Alertes d'Avira et infection par svchost.exe / Rapport Hijac

[Skynet]

Bonjour à tous et toutes

Depuis hier soir, Avira me fait des alertes incessantes sur des chevaux de troie. Il les détecte surtout dans le dossier
C:\Utilisateurs\Nom d'utilisateur\AppData\Roaming

Très souvent il me détecte un fichier "svchost.exe", qui effectivement se trouve dans le dossier "Roaming"

Est-ce que quelqu'un peut me prendre en charge?

Par anticipation pour éventuellement vous faciliter la tache, j'ai fait un log HiJackThis

Le voilà:

Code: Tout sélectionner


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:14:37, on 08/02/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18999)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\jepa\AppData\Roaming\svchost.exe
C:\Windows\System32\rundll32.exe
C:\Users\jepa\AppData\Roaming\WMPRWISE.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\OrangeHSS\browser\browser.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\jepa\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PCMMediaSharing] C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [System Service Host] "C:\Users\jepa\AppData\Roaming\svchost.exe" /user
O4 - HKCU\..\Run: [Fzuqiwareheguri] rundll32.exe  "C:\Users\jepa\AppData\Local\nscher.dll",Startup
O4 - HKCU\..\Run: [Microsoft Firewall 2.9] C:\Users\jepa\AppData\Roaming\WMPRWISE.EXE
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O15 - Trusted Zone: *.clonewarsadventures.com
O15 - Trusted Zone: *.freerealms.com
O15 - Trusted Zone: *.soe.com
O15 - Trusted Zone: *.sony.com
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/securite/certdgi1.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - http://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos-beta/OnlineScanner.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerVistaADP-1.1.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\Windows\system32\UAService7.exe

--
End of file - 12089 bytes



Je vous remercie beaucoup par avance

[H3bus]

En attendant qu'un helper passe :

preparer-demande-aide-desinfection-vt-55699.html

[bernard53]

Bonsoir

je suis ton sujet dès que tu as mis tes rapports

[julienlabas]

Bonsoir Bernard, et merci

Voilà le rapport OTL.Txt:

http://a6aon9.dl4free.com/

Et le rapport Extras.Txt:

http://hyieg8.dl4free.com/

Pendant l'analyse OTL, ça m'a fait une vingtaine d'alertes avec Antivir...

Au niveau des plantages que ça me fait, les navigateurs refusent régulièrement de se connecter à Internet. A force de recharges, ça finit par passer. Et toutes ces alertes Antivir donc

Je précise que j'utilise Antivir comme antivirus et Malwarebytes' Anti-Malware comme anti-spyware

[bernard53]

ok fait ceci.


Démarrer >> Exécuter >> tapes msconfig puis rends toi a l'onglet démarrage et décoches tout cela.

O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe ()
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (Acer Inc.)
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE (Adobe Systems Incorporated)
O4 - HKLM\..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe (HiTRUST)
O4 - HKLM\..\Run: [NBKeyScan] C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKLM\..\Run: [PCMMediaSharing] C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe ()
O4 - HKLM\..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM\..\Run: [Skytel] C:\Windows\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll (Progressive Networks)
O4 - HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
O4 - HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [Microsoft Firewall 2.9] C:\Users\jepa\AppData\Roaming\WMPRWISE.EXE ()
O4 - HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe ()

Ne redémarre pas le pc cela se fera après le passage de OTL.

Ensuite::

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
SRV - File not found [Auto | Stopped] -- -- (Planificateur LiveUpdate automatique)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O4 - HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [Acer Tour Reminder] File not found
O4 - HKU\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [System Service Host] C:\Users\jepa\AppData\Roaming\svchost.exe ()
[2009/02/15 22:16:11 | 000,000,000 | ---D | M] -- C:\Users\jepa\AppData\Roaming\Temporary
:Commands
[emptytemp]
[emptyflash]
[createrestorepoint]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr/index.php

[H3bus]

Je te laisse donc entre les mains expertes de bernard53

[bernard53]

Je te laisse donc entre les mains expertes de bernard53

[Skynet]

Oulala

Quand j'ai cliqué sur "Correction" dans OTL, ça s'est figé; la fenêtre d'OTL est devenue noire, et une minute après le PC a redémarré

Et je n'ai pas de dossier C:\OTL, mais un dossier C:\_OTL dans lequel il y a une arborescence de dossiers dont le dernier contient un fichier svchost.exe qui me lance des alertes Antivir!! Je n'ai pas donc pas de rapport OTL.Log

EDIT :

Que dois-je faire?

Peut être que j'ai fait une fausse manip? Ou alors que mon PC est plus infecté qu'il n'en a l'air?

EDIT Bis :

Oulala, c'est la cata depuis une demi-heure

Le PC se bloque, je suis obligé de redémarrer, et au redémarrage, Antivir m'ouvre des dizaines de fenêtres d'alertes. J'ai aussi des fenêtes "RunDLL" qui s'ouvrent à la suite d'Antivir

J'ai eu un mal fou à revenir poster ce message!!

Et toutes mes données de boulot qui sont sur le PC!

J'ai peur là

EDIT Ter :

La fenêtre RunDLL me met:

"Erreur de chargement de C:\Users\jepa\AppData\Local\nscher.dll
Accès refusé"

J'ai relancé un OTL comme dans le post de jeanmimigab au dessus, mais je ne sais plus quoi faire

EDIT Quater :

J'ai ré-essayé la procédure, et bien j'ai beau réessayer la désactivation de tout ce que tu m'as dit dans "msconfig", ça revient toujours!!!

J'arrête et j'attends tes instructions

[julienlabas]

J'ai quand même retenté la procédure

1) Pour le "msconfig", le problème, c'est qu'il y a 2 fois cette ligne:

[Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll

Donc je l'ai décochée 2 fois

Quant à celle-là:

C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe

Lorsque je la décoche et que je cliques sur "Appliquer", ça la recoche !!!
Et au redémarrage (après le scan OTL), une des 2 premières (nscher.dll) et à nouveau cochée et la 2e (igfxtray.exe) aussi !!

PS: j'espère que j'ai bien compris et que ce n'est pas dans Hijackthis qu'il fallait faire ça; j'ai bien fait msconfig puis l'onglet démarrage

2) Pour le rapport OTL, ça a mieux marché ce coup-ci

Par contre, cijoint.fr ne veut pas de dépot d'un fichier log, et même quand je le transforme en .txt, ça ne marche pas

Je le mets ici en quote donc:

All processes killed
========== OTL ==========
Error: No service named Planificateur LiveUpdate automatique was found to stop!
Service\Driver key Planificateur LiveUpdate automatique not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry value HKEY_USERS\S-1-5-21-1431605009-1662845966-2266027222-1000\\Software\Microsoft\Windows\CurrentVersion\Run\\Acer Tour Reminder not found.
Registry value HKEY_USERS\S-1-5-21-1431605009-1662845966-2266027222-1000\\Software\Microsoft\Windows\CurrentVersion\Run\\System Service Host not found.
File C:\Users\jepa\AppData\Roaming\svchost.exe not found.
Folder C:\Users\jepa\AppData\Roaming\Temporary\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: jepa
->Temp folder emptied: 350719801 bytes
->Temporary Internet Files folder emptied: 177068688 bytes
->Java cache emptied: 9454 bytes
->FireFox cache emptied: 72233966 bytes
->Google Chrome cache emptied: 594288 bytes
->Flash cache emptied: 2902714 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1946303 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 577,00 mb


[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: jepa
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb



OTL by OldTimer - Version 3.2.20.6 log created on 02092011_034815

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\CLDigitalHome\PCMMediaServer.log scheduled to be moved on reboot.

Registry entries deleted on Reboot...

[Di@blo]

Salut,

1) Pour le msconfig

Regarde dans le registre : http://www.teamatic.net/articles/astuce ... msconfig// pour nettoyer le tout.
Si tu as la même version Windows que la mienne, (XP), (bien qu'avec Vista ou Seven, ça doit le faire aussi pour la manipulation, (ou c'est dans le secteur)), cela peux faire un peu de balayage dans ton ordinateur.

@+

[bernard53]

Bonjour

1) Pour le "msconfig", le problème, c'est qu'il y a 2 fois cette ligne:

[Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll

Donc je l'ai décochée 2 fois OK tu as bien fait

Quant à celle-là:

C:\Users\jepa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe

Pas grave si cette ligne reviens

fait ceci .

* Télécharge sur le bureau RogueKiller (par tigzy)
* Lance le puis valide choix 2.

* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse


Puis:

Installe Malewarebytes' Antimalware,
Téléchargement



*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

[julienlabas]

Bonjour Bernard
Entre le fait que je me suis levé très tard (car couché très tard ) et l'analyse MBAM qui a duré plus de 3 heures , je ne poste que maintenant


Voilà le fichier RKreport.txt de RogueKiller

http://www.cijoint.fr/cjlink.php?file=c ... AIlmdo.txt

Et le rapport final Malewarebytes' Antimalware:

http://www.cijoint.fr/cjlink.php?file=c ... VIw94o.txt


A noter que lors de la suppression par MBAM, Antivir m'a lancé une alerte; j'ai choisi "suppression"

[bernard53]

OK pour les rapports et "RogueKiller " a bien fait les choses

Comment va ton pc maintenant?

[julienlabas]

Je viens de le rallumer, ça a l'air d'aller, pour l'instant

Je suis allé voir dans le dossier C:\Users\jepa\AppData\Local
et le fichier "nscher.dll" a semble-t-il disparu

En revanche, au démarrage du PC, j'ai toujours une fenêtre d'avertissement RunDLL:

"Erreur de chargement de C:\Users\jepa\AppData\Local\nscher.dll
Accès refusé"

[bernard53]

Le fichier "nscher.dll" a bien été supprimer par RoqueKiller

Pour cette demande au démarrage vérifies ceci.

Démarrer--exécuter--tapes msconfig puis onglet démarrage et décoche tout ce qui est en relation avec

C:\Users\jepa\AppData\Local\nscher.dll

ou

C:\Users\jepa\AppData\Local\