Bonjour à tous,
 
Mon pc (WinXP, SP3) est infecté par "symlsnreg.exe".
Et, je n'arrive pas à le supprimer ...
 
En continue, il modifie la base de registre.
ça donne ça :
Interdit l'accès à la base de registre,
Interdit l'accès à l'invite de commande,
Plus de raccourci "Executer"...
Idem pour le gestionnaire des taches,
Et idem pour tous les Outis d'Administrations,
Empêche l'affichage des fichiers cachés/systèmes,
Désactive la restauration système ...
 
Et, il empêche le lancement de :
Nod32, Spybot, HitjackThis (pas de log donc), ZoneAlarm, pskill ...
 
Et, impossible démarrer en Mode Sans echec, il modifie aussi au niveau de la base de registre les réglages pour le mode sans echec, et a supprimé toute une série de clé nécessaire ...
(Si je démarre en mode sans echec, au bout de 30sec j'ai un beau blue screen pendant 1/2 seconde et redémarrage derrière...)
 
Je ne sais donc plus quoi faire pour me débarasser de cette saleté...
Le mode sans echec ne passe pas, et j'arrive pas à killer le process pour le supprimer dérrière ...
 
Donc, si quelqu'un aurait une idée à me proposer, je suis preneur !
Sinon, je crois que je me dirige vers une solution radicale et expéditive ...
 
Voila ...
Merci par avance pour vos réponses.
 
---
 
Pas de log HitjackThis, désolé, il ne se lance plus ...
Idem pour tout autre rapport de scan ...
Regmon de la suite SysInternals est le seul logiciel que j'ai réussi à faire tourner et qui m'a filer ces infos ...
 
Voila ce que je sais sur "symlsnreg"
 
Emplacement de la saleté :
C:\WINDOWS\system32\symlsnreg.exe
 
Nom du service :
Symantec Registery Services
 
Avec une entrée dans la base de registre pour le démarrage auto :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
 
 
Et il touche en permanance aux entrées suivantes de la base de registre :
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Disabletaskmgr
 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
 
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
 
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\LogFileName
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option

meme probleme , ça semble le vers du moment et sais pas comment il est venu celui là !!

Muarf : /
 
Je suis pas le seul ...
Si tu trouves comment t'en débarasser, tu me tiens au courant ?
 
Moi je sais comment je l'ai récupéré ...
J'ai fait la connerie de brancher une clé usb d'un mec ... alors que l'antivirus était off ...

Téléchargez un live-cd sur base Linux avec antivirus...
 
Exemple:
 
1) F-Secure
 http://www.f-secure.com/linux-webl [...] -released/
 
Pensez à dl les def sur une clé usb à part, c'est plus rapide (lien dans le pdf joint à l'iso)
 
Je vous conseille celui-là, l'iso est rapide à dl (~150Mo si mes souvenirs sont bons) et l'antivir efficace.  
 
2) Knoppicillin
http://www.heise.de/software/downl [...] tion/37894
 
ou sur base windows, UBC4WIN ( http://www.ubcd4win.com/ ) mais ca demande plus de temps pour compiler l'iso etc..  
 
Bonne chance
 
Edit: marshall-jey-67> Remercie ton virus d'avoir empeché un scan hijackthis sinon ce sujet aurait été fermé (post de log hijack interdit)

essaie eventuellement ca : http://www.bleepingcomputer.com/st [...] 23906.html (avec SDfix)

Cereal_Killer,
 
Merci, Je vais essayer ça en croisant les doigts ...
 
Mais j'y crois pas trop :s
J'ai déjà boot sur un live cd linux pour tenter de supprimer l'exe via le live cd ...
Le virus (symlsnreg.exe) n'est pas affiché sous linux ... (Enfin, linux c'est pas mon truc donc, tet que je suis passé à coté de quelque chose)
 
Zonka,
J'ai déjà regardé mais ...
Tout ce qu sdfix c'est restaurer les droits sur l'invite de cmd, le registre, le gestionnaire des taches, etc ...
Je veux avant tout virer le virus ...
Puis, pour sdfix, faut démarrer en mode sans echec (impossible, le virus a delete les entrées dans la bdr > blue screen en mode sans echec au démmarage) ; et après, faut executer des cmd, et toucher à la base de registre : le virus m'en bloque l'accès ...
Une fois que j'aurais tuer le process/virer le virus je pourrais me servir de sdfix...
mais là, ça sert à rien ...

As-tu pris au moins une distrib qui puisse lire et écrire sur les partitions ntfs?  
 
Essaye F-Secure, ca devrait marcher

F-Secure en cours de téléchargement ...
Je teste ça dès que possible !
 
Pour la distrib, ouais elle lis les partition nfs...
Elle n'écris pas dessus, mais vu que le fichier est pas "visible" ... la question se pose pas : /

Bon, finalement j'ai réussi à supprimer l'.exe...
Via "Erd Commander" qu'un pote m'a filé ... (un Live cd windows...)
Mais, je pense qu'un live cd linux avec ou sans antivir qui gère le ntfs, doit permettre de virer le truc ...
 
Enfin,j'ai formater derriere ...
Parce que vu tous ce qu'il a touché & virer au niveau du registre : /
 
Enfin, merci à tous ^^
Et surtout à toi Cereal_Killer