Rdriv.sys infecté par Rootkit.I trojan

tetra -  
 tetra -
je suis infecté par ceci:
http://img212.imageshack.us/img212/8237/01fx5.jpg
j'ai vérifier en mode sans échec avec ad-aware SE, nod32, et ccleaner mais il revient tout le temps!!

mon rapport HT:

Logfile of HijackThis v1.99.1
Scan saved at 13:14:08, on 01/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\NMSSvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Mixer.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\Internet\FlashGet\flashget.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
C:\WINNT\lsass.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 87.242.89.182 nprotect.lineage2.com
O1 - Hosts: 87.242.89.182 update.nprotect.com
O1 - Hosts: 87.242.89.182 update.nprotect.net
O1 - Hosts: 87.242.89.183 l2authd.lineage2.com
O1 - Hosts: 87.242.89.183 l2testauthd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\fgiebar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: FlashGet.lnk = C:\Internet\FlashGet\flashget.exe
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Internet\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\flashget.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

11 réponses

  1. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir,

    Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O1 - Hosts: 87.242.89.182 nprotect.lineage2.com

    O1 - Hosts: 87.242.89.182 update.nprotect.com

    O1 - Hosts: 87.242.89.182 update.nprotect.net

    O1 - Hosts: 87.242.89.183 l2authd.lineage2.com

    O1 - Hosts: 87.242.89.183 l2testauthd.lineage2.com

    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

    O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe

    Ensuite :

    1 - Arrête ces services :

    Clique sur Démarrer->exécuter->tape: services.msc

    Double-clique: Local Security Authority Subsystem Service (lsass)

    Règle-le sur "Arrêté" et "Désactivé".

    2 - Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    3 - Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si présents).
    C:\WINNT\lsass.exe
    ATTENTION : uniquement celui qui se trouve dans C:\winnt

    vide la corbeille, redemarre en mode normal et refait un hijackthis.

    Bon courage.

    A+
    0
  2. d0ne Messages postés 1019 Statut Membre 73
     
    salut a toi

    tu peux faire ,en complement et apres avoir suivi les manips de incognito, ce scan antivirus en ligne

    www.bitdefender.fr ( avec internet explorer car il necessite un Active X . si on te demande d'installer un Active X dit oui ( uniquement pour ce site )

    PS: le scan est en bas a gauche de la page
    0
  3. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Slt,

    Juste en passant :

    E - Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX)
    https://assiste.com/404_La_page_demandee_n_existe_pas.php
    http://www.bitdefender.fr/scan8/ie.html
    Copie/COLLE le rapport entier

    bubye
    0
  4. d0ne Messages postés 1019 Statut Membre 73
     
    lol marie t'a pas vu mon post j'ai proposé le meme scan online. c'est pas grave car y'en a un deuxieme que ta proposé aussi
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Juste en passant ===> je mets généralement le lien...alors, je l'ai rajouté......;bizzzzzzz....lol
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. tetra
     
    pour l'instant le trojan n'est pas revenue...

    Logfile of HijackThis v1.99.1
    Scan saved at 13:06:28, on 02/09/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\hidserv.exe
    C:\WINNT\System32\NMSSvc.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\system32\ZONELABS\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\Mixer.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
    C:\Internet\FlashGet\flashget.exe
    E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\INTERNET\FLASHGET\fgiebar.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
    O4 - Global Startup: FlashGet.lnk = C:\Internet\FlashGet\flashget.exe
    O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_all.htm
    O8 - Extra context menu item: Télécharger avec FlashGet - C:\Internet\FlashGet\jc_link.htm
    O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Internet\FlashGet\jc_link.htm
    O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Internet\FlashGet\jc_all.htm
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe (file missing)
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

    rhaaa... utilisé ie c'est du viole...

    dès que j'ai le rapport de Bitdefender je le met!
    0
  7. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour,

    Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

    Sinon, ton log hijackthis me parait ok. Où en sont tes soucis ?

    Surf sur un autre navigateur comme mozilla, firefox... tout en gardant Internet Explorer pour toutes les mises a jour et les scan en ligne.
    http://frenchmozilla.sourceforge.net/

    A+

    0
  8. tetra
     
    j'utilise depuis toujours firefox (d'ou ma réplique: "rhaaa... utilisé ie c'est du viol... " à cause de Bitdefender)
    sinon même après reboot je n'ai pas de problème, aucun virus! c'est impec! vous êtes vraiment des génies de l'informatique! je vous en remercie mille foix!
    0
  9. incognito02 Messages postés 3487 Statut Contributeur 138
     
    OK,

    Bon surf et bon week-end.

    A+
    0
  10. tetra
     
    petit problème...
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    revien tout le temps!
    0
  11. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    Laisse tomber, c'est pour Flashget, il n'y a pas de problème.

    A+
    0