Trojan & Virus persistants

Fermé

LSP - 23 mai 2005 à 20:42
LSP - 25 juin 2005 à 00:48

Tout d'abord salut à tous! Normalement ce n'est pas dans mes habitudes de demander de l'aide sur mes probs de PC (très fréquent :p) mais là j'en ai vraiment marre ^^'

Donc en gros, je suis équippé d'Avast, de Zone Alarm, de Spybot et de Adware, et depuis que j'ai installé mon nouveau PC (5 ou 6 jours) le PC rame et gèle très fréquemment, enfin, il ne gèle pas entièrement car je peux continuer à clavarder sur MSN et à lire une page web mais la barre de tâche est complètement buggé et impossible d'accéder aux icones/menu démarer et Ctrl+Alt+Del.

Voyant tous ses bugs, j'ai installé avast aussitot. Ces scans disks ne trouve rien mais par contre, à chaque fois que j'ouvre mon PC et que je me connecte sur le net ils me trouvent et supprime une ribambelle de trojan/virus, généralement toujours les mêmes...

Par exemple:
C:/msdirectx.sys (virus)
C:/DOCUME1/louis/LOCALS1/Temp/isntaller.exe (trojan ou virus)
C:/ruejs.exe
C:/ee.exe
C:/trr.exe
C:/ghb.exe

Il a beau les supprimer chaque fois il revienne toujours...Je suis aller dans le regedit pour voir si je pouvais trouver ces indésirables et je nest trouvé (et supprimé) que "ruejs.exe", "ee.exe" et "trr.exe". Toutefois "ruejs.exe" réapparait malgré tout dans les alertes d'avast.

J'ai aussi fait un scan avec NAV je crois et il ne m'a trouvé qu'un fichier suspicous:

C:\WINDOWS\dumpreg.exe->(UPXW) - Exploit:Win32/Lsass.gen -> Suspicious

Merci d'avance à vous :)

A voir également:

Trojan & Virus persistants
Trojan remover - Télécharger - Antivirus & Antimalwares
Virus trojan al11 ✓ - Forum Virus
Aide pour un virus ✓ - Forum Virus
Svchost.exe virus - Guide
Youtu.be virus - Accueil - Guide virus

113 réponses

Réponse 61 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
15 juin 2005 à 16:40

c est que tu na pas de ads c est deja pas mal
avec la killbox copie colle ceci et met le
C:WINDOWS/system32/rdriv.sys
fait de meme avec l autre

Réponse 62 / 113

LSP
15 juin 2005 à 17:11

J'ai du le supprimer en mode sans échec car Kill BOx buggait quand j'essayais de le supprimer...

Aucun résultat apparamment, avast me dit toujours qu'il est présent et en recherchant dans mon PC, il est toujours là, et une 2e a été créer on dirait bien dans le dossier "!Submit" dans le menu principal du Dique Dure (celui-ci revient à chaque fois que je supprimer et quand j'ouvre le dossier il es vide...mais pourtant en recherchant il me dit qu'un 2e "rdriv.sys" y est)

Sinon j'ai installé Zone Alarm et il me demande d'accepter certains programmes ou j'ai des doutes:

- svchost.exe
- spoolsv.exe
- w32mfpd.exe

Il doit en avoir un d'essentiel dans ces 3 là car quand Zone Alarm est ouvert et que je refuse ceux-là, aucune page web ne s'affiche :p

Réponse 63 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
15 juin 2005 à 17:56

celui la interdit
w32mfpd.exe

Réponse 64 / 113

LSP
16 juin 2005 à 17:52

Bon, avec Zone Alarm de réinstallé le PC roule bcp mieux! Il n'a pas encore buggé pour l'instant c'est qui est très encouageant ^^

Seul hic apparent, avast m'avertir toujours qu'il a détecté un virus dans le fichier rdriv.sys. J'aimerais bien m'en débarasser une fois pour toutes mais on dirait qu'il est indestructible :p

Autre problème, Netscape Navigator ne marche toujours pas ^^

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 65 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
16 juin 2005 à 18:14

vas dans la base de registre et dit moi si tu trouve ceci
HKLM\Software\Microsoft\Windows\Current Version\Run

WinScMngr

si oui tu suppr et ensuite tu suppr le fichier a nouveau
rdriv.sys

Réponse 66 / 113

LSP
16 juin 2005 à 18:47

Non je ne trouve rien

Réponse 67 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
16 juin 2005 à 18:49

tu nas pas trouver se nom dans la base de registre
WinScMngr

Réponse 68 / 113

LSP
16 juin 2005 à 18:58

Non. Je l'est recherché à l'aide du moteur de recherche et à la main dans le dossier que tu m'as donné...

Réponse 69 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
16 juin 2005 à 19:01

redonne moi l emplacement que te donne l anti virus

Réponse 70 / 113

LSP
16 juin 2005 à 19:25

Bon, je viens de faire un scan avec avast et il me trouve enfin quelque chose d'autres! Il a trouvé 5 virus et les a supprimé (dont rdriv.sys et pourtant le message apparaît toujours...)

=> C:\WINDOWS\system32\rdriv.sys
=> C:\WINDOWS\system32\installer.exe
=> C:\WINDOWS\system32\ipsec.exe\bot.exe
=> C:\WINDOWS\system32\ipsec.exe\install.exe
=> C:\WINDOWS\system32\mswin32.exe\[UPX]

J'espère que ça vous mettra sur une piste ^^

Réponse 71 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
16 juin 2005 à 19:26

tu as desactiver ta restauration et vide la quarantaine d avast

Réponse 72 / 113

LSP
16 juin 2005 à 19:34

Oui ma restauration est désactivé depuis 2semaines ^^

Et je viens de supprimer les quelques trucs dans la quarantaine d'avast :)

Réponse 73 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
16 juin 2005 à 19:35

télécharge ceci Registry Search Tool
http://www.billsway.com/vbspage/
decompresse le et tape
rdriv.sys
et copie colle le resultat dans le bloc note et donne le nous

Réponse 74 / 113

LSP
16 juin 2005 à 19:41

Il ne le trouve pas...

Réponse 75 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
16 juin 2005 à 19:43

et si tu met juste ceci
rdriv

Réponse 76 / 113

LSP
16 juin 2005 à 19:48

Il en trouve beaucoup mais comme tu vas le constater la plupart vienne de d'un "r" avant le mot driver :p

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "rdriv" 2005-06-16 13:46:31

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]
"0"="Root\\LEGACY_RDRIV\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\HP LaserJet 1100 (MS)\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
"0"="Root\\LEGACY_RDRIV\\0000"

Réponse 77 / 113

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
16 juin 2005 à 20:10

dur dur ton av le signale toujour

Réponse 78 / 113

LSP
16 juin 2005 à 20:27

Oui il le détecte toujours :/

Je vais partir un autre scan d'avast pour voir s'il trouve d'autres trucs...

Réponse 79 / 113

Utilisateur anonyme
16 juin 2005 à 21:54

salut balltrap, lsp

pas facile de poster en ce moment, apparement il ya un petit probleme non ?

pas facile, lol

rdriv.sys crée un service on dirait
remet un log de startdreck pour voir

Clic sur config
clic sur unmarck all

dans la colonne registry coche:
- run keys
- browsers helpers object
- internet explorer
- shellServicesObjectDelayLoad

dans la colonne Files coche:
- autostart folders

dans la colonne System/drivers coche:
- running processes

Valide ok et clic sur refresh
Maintenant, clique sur save pour enregistrer le log.

puis tu lance hijackthis > open the misc tool section
à coté du bouton générate startuplist log, tu coche les 2 cases
ensuite tu appuie sur générate startuplist log et tu poste le resultat.

poste aussi le rapport de ton av

a+

Réponse 80 / 113

LSP
16 juin 2005 à 22:03

Voici mon rapport de StarDreck:

StartDreck (build 2.1.7 public stable) - 2005-06-16 @ 15:59:14 (GMT -04:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as louis1 at LOUIS

»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
*Mozilla Quick Launch="C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*Smapp=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
*InCD=C:\Program Files\Ahead\InCD\InCD.exe
*NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
*SpeedTouch USB Diagnostics="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
*SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
*RoxioEngineUtility="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
*RoxioDragToDisc="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
*RoxioAudioCentral="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
*Zone Labs Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Browser Helper Objects (LM)
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
*{53707962-6F74-2D53-2644-206D7942484F}
`InprocServer32=C:\PROGRA~1\SPYBOT~1\SDHelper.dll
*Google Toolbar Helper/{AA58ED58-01DD-4d91-8333-CF10577473F7}
`InprocServer32=c:\program files\google\googletoolbar1.dll
»Internet Explorer
»Current User
*Local Page=C:\WINDOWS\System32\blank.htm
*Search Bar=http://www.google.com/ie
*Search Page=http://www.google.com
*Start Page=http://www.google.fr/
+SearchUrl
*provider=gogl
*=http://www.google.com/keyword/%s
»Default User
»Local Machine
*Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
*Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Local Page=%SystemRoot%\system32\blank.htm
*Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Start Page=http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
*CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
*SearchAssistant=http://www.google.com/ie
»ShellServiceObjectDelayLoad (LM)
*PostBootReminder={7849596a-48ea-486e-8937-a2a3009f31a9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*CDBurn={fbeb8a05-beee-4442-804e-409d6c4515e9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED}
`InprocServer32=%SystemRoot%\System32\webcheck.dll
*SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153}
`InprocServer32=C:\WINDOWS\System32\stobject.dll
»Files
»Autostart Folders
»Current User
*C:\Documents and Settings\louis1\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Local Machine
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+744=\SystemRoot\System32\smss.exe
+828=\??\C:\WINDOWS\system32\csrss.exe
+852=\??\C:\WINDOWS\system32\winlogon.exe
+896=C:\WINDOWS\system32\services.exe
+908=C:\WINDOWS\system32\lsass.exe
+1084=C:\WINDOWS\system32\svchost.exe
+1108=C:\WINDOWS\System32\svchost.exe
+1132=C:\Program Files\Ahead\InCD\InCDsrv.exe
+1352=C:\WINDOWS\System32\svchost.exe
+1436=C:\WINDOWS\System32\svchost.exe
+1492=C:\WINDOWS\Explorer.EXE
+1628=C:\WINDOWS\system32\spoolsv.exe
+1752=C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
+1768=C:\Program Files\Alwil Software\Avast4\ashServ.exe
+1824=C:\WINDOWS\System32\nvsvc32.exe
+1872=C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
+1956=C:\WINDOWS\system32\ZoneLabs\vsmon.exe
+472=C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
+760=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
+768=C:\Program Files\Ahead\InCD\InCD.exe
+788=C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
+912=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
+128=C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
+1148=C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
+1196=C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
+1192=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
+1228=C:\WINDOWS\System32\ctfmon.exe
+948=C:\WINDOWS\System32\RUNDLL32.EXE
+1320=C:\Program Files\VIA\RAID\raid_tool.exe
+1380=C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
+1548=C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
+3404=C:\WINDOWS\aim.exe
+1012=C:\Program Files\Mozilla Firefox\firefox.exe
+2964=C:\Program Files\StarDreck\StartDreck.exe
»Application specific

Voici le log d'hijack demandé:

StartupList report, 2005-06-16, 16:00:46
StartupList version: 1.52.2
Started from : C:\Program Files\Hijackthis\de.com.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\WINDOWS\aim.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\de.com.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Smapp = C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
InCD = C:\Program Files\Ahead\InCD\InCD.exe
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
SpeedTouch USB Diagnostics = "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
RoxioEngineUtility = "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
RoxioDragToDisc = "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
RoxioAudioCentral = "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
Mozilla Quick Launch = "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - c:\program files\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Download Program Files:

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118766578622

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

[CRAVOnline Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ravonline.dll
CODEBASE = http://www.ravantivirus.com/scan/ravonline.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 6 350 bytes
Report generated in 0,063 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Pour le rapport d'avast, et ben il ne trouve que le fameux fichier rdriv.sys...le truc qui est curieux c'est qu'en scan régulier il arrive à le supprimer mais lorsqu'il me le dit en auto-protect il n'y arrive pas :/

Netscape ne marche toujours pas sinon ^^ et pour ne pas avoir l'écran obstrué je descend l'avertissement (pour rdriv.sys) tout en bas de l'écran :p

Discussions similaires

Est ce que le site tlauncher est dangereux ?

Softonic,est-ce un virus ?

Comment supprimer le virus Trojan

Virus : trojan:win32/wacatac.h!ml

4 virus en raison d’un porno ????

Discussions similaires

Newsletters