Rdriv.sys le coriace

la-sylve -  
JJLAMOROSE Messages postés 2 Statut Membre -
bonjour a vous,
j'ai un petit probleme avec rdriv.sys

sa seré sympa si vous pouviez m'éaccorder 5 minutes
merci d'avance

voici mo rapport hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11:25:50, on 16/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\aim.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\system12.exe
C:\WINDOWS\System32\winsecure.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\System32\task32w.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\windupdate.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\microsoft.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\windowsupdates.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\Sylvain\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\geeby.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\pmkhi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126555433469
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126555659865
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: geeby - C:\WINDOWS\SYSTEM32\geeby.dll
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\System32\pmkhi.dll
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINDOWS\System32\Weather.exe
O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe

6 réponses

  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    je bosse sur ton log en attendant,
    telecharge smitfraudfix ici:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    dezippe le et lance le en cliquant sur le fichier .bat.
    choisis l'option 1 (rechercher)
    fais un copier/coller du résultat ici
    0
  2. la-sylve
     
    ok merci beaucoup

    voila le résultat
    SmitFraudFix v1.86

    Rapport fait à 12:57:33,81 le 16/10/2005
    Executé à partir de C:\Documents and Settings\Sylvain\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Sylvain\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Sylvain\Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

    HKLM\SOFTWARE\SHUDDERLTD non trouvé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
    0
  3. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    1) QUELQUES TELECHARGEMENTS

    si tu ne les as pas, telecharge:

    ª Ad-Aware SE 1.06
    http://www.lavasoftusa.com/software/adaware/

    ª Spybot S&D 1.4
    http://www.safer-networking.org/fr/index.html
    -aide en image:(merci a Balltrap34)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    ª Clean Up 40
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci a Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ne les utilise pas tout de suite

    ª A2 free
    http://www.emsisoft.net/fr/software/download/

    met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

    -------------------------------------------------------------------------------------------

    2) QUELQUES PARAMETRES MACHINE A MODIFIER (sous windows XP)

    A) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    B) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    -----------------------------------------------------------------------------------------

    3) DEMARRER EN MODE SANS ECHEC.

    Pour cela, redémarre et tu tapotes sur la touche F8 au lancement de Windows (juste à la fin d’initialisation du bios)et tu choisis sans échec (pas d’inquiétude pour l’aspect de l’écran, tout semble un peu etrange).

    -----------------------------------------------------------------------------------------

    4) LANCE HIJACK
    clique sur “do a system scan and save logfile”
    ferme le bloc note et coche les cases devant les lignes ci-dessous, à la fin valide à l’aide du bouton fix checked:

    O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\geeby.dll

    O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\pmkhi.dll

    O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe

    O4 - HKLM\..\Run: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe

    O4 - HKLM\..\Run: [MS taskbar W] task32w.exe

    O4 - HKLM\..\RunServices: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe

    O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe

    O4 - HKCU\..\Run: [MS taskbar W] task32w.exe

    O15 - Trusted Zone: *.musicmatch.com

    O15 - Trusted Zone: *.musicmatch.com (HKLM)

    O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe

    O20 - Winlogon Notify: geeby - C:\WINDOWS\SYSTEM32\geeby.dll

    O20 - Winlogon Notify: pmkhi - C:\WINDOWS\System32\pmkhi.dll

    O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe

    O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe

    O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe

    -----------------------------------------------------------------------------------------

    5) DESACTIVE LES SERVICES

    Dans le menu Demarrer>Executer >tape: Services.msc

    recherche le service avec cette orthographe exacte:
    microsoft update

    Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé

    recommance avec les serives suivants,
    sdktemp
    Windows Updates

    -----------------------------------------------------------------------------------------

    6SUPPRIME LES FICHIERS CI DESSOUS

    C:\WINDOWS\System32\geeby.dll

    C:\WINDOWS\System32\pmkhi.dll

    C:\WINDOWS\System32\system12.exe

    C:\WINDOWS\System32\winsecure.exe

    C:\WINDOWS\System32\task32w.exe

    C:\WINDOWS\windupdate.exe

    C:\WINDOWS\microsoft.exe

    C:\WINDOWS\windowsupdates.exe

    -----------------------------------------------------------------------------------------

    7) MAINTENANT UTILISE LES PROGRAMMES

    ªcleanup40.exe

    tu lances tes scan
    ªad aware
    ªspy boot
    ªa2 free
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle

    -----------------------------------------------------------------------------------------

    8) RESTAURATION DES PARAMETRES INITIAUX

    c'est à dire redémarrer en mode normal, tu refais les manip de départ 2) (A) et (B) mais dans l’autre sens ... pour retrouver la config de départ.

    -----------------------------------------------------------------------------------------

    9) LOG DE CONTROLE

    Relance Hijack
    clic sur "do a system scan and save logfile"
    fais un copier coller du log entier ici.

    A+

    Jean
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut je pense que cela suffirat pas
    si c est le cas fait ceci en plus

    copie colle ceci dans le bloc note attention respect la ligne vide a la fin du reg
    ------------
    REGEDIT4

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "rdriv.sys"=-
    "WinAwk.exe"=-
    "windowsupdates.exe"=-
    "microsoft.exe"=-
    "windupdate.exe"=-

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Updates ]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Updates ]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Updates ]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Updates ]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdktemp]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdktemp]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdktemp]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sdktemp]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnupdate]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msnupdate]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msnupdate]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msnupdate]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "restrictanonymous" =-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
    "EnableDCOM" =-

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_ITUNESMUSIC\0000]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareServer]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareWks]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareServer]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareWks]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
    "DoNotAllowXPSP2" =-
    "AUOptions" =-

    ---------------
    enregistre le sur ton bureau met lui comme nom
    regspy.reg
    et sur type tu met tous fichiers
    -------------

    double clik sur le fichier reg que tu vient de faire et confirme

    -----
    redemarre passe ton anti virus
    verifie que ton pare feu est actif
    reconnecte toi et fait une mise a jour windows
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. la-sylve
     
    j'ai un probleme avec le mode sans echec :

    quan je le lance , il me demande quelle session je ve démaré;
    j'en ai 2 administrateur et moi;
    je lance les 2 mé o bout d'un moment , le bureau dispré en entier et il ne me reste que l'écran noir avec marké mode sans echec;
    ou sa me le fait directement , sa lance meme pas la sesion;

    tu pe m'aider ?
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    tu te met en administrateur
    0
    1. JJLAMOROSE Messages postés 2 Statut Membre
       
      Tout d'abord un grand merci pour les aides apportées à la chasse aux virus. En m'inspirant de tes differents courriers et forums americain,voici une manip que j'ai effectuée sous XP et qui à marchée....??

      télecharger la derniere version de rdrivrem.bat

      http://www.atribune.org/downloads/rdrivrem.zip

      dezipper les fichiers sur le bureau ecran

      demarrer en mode sans echec

      executer regedit

      rechercher "rdriv.sys" et supprimer toutes les clefs (F3 pour suite)

      retourner en haut de l'aborescence

      rechercher "wscsvc" et supprimer toutes les clefs (F3 pour suite)

      ouvrir le dossier qui est sur le bureau ecran

      lancer le programme rdrivrem (rdriv.bat)

      quand c'est terminé

      vider la corbeille

      redemarrer en mode normal

      rechercher "rdriv.sys", s'il n'est plus là c'est gagné.

      a essayer sur d'autres systèmes

      @+
      0