rdriv.sys infecté par Rootkit.I trojan

Question

je suis infecté par ceci:http://img212.imageshack.us/img212/8237/01fx5.jpgj'ai vérifier en mode sans échec avec ad-aware SE, nod32, et ccleaner mais il revient tout le temps!!mon rapport HT:Logfile of HijackThis v1.99.1Scan saved at 13:14:08, on 01/09/2006Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\hidserv.exeC:\WINNT\System32\NMSSvc.exeC:\Program Files\Eset
od32krn.exeC:\WINNT\system32
vsvc32.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\stisvc.exeC:\WINNT\Explorer.EXEC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\svchost.exeC:\WINNT\Mixer.exeC:\Program Files\Eset
od32kui.exeC:\WINNT\system32\internat.exeC:\Program Files\MSI\PC Alert 4\PCAlert4.exeC:\Internet\FlashGet\flashget.exeC:\PROGRA~1\MOZILL~1\FIREFOX.EXEE:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXEC:\WINNT\lsass.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 87.242.89.182 nprotect.lineage2.comO1 - Hosts: 87.242.89.182 update.nprotect.comO1 - Hosts: 87.242.89.182 update.nprotect.netO1 - Hosts: 87.242.89.183 l2authd.lineage2.comO1 - Hosts: 87.242.89.183 l2testauthd.lineage2.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\fgiebar.dllO3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startupO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exeO4 - Global Startup: FlashGet.lnk = C:\Internet\FlashGet\flashget.exeO8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_all.htmO8 - Extra context menu item: Télécharger avec FlashGet - C:\Internet\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Internet\FlashGet\jc_all.htmO9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\webelated.htmO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\flashget.exeO23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe (file missing)O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exeO23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset
od32krn.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

incognito02 · Answer

Bonsoir,

Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O1 - Hosts: 87.242.89.182 nprotect.lineage2.com

O1 - Hosts: 87.242.89.182 update.nprotect.com

O1 - Hosts: 87.242.89.182 update.nprotect.net

O1 - Hosts: 87.242.89.183 l2authd.lineage2.com

O1 - Hosts: 87.242.89.183 l2testauthd.lineage2.com

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe

Ensuite :

1 - Arrête ces services :

Clique sur Démarrer->exécuter->tape: services.msc

Double-clique: Local Security Authority Subsystem Service (lsass)

Règle-le sur "Arrêté" et "Désactivé".

2 - Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !

3 - Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).
C:\WINNT\lsass.exe
ATTENTION : uniquement celui qui se trouve dans C:\winnt

vide la corbeille, redemarre en mode normal et refait un hijackthis.

Bon courage.

A+

d0ne · Answer

salut a toi

tu peux faire ,en complement et apres avoir suivi les manips de incognito, ce scan antivirus en ligne

www.bitdefender.fr ( avec internet explorer car il necessite un Active X . si on te demande d'installer un Active X dit oui ( uniquement pour ce site )

PS: le scan est en bas a gauche de la page

^^Marie^^ · Answer

Slt,

Juste en passant :

E - Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX)
https://assiste.com/404_La_page_demandee_n_existe_pas.php
http://www.bitdefender.fr/scan8/ie.html
Copie/COLLE le rapport entier

bubye

d0ne · Answer

lol marie t'a pas vu mon post j'ai proposé le meme scan online. c'est pas grave car y'en a un deuxieme que ta proposé aussi

tetra · Answer

pour l'instant le trojan n'est pas revenue...Logfile of HijackThis v1.99.1Scan saved at 13:06:28, on 02/09/2006Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\hidserv.exeC:\WINNT\System32\NMSSvc.exeC:\Program Files\Eset
od32krn.exeC:\WINNT\system32
vsvc32.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\stisvc.exeC:\WINNT\system32\ZONELABS\vsmon.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\svchost.exeC:\WINNT\Explorer.EXEC:\WINNT\Mixer.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Eset
od32kui.exeC:\WINNT\system32\internat.exeC:\Program Files\MSI\PC Alert 4\PCAlert4.exeC:\Internet\FlashGet\flashget.exeE:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXER0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\fgiebar.dllO3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startupO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInitO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exeO4 - Global Startup: FlashGet.lnk = C:\Internet\FlashGet\flashget.exeO8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_all.htmO8 - Extra context menu item: Télécharger avec FlashGet - C:\Internet\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Internet\FlashGet\jc_all.htmO23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe (file missing)O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset
od32krn.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZONELABS\vsmon.exerhaaa... utilisé ie c'est du viole...dès que j'ai le rapport de Bitdefender je le met!

incognito02 · Answer

Bonjour,

Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

Sinon, ton log hijackthis me parait ok. Où en sont tes soucis ?

Surf sur un autre navigateur comme mozilla, firefox... tout en gardant Internet Explorer pour toutes les mises a jour et les scan en ligne.
http://frenchmozilla.sourceforge.net/

A+

tetra · Answer

j'utilise depuis toujours firefox (d'ou ma réplique: "rhaaa... utilisé ie c'est du viol... " à cause de Bitdefender)
sinon même après reboot je n'ai pas de problème, aucun virus! c'est impec! vous êtes vraiment des génies de l'informatique! je vous en remercie mille foix!

incognito02 · Answer

OK,Bon surf et bon week-end.A+

tetra · Answer

petit problème...O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file) revien tout le temps!

incognito02 · Answer

Re,Laisse tomber, c'est pour Flashget, il n'y a pas de problème.A+

tetra · Answer

ok, merci

Rdriv.sys infecté par Rootkit.I trojan

11 réponses

Votre réponse

Discussions similaires

Newsletters