[cerification] suite a infection Résolu

Question

bonjour a toussuite a une infection par tojan-gen loaliser dans c:\windows\system32driv.sysj'amais savoir si mon probleme est regle et par la meme occasionvoir si il y a autre chose qui clochej'avais utilise avast pour le localiser mais comme il n'a pu le traiterje me suis servi de secusermerci d'avance mon log suis Logfile of HijackThis v1.99.1Scan saved at 21:07:01, on 31/07/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\LVCOMSX.EXED:\Program Files\LogiTray.exeC:\WINDOWS\System32\IExplore8.exeC:\PROGRA~1\WANADOO\TaskBarIcon.exeC:\WINDOWS\System32\VTTimer.exeC:\WINDOWS\System32\wuamkops.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeC:\Program Files\VIGUARD\SDLOAD32.EXEC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeC:\WINDOWS\System32\FTRTSVC.exeC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\WINDOWS\System32	cpsvcs.exeC:\WINDOWS\System32\snmp.exeC:\WINDOWS\System32\svchost.exeD:\Program Files\FxSvr2.exeC:\Program Files\VIGUARD\SERVICE.EXEC:\WINDOWS\System32\mqsvc.exeC:\WINDOWS\System32\mqtgsvc.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Wanadoo\Watch.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exeC:\hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLLO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXEO4 - HKLM\..\Run: [CamWizard] C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\CamWizrd.exeO4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\LogiTray.exeO4 - HKLM\..\Run: [IExplorer8 Java Scripting] IExplore8.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dllO4 - HKLM\..\Run: [Microsoft Updates] wuamkops.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeO4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUPO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKLM\..\RunServices: [IExplorer8 Java Scripting] IExplore8.exeO4 - HKLM\..\RunServices: [Microsoft Updates] wuamkops.exeO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "D:\Program Files\ManifestEngine.exe" bootO4 - HKCU\..\Run: [IExplorer8 Java Scripting] IExplore8.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO8 - Extra context menu item: Conversion CLIE - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: Conversion CLIÉ - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: PhoenixNet - {9cb7bd40-9294-11d5-84dd-dcc2dfe4153c} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cabO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119201361078O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{CE1D8C28-C52A-48E1-9269-714B2337C976}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeO23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exeO23 - Service: VIGUARD Service (VigService) - Unknown owner - C:\Program Files\VIGUARD\SERVICE.EXE

balltrap34 · Answer

pourquoiil est comme cela ton hijackles lignes espacer c est pas normal

balltrap34 · Answer

c est la premiere fois que je le vois comme cecitu as une demo icidemohttp://pageperso.aol.fr/balltrap34/demohijack.htm

alex13560 · Answer

qu'ented tu par demo?

balltrap34 · Answer

clikj sur le lien et tu verrat comment faire ton copier coller de ton hijack

alex13560 · Answer

J ais trouve chouette le site avec la demomais j'ais fait exactement comme indique

balltrap34 · Answer

il ne devrait pas y avoir d espace entre les lignes

alex13560 · Answer

ben la je ne sais pas quoi faire

balltrap34 · Answer

refait le pour voir

alex13560 · Answer

le voila refais j ais juste elargis la fenetre du bloc avant de copierLogfile of HijackThis v1.99.1Scan saved at 21:07:01, on 31/07/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\LVCOMSX.EXED:\Program Files\LogiTray.exeC:\WINDOWS\System32\IExplore8.exeC:\PROGRA~1\WANADOO\TaskBarIcon.exeC:\WINDOWS\System32\VTTimer.exeC:\WINDOWS\System32\wuamkops.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeC:\Program Files\VIGUARD\SDLOAD32.EXEC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeC:\WINDOWS\System32\FTRTSVC.exeC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\WINDOWS\System32	cpsvcs.exeC:\WINDOWS\System32\snmp.exeC:\WINDOWS\System32\svchost.exeD:\Program Files\FxSvr2.exeC:\Program Files\VIGUARD\SERVICE.EXEC:\WINDOWS\System32\mqsvc.exeC:\WINDOWS\System32\mqtgsvc.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Wanadoo\Watch.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exeC:\hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLLO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXEO4 - HKLM\..\Run: [CamWizard] C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\CamWizrd.exeO4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\LogiTray.exeO4 - HKLM\..\Run: [IExplorer8 Java Scripting] IExplore8.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dllO4 - HKLM\..\Run: [Microsoft Updates] wuamkops.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeO4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUPO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKLM\..\RunServices: [IExplorer8 Java Scripting] IExplore8.exeO4 - HKLM\..\RunServices: [Microsoft Updates] wuamkops.exeO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "D:\Program Files\ManifestEngine.exe" bootO4 - HKCU\..\Run: [IExplorer8 Java Scripting] IExplore8.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO8 - Extra context menu item: Conversion CLIE - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: Conversion CLIÉ - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: PhoenixNet - {9cb7bd40-9294-11d5-84dd-dcc2dfe4153c} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cabO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119201361078O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{CE1D8C28-C52A-48E1-9269-714B2337C976}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeO23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exeO23 - Service: VIGUARD Service (VigService) - Unknown owner - C:\Program Files\VIGUARD\SERVICE.EXE

balltrap34 · Answer

oki c est plus lisible comme celaje regarde et je revient

balltrap34 · Answer

commence par ceci et les autres prendront la suite demain because moi boulot toutes la semaine

salut

► imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

♪ ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip

alex13560 · Answer

merci pour la proceduresi ca ne te fait rie n je procede a ces changement demain je doit me lever tot pour le boulotmais promis je te tien au courant

alex13560 · Answer

merci pour la proceduresi ca ne te fait rie n je procede a ces changement demain je doit me lever tot pour le boulotmais promis je te tien au courant

alex13560 · Answer

voila j'ais fait tout ca mais pas dans l'ordre
en effet je n'ais pus faire de scan en ligne
quand je suis en mode sans echec
je l'ai a la fin le resultat n'est bon etje
colle le rapport merci de la reponse
balletrap34 qui m'aidait est absent pour la semaine
ce qui ne m'empeche pas de le remercier pour l'aide apporter
maintenant je sais ou est mon probleme

BitDefender Online Scanner - Rapport virus en temps réel

Généré à: Mon, Aug 01, 2005 - 21:29:53

--------------------------------------------------------------------------------

Info d'analyse

Fichiers scannés
183484

Infectés Fichiers
1

Virus Détectés

Trojan.Rootkit.L
1

--------------------------------------------------------------------------------

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

balltrap34 · Answer

re il ne ta pas donner l emplacement du roktit

Utilisateur anonyme · Answer

je parirais bien pour rdriv.sys...

balltrap34 · Answer

la je pari pas sinon j est de grande chance de perdre

balltrap34 · Answer

McAfee Inc. - [ Traduire cette page ]Hacktool/Rootkit.L (Panda). Troj/Rootkit-W (Sophos). TROJ_ROOTKIT.E (Trend). Trojan.Cachecachekit (Symantec). Trojan.Win32.Rootkit.l (Kaspersky) ...

gagner
je te le laisse je prend pas de post je pourrait pas les suivres

Utilisateur anonyme · Answer

lol, et c'est là que c'est msdirectx.sys...J'arrete pour ce soir, demain lever de bonne heure...a++ et bonne routeedit:je regarderais son post demain si tu n'est pas là

balltrap34 · Answer

il sont lier tous les deuxpour alex refait un hijack stp

alex13560 · Answer

je suis de retour je m'excuse pour le retardbien vu il est dans c:\windows\system32driv.sysje refait un hijack Logfile of HijackThis v1.99.1Scan saved at 23:11:28, on 01/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeC:\WINDOWS\System32\LVCOMSX.EXEC:\WINDOWS\System32\FTRTSVC.exeC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\WINDOWS\System32	cpsvcs.exeC:\WINDOWS\System32\snmp.exeD:\Program Files\LogiTray.exeC:\WINDOWS\System32\svchost.exeC:\PROGRA~1\WANADOO\TaskBarIcon.exeC:\WINDOWS\System32\VTTimer.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeC:\WINDOWS\System32\mqsvc.exeD:\Program Files\FxSvr2.exeC:\WINDOWS\System32\mqtgsvc.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Wanadoo\Watch.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\Program Files\VIGUARD\SDLOAD32.EXEC:\Program Files\VIGUARD\SERVICE.EXEC:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exeC:\hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLLO2 - BHO: (no name) - -{53707962-6F74-2D53-2644-206D7942484F} - (no file)O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXEO4 - HKLM\..\Run: [CamWizard] C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\CamWizrd.exeO4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\LogiTray.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dllO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeO4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUPO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "D:\Program Files\ManifestEngine.exe" bootO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO8 - Extra context menu item: Conversion CLIE - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: Conversion CLIÉ - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: PhoenixNet - {9cb7bd40-9294-11d5-84dd-dcc2dfe4153c} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cabO16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{CE1D8C28-C52A-48E1-9269-714B2337C976}: NameServer = 80.10.246.130 80.10.246.3O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeO23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exeO23 - Service: VIGUARD Service (VigService) - Unknown owner - C:\Program Files\VIGUARD\SERVICE.EXE

balltrap34 · Answer

salut&#9658; imprime ceci pour ne rien oublier et tous fairetous faire dans l ordre imperativement-------------------------&#9658; tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif&#9834;  ad-aware (1)version 1.06 (ici)               http://www.florensac-chasse-trap.com/   section virusvoir demo http://pageperso.aol.fr/balltrap34/adwseflash.zip

alex13560 · Answer

ok je te remerci je m y colle dessuite et te tient au courant merci

balltrap34 · Answer

oki vire tous se que trouve ton anti virus quand tu vas le passer fait tous dans l ordre

alex13560 · Answer

salut j'ais eu trop de boulot cette semaine pour repondre rapidement et je m'en excusej'ais fait ce que tu ma dit sans succesmais j'ais pus remarquer quelque problememon parfeu xp se desactive constament il a fallu que j'installe zonalarm pour etre un peut tranquilleen mode sans echec le fichier rdriv n'apparait pasmeme en supprimant tout ce qui le concerne manuellement dans la base de regitre en mode sans echec il revientj'ais dans le doute desinstalle msn7.0et il est toujour la dans zonalarm il y a une passibilite de track id et je coole le rappord% This is the RIPE Whois query server #1.% The objects are in RPSL format.%% Note: the default output of the RIPE Whois server% is changed. Your tools may need to be adjusted. See% http://www.ripe.net/db/news/abuse-proposal-20050331.html% for more details.%% Rights restricted by copyright.% See http://www.ripe.net/db/copyright.html% Note: This output has been filtered.%       To receive output for a database update, use the "-B" flag.% Information related to '81.251.244.0 - 81.251.244.255'inetnum:      81.251.244.0 - 81.251.244.255netname:      IP2000-ADSL-BASdescr:        BSMAR251 Marseille Bloc 2country:      FRadmin-c:      WITR1-RIPEtech-c:       WITR1-RIPEstatus:       ASSIGNED PAremarks:      for hacking, spamming or security problems send mail toremarks:      postmaster@wanadoo.fr AND abuse@wanadoo.frmnt-by:       FT-BRXsource:       RIPE # Filteredrole:         Wanadoo France Technical Roleaddress:      WANADOO FRANCEaddress:      48 rue Camille Desmoulinsaddress:      92791 ISSY LES MOULINEAUX CEDEX 9address:      FRphone:        +33 1 58 88 50 00e-mail:       abuse@wanadoo.fradmin-c:      WITR1-RIPEtech-c:       WITR1-RIPEnic-hdl:      WITR1-RIPEmnt-by:       FT-BRXsource:       RIPE # Filtered% Information related to 'WITR1-RIPE'route:        81.251.0.0/16descr:        France Telecomdescr:        Wanadoo Franceorigin:       AS3215remarks:      -------------------------------------------remarks:      For Hacking, Spamming or Security problemsremarks:      send mail ONLY to   abuse@wanadoo.frremarks:      -------------------------------------------mnt-by:       RAIN-TRANSPACsource:       RIPE # Filteredqu'en pense tu?j'ais aussi essaye l'anti virus panda en ligne qui me dit clairementque rootkit est un logiciel pirateenfin je colle un nouveaux hijack vu touts les changement effetcuerj'oubliais j'ais vire viguard car vas savoir pourquoi il m interdisait de proceder aux changement de n'importe quel fichierLogfile of HijackThis v1.99.1Scan saved at 14:04:03, on 07/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXED:\Program Files\LogiTray.exeC:\PROGRA~1\WANADOO\TaskBarIcon.exeC:\WINDOWS\System32\VTTimer.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeC:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\LVComsX.exeC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\WINDOWS\System32	cpsvcs.exeD:\Program Files\FxSvr2.exeC:\WINDOWS\System32\snmp.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exeC:\WINDOWS\System32\mqsvc.exeC:\WINDOWS\System32\mqtgsvc.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Wanadoo\Watch.exeC:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exeC:\hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLLO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [CamWizard] C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\CamWizrd.exeO4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\LogiTray.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dllO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeO4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "D:\Program Files\ManifestEngine.exe" bootO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO8 - Extra context menu item: Conversion CLIE - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: Conversion CLIÉ - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123380245812O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cabO16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{CE1D8C28-C52A-48E1-9269-714B2337C976}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeO23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exemerci

Utilisateur anonyme · Answer

salut alexrdriv.sys est toujours présent ?

alex13560 · Answer

oui il est tenace le saguoin

Utilisateur anonyme · Answer

saluttelecharge ceci:http://get.yourfile.net/xc64996.zipdezippe le et lance le, choisis l'option 1 rdrivcopie et colle le rapport ici, en suite tape "s" pour sortir du proga+

alex13560 · Answer

je colle le log C:\WINDOWS\system.ini C:\WINDOWS\win.ini C:\WINDOWS\wiaservc.log C:\WINDOWS\wiadebug.log C:\WINDOWS\setupapi.log C:\WINDOWS\SchedLgU.Txt C:\WINDOWS\bootstat.dat C:\WINDOWS\0.log C:\WINDOWS\WindowsUpdate.log C:\WINDOWS\InternetC:\WINDOWS\System32\rdriv.sysC:\WINDOWS\System32\vsconfig.xmlC:\WINDOWS\System32\ZoneLabsC:\WINDOWS\System32\zllictbl.datC:\WINDOWS\System32\SoftwareDistribution

Utilisateur anonyme · Answer

il est entier ?

alex13560 · Answer

oui il est entier et en effet pas beaucoup de ligne

Utilisateur anonyme · Answer

fais analyser ce fichier ici:C:\WINDOWS\msudpspc.exe http://virusscan.jotti.org/et poste le resultat

alex13560 · Answer

seul ce fichier trouve quelque choseKaspersky Anti-Virus  Found Backdoor.Win32.SdBot.aad

Utilisateur anonyme · Answer

ok Redémarre en mode sans échec Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.  Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés "Décocher la case devant " masquer les extentions des fichiers dont le type est connu" Décocher la case devant " masquer les fichiers protégés du système"clic sur ok pour validerOuvre le gestionnaire des taches (ctrl+alt+suppr) et arrete ce processus s'il est actif:msudpspc.exe Dans le menu Demarrer>Executer >tape: Services.mscrecherche le service avec cette orthographe exacte:UDP Sub Packet Classifier (UDPSPC)Double clic dessus et clic sur [arreter] puis dans :type de demarrage --> sélectionne désactivé.demarrer > executer tape:sc delete UDPSPCvalidetapesc stop rdrivvalidetapesc delete rdrivvalidesupprime C:\WINDOWS\msudpspc.exe Ensuite, tres important::: Supprimer les fichiers temporaires ::* C:\Documents and Settings	on compte\Local Settings\Temp* C:\Windows\Tempvider tout le contenu de ces dossiers.:: Le contenu du dossier prefetch ::* C:\WINDOWS\Prefetch <= sauf le fichier layout.iniredemarre le pc et supprime C:\WINDOWS\System32driv.sysreposte un hijack

balltrap34 · Answer

c est toi qui a pondu se bat moesi tu veut tu rajoute mon reg avec plusieurrs sevices arreter---------Windows Registry Editor Version 5.00  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinAwk"=- "WinAwk.exe"=- "smss.exe"=- "windowsp.exe"=- "pdate.exe"=-  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lsass]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lsass]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lsass]   [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HexadecimaRepresentation]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HexadecimaRepresentation]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HexadecimaRepresentation]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HexadecimaRepresentation]   [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Configuration Loader]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Configuration Loader]   [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Configuration Loader]   [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic]   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous" =-  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "EnableDCOM" =-  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_ITUNESMUSIC\0000]  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareServer]  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareWks]  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareServer]  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareWks]  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "DoNotAllowXPSP2" =- "AUOptions" =-

alex13560 · Answer

apparament le probleme est regleun scan par avast okun coup de spybot okadaware pareilleune verif apres 2 demarage en passant par explorerconfirme la disparition de rdrivmerci a balletrap34 et a moe31 pour ce coup de mainje joint un hijack au cas ou et si pas de reponse avant demainje considererais le probleme comme resolu definitivementsalutationsLogfile of HijackThis v1.99.1Scan saved at 21:56:12, on 07/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\WINDOWS\System32	cpsvcs.exeC:\WINDOWS\System32\snmp.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exeC:\WINDOWS\System32\mqsvc.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\mqtgsvc.exeD:\Program Files\LogiTray.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\WINDOWS\System32\VTTimer.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeC:\PROGRA~1\WANADOO\TaskBarIcon.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\LVComsX.exeD:\Program Files\FxSvr2.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\Program Files\Wanadoo\Watch.exeC:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLLO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [CamWizard] C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\CamWizrd.exeO4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\LogiTray.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dllO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exeO4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "D:\Program Files\ManifestEngine.exe" bootO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO8 - Extra context menu item: Conversion CLIE - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: Conversion CLIÉ - C:\Program Files\Sony\Image Converter\menu.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123380245812O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cabO16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{CE1D8C28-C52A-48E1-9269-714B2337C976}: NameServer = 80.10.246.130 80.10.246.3O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard
hksrv.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

balltrap34 · Answer

apparament il est bon tu as passer ton anti virus il ne trouve rien

Utilisateur anonyme · Answer

content pour toiapparement le hijack est okfais quand meme quelques scans av en ligne histoire de voir si tout est okfais ton choix:http://www.ravantivirus.comhttp://housecall.trendmicro.comhttp://www.bitdefender.com/scan/licence.phphttp://www.pandasoftware.com/activescan/fr/activescan_principal.htmhttp://support.f-secure.com/enu/home/ols.shtmla+

alex13560 · Answer

tout n'est pas vraiment ok mais en ce qui concerne rdriv c'est bien finije colle ce que les test en ligne on trouver ci dessousravC:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> InfectedbitdefenderInfo d'analyse   Fichiers scannés 180349 Infectés Fichiers 1   Virus Détectés   Backdoor.SDBot.AYA 1bitdefender a supprime backdoorje refais des scan plus minutieux dans la semainemais rdriv est mort j'ouvrirais un autre postsalut et merci pour l'aide a+

balltrap34 · Answer

oki content pour toia++

[cerification] suite a infection

40 réponses

Votre réponse

Discussions similaires

Newsletters