pb virus msdirectx.sys Fermé

Question

bonjour a tous g decouvert recemment que mon ordinateur  etait infecter du virus msdirectx.sys il apparait ttes les 30 secondes impossible a m'en debarasser si quelqun pourrait m'aider SVP g fais un Hijack si kelkun pouvait y jetter un coup d'oeilMERCI D'AVANCE A TOUSLogfile of HijackThis v1.99.1Scan saved at 20:21:41, on 25/07/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\xpjava.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\WINDOWS\System32\ctfmon.exeC:\PROGRA~1\SOFTWA~1\soproc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\WINDOWS\system32\pctspk.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\cmd.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\vgta\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400011&utm_content=leftnav&utm_source=wdz1&utm_medium=bund&utm_campaign=wdz0605aR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%sR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=userinit.exe,xpjava.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Program Files\Accoona\ASearchAssist.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [Network Access] winssh.exeO4 - HKLM\..\Run: [REGRUN32] C:\WINUPDATE2425.exeO4 - HKLM\..\Run: [a2mhbhi2] C:\WINDOWS\System32\a2mhbhi2.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\windows\systemomrade.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\RunServices: [Network Access] winssh.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SOProc_RegWxSzNn] rundll32 shell32.dll,ShellExec_RunDLL C:\PROGRA~1\SOFTWA~1\soproc.exe -pack RegWxSzNnO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao.exeO16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exeO16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122212891781O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe (file missing)O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeO23 - Service: tsecure - Unknown owner - C:\WINDOWS	secure.exeO23 - Service: Windows Configuration Loader - Unknown owner - C:\WINDOWS\svchost.exe

Niouws · Answer

Salut, ton ordinateur est bien victime de HACKTOOL.ROOTKIT. je vois ça à cause de ce fichier : C:\WINDOWS\System32\xpjava.exe Télécharger Spybot search and destroy 1.4, ad-aware 1.06 et counterspy ( des anti-spywares) sur www.telecharger.com Pour les anti-virus télécharge A² Free sur emsisoft.com et bitdefender professionnal edition ou standard sur www.bitdefender.fr

N'oublie pas des les mettres à jours

Lance les analyse, ton pc devrait aller mieux

balltrap34 · Answer

salut
desactive a2 le temp de la manip

imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip

sam · Answer

pb lorsque g copier coller ceci et fais enregistrer sous le nom regspy.reg je ne px pas mettre type tous fichiers il n'y a ke :
-document texte Unicode
-document au format RTF
- document texte MS-DOS
et document texte

lekel dois-je mettre ?? SVP

REGEDIT4

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinAwk"=-
"WinAwk.exe"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HexadecimaRepresentation]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HexadecimaRepresentation]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HexadecimaRepresentation]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HexadecimaRepresentation]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MAPI]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MAPI]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MAPI]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MAPI]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tsecure]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tsecure]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tsecure]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tsecure]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Configuration Loader]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Configuration Loader]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Configuration Loader]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\Lsa]
"restrictanonymous" =-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" =-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_ITUNESMUSIC\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareServer]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareWks]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareServer]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareWks]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" =-
"AUOptions" =-

balltrap34 · Answer

c est pas sur codage mais sur type qu il faut mettre tous fichier

si tu ne la pas enregistre en fichier txt
vas la ou tu la enregistrer et clik droit renommer et met lui le nom que tu veut.reg ex(aa.reg)

balltrap34 · Answer

avec le bloc note copie colle

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MAPI]
"start"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MAPI]
"start"=dword:00000004

enregistre le sur ton bureau met lui comme nom
xx.reg
et sur type tu met tous fichiers
-------------
deconnecte toi
double clik sur le fichier reg que tu vient de faire et confirme

redemarre et nouvelle hijack

balltrap34 · Answer

dans le reg met ceci regedit4 a la place de cela Windows Registry Editor Version 5.00

Utilisateur anonyme · Answer

salut balltrap, samest ce que tu pense que se serait utile, un bat qui recherche les fichiers crées en meme temps que msdirectx et rdriv ?a+

balltrap34 · Answer

salut moe oui cela peut se faire mais sans inclure le reg les services sontdifferentho remarque je n en est vu que 4 ou cinq il me semble

Utilisateur anonyme · Answer

j'ai fais un bat, sur le meme modele que siri pour intell32, mais il fais juste que rechercher msdirectx ou rdriv, au choix.
et il affiche les fichiers crées à la meme date dans c:\windows et system32 mais il ne recherche rien dans le registre

balltrap34 · Answer

okiont vas le tesyter

Utilisateur anonyme · Answer

jete y un oeil:http://get.yourfile.net/ak63754.zip

balltrap34 · Answer

la il y a un soucis archive abimee pas put decompresser

Utilisateur anonyme · Answer

exact, j'ai essayerde le mettre en rar mais meme probleme ca passe pasje l'ai mis en txt ici:http://cjoint.com/data/hArDNtML1j.htm

balltrap34 · Answer

il faut le mettre en zip pas en rar j est le meme soucis sur mon serveur de toute facon je l est je regarde

Utilisateur anonyme · Answer

je l'ai mis en zip sur le 1er lien, mais apparement il y a un prob

balltrap34 · Answer

pas grave je vient de le tester avec fichier msdirectx dans systeme32 il foctionne puis creation d un fichier text et recherche a nouveau no soucis
pas tester dans systeme mais il doit marcher
par contre si ont recherche le 1 t qu il ny a rien ont peut chercher le 2
mais si ont cherche et que l ont trouve ont ne peut pas passer au deuxieme sans fermer et relancer

Utilisateur anonyme · Answer

ben chez moi s'il ne trouve pas le 1 il affiche non trouvé et se ferme
et s'il ne trouve pas le 2 il affiche non trouvé il se ferme aussi.

je vais essayé de modifier pour revenir au menu à la fin de chaques recherches et pouvoir faire les 2 sans relancer à chaques fois

balltrap34 · Answer

c est se que je voulais dire je mp exprime toujour aussi mal lolje cherchais la fonctiondu temp du basic c etais gosub je crois

Utilisateur anonyme · Answer

apres modifshttp://cjoint.com/?hAstfEj2tv

balltrap34 · Answer

la verif des os n est pas obligatoire?

Utilisateur anonyme · Answer

je pense pas avoir vu le prob rdriv ou msdirectx sous win98, mais bon juste au cas ou...Par contre pour rdriv ou msdirectx ils se trouvent bien dans le dossier system32 ?j'ai vu des post ou ils etaient dans C:\WINDOWS\system32\drivers

balltrap34 · Answer

oui sous xp et 2000

Utilisateur anonyme · Answer

ok, alors je me suis pas planté de chemin

balltrap34 · Answer

lol tu ma pas compris il est dans systeme32il me semble aussi avoir vu dans drivers mais j est pas retrouver

Utilisateur anonyme · Answer

mais si je t'ai compris lolj'avais juste un doute pour msdirectx

Pb virus msdirectx.sys

25 réponses

Discussions similaires