[Résolu] Comment se débarrasser des trojans trouvés par Antivir ?

[jocepa]

bonjour,

alors je peux installer le log sans problème ?...super

donc mon pc n'est plus infecté!! j'ai restauré les fichiers de la quarantaine et antivir ne trouve plus rien!!

 

par contre toujours des problèmes pour sortir de veille et j'ai aussi un tas d'icones qui sont apparues (oups, j'avais oublié de le dire), correspondant pour la plupart à des fichiers cachés mais aussi des ntuser.bak , ntuser .dat_previous,ntuser.dat.... qui viennent de je ne sais où et dont je ne sais pas quoi faire ....est ce que ça correspond aux modif faites au registre ?et est ce que je peux supprimer?

 

pour les log que tu m'as fait utiliser, la plupart ne figurent pas dans le panneau de config, comment je peux les désinstaller??

 

en tout cas merci pour ton aide je vais enfin pouvoir m'occuper de la sauvegarde reg et peut etre meme faire un cd de sauvegarde de vista(mieux vaut tard...)!!

[Falkra]

Poste un dernier rapport HijackThis s'il te plait, les choses ont pu évoluer sur la machine en quelques jours.

 

Pour les fichiers cachés, ne supprime rien pour l'instant. Dis moi dans quel dossier ils se trouvent.

 

Je t'indique après la procédure pour désinstaller proprement et facilement ComboFix.

[jocepa]

bonsoir,

 

pour le rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:11:10, on 25/05/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe

C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Windows\ehome\ehmsas.exe

C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE

C:\Windows\System32\rundll32.exe

C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE

C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE

C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE

C:\Users\joelle\AppData\Local\Temp\RtkBtMnt.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Users\joelle\Desktop\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://edit.europe.yahoo.com/config/mail?....=fr&.src=ym

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe

O4 - Global Startup: Empowering Technology Launcher.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O13 - Gopher Prefix:

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://charon888.free.fr/plugins/hardwared...on_2_0_4_13.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 7294 bytes

 

 

 

Pour ce qui est des fichiers "cachés" je les ai recaché (mais j'ignore pourquoi ils ont été visibles à un moment donné!!) j'en avais remarqué dans mes documents mais aussi sur le disque D ..désolée de ne pouvoir être plus précise

ceux qui m'embêtent ce sont les autres dont j'ignore ce à quoi ils peuvent correspondre (ntuser...)

 

Dis , ya aussi un truc (de plus!) qui m'embête.... si une fois que je serais sure que l'ordi est OK je finis par arriver à restaurer la sauvegarde de regseeker , ça va me remodifier les clés qui déconnaient ("cles de registre de demarrage anormales" pour reprendre ton expression)aussi ???!!!...

 

comment je peux le vérifier seule par la suite au lieu de me repointer sur sur le forum avec un post dans le genre "y a t il quelqu'un pour vérifier mes clés???!!! (ça fait pas tès sérieux quand à expliquer....)

[Falkra]

La machine est clean.

 

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Supprime DSS à la main.

 

As-tu encore des symptômes anormaux ?

 

 

Il ne faut pas restaurer ta sauvegarder de RegSeeker (et d'ailleurs pourquoi le faire ?) car elle va remettre sans doute des choses infectieuses ou pourries.

[jocepa]

bonjour

 

ok pour dss et combofix ... et pour HJT

 

Pour les symptomes anormaux:

la veille (toujours impossible d'en sortir sans faire un arret forcé du pc)

j'ai toujours de "ntusers" dont je ne sais pas quoi faire (je peux supprimer??)

 

WMP seul l'audio fonctionne(j'ai bien les codec vidéo sur le pc ,d'ailleurs il fonctionnait normalement pour les memes video ,avant que j'utilise regseeker)

et acer erecovery management, l'utilitaire pour la créacion d'un cd de sauvegarde de vista, non seulement ne fonctionne pas , mais fait planter le pc (ecran bleu avec message a propos d'un driver... puis arret du pc) a chaque fois que j'essaye de l'utiliser . Je pense que c'est lié à regseeker et c'est pour ça que je veux restaurer la sauvegarde (au moins je saurais si c'est bien pour ça que le pc débloque)...maintenant je me trompe peut etre

je n'ai toujours pas fait de CD de sauvegarde de vista , mea culpa, mais je veux y remédier!!!...

[Falkra]

Pour la veille, cela peut venir de bien des choses, souvent de questions de matériel est de bios (prudence), plutôt hardware ça.

WMP, poste côté software pour ça, il faudra juste identifier ce qui cloche, sans doute un codec qui a sauté, logiquement une réinstallation mise à jour corrige le tir.

 

Où sont exactement tes NTusers ? Ca on s'en occupe.

 

RegSeeker c'est moyen, si on supprime tout. N'est-il pas plus facile de réinstaller l'utilitaire en question de Acer ?

 

Tu n'as plus de symptômes infectieux (tant mieux).

[jocepa]

ntuser sont dans mon profile (C:\Users\joelle )

pour l'utilitaire d'acer, je ne sais pas , je vais aller faire un tour sur leur site...

[jocepa]

bonjour,

 

dis ,j'ai toujours un "deckard" dans C:, ainsi qu'un "combofix" (contenant nircmd.com...??) et hjt sur le bureau mais rien niv panneau de config pour desinstaller.... je supprime en manuel aussi??

je n'ai rien trouvé sur le site d'acer concernant un telechargement d' eRecovery management.

j'ai essayer de chercher sur google mais pas beaucoup plus efficace...je continue à chercher, mais n'y aurait il pas une autre alternative?? :j'ai remarquer 2 programmes qui deconnaient , mais il peut y en avoir d'autres....

[Falkra]

Ha, tu as pu louper mon post (numéro 34), pour la désinstallatin de ComboFix, autant le faire de façon automatisée, ça va plus vite et ça ne laisse pas grand chose. DSS en manuel oui.

[jocepa]

bonjour

j'avais bien suivi tes conseils pour combofix mais j'ai eu message me disant qu'il etait périmé... je ne me souvient plus exactement des termes, par contre le dossier dont je te parle a été modifié (ou crée??) au moment où j'ai executé la commande mentionnée dans ton post (34)

j'ai essayé de refaire la manip, et j'ai un message ma disant que windows ne trouve pas combofix...(pourtant le dossier est bien là!! )ça me plait pas spécialement de le laisser , mais vu qu'il ne fait que 27,5ko...

et pour les ntuser , tu pense que je ne dois pas y toucher, ou je peux supprimer??