Troyens sous XP SP1
ccmember
Messages postés
2
Statut
Membre
-
PurpleStorm Messages postés 3273 Statut Contributeur -
PurpleStorm Messages postés 3273 Statut Contributeur -
Bonjour,
Une de mes amies a des problèmes récurrents avec des virus. Elle est sous Windows XP SP1 et souhaiterait tout nettoyer avant d'installer SP2 (mais surtout pour pouvoir surfer en paix, d'autant qu'elle est encore en bas débit par modem).
Elle n'est pas experte et je ne m'y connais pas beaucoup plus. Merci donc par avance pour votre coup de main.
Elle a Norton et AntiVir. Norton détecte tjs Trojan.cachecachekit dans le fichier rdriv.sys avec, me dit-elle, impossibilité de mettre en quarantaine ou de supprimer . Elle a une fenêtre de demande de connexion (intempestive) à des choses comme iownyourmom.info (ou autre plaisanterie du genre).
Voici son rapport Hijack (attention, je l'ai reçu sur feuille ordinaire et l'ai scanné, il y a peut-être encore qq caractères non nettoyés).
Quelles lignes doit-elle fixer et d'une manière générale quelles sont les étapes qu'elle doit suivre ?
Logfile of HijackThis vl.99.1
Scan saved at 18:29:28, on 24/07/2005
platform: windows XP (win NT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
c:\Program Files\Avpersonal\AvGUARD.EXE
c:\Program Files\Avpersonal\AvwUPSRV.EXE
C:\program Files\NavNT\defwatch.exe
C:\program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\msyrd32.exe
C:\program Files\NavNT\rtvscan.exe
C:\PROGRA~1\ACDSYS-1\ACDSee\CAMDET~1.EXE
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\E-S10IC2.EXE
C:\PROGRA-1\NavNT\vptray.exe
C:\program Files\Avpersonal\AVGNT.EXE
c:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsgSyS.EXE
C:\WINDOWS\system32\rasautou.exe
C:\Hijackthis\HijackThis.exe
R1- HKCU\software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.free.fr/search/
RO- HKCU\software\Microsoft\Internet Explorer\Main,Start page =
http://www.google.fr/
R1- HKLM\Software\Microsoft\Internet Explorer\Main,Default-page-uRL =
http://home.free.fr/
RO- HKCU\software\Microsoft\Internet Explorer\Main,Local page =
R1- HKCU\Software\Microsoft\Internet Connection wizard,shellNext =
http://home.free.fr/
R1 -HKCU\software\Microsoft\windows\Currentversion\Internet
Sett;ngs,AutoConfiguRL = http://support.free.fr/proxy.pac
R1 -HKCU\software\Microsoft\windows\Currentversion\Internet
'.', setti ngs , proxyServer = http=proxy. free .fr: 3128; ftp=proxy .free .fr: 3128
02- BHO: AcroIEHlprObj Class -{06849E9F-C8D7-4D59-B87D-784B7D6BEOB3}
c:\Program Files\Adobe\Acrobat 5.0\Reader\Activex\AcroIEHelper.ocx
03- Toolbar: &Radio -{8E718888-423F-11D2-876E-OOAOC9082467} -
C:\WINDOWS\system32\msdxm.ocx
04- HKLM\..\Run: [ashMa;SvJ C:\TEMPOR-1\ALWILS-1\Avast4\ashma;sv.exe
04- HKLM\..\Run: [KernelFaultCheckJ %systemroot%\system32\dumprep O -k
04- HKLM\..\Run: [ Microsoft client/server Runtime Server subsystemJ csrs.exe
04- HKLM\..\Run: [camera DetectorJ C:\PROGRA-1\ACDSYS-1\ACDSee\CAMDET-1.EXE
04- HKLM\..\Run: [EPSON Stylus cx3200J
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E-S10IC2.EXE /p19 "EPSON Stylus
CX3200" /06 'USBOO2" /M "styl us Cx3200"
04- HKLM\..\Run: [vptrayJ C:\PROGRA-1\NavNT\vptray.exe
04- HKLM\..\Run: [SYSTRAYJ C:\UNMT.EXE
04- HKLM\..\Run: [AvGctrlJ c:\Program Files\Avpersonal\AVGNT.EXE /min
04- HKLM\. .\Run: [NavRegRem;nderJ "C:\WINDOWS\temp\NavBrOWSer.exe" /r /;
"C:\WINDOWS\temp\NavLoad.ini"
04- HKLM\..\RunServices: [ Microsoft client/server Runt;me Server subsystemJ
csrs.exe
04- HKCU\..\Run: [MSMSGSJ "C:\program Files\Messenger\msmsgs.exe" /background
04- HKCU\..\Run: [ctfmon.exeJ C:\WINDOWS\system32\ctfmon.exe
04- Global startup: Adobe Gamma Loader.exe.lnk = C:\program Files\F;chiers
communs\Adobe\calibrat;on\Adobe Gamma Loader.exe
04- Global Startup: M;crosoft office.lnk = c:\Program Files\Microsoft
office\office\osA9.EXE
014- IERESET.INF: START-PAGE-URL=http://home.free.fr/
015- ProtocolDefaults: 'http' protocol is in My computer zone, should be
Internet Zone
016- DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.windupdates.com/cab/MediaAccessverisign/ie/bridge-c11.cab
016- DPF: {6414512B-B978-451D-AOD8-FCFDF33E833C} (wuwebcontrol Class) -
http://update.microsoft.com/windowsupdate/v6/v5Controls/en/x86/client/wuweb-site
.cab?1120754923809
020- winlogon Notify: NavLogon -C:\WINDOWs\System32\NavLogon.dll
023- service: Antivir Service (Antivirservice) -H+BEDV Datentechnik GmbH -
c:\Program Files\Avpersonal\AVGUARD.EXE
023- Service: Antivir update (AVWUpsrv) -H+BEDV Datentechnik GmbH, Germany -
C:\Program Files\Avpersonal\AvwuPsRV.EXE
023- Service: Defwatch -symantec corporation -c:\Program
Files\NavNT\defwatch.exe
023- Service: EpsonBidirectionalservice - Unknown owner - c:\Program
Files\Fichiers communs\EPSON\EBAPI\eEBsVC. exe
023- Service: EPSON printer Status Agent2 (EPSONStatusAgent2) -SEIKO EPSON
CORPORATION -c:\program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
023- Service: Hardware clock Driver (hwclock) -unknown owner -
C:\WINDOWS\system32\hwclock.exe (file missing)
023- Service: MsGrd32 -unknown owner -C:\WINDOWS\msyrdrd32.exe
023- Service: Net Functioons Library (Netlib) -unknown owner-
C:\WINDOWS\System32\Netlib.exe missing)
023- Service: Norton Antivirus client (Norton Antivirus Server) -symantec
corporation -c:\Program Files\NavNT\rtvscan.exe
Une de mes amies a des problèmes récurrents avec des virus. Elle est sous Windows XP SP1 et souhaiterait tout nettoyer avant d'installer SP2 (mais surtout pour pouvoir surfer en paix, d'autant qu'elle est encore en bas débit par modem).
Elle n'est pas experte et je ne m'y connais pas beaucoup plus. Merci donc par avance pour votre coup de main.
Elle a Norton et AntiVir. Norton détecte tjs Trojan.cachecachekit dans le fichier rdriv.sys avec, me dit-elle, impossibilité de mettre en quarantaine ou de supprimer . Elle a une fenêtre de demande de connexion (intempestive) à des choses comme iownyourmom.info (ou autre plaisanterie du genre).
Voici son rapport Hijack (attention, je l'ai reçu sur feuille ordinaire et l'ai scanné, il y a peut-être encore qq caractères non nettoyés).
Quelles lignes doit-elle fixer et d'une manière générale quelles sont les étapes qu'elle doit suivre ?
Logfile of HijackThis vl.99.1
Scan saved at 18:29:28, on 24/07/2005
platform: windows XP (win NT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
c:\Program Files\Avpersonal\AvGUARD.EXE
c:\Program Files\Avpersonal\AvwUPSRV.EXE
C:\program Files\NavNT\defwatch.exe
C:\program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\msyrd32.exe
C:\program Files\NavNT\rtvscan.exe
C:\PROGRA~1\ACDSYS-1\ACDSee\CAMDET~1.EXE
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\E-S10IC2.EXE
C:\PROGRA-1\NavNT\vptray.exe
C:\program Files\Avpersonal\AVGNT.EXE
c:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsgSyS.EXE
C:\WINDOWS\system32\rasautou.exe
C:\Hijackthis\HijackThis.exe
R1- HKCU\software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.free.fr/search/
RO- HKCU\software\Microsoft\Internet Explorer\Main,Start page =
http://www.google.fr/
R1- HKLM\Software\Microsoft\Internet Explorer\Main,Default-page-uRL =
http://home.free.fr/
RO- HKCU\software\Microsoft\Internet Explorer\Main,Local page =
R1- HKCU\Software\Microsoft\Internet Connection wizard,shellNext =
http://home.free.fr/
R1 -HKCU\software\Microsoft\windows\Currentversion\Internet
Sett;ngs,AutoConfiguRL = http://support.free.fr/proxy.pac
R1 -HKCU\software\Microsoft\windows\Currentversion\Internet
'.', setti ngs , proxyServer = http=proxy. free .fr: 3128; ftp=proxy .free .fr: 3128
02- BHO: AcroIEHlprObj Class -{06849E9F-C8D7-4D59-B87D-784B7D6BEOB3}
c:\Program Files\Adobe\Acrobat 5.0\Reader\Activex\AcroIEHelper.ocx
03- Toolbar: &Radio -{8E718888-423F-11D2-876E-OOAOC9082467} -
C:\WINDOWS\system32\msdxm.ocx
04- HKLM\..\Run: [ashMa;SvJ C:\TEMPOR-1\ALWILS-1\Avast4\ashma;sv.exe
04- HKLM\..\Run: [KernelFaultCheckJ %systemroot%\system32\dumprep O -k
04- HKLM\..\Run: [ Microsoft client/server Runtime Server subsystemJ csrs.exe
04- HKLM\..\Run: [camera DetectorJ C:\PROGRA-1\ACDSYS-1\ACDSee\CAMDET-1.EXE
04- HKLM\..\Run: [EPSON Stylus cx3200J
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E-S10IC2.EXE /p19 "EPSON Stylus
CX3200" /06 'USBOO2" /M "styl us Cx3200"
04- HKLM\..\Run: [vptrayJ C:\PROGRA-1\NavNT\vptray.exe
04- HKLM\..\Run: [SYSTRAYJ C:\UNMT.EXE
04- HKLM\..\Run: [AvGctrlJ c:\Program Files\Avpersonal\AVGNT.EXE /min
04- HKLM\. .\Run: [NavRegRem;nderJ "C:\WINDOWS\temp\NavBrOWSer.exe" /r /;
"C:\WINDOWS\temp\NavLoad.ini"
04- HKLM\..\RunServices: [ Microsoft client/server Runt;me Server subsystemJ
csrs.exe
04- HKCU\..\Run: [MSMSGSJ "C:\program Files\Messenger\msmsgs.exe" /background
04- HKCU\..\Run: [ctfmon.exeJ C:\WINDOWS\system32\ctfmon.exe
04- Global startup: Adobe Gamma Loader.exe.lnk = C:\program Files\F;chiers
communs\Adobe\calibrat;on\Adobe Gamma Loader.exe
04- Global Startup: M;crosoft office.lnk = c:\Program Files\Microsoft
office\office\osA9.EXE
014- IERESET.INF: START-PAGE-URL=http://home.free.fr/
015- ProtocolDefaults: 'http' protocol is in My computer zone, should be
Internet Zone
016- DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.windupdates.com/cab/MediaAccessverisign/ie/bridge-c11.cab
016- DPF: {6414512B-B978-451D-AOD8-FCFDF33E833C} (wuwebcontrol Class) -
http://update.microsoft.com/windowsupdate/v6/v5Controls/en/x86/client/wuweb-site
.cab?1120754923809
020- winlogon Notify: NavLogon -C:\WINDOWs\System32\NavLogon.dll
023- service: Antivir Service (Antivirservice) -H+BEDV Datentechnik GmbH -
c:\Program Files\Avpersonal\AVGUARD.EXE
023- Service: Antivir update (AVWUpsrv) -H+BEDV Datentechnik GmbH, Germany -
C:\Program Files\Avpersonal\AvwuPsRV.EXE
023- Service: Defwatch -symantec corporation -c:\Program
Files\NavNT\defwatch.exe
023- Service: EpsonBidirectionalservice - Unknown owner - c:\Program
Files\Fichiers communs\EPSON\EBAPI\eEBsVC. exe
023- Service: EPSON printer Status Agent2 (EPSONStatusAgent2) -SEIKO EPSON
CORPORATION -c:\program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
023- Service: Hardware clock Driver (hwclock) -unknown owner -
C:\WINDOWS\system32\hwclock.exe (file missing)
023- Service: MsGrd32 -unknown owner -C:\WINDOWS\msyrdrd32.exe
023- Service: Net Functioons Library (Netlib) -unknown owner-
C:\WINDOWS\System32\Netlib.exe missing)
023- Service: Norton Antivirus client (Norton Antivirus Server) -symantec
corporation -c:\Program Files\NavNT\rtvscan.exe
A voir également:
- Troyens sous XP SP1
- Cle windows xp - Guide
- Cd burner xp - Télécharger - Gravure
- Telecharger windows xp - Télécharger - Systèmes d'exploitation
- Download windows xp sp2 32 bit iso bootable - Télécharger - Divers Utilitaires
- Winsetupfromusb windows xp - Télécharger - Utilitaires
4 réponses
salut,
utilise spybot+ad aware grace au lien ci dessu
une fois fait remet un hijack this, on va enlever ce qui restera
a+
utilise spybot+ad aware grace au lien ci dessu
une fois fait remet un hijack this, on va enlever ce qui restera
a+
Bonjour,
Merci pour vos réponses.
Elle a effectué les différents téléchargements - ce qui n'a pas été simple vu la rapidité de sa connexion- et procédé à l'ensemble des manip : installation des softs, désactivation restauration systeme, redemarrage en mode sans échec, petit coup de spybot, adaware, cleanup, antivir et/ou norton.
Au final, elle note une amélioration mais le pb de rdriv.sys demeure. Elle a tjs la fenêtre de connexion à iownyourmom.info.
Toutes ces infos m'ont été rapportées par téléphone. Je n'ai pas son nouveau rapport HijackThis mais elle l'a fait et m'a dit qu'elle n'avait plus hwclock.exe -qui est un Troyen, j'ai vérifié. C'est msyrd32.exe, à mon avis, qu'il conviendra maintenant d'éradiquer (dans le log ci-dessus, c'est bien msyrd32 et non msyrdrd32).
J'ai noté l'existence de rdrivRem et qq a apparemment réussi à se débarasser de ce rdriv.sys en utilisant, entre autre, cet utilitaire. J'aurai bien aimé qu'elle teste cela avant de partir en vacances. Mais trop tard. Je vous tiendrai au courant plus tard , donc. Merci encore.
Merci pour vos réponses.
Elle a effectué les différents téléchargements - ce qui n'a pas été simple vu la rapidité de sa connexion- et procédé à l'ensemble des manip : installation des softs, désactivation restauration systeme, redemarrage en mode sans échec, petit coup de spybot, adaware, cleanup, antivir et/ou norton.
Au final, elle note une amélioration mais le pb de rdriv.sys demeure. Elle a tjs la fenêtre de connexion à iownyourmom.info.
Toutes ces infos m'ont été rapportées par téléphone. Je n'ai pas son nouveau rapport HijackThis mais elle l'a fait et m'a dit qu'elle n'avait plus hwclock.exe -qui est un Troyen, j'ai vérifié. C'est msyrd32.exe, à mon avis, qu'il conviendra maintenant d'éradiquer (dans le log ci-dessus, c'est bien msyrd32 et non msyrdrd32).
J'ai noté l'existence de rdrivRem et qq a apparemment réussi à se débarasser de ce rdriv.sys en utilisant, entre autre, cet utilitaire. J'aurai bien aimé qu'elle teste cela avant de partir en vacances. Mais trop tard. Je vous tiendrai au courant plus tard , donc. Merci encore.
Il faut mettre a jour et utiliser tout ces logiciels (garantis sans probleme)
Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
SpywareBlaster :
http://www.ordi-netfr.com/spywareblaster.html
Spybot :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
CoolWeb Shredder V1.59.1
http://www.ordi-netfr.com/cwshredder.html
Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
SpywareBlaster :
http://www.ordi-netfr.com/spywareblaster.html
Spybot :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
CoolWeb Shredder V1.59.1
http://www.ordi-netfr.com/cwshredder.html
