A voir également:
- Trojan & Virus persistants
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Aide pour un virus ✓ - Forum Virus
- Svchost.exe virus - Guide
- Youtu.be virus - Accueil - Guide virus
113 réponses
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
15 juin 2005 à 16:40
15 juin 2005 à 16:40
c est que tu na pas de ads c est deja pas mal
avec la killbox copie colle ceci et met le
C:WINDOWS/system32/rdriv.sys
fait de meme avec l autre
avec la killbox copie colle ceci et met le
C:WINDOWS/system32/rdriv.sys
fait de meme avec l autre
J'ai du le supprimer en mode sans échec car Kill BOx buggait quand j'essayais de le supprimer...
Aucun résultat apparamment, avast me dit toujours qu'il est présent et en recherchant dans mon PC, il est toujours là, et une 2e a été créer on dirait bien dans le dossier "!Submit" dans le menu principal du Dique Dure (celui-ci revient à chaque fois que je supprimer et quand j'ouvre le dossier il es vide...mais pourtant en recherchant il me dit qu'un 2e "rdriv.sys" y est)
Sinon j'ai installé Zone Alarm et il me demande d'accepter certains programmes ou j'ai des doutes:
- svchost.exe
- spoolsv.exe
- w32mfpd.exe
Il doit en avoir un d'essentiel dans ces 3 là car quand Zone Alarm est ouvert et que je refuse ceux-là, aucune page web ne s'affiche :p
Aucun résultat apparamment, avast me dit toujours qu'il est présent et en recherchant dans mon PC, il est toujours là, et une 2e a été créer on dirait bien dans le dossier "!Submit" dans le menu principal du Dique Dure (celui-ci revient à chaque fois que je supprimer et quand j'ouvre le dossier il es vide...mais pourtant en recherchant il me dit qu'un 2e "rdriv.sys" y est)
Sinon j'ai installé Zone Alarm et il me demande d'accepter certains programmes ou j'ai des doutes:
- svchost.exe
- spoolsv.exe
- w32mfpd.exe
Il doit en avoir un d'essentiel dans ces 3 là car quand Zone Alarm est ouvert et que je refuse ceux-là, aucune page web ne s'affiche :p
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
15 juin 2005 à 17:56
15 juin 2005 à 17:56
celui la interdit
w32mfpd.exe
w32mfpd.exe
Bon, avec Zone Alarm de réinstallé le PC roule bcp mieux! Il n'a pas encore buggé pour l'instant c'est qui est très encouageant ^^
Seul hic apparent, avast m'avertir toujours qu'il a détecté un virus dans le fichier rdriv.sys. J'aimerais bien m'en débarasser une fois pour toutes mais on dirait qu'il est indestructible :p
Autre problème, Netscape Navigator ne marche toujours pas ^^
Seul hic apparent, avast m'avertir toujours qu'il a détecté un virus dans le fichier rdriv.sys. J'aimerais bien m'en débarasser une fois pour toutes mais on dirait qu'il est indestructible :p
Autre problème, Netscape Navigator ne marche toujours pas ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 juin 2005 à 18:14
16 juin 2005 à 18:14
vas dans la base de registre et dit moi si tu trouve ceci
HKLM\Software\Microsoft\Windows\Current Version\Run
si oui tu suppr et ensuite tu suppr le fichier a nouveau
rdriv.sys
HKLM\Software\Microsoft\Windows\Current Version\Run
WinScMngr
si oui tu suppr et ensuite tu suppr le fichier a nouveau
rdriv.sys
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 juin 2005 à 18:49
16 juin 2005 à 18:49
tu nas pas trouver se nom dans la base de registre
WinScMngr
WinScMngr
Non. Je l'est recherché à l'aide du moteur de recherche et à la main dans le dossier que tu m'as donné...
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 juin 2005 à 19:01
16 juin 2005 à 19:01
redonne moi l emplacement que te donne l anti virus
Bon, je viens de faire un scan avec avast et il me trouve enfin quelque chose d'autres! Il a trouvé 5 virus et les a supprimé (dont rdriv.sys et pourtant le message apparaît toujours...)
=> C:\WINDOWS\system32\rdriv.sys
=> C:\WINDOWS\system32\installer.exe
=> C:\WINDOWS\system32\ipsec.exe\bot.exe
=> C:\WINDOWS\system32\ipsec.exe\install.exe
=> C:\WINDOWS\system32\mswin32.exe\[UPX]
J'espère que ça vous mettra sur une piste ^^
=> C:\WINDOWS\system32\rdriv.sys
=> C:\WINDOWS\system32\installer.exe
=> C:\WINDOWS\system32\ipsec.exe\bot.exe
=> C:\WINDOWS\system32\ipsec.exe\install.exe
=> C:\WINDOWS\system32\mswin32.exe\[UPX]
J'espère que ça vous mettra sur une piste ^^
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 juin 2005 à 19:26
16 juin 2005 à 19:26
tu as desactiver ta restauration et vide la quarantaine d avast
Oui ma restauration est désactivé depuis 2semaines ^^
Et je viens de supprimer les quelques trucs dans la quarantaine d'avast :)
Et je viens de supprimer les quelques trucs dans la quarantaine d'avast :)
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 juin 2005 à 19:35
16 juin 2005 à 19:35
télécharge ceci Registry Search Tool
http://www.billsway.com/vbspage/
decompresse le et tape
rdriv.sys
et copie colle le resultat dans le bloc note et donne le nous
http://www.billsway.com/vbspage/
decompresse le et tape
rdriv.sys
et copie colle le resultat dans le bloc note et donne le nous
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 juin 2005 à 19:43
16 juin 2005 à 19:43
et si tu met juste ceci
rdriv
rdriv
Il en trouve beaucoup mais comme tu vas le constater la plupart vienne de d'un "r" avant le mot driver :p
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "rdriv" 2005-06-16 13:46:31
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]
"0"="Root\\LEGACY_RDRIV\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
"0"="Root\\LEGACY_RDRIV\\0000"
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "rdriv" 2005-06-16 13:46:31
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]
"0"="Root\\LEGACY_RDRIV\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
"0"="Root\\LEGACY_RDRIV\\0000"
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 juin 2005 à 20:10
16 juin 2005 à 20:10
dur dur ton av le signale toujour
Oui il le détecte toujours :/
Je vais partir un autre scan d'avast pour voir s'il trouve d'autres trucs...
Je vais partir un autre scan d'avast pour voir s'il trouve d'autres trucs...
Utilisateur anonyme
16 juin 2005 à 21:54
16 juin 2005 à 21:54
salut balltrap, lsp
pas facile de poster en ce moment, apparement il ya un petit probleme non ?
pas facile, lol
rdriv.sys crée un service on dirait
remet un log de startdreck pour voir
Clic sur config
clic sur unmarck all
dans la colonne registry coche:
- run keys
- browsers helpers object
- internet explorer
- shellServicesObjectDelayLoad
dans la colonne Files coche:
- autostart folders
dans la colonne System/drivers coche:
- running processes
Valide ok et clic sur refresh
Maintenant, clique sur save pour enregistrer le log.
puis tu lance hijackthis > open the misc tool section
à coté du bouton générate startuplist log, tu coche les 2 cases
ensuite tu appuie sur générate startuplist log et tu poste le resultat.
poste aussi le rapport de ton av
a+
pas facile de poster en ce moment, apparement il ya un petit probleme non ?
pas facile, lol
rdriv.sys crée un service on dirait
remet un log de startdreck pour voir
Clic sur config
clic sur unmarck all
dans la colonne registry coche:
- run keys
- browsers helpers object
- internet explorer
- shellServicesObjectDelayLoad
dans la colonne Files coche:
- autostart folders
dans la colonne System/drivers coche:
- running processes
Valide ok et clic sur refresh
Maintenant, clique sur save pour enregistrer le log.
puis tu lance hijackthis > open the misc tool section
à coté du bouton générate startuplist log, tu coche les 2 cases
ensuite tu appuie sur générate startuplist log et tu poste le resultat.
poste aussi le rapport de ton av
a+
Voici mon rapport de StarDreck:
StartDreck (build 2.1.7 public stable) - 2005-06-16 @ 15:59:14 (GMT -04:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as louis1 at LOUIS
»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
*Mozilla Quick Launch="C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*Smapp=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
*InCD=C:\Program Files\Ahead\InCD\InCD.exe
*NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
*SpeedTouch USB Diagnostics="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
*SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
*RoxioEngineUtility="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
*RoxioDragToDisc="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
*RoxioAudioCentral="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
*Zone Labs Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Browser Helper Objects (LM)
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
*{53707962-6F74-2D53-2644-206D7942484F}
`InprocServer32=C:\PROGRA~1\SPYBOT~1\SDHelper.dll
*Google Toolbar Helper/{AA58ED58-01DD-4d91-8333-CF10577473F7}
`InprocServer32=c:\program files\google\googletoolbar1.dll
»Internet Explorer
»Current User
*Local Page=C:\WINDOWS\System32\blank.htm
*Search Bar=http://www.google.com/ie
*Search Page=http://www.google.com
*Start Page=http://www.google.fr/
+SearchUrl
*provider=gogl
*=http://www.google.com/keyword/%s
»Default User
»Local Machine
*Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
*Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Local Page=%SystemRoot%\system32\blank.htm
*Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Start Page=http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
*CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
*SearchAssistant=http://www.google.com/ie
»ShellServiceObjectDelayLoad (LM)
*PostBootReminder={7849596a-48ea-486e-8937-a2a3009f31a9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*CDBurn={fbeb8a05-beee-4442-804e-409d6c4515e9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED}
`InprocServer32=%SystemRoot%\System32\webcheck.dll
*SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153}
`InprocServer32=C:\WINDOWS\System32\stobject.dll
»Files
»Autostart Folders
»Current User
*C:\Documents and Settings\louis1\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Local Machine
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+744=\SystemRoot\System32\smss.exe
+828=\??\C:\WINDOWS\system32\csrss.exe
+852=\??\C:\WINDOWS\system32\winlogon.exe
+896=C:\WINDOWS\system32\services.exe
+908=C:\WINDOWS\system32\lsass.exe
+1084=C:\WINDOWS\system32\svchost.exe
+1108=C:\WINDOWS\System32\svchost.exe
+1132=C:\Program Files\Ahead\InCD\InCDsrv.exe
+1352=C:\WINDOWS\System32\svchost.exe
+1436=C:\WINDOWS\System32\svchost.exe
+1492=C:\WINDOWS\Explorer.EXE
+1628=C:\WINDOWS\system32\spoolsv.exe
+1752=C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
+1768=C:\Program Files\Alwil Software\Avast4\ashServ.exe
+1824=C:\WINDOWS\System32\nvsvc32.exe
+1872=C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
+1956=C:\WINDOWS\system32\ZoneLabs\vsmon.exe
+472=C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
+760=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
+768=C:\Program Files\Ahead\InCD\InCD.exe
+788=C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
+912=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
+128=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
+1148=C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
+1196=C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
+1192=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
+1228=C:\WINDOWS\System32\ctfmon.exe
+948=C:\WINDOWS\System32\RUNDLL32.EXE
+1320=C:\Program Files\VIA\RAID\raid_tool.exe
+1380=C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
+1548=C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
+3404=C:\WINDOWS\aim.exe
+1012=C:\Program Files\Mozilla Firefox\firefox.exe
+2964=C:\Program Files\StarDreck\StartDreck.exe
»Application specific
Voici le log d'hijack demandé:
StartupList report, 2005-06-16, 16:00:46
StartupList version: 1.52.2
Started from : C:\Program Files\Hijackthis\de.com.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\WINDOWS\aim.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\de.com.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Smapp = C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
InCD = C:\Program Files\Ahead\InCD\InCD.exe
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
SpeedTouch USB Diagnostics = "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
RoxioEngineUtility = "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
RoxioDragToDisc = "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
RoxioAudioCentral = "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
Mozilla Quick Launch = "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - c:\program files\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
--------------------------------------------------
Enumerating Download Program Files:
[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118766578622
[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
[CRAVOnline Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ravonline.dll
CODEBASE = http://www.ravantivirus.com/scan/ravonline.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 6 350 bytes
Report generated in 0,063 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Pour le rapport d'avast, et ben il ne trouve que le fameux fichier rdriv.sys...le truc qui est curieux c'est qu'en scan régulier il arrive à le supprimer mais lorsqu'il me le dit en auto-protect il n'y arrive pas :/
Netscape ne marche toujours pas sinon ^^ et pour ne pas avoir l'écran obstrué je descend l'avertissement (pour rdriv.sys) tout en bas de l'écran :p
StartDreck (build 2.1.7 public stable) - 2005-06-16 @ 15:59:14 (GMT -04:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as louis1 at LOUIS
»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
*Mozilla Quick Launch="C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*Smapp=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
*InCD=C:\Program Files\Ahead\InCD\InCD.exe
*NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
*SpeedTouch USB Diagnostics="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
*SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
*RoxioEngineUtility="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
*RoxioDragToDisc="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
*RoxioAudioCentral="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
*Zone Labs Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Browser Helper Objects (LM)
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
*{53707962-6F74-2D53-2644-206D7942484F}
`InprocServer32=C:\PROGRA~1\SPYBOT~1\SDHelper.dll
*Google Toolbar Helper/{AA58ED58-01DD-4d91-8333-CF10577473F7}
`InprocServer32=c:\program files\google\googletoolbar1.dll
»Internet Explorer
»Current User
*Local Page=C:\WINDOWS\System32\blank.htm
*Search Bar=http://www.google.com/ie
*Search Page=http://www.google.com
*Start Page=http://www.google.fr/
+SearchUrl
*provider=gogl
*=http://www.google.com/keyword/%s
»Default User
»Local Machine
*Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
*Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Local Page=%SystemRoot%\system32\blank.htm
*Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Start Page=http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
*CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
*SearchAssistant=http://www.google.com/ie
»ShellServiceObjectDelayLoad (LM)
*PostBootReminder={7849596a-48ea-486e-8937-a2a3009f31a9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*CDBurn={fbeb8a05-beee-4442-804e-409d6c4515e9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED}
`InprocServer32=%SystemRoot%\System32\webcheck.dll
*SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153}
`InprocServer32=C:\WINDOWS\System32\stobject.dll
»Files
»Autostart Folders
»Current User
*C:\Documents and Settings\louis1\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Local Machine
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+744=\SystemRoot\System32\smss.exe
+828=\??\C:\WINDOWS\system32\csrss.exe
+852=\??\C:\WINDOWS\system32\winlogon.exe
+896=C:\WINDOWS\system32\services.exe
+908=C:\WINDOWS\system32\lsass.exe
+1084=C:\WINDOWS\system32\svchost.exe
+1108=C:\WINDOWS\System32\svchost.exe
+1132=C:\Program Files\Ahead\InCD\InCDsrv.exe
+1352=C:\WINDOWS\System32\svchost.exe
+1436=C:\WINDOWS\System32\svchost.exe
+1492=C:\WINDOWS\Explorer.EXE
+1628=C:\WINDOWS\system32\spoolsv.exe
+1752=C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
+1768=C:\Program Files\Alwil Software\Avast4\ashServ.exe
+1824=C:\WINDOWS\System32\nvsvc32.exe
+1872=C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
+1956=C:\WINDOWS\system32\ZoneLabs\vsmon.exe
+472=C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
+760=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
+768=C:\Program Files\Ahead\InCD\InCD.exe
+788=C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
+912=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
+128=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
+1148=C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
+1196=C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
+1192=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
+1228=C:\WINDOWS\System32\ctfmon.exe
+948=C:\WINDOWS\System32\RUNDLL32.EXE
+1320=C:\Program Files\VIA\RAID\raid_tool.exe
+1380=C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
+1548=C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
+3404=C:\WINDOWS\aim.exe
+1012=C:\Program Files\Mozilla Firefox\firefox.exe
+2964=C:\Program Files\StarDreck\StartDreck.exe
»Application specific
Voici le log d'hijack demandé:
StartupList report, 2005-06-16, 16:00:46
StartupList version: 1.52.2
Started from : C:\Program Files\Hijackthis\de.com.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\WINDOWS\aim.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\de.com.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Smapp = C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
InCD = C:\Program Files\Ahead\InCD\InCD.exe
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
SpeedTouch USB Diagnostics = "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
RoxioEngineUtility = "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
RoxioDragToDisc = "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
RoxioAudioCentral = "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
Mozilla Quick Launch = "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - c:\program files\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
--------------------------------------------------
Enumerating Download Program Files:
[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118766578622
[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
[CRAVOnline Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ravonline.dll
CODEBASE = http://www.ravantivirus.com/scan/ravonline.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 6 350 bytes
Report generated in 0,063 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Pour le rapport d'avast, et ben il ne trouve que le fameux fichier rdriv.sys...le truc qui est curieux c'est qu'en scan régulier il arrive à le supprimer mais lorsqu'il me le dit en auto-protect il n'y arrive pas :/
Netscape ne marche toujours pas sinon ^^ et pour ne pas avoir l'écran obstrué je descend l'avertissement (pour rdriv.sys) tout en bas de l'écran :p