RDRIV.SYS ..... help

Résolu
melojoie Messages postés 20 Statut Membre -  
 Utilisateur anonyme -
bonjour, depuis ce matin je cours forum et antivir en ligne pour me debarasser de cette m..... mais rien n'y fait, donc je tente un post sur votre forum en esperant trouver une solution.

Donc j'ai kapersky qui le detecte le suprime et il reviens sans cesse ( apparemment c pareil pour tout ceux qui l'on choper)

voici mon log HJT:
Logfile of HijackThis v1.99.1
Scan saved at 20:13:12, on 28/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ISS\BlackICE\blackd.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\ISS\BlackICE\rapapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ISS\BlackICE\blackice.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\melotoinou\Bureau\programme\programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: BlackICE Utilitaire .lnk = ?
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://presence.games.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\rapapp.exe
O23 - Service: wincheck (spdcheck) - Unknown owner - C:\WINDOWS\spdcheck.exe

merci de votre aide..

37 réponses

  • 1
  • 2
Résumé de la discussion

Un malware réapparaissant est détecté par Kaspersky et l’analyse via HijackThis révèle des composants persistants comme rdriv et rdriv.sys, ainsi que spdcheck, qui réapparaissent après suppression. Des échanges décrivent des solutions telles que l’arrêt et la suppression des services via sc stop et sc delete, puis la suppression manuelle d’entrées dans le registre et des fichiers injectés. Les investigations regsearch mettent en évidence des entrées dans les clés Shell Extensions et RunMRU et préconisent l’emploi de fichiers .reg pour fusionner les correctifs et supprimer les restes. En cas de persistance, la procédure suggère de répéter la recherche avec regsearch et d’utiliser un fichier .reg dédié pour nettoyer les entrées, afin de s’assurer que rdriv ne réapparaisse pas.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut

    il te le trouve ou ton truc ton AV?

    donne l'adresse exact car à part le service qu'il faut stopper, rien de visible. donne l'adresse exact ou il le detecte.
    A+ et vite.

    Jean
    0
  2. Utilisateur anonyme
     
    salut

    telecharge Registry Search Tool
    http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

    dezippe le et lance RegSrch.vbs

    dans la boite de dialogue, tape rdriv
    et valide
    wordpad va s'ouvrir avec un rapport, sauvegarde le.

    relance RegSrch.vbs
    dans la boite de dialogue, tape spdcheck
    et valide

    poste ici le contenu des 2 rapports

    a+
    0
  3. melojoie Messages postés 20 Statut Membre
     
    bsr jean

    il le trouve dans C:\WINDOWS\system32\rdriv.sys

    merci
    0
  4. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Salut Moe,

    quelle joie un peu (mais tres peu de temps).

    c'est quoi le reg search??

    avec le temps qui passe je ne lis plus qu'en diagonal et plus à jour.
    0
    1. Utilisateur anonyme
       
      salut jean

      regsearch, c'est un prog en vbs qui permet de rechercher un mot, une clé etc... dans le registre.
      je cherche à localiser le service rdriv plus un autre crée par un ver je pense

      a+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. melojoie Messages postés 20 Statut Membre
     
    bsr moe donc le log pour rdriv:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:13:12, on 28/09/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ISS\BlackICE\blackd.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\Program Files\ISS\BlackICE\rapapp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINDOWS\System32\MMTray.exe
    C:\WINDOWS\System32\MMTray2k.exe
    C:\WINDOWS\System32\MMTrayLSI.exe
    C:\WINDOWS\System32\qttask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\themeGold55\CursorXP\CursorXP.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\ISS\BlackICE\blackice.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\AntiViral Toolkit Pro\avpm.exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\melotoinou\Bureau\programme\programme\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [MMTray] MMTray.exe
    O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
    O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: BlackICE Utilitaire .lnk = ?
    O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
    O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
    O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
    O16 - DPF: Yahoo! Klondike Solitaire - http://presence.games.yahoo.com/yog/y/ks12_x.cab
    O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab
    O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
    O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\rapapp.exe
    O23 - Service: wincheck (spdcheck) - Unknown owner - C:\WINDOWS\spdcheck.exe

    et le log pour spdcheck:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "spdcheck" 28/09/2005 20:28:35

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
    "MeltMe"="C:\\WINDOWS\\system32\\spdcheck.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK\0000\Control]
    "ActiveService"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck\Enum]
    "0"="Root\\LEGACY_SPDCHECK\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK\0000\Control]
    "ActiveService"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck\Enum]
    "0"="Root\\LEGACY_SPDCHECK\\0000"

    merci d'avance
    0
  7. melojoie Messages postés 20 Statut Membre
     
    pb de copier coller pour le log de rdriv dsl donc je remet:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "rdriv" 28/09/2005 20:31:48

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL\TestTraceGuid]
    "BitNames"=" TEST_TRACE_GENERAL TEST_TRACE_APP TEST_TRACE_TSTDRIVER TEST_TRACE_FLTRDRIVER"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
    "addprinterdrivers"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
    "Service"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]
    "ActiveService"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
    "Service"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
    "DeviceDesc"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000\Control]
    "ActiveService"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
    "LayerDriver JPN"="kbd101.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
    "LayerDriver KOR"="kbd101a.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Enum]
    "0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
    "DisplayName"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]
    "0"="Root\\LEGACY_RDRIV\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
    "addprinterdrivers"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
    "Service"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
    "LayerDriver JPN"="kbd101.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
    "LayerDriver KOR"="kbd101a.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
    "addprinterdrivers"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
    "Service"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]
    "ActiveService"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
    "Service"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
    "DeviceDesc"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000\Control]
    "ActiveService"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
    "LayerDriver JPN"="kbd101.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
    "LayerDriver KOR"="kbd101a.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]
    "0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
    "DisplayName"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
    "0"="Root\\LEGACY_RDRIV\\0000"

    dsl et merci
    0
  8. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    OK merci de la reponse, je laisse maitre Moe pour la suite car le service cité est le pb mais son log connais pas donc je suis attentivement.

    Jean
    0
  9. Utilisateur anonyme
     
    merci

    je regarde ca plus en detail et je reviens d'ici quelques minutes

    a+
    0
  10. Utilisateur anonyme
     
    Ok

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    recherche et supprime :

    C:\WINDOWS\spdcheck.exe

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    spdcheck
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis, clic sur [Open the misc tools section]
    clic sur [Delete an NT service]
    copie et colle ceci dans le champ:
    spdcheck
    clic sur ok
    refais la meme chose avec rdriv

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis, clic sur [Open the misc tools section]
    clic sur "delete file on reboot"
    selectionne : C:\WINDOWS\system32\rdriv.sys
    et valide
    hijackthis va te demander si tu veux qu'il redemarre le pc immediatement, accepte

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    une fois de retour en mode normal, refais une recherche sur rdriv et spdcheck avec regsearch.vbs et poste les 2 rapports
    vérifie aussi, si rdriv.sys à bien été supprimé.

    a+
    0
  11. melojoie Messages postés 20 Statut Membre
     
    re salut moe,

    voila j'ai fait ce que tu m'as dis par contre pour cette manip:

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    spdcheck
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    j'ai pas trouver....

    le fichier rdriv.sys est bien suprimer dans le sys32, et voici les deux log du regsearch.vbs

    pour rdriv :

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "rdriv" 28/09/2005 21:34:45

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL\TestTraceGuid]
    "BitNames"=" TEST_TRACE_GENERAL TEST_TRACE_APP TEST_TRACE_TSTDRIVER TEST_TRACE_FLTRDRIVER"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
    "addprinterdrivers"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
    "Service"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]
    "ActiveService"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
    "Service"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
    "DeviceDesc"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
    "LayerDriver JPN"="kbd101.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
    "LayerDriver KOR"="kbd101a.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Enum]
    "0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
    "DisplayName"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Enum]
    "0"="Root\\LEGACY_RDRIV\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
    "addprinterdrivers"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
    "Service"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
    "Service"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
    "DeviceDesc"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
    "LayerDriver JPN"="kbd101.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
    "LayerDriver KOR"="kbd101a.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]
    "DisplayName"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
    "addprinterdrivers"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
    "Service"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]
    "ActiveService"="IpFilterDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
    "Service"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
    "DeviceDesc"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
    "LayerDriver JPN"="kbd101.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
    "LayerDriver KOR"="kbd101a.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]
    "0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
    "MirrorDriver"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
    "DisplayName"="rdriv"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
    "0"="Root\\LEGACY_RDRIV\\0000"

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
    "e"="C:\\WINDOWS\\system32\\rdriv.sys"

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
    "a"="C:\\WINDOWS\\system32\\rdriv.sys"

    et celui de spdcheck :

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "spdcheck" 28/09/2005 21:37:31

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
    "MeltMe"="C:\\WINDOWS\\system32\\spdcheck.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spdcheck\Enum]
    "0"="Root\\LEGACY_SPDCHECK\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spdcheck\Enum]
    "0"="Root\\LEGACY_SPDCHECK\\0000"

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Search Assistant\ACMru\5603]
    "000"="spdcheck.exe "

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
    "a"="C:\\WINDOWS\\spdcheck.exe\\1"

    merci enormement
    0
  12. Utilisateur anonyme
     
    c'est déjà ca...

    mais les services qu'ils ont crées sont toujours présents.

    quand tu a fais la manip avec hijack: [Delete an NT service]
    est ce que tu a eu un message d'erreur ?
    0
  13. melojoie Messages postés 20 Statut Membre
     
    oui j'ai bien eu un message d'erreur , j'ai pas penser le signaler dans le post precedent
    0
  14. Utilisateur anonyme
     
    on va essayer de supprimer les services en invite de commande

    demarrer > executer et tape cmd

    dans la fenêtre dos qui s'ouvre copie et colle ceci:

    sc stop spdcheck

    et valide, ensuite copie et colle:

    sc delete spdcheck

    valide

    dis moi si tu as un message d'erreur en faisant ces commandes.
    0
  15. melojoie Messages postés 20 Statut Membre
     
    pour la premiere commande (sc stop spdcheck) il me dit que le service n'a pas été démaré

    pour la deuxieme (sc delete spdcheck ) ca m'ecris [SC] delete service succes

    voila

    merci enormement de ton aide
    0
  16. Utilisateur anonyme
     
    apparement il a l'air de l'avoir supprimer.

    refais une recherche sur spdcheck avec regsearch et poste le rapport. (dsl, mais c'est la seule facon de vérifier)

    a+
    0
  17. melojoie Messages postés 20 Statut Membre
     
    mais je refais une verif avec plaisir!!! c'est moi qui suis dsl et qui te remercie du temps que tu passe pour regler les problemes!!!!

    donc voila le rapport:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "spdcheck" 28/09/2005 21:56:52

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
    "MeltMe"="C:\\WINDOWS\\system32\\spdcheck.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck\Security]

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Search Assistant\ACMru\5603]
    "000"="spdcheck.exe "

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
    "a"="C:\\WINDOWS\\spdcheck.exe\\1"
    0
  18. Utilisateur anonyme
     
    Il en reste encore, on va passer par un fichier reg pour supprimer ce qui reste:

    ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
    "MeltMe"=-

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck]


    Puis enregistrer sous et dans:
    Nom du fichier, met fix.reg
    Type de fichier: selectionne "tous les fichiers"
    clic sur enregistrer

    ensuite double clic sur fix.reg et accepte de fusionner

    une fois fais, refais une recherche sur spdcheck (on va bien finir par l'avoir lol)

    si c'est ok, on continue avec rdriv

    a+
    0
  19. melojoie Messages postés 20 Statut Membre
     
    voila, j'ai fait comme tu m'a dis, je suis scotcher franchement jean as raison t vraiment un maitre en la matiere!!! ( ca peux parraitre faire leche c.. mais c pas le cas je le pense lol )

    voila le rapport:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "spdcheck" 28/09/2005 22:09:26

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK\0000]
    "Service"="spdcheck"

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Search Assistant\ACMru\5603]
    "000"="spdcheck.exe "

    [HKEY_USERS\S-1-5-21-220523388-1993962763-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
    "a"="C:\\WINDOWS\\spdcheck.exe\\1"
    0
  20. Utilisateur anonyme
     
    lol, c'est gentil mais j'en suis bien loin

    toujours les 3 memes qui font de la resistance...
    je viens de voir une chose, une ligne faisait reference à C:\WINDOWS\system32\spdcheck.exe
    verifie si ce fichier existe bien.
    tout à l'heure hijackthis le mentionnait dans c:\windows ?

    rend visible tous les fichiers (cachés et systeme), puis rend toi dans le dossier C:\WINDOWS\system32 pour vérifier.

    a+
    0
  21. melojoie Messages postés 20 Statut Membre
     
    non j'ai rien trouver dans C:\WINDOWS\system32\spdcheck.exe, en effet tout a l'heure il etais dans c:\WINDOWS, j'ai fais la manip de le suprimer en mode sans echec et il ne se trouve plus a cette endroit...

    merci
    0
  • 1
  • 2