Forum Clubic

"symlsnreg.exe" : Virus impossible à supprimer

Bonjour à tous,

Mon pc (WinXP, SP3) est infecté par “symlsnreg.exe”.
Et, je n’arrive pas à le supprimer …

En continue, il modifie la base de registre.
ça donne ça :
Interdit l’accès à la base de registre,
Interdit l’accès à l’invite de commande,
Plus de raccourci “Executer”…
Idem pour le gestionnaire des taches,
Et idem pour tous les Outis d’Administrations,
Empêche l’affichage des fichiers cachés/systèmes,
Désactive la restauration système …

Et, il empêche le lancement de :
Nod32, Spybot, HitjackThis (pas de log donc), ZoneAlarm, pskill …

Et, impossible démarrer en Mode Sans echec, il modifie aussi au niveau de la base de registre les réglages pour le mode sans echec, et a supprimé toute une série de clé nécessaire …
(Si je démarre en mode sans echec, au bout de 30sec j’ai un beau blue screen pendant 1/2 seconde et redémarrage derrière…)

Je ne sais donc plus quoi faire pour me débarasser de cette saleté…
Le mode sans echec ne passe pas, et j’arrive pas à killer le process pour le supprimer dérrière …

Donc, si quelqu’un aurait une idée à me proposer, je suis preneur !
Sinon, je crois que je me dirige vers une solution radicale et expéditive …

Voila …
Merci par avance pour vos réponses.


Pas de log HitjackThis, désolé, il ne se lance plus …
Idem pour tout autre rapport de scan …
Regmon de la suite SysInternals est le seul logiciel que j’ai réussi à faire tourner et qui m’a filer ces infos …

Voila ce que je sais sur “symlsnreg”

Emplacement de la saleté :
C:\WINDOWS\system32\symlsnreg.exe

Nom du service :
Symantec Registery Services

Avec une entrée dans la base de registre pour le démarrage auto :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Et il touche en permanance aux entrées suivantes de la base de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Disabletaskmgr

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\LogFileName
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option

Salut

Comme,ce par suivre cette procédure :wink:

Salut,
Merci pour ta réponse mais …

hijactkthis ne se lance plus, idem pour mon antivirus (nod32) ; pour un scan c’est pas la peine …
Le nettoyage des fichiers temp et autres est fait…

Pour Malwarebytes Antimalware, j’ai déjà lancé un scan avec …
Il se contente de trouver 3 clés du registre qui sont modifiées (alors qu’il y en a d’avantage), sans trouver la cause des modifications …
Et, sa fonction de réparation ne marche absolument pas …

En fait, les différents scan & autres indiqués dans la procédure ne servent pas …
Je sais ce que j’ai comme salopperie, je sais où elle est …
Je suis juste incapable de la supprimer … C’est ça mon seul problème … Réussir à delete la saloperie (alors que j’ai plus la main sur grand chose …)

Salut

je pense que tu as fais ceci

Ensuite fais « demarrer / executer » et tapez taskmgr et OK.

Dans la fenêtre de processus qui s’ouvre sélectionnes explorer.exe (mets-le en subrillance) puis cliques sur le bouton « terminer le processus ». Laissez le gestionnaire de taches ouvert, nous allons encore en avoir besoin.

Fais de nouveau « demarrer / executer » et tapez cmd

Il ne reste plus qu’à te placer dans le dossier correspondant au fichier (tapez « help » pour savoir les commandes sous ce mode invite) et ensuite une fois dans le dossier, tapes del votrefichier.son extension par exemple del vacances.avi pour le supprimer définitivement.

Ensuite dans le gestionnaire de taches cliquez sur « fichier » ensuite sur « nouvelle tache » et tapez explorer.exe et ok.

Simple et rapide sans passer par le mode sans échecs

sinon

www.01net.com…

Dedans il y à “Sauvetage & destruction des fichiers” 30 jours d essai

Même en renommant en scan.exe?

Sinon désactive tes protection.
Lance combofix, laisse travailler et colle le rapport

cricri58,

Plus d’exécuter dans le menu démarrer …
Le gestionnaire, je peux pas le lancer … J’ai une boite d’erreur “Le gestionnaire des taches a été désactivée par votre administrateur”
(Oui je suis loggé via le compte administrateur, oui j’ai les droits)

symlsnreg modifie la base de registre en permanence
ici :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
-> pas d’exécuter dans le menu démarrer
et ici :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Disabletaskmgr
-> pas de gestionnaire des taches

Donc, je peux pas killer le process …
J’ai aussi essayé via pskill, et procexp, marche pas …

Et pour, l’utilitaire de supression des fichiers marches pas …
J’ai déjà essayé, pas avec TuneUp, mais le .exe n’est pas delete …

guigui14100,

Heu, en renommant quoi en “scan.exe” ?

Combofix plante directe … Comme la quasi totalité des antispyware / antivirus que j’ai essayé …
Il se lance, une petite barre de progression s’affice pendant 1, 2 secondes… Il se ferme dérrière …
(Killer par symlsnreg.exe je pense)

Hijackthis comme dans la procédure que je t’ai donner


Essaye combofix en mode sans echec ;)

Sinon essayes SDFix
www.tayo.fr…
Tutoriel
www.tayo.fr…

Essaye Hijackthis renommer en mode sans échec aussi :wink:


Essaye d'uploader [quote=""] C:\WINDOWS\system32\symlsnreg.exe [/quote] sur ce site [upload.malekal.com...](http://upload.malekal.com/) la personne l'enverra au éditeur pour analyse afin que les prochain soit protégé contre cette :@
Et sur [uploads.malwarebytes.org...](http://uploads.malwarebytes.org/) si il remarche
Si rien ne marche dans ce qu'on ta dit bah lance toi vers les scan en ligne

Housecall
Bitdefender
Nod 32
Safety Scanner

Aurais tu prêté une clé USB a quelqu un ??

je viens de trouver ceci
translate.google.fr…
puis clique sur IRCBot
il utilise SDFix

Tu a pu le chopper sur messenger aussi

Possible aussi guigui14100


si c est le cas d une USB d ou l interêt de la desinfecter au retour perso je fais un clic droit et scan ma cle avec ce que j ai dans le menu contextuel Avira et Malwarebytes

lis ceci

www.commentcamarche.net…

forum.malekal.com…

guigui14100,

Effectivement, renommer hitjackthis.exe en autre chose.exe permet de le lancer …
(Je comprend pas comment ça se fait mais bon)

Au niveau du log, ce qui en ressort :
O4 - HKLM…\Run: [Symantec Registery Services] symlsnreg.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

ça confirme ce que je donnais comme info dans mon 1er message,

Et, a priori, symlsnreg.exe touche aussi au winsock … :

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

Mais, impossible de réparer/supprimer ces entrées … J’ai pas accès à la base de registre (le virus m’en bloque l’accès, et tant qu’il tourne, il remet en continue DisableRegedit=1 et se met en démarrage auto ; entre autre)
Donc, tant que je peux pas tuer le process, ça me sert pas à grand chose …
Vu que tout le problème est là : tuer le process, après rétablir les paramètres de la bdr je devrais m’en sortir …

Et, le mode sans echec ne passe plus ! La saloperie a supprimé des entrées dans la base de registre, si je tente un boot en mode sans echec, ça marche pas, j’ai un joli blue screen…

Et, pour les scan en ligne, j’en vois pas l’intérêt …
Je sais ce que j’ai comme virus, je sais où il est, je sais ce qu’il fait …
J’arrive pas à le supprimer, c’est ça mon problème !

cricri58,
Ouais, via une clé usb,
Mais, je ne vois pas trop l’intérêt de savoir comment j’ai récupérer le virus …
Ce que je veux, c’est le virer …

Et pour sdfix : il faut : booter en mode sans echec (impossible) ; executer des cmd et toucher à la base de registre (aussi impossible)…

Pour ma part, j’ai attrapé son cousin et il a fallu que je formate…:frowning:

regarde

translate.google.fr…

translate.google.fr…


Sur tout les sites c est la galére pour le supprimer ???

Post le log hijackthis pour voir l’ampleur de l’infection :wink:


[quote=""] Et, pour les scan en ligne, j'en vois pas l'intérêt ... Je sais ce que j'ai comme virus, je sais où il est, je sais ce qu'il fait ... J'arrive pas à le supprimer, c'est ça mon problème ! [/quote] Les scan que je t'ai donner peuvent supprimer les infections ;)

Normalement
soit Bitdefender online scanner
soit ESET online scan

Laisse ta clés connecter pour que sa face sa désinfection en même temps :wink:

d apres ce ue j ai lu un internaute avait essayé avec Bitdefender online scanner sans succés

mais essayes quand même avec Explorer
www.bitdefender.com…

et

Tente ta chance sur ESET online scanner avec Explorer
www.eset.eu…

Sinon iCI peut être
TrendMicro HouseCall avec Explorer
www.trendsecure.com…

Bonne Chance

les antivirus detectent et supprime certain fichiers mais pas tous… 2 dans la base de registre restent toujours actif et ne peuvent etre enleveé par les antivirus…