Trojan & Virus persistants - Page 6

Précédent
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  1. LSP
     
    UP!

    Je déteste quand mon topic sombre dans les tréfonds du forum ^^

    Sinon je n'est rien trouvé pour l'instant...
    0
  2. Utilisateur anonyme
     
    salut lsp

    voilà ce qu'il y a de nouveau, le scan de pfind news trouve ces 2 fichiers qui correspondent à des trojans.

    wkssvc.exe
    w32mfpd.exe

    reposte un hijack et on essaye de virer tout ca.

    a+
    0
  3. LSP
     
    Voici mon log de hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:39:36, on 2005-06-24
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\aim.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
    C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
    C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\DAP\DAP.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Hijackthis\de.com.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\louis1\Application Data\Mozilla\Profiles\default\flgh7vef.slt\prefs.js)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
    O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
    O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118766578622
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{85D71B1C-59F5-495F-B397-B48D36433D4F}: NameServer = 206.47.244.133 198.235.216.110
    O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Voilà :)
    0
  4. Utilisateur anonyme
     
    salut lsp

    pour commencer, fais analyser ces fichiers ici:
    http://virusscan.jotti.org/
    C:\WINDOWS\wkssvc.exe
    C:\WINDOWS\w32mfpd.exe
    C:\WINDOWS\aim.exe
    et poste le resultat

    pour rdriv, quelle est le chemin exact ?:
    C:WINDOWS\system32\Drivers\rdriv.sys
    ou
    C:WINDOWS\system32\rdriv.sys

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. LSP
     
    Je crois qu'on se rapproche du but :)

    C:\WINDOWS\wkssvc.exe:

    AntiVir
    Found Worm/SdBot.XD.6
    ArcaVir
    Found Trojan.Sdbot.Xd
    Avast
    Found nothing
    AVG Antivirus
    Found IRC/BackDoor.SdBot.BUP
    BitDefender
    Found Backdoor.SDBot.787B53E2
    ClamAV
    Found nothing
    Dr.Web
    Found nothing
    F-Prot Antivirus
    Found nothing
    Fortinet
    Found W32/SDBot.XD-bdr
    Kaspersky Anti-Virus
    Found Backdoor.Win32.SdBot.xd
    NOD32
    Found probably unknown NewHeur_PE (probable variant)
    Norman Virus Control
    Found W32/SDBot.IOW
    VBA32
    Found Backdoor.Win32.SdBot.xd

    -----------------------------------------

    C:\WINDOWS\w32mfpd.exe:

    AntiVir
    Found nothing
    ArcaVir
    Found Trojan.Sdbot.Xd
    Avast
    Found nothing
    AVG Antivirus
    Found IRC/BackDoor.SdBot.190.BE
    BitDefender
    Found Backdoor.SDBot.AC5375B7
    ClamAV
    Found Trojan.SdBot-715
    Dr.Web
    Found nothing
    F-Prot Antivirus
    Found nothing
    Fortinet
    Found W32/SDBot.XD-bdr
    Kaspersky Anti-Virus
    Found Backdoor.Win32.SdBot.xd
    NOD32
    Found probably unknown NewHeur_PE (probable variant)
    Norman Virus Control
    Found W32/SDBot.ITS
    VBA32
    Found Backdoor.Win32.SdBot.xd

    ------------------------------------------

    C:\WINDOWS\aim.exe:

    AntiVir
    Found Worm/SdBot.61440.11
    ArcaVir
    Found Trojan.Sdbot.Xd
    Avast
    Found nothing
    AVG Antivirus
    Found IRC/BackDoor.SdBot.BSL
    BitDefender
    Found Backdoor.Irc.Sdbot.72
    ClamAV
    Found nothing
    Dr.Web
    Found BackDoor.IRC.Sdbot.72
    F-Prot Antivirus
    Found nothing
    Fortinet
    Found W32/SDBot.XD-bdr
    Kaspersky Anti-Virus
    Found Backdoor.Win32.SdBot.xd
    NOD32
    Found probably unknown NewHeur_PE (probable variant)
    Norman Virus Control
    Found W32/SDBot.IGJ
    VBA32
    Found Backdoor.Win32.SdBot.xd

    Voilà :)

    PS. C'est moi ou avast ne détectait aucun de ces 3 virus ¬¬
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    avast ne les detecte pas la preuve dans l analyse que tu vient de faire regarde les lignes avast
    0
  8. Utilisateur anonyme
     
    bingo

    pour rdriv, quelle est le chemin exact ?:
    C:WINDOWS\system32\Drivers\rdriv.sys
    ou
    C:WINDOWS\system32\rdriv.sys
    0
  9. LSP
     
    Ce chemin là:

    C:WINDOWS\system32\rdriv.sys

    Sinon si je fais scanner rdriv.sys avec le dernier lien ça fait bugger complètement le PC

    Sinon j'ai de la misère à fermer le PC depuis quelque temps ^^ Je dois le faire à la main la plupart du temps :p
    0
  10. Utilisateur anonyme
     
    Telecharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe
    l'aide en image ici:
    http://get.yourfile.net/ix48472.jpg

    redemarre en mode sans echecs

    lance hijackthis
    coche et fixe:
    O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe

    1- Double-clic sur KillBox.exe
    2- ouvre le bloc note et copie la liste en gras ci-dessous
    3- Selectionne "Delete on Reboot"
    4- Copie le chemin du 1er fichier de la liste en gras et colle dans "Full Path of File to Delete"
    5- clic sur la croix rouge
    6- une fenetre va apparaitre pour confirmation clic sur YES
    7- une seconde fenetre te demande si tu veux redemarrer clic sur NO

    Recommence à l'étape 3 pour chaques fichiers de la liste en gras.
    Une fois le dernier fichier selectionnées, a l'étape 7 clic sur YES

    Liste:
    C:\WINDOWS\wkssvc.exe
    C:\WINDOWS\w32mfpd.exe
    C:\WINDOWS\aim.exe
    C:WINDOWS\system32\rdriv.sys


    une fois que le pc aura redemarrer, relance hijackthis
    clic sur "open the misc tools section"
    clic sur "delete an NTservice"
    tape AIM
    valide

    redemarre une nouvelle fois ton pc et dis moi s'il y a du mieux

    a+
    0
  11. LSP
     
    Aucun changement pour l'instant...

    Sinon j'ai du redémarrer à la main (peser sur le bouton reset) car il ne redémarrais pas (ça fait ça depuis quelques jours en fait...)

    Pour le "delete an NTsercice", ce message d'erreur apparaît:

    "The service "AIM" is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the Service.msc window."

    PS. Je part en vacances jusqu'à mardi dans 2heures environ, tâcher de pas oublier d'ici là ;)
    0
  12. Utilisateur anonyme
     
    essaye ceci:

    1 demarrer > executer tape ou fais un copier coller:

    sc config AIM start= disabled
    valide

    2 demarrer > executer tape ou fais un copier coller:

    sc stop AIM
    valide

    3 demarrer > executer tape ou fais un copier coller:

    sc delete AIM
    valide

    ensuite, toujours:

    4 demarrer > executer tape ou fais un copier coller:

    sc config rdriv start= disabled
    valide

    5 demarrer > executer tape ou fais un copier coller:

    sc stop rdriv
    valide

    6 demarrer > executer tape ou fais un copier coller:

    sc delete rdriv
    valide

    est ce que tu as vérifier si les fichiers que tu viens de supprimer avec killbox, sont biens partis ?
    0
  13. LSP
     
    Je sais pas trop si ça marché car à chaque fois que la fenetre noir de Dos apparaissais, elle disparassais aussitôt (elle restait même pas 1 seconde...)

    Sinon les 3 premiers prog ne sont plus là :) Et bonne nouvelle rdriv.sys semble avoir disparu! Je l'est recherché, et supprimer et avast a trouvé ceci que j'ai supprimé aussitôt:

    C:\RECYCLER\S-1-5-21-1202660629-776561741-725345543-1003\Dc2.sys

    Je redémarre et vous dis comment ça va
    0
  14. LSP
     
    Bon, plus de trace de rdriv.sys :)

    Le PC se ferme facilement comme avant mais Netscape ne marche toujours pas.

    J'suis allé faire un tour dans le registre "regedit" et j'suis tombé sur un doc contenant une douzaine de prog qui m'ont causé problème "aim.exe, rdriv.sys, wkssvc.exe, et de plus ancien"

    En redémarrant 2 fois j'ai retrouvé un rdriv.sys dans le registre comme si il se regénérait...

    Sinon j'ai des doutes sur un truc dans mon registre que j'ai supprimé aussi, "dumpreg.exe" qui apparamment nest rien de bon et était conjoint à "rdriv.sys"

    Sur ce je quitte mon PC jusqu'à mardi :)
    0
Précédent
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6