Rdriv.sys le coriace
la-sylve
-
JJLAMOROSE Messages postés 2 Statut Membre -
JJLAMOROSE Messages postés 2 Statut Membre -
bonjour a vous,
j'ai un petit probleme avec rdriv.sys
sa seré sympa si vous pouviez m'éaccorder 5 minutes
merci d'avance
voici mo rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 11:25:50, on 16/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\aim.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\system12.exe
C:\WINDOWS\System32\winsecure.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\System32\task32w.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\windupdate.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\microsoft.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\windowsupdates.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\Sylvain\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\geeby.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\pmkhi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126555433469
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126555659865
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: geeby - C:\WINDOWS\SYSTEM32\geeby.dll
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\System32\pmkhi.dll
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINDOWS\System32\Weather.exe
O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe
j'ai un petit probleme avec rdriv.sys
sa seré sympa si vous pouviez m'éaccorder 5 minutes
merci d'avance
voici mo rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 11:25:50, on 16/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\aim.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\system12.exe
C:\WINDOWS\System32\winsecure.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\System32\task32w.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\windupdate.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\microsoft.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\windowsupdates.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\Sylvain\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\geeby.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\pmkhi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126555433469
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126555659865
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: geeby - C:\WINDOWS\SYSTEM32\geeby.dll
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\System32\pmkhi.dll
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINDOWS\System32\Weather.exe
O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe
6 réponses
salut,
je bosse sur ton log en attendant,
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le en cliquant sur le fichier .bat.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
je bosse sur ton log en attendant,
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le en cliquant sur le fichier .bat.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
ok merci beaucoup
voila le résultat
SmitFraudFix v1.86
Rapport fait à 12:57:33,81 le 16/10/2005
Executé à partir de C:\Documents and Settings\Sylvain\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Sylvain\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Sylvain\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
voila le résultat
SmitFraudFix v1.86
Rapport fait à 12:57:33,81 le 16/10/2005
Executé à partir de C:\Documents and Settings\Sylvain\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Sylvain\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Sylvain\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
1) QUELQUES TELECHARGEMENTS
si tu ne les as pas, telecharge:
ª Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
ª Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
ª Clean Up 40
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
ª A2 free
http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
-------------------------------------------------------------------------------------------
2) QUELQUES PARAMETRES MACHINE A MODIFIER (sous windows XP)
A) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
B) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
-----------------------------------------------------------------------------------------
3) DEMARRER EN MODE SANS ECHEC.
Pour cela, redémarre et tu tapotes sur la touche F8 au lancement de Windows (juste à la fin d’initialisation du bios)et tu choisis sans échec (pas d’inquiétude pour l’aspect de l’écran, tout semble un peu etrange).
-----------------------------------------------------------------------------------------
4) LANCE HIJACK
clique sur “do a system scan and save logfile”
ferme le bloc note et coche les cases devant les lignes ci-dessous, à la fin valide à l’aide du bouton fix checked:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\geeby.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\pmkhi.dll
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O20 - Winlogon Notify: geeby - C:\WINDOWS\SYSTEM32\geeby.dll
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\System32\pmkhi.dll
O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe
-----------------------------------------------------------------------------------------
5) DESACTIVE LES SERVICES
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
microsoft update
Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé
recommance avec les serives suivants,
sdktemp
Windows Updates
-----------------------------------------------------------------------------------------
6SUPPRIME LES FICHIERS CI DESSOUS
C:\WINDOWS\System32\geeby.dll
C:\WINDOWS\System32\pmkhi.dll
C:\WINDOWS\System32\system12.exe
C:\WINDOWS\System32\winsecure.exe
C:\WINDOWS\System32\task32w.exe
C:\WINDOWS\windupdate.exe
C:\WINDOWS\microsoft.exe
C:\WINDOWS\windowsupdates.exe
-----------------------------------------------------------------------------------------
7) MAINTENANT UTILISE LES PROGRAMMES
ªcleanup40.exe
tu lances tes scan
ªad aware
ªspy boot
ªa2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle
-----------------------------------------------------------------------------------------
8) RESTAURATION DES PARAMETRES INITIAUX
c'est à dire redémarrer en mode normal, tu refais les manip de départ 2) (A) et (B) mais dans l’autre sens ... pour retrouver la config de départ.
-----------------------------------------------------------------------------------------
9) LOG DE CONTROLE
Relance Hijack
clic sur "do a system scan and save logfile"
fais un copier coller du log entier ici.
A+
Jean
si tu ne les as pas, telecharge:
ª Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
ª Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
ª Clean Up 40
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
ª A2 free
http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
-------------------------------------------------------------------------------------------
2) QUELQUES PARAMETRES MACHINE A MODIFIER (sous windows XP)
A) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
B) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
-----------------------------------------------------------------------------------------
3) DEMARRER EN MODE SANS ECHEC.
Pour cela, redémarre et tu tapotes sur la touche F8 au lancement de Windows (juste à la fin d’initialisation du bios)et tu choisis sans échec (pas d’inquiétude pour l’aspect de l’écran, tout semble un peu etrange).
-----------------------------------------------------------------------------------------
4) LANCE HIJACK
clique sur “do a system scan and save logfile”
ferme le bloc note et coche les cases devant les lignes ci-dessous, à la fin valide à l’aide du bouton fix checked:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\geeby.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\pmkhi.dll
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Windowfdgfds DLL fgfdg Verifier] winsecure.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O20 - Winlogon Notify: geeby - C:\WINDOWS\SYSTEM32\geeby.dll
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\System32\pmkhi.dll
O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe
-----------------------------------------------------------------------------------------
5) DESACTIVE LES SERVICES
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
microsoft update
Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé
recommance avec les serives suivants,
sdktemp
Windows Updates
-----------------------------------------------------------------------------------------
6SUPPRIME LES FICHIERS CI DESSOUS
C:\WINDOWS\System32\geeby.dll
C:\WINDOWS\System32\pmkhi.dll
C:\WINDOWS\System32\system12.exe
C:\WINDOWS\System32\winsecure.exe
C:\WINDOWS\System32\task32w.exe
C:\WINDOWS\windupdate.exe
C:\WINDOWS\microsoft.exe
C:\WINDOWS\windowsupdates.exe
-----------------------------------------------------------------------------------------
7) MAINTENANT UTILISE LES PROGRAMMES
ªcleanup40.exe
tu lances tes scan
ªad aware
ªspy boot
ªa2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle
-----------------------------------------------------------------------------------------
8) RESTAURATION DES PARAMETRES INITIAUX
c'est à dire redémarrer en mode normal, tu refais les manip de départ 2) (A) et (B) mais dans l’autre sens ... pour retrouver la config de départ.
-----------------------------------------------------------------------------------------
9) LOG DE CONTROLE
Relance Hijack
clic sur "do a system scan and save logfile"
fais un copier coller du log entier ici.
A+
Jean
salut je pense que cela suffirat pas
si c est le cas fait ceci en plus
copie colle ceci dans le bloc note attention respect la ligne vide a la fin du reg
------------
REGEDIT4
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rdriv.sys"=-
"WinAwk.exe"=-
"windowsupdates.exe"=-
"microsoft.exe"=-
"windupdate.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous" =-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" =-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_ITUNESMUSIC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareServer]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareWks]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareServer]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareWks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" =-
"AUOptions" =-
---------------
enregistre le sur ton bureau met lui comme nom
regspy.reg
et sur type tu met tous fichiers
-------------
double clik sur le fichier reg que tu vient de faire et confirme
-----
redemarre passe ton anti virus
verifie que ton pare feu est actif
reconnecte toi et fait une mise a jour windows
si c est le cas fait ceci en plus
copie colle ceci dans le bloc note attention respect la ligne vide a la fin du reg
------------
REGEDIT4
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rdriv.sys"=-
"WinAwk.exe"=-
"windowsupdates.exe"=-
"microsoft.exe"=-
"windupdate.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Updates ]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sdktemp]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\msnupdate]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous" =-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" =-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_ITUNESMUSIC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareServer]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareWks]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareServer]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareWks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" =-
"AUOptions" =-
---------------
enregistre le sur ton bureau met lui comme nom
regspy.reg
et sur type tu met tous fichiers
-------------
double clik sur le fichier reg que tu vient de faire et confirme
-----
redemarre passe ton anti virus
verifie que ton pare feu est actif
reconnecte toi et fait une mise a jour windows
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
j'ai un probleme avec le mode sans echec :
quan je le lance , il me demande quelle session je ve démaré;
j'en ai 2 administrateur et moi;
je lance les 2 mé o bout d'un moment , le bureau dispré en entier et il ne me reste que l'écran noir avec marké mode sans echec;
ou sa me le fait directement , sa lance meme pas la sesion;
tu pe m'aider ?
quan je le lance , il me demande quelle session je ve démaré;
j'en ai 2 administrateur et moi;
je lance les 2 mé o bout d'un moment , le bureau dispré en entier et il ne me reste que l'écran noir avec marké mode sans echec;
ou sa me le fait directement , sa lance meme pas la sesion;
tu pe m'aider ?
Tout d'abord un grand merci pour les aides apportées à la chasse aux virus. En m'inspirant de tes differents courriers et forums americain,voici une manip que j'ai effectuée sous XP et qui à marchée....??
télecharger la derniere version de rdrivrem.bat
http://www.atribune.org/downloads/rdrivrem.zip
dezipper les fichiers sur le bureau ecran
demarrer en mode sans echec
executer regedit
rechercher "rdriv.sys" et supprimer toutes les clefs (F3 pour suite)
retourner en haut de l'aborescence
rechercher "wscsvc" et supprimer toutes les clefs (F3 pour suite)
ouvrir le dossier qui est sur le bureau ecran
lancer le programme rdrivrem (rdriv.bat)
quand c'est terminé
vider la corbeille
redemarrer en mode normal
rechercher "rdriv.sys", s'il n'est plus là c'est gagné.
a essayer sur d'autres systèmes
@+
télecharger la derniere version de rdrivrem.bat
http://www.atribune.org/downloads/rdrivrem.zip
dezipper les fichiers sur le bureau ecran
demarrer en mode sans echec
executer regedit
rechercher "rdriv.sys" et supprimer toutes les clefs (F3 pour suite)
retourner en haut de l'aborescence
rechercher "wscsvc" et supprimer toutes les clefs (F3 pour suite)
ouvrir le dossier qui est sur le bureau ecran
lancer le programme rdrivrem (rdriv.bat)
quand c'est terminé
vider la corbeille
redemarrer en mode normal
rechercher "rdriv.sys", s'il n'est plus là c'est gagné.
a essayer sur d'autres systèmes
@+
