilla\Firefox\Profiles\537y6j7k.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Users\lionel alibelli\AppData\Local\Mozilla\Firefox\Profiles\537y6j7k.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Users\lionel alibelli\AppData\Local\Mozilla\Firefox\Profiles\537y6j7k.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Users\lionel alibelli\AppData\Local\Mozilla\Firefox\Profiles\537y6j7k.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Users\lionel alibelli\AppData\Local\Mozilla\Firefox\Profiles\537y6j7k.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11292008_111647













Et le rapport de hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:27:11, on 29/11/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: C:\Windows\system32\jsne87fidgf.dll - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\Windows\system32\jsne87fidgf.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\ljJBrRiJ.dll,#1
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
O4 - HKLM\..\Run: [rs32net] C:\Windows\System32s32net.exe
O4 - HKLM\..\RunOnce: [C:\Program Files\FindyKill] C:\Program Files\FindyKill\FindyKill.cmd /2ndpassreg
O4 - HKLM\..\RunOnce: [OTMoveIt] C:\Users\lionel alibelli\Desktop\OTMoveIt3.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winqio32.rom,sXQgYjK
O4 - HKCU\..\Run: [rs32net] C:\Windows\System32s32net.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CBF5E4E-D676-46C5-8B6B-473015E60E21}: NameServer = 193.252.19.3
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\Windows\system32\jsne87fidgf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\EA Games\Need for Speed Undercover\PB\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe (file missing)

gen-hackman · Answer

ouvre un document texte sur ton bureau et copies colles ceci :



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MSServer"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net"=-



enregistre le sur ton bureau sous le nom "Delete.REG"


ensuite doubleclic sur la clé de registre ainsi créée et acceptes

ensuite 

Télécharges http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe ( de Cyrildu17 / C_XX ) sur ton bureau :


/!\ Déconnectes toi et fermes toutes applications en cours

? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-removersituée sur ton bureau
? Au menu principal choisi l'option "Recherche"
? Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) 


source = benurrr.......................................;;;-)


ensuite 


Double-clique sur OTMoveIt3.exe pour le lancer. 
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ). 


:processes
explorer.exe

:files
 C:\Windows\System32\rs32net.exe
 C:\Users\LIONEL~1\AppData\Local\Temp\winlogin.exe 
C:\Windows\system32\ljJBrRiJ.dll

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.


_________________________________________

Hadrienen · Answer

Je me permets d'intervenir vite fait :

1)Il n'est pas trop dispo..donc soit il passe d'ici là, soit à partir de lundi :/

2)L'ordi redémarre en mode normal... y-aurait-il un moyen que le PC redémarre en MSE? (les touches F5,F8  ne faisant rien)

Hadrienen · Answer

Que penses tu de cela ?

Méthode avec l'utilitaire de configuration système : 

Remarque Importante: 

Il ne faut pas avoir recours à cette option si une infection possible ou avérée par Bagle touche votre ordinateur.

Il en résulte un redémarrage en boucle très gênant à réparer. A éviter donc. 


Avertissement 
Cette méthode peut être dangereuse, en cas d'infection de votre PC. 
En effet, vous pouvez rester coincé dans une boucle infernale en procédant de la sorte. 
A utiliser avec une extrême précaution ! 
1/ Fermez tous les programmes ouverts. 
2/ Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue "Exécuter" apparaît. 
3/ Tapez msconfig puis cliquez sur [OK]. 
4/ L'utilitaire de configuration système apparaît,voyez dans l'onglet BOOT.INI. Sélectionnez l'option /SAFEBOOT, puis cliquez sur [OK]. 
5/ Vous voyez alors s'afficher l'invite pour redémarrer l'ordinateur. Cliquez sur [Redémarrer]. L'ordinateur redémarre en mode sans échec. (Ceci peut prendre plusieurs minutes.) 
6/ Procédez au dépannage pour lequel vous êtes passé en mode sans échec. 
7/ Lorsque vous avez terminé votre dépannage en mode sans échec, répétez les étapes 1 à 5, mais à l'étape 4, désélectionnez /SAFEBOOT. 
8/ Fermez tous les programmes puis redémarrez l'ordinateur comme vous le feriez d'habitude.

Parmenion2a · Answer

salut

ça y est j'ai trouvé une super solution, formater le pc xD

j'en avais un peut marre de ce virus, meme si j'ai perdu mes dossiers, je pourrais utilliser l'ordi.

en tout cas merci de ta patience Gen, moi je n'en ais pas ^^

gen-hackman · Answer

bien alors...................

Virus, aucune desinfection possible

32 réponses

Discussions similaires

Newsletters