[Virus] rdriv.sys infecté par Win32/Efewe
persopolo
Messages postés
19
Statut
Membre
-
persopolo Messages postés 19 Statut Membre -
persopolo Messages postés 19 Statut Membre -
Bonjour à tous.
J'ai écumé tous les topics concernant mon problème, je ne vois pas d'autre solution que les conseils d'un oeil expert sur mon log Hijack.
Symptôme:
Le fichier C:\WINDOWS\system32\rdriv.sys est détecté comme infecté par Win32/Efewe
Mon AV (Etrust) le supprime, mais il revient en boucle.
Déjà testé:
J'ai désactivé la restauration système, désactivé mon antivirus, supprimer le loustic en mode sans échec, testé le MiscTools/deleteNTservice de hijack: il détecte toujours une activité du service rdriv.sys malgré la désactivation du maximum de services possible dans services.msc
Et il revient toujours en mode normal.
Serait-il possible qu'une bonne âme m'aide à nettoyer ce petit polisson silvousplé?
Avec tout mes remerciements,
Log Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 21:20:06, on 09/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\girder\Girder.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\rundll32.exe
D:\eMule\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
D:\eTRUST\CA Internet Security Suite\casecuritycenter.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
C:\WINDOWS\axdcfasb.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\Run: [Doc32 service] servicewin32.pif
O4 - HKLM\..\Run: [prosesor] ueowersph.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [cctray] "D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\RunServices: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\RunServices: [Doc32 service] servicewin32.pif
O4 - HKLM\..\RunServices: [prosesor] ueowersph.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Microsoft DllHost Service] dllhost.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - Startup: Girder3.lnk = C:\Program Files\girder\Girder.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
------------------------------------------------------
Merci d'avance !
J'ai écumé tous les topics concernant mon problème, je ne vois pas d'autre solution que les conseils d'un oeil expert sur mon log Hijack.
Symptôme:
Le fichier C:\WINDOWS\system32\rdriv.sys est détecté comme infecté par Win32/Efewe
Mon AV (Etrust) le supprime, mais il revient en boucle.
Déjà testé:
J'ai désactivé la restauration système, désactivé mon antivirus, supprimer le loustic en mode sans échec, testé le MiscTools/deleteNTservice de hijack: il détecte toujours une activité du service rdriv.sys malgré la désactivation du maximum de services possible dans services.msc
Et il revient toujours en mode normal.
Serait-il possible qu'une bonne âme m'aide à nettoyer ce petit polisson silvousplé?
Avec tout mes remerciements,
Log Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 21:20:06, on 09/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\girder\Girder.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\rundll32.exe
D:\eMule\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
D:\eTRUST\CA Internet Security Suite\casecuritycenter.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
C:\WINDOWS\axdcfasb.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\Run: [Doc32 service] servicewin32.pif
O4 - HKLM\..\Run: [prosesor] ueowersph.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [cctray] "D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\RunServices: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\RunServices: [Doc32 service] servicewin32.pif
O4 - HKLM\..\RunServices: [prosesor] ueowersph.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Microsoft DllHost Service] dllhost.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - Startup: Girder3.lnk = C:\Program Files\girder\Girder.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
------------------------------------------------------
Merci d'avance !
A voir également:
- [Virus] rdriv.sys infecté par Win32/Efewe
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
4 réponses
bonsoir persopolo,
Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
a+
Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
a+
Ok merci Did.
Voici les 2 rapports. Ca m'a bien viré mon premier virus,
mais maintenant mon antivirus m'indique la présence de:
Win32/linkbot.AM dans le fichier \system32\firewall.exe
Win32/Ranck!Generic dans le fichier \update\updmgr.exe
Win32/Linkbot.AM dans \system32\qqmmn.exe
VOici les rapports SDFix et Highjack:
--------LOG SDFix ------------
SDFix: Version 1.28
-------------------
Scan run on:
10/10/2006
Time:
07:58
Microsoft Windows XP [version 5.1.2600]
Running from: C:\Documents and Settings\Administrateur\Bureau\SDFix
Stage One...
Checking Services...
Name:
-----
rdriv
Path:
----
\??\C:\WINDOWS\system32\rdriv.sys
rdriv ... deleted
Repairing Registry...
Restoring Default Hosts File...
Stage One Complete
Rebooting!
Stage Two...
Registry Cleaning Finished...
Checking For Malware Files:
--------------------------
C:\WINDOWS\system32\rdriv.sys
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\update\updmgr.exe
Backing Up and Removing any Files Found...
Final Check:
Remaining Services:
------------------
Remaining Files:
--------------
C:\WINDOWS\system32\rdriv.sys
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\update\updmgr.exe
*Any removed Files are saved in the SDFix\backups Folder*
*FINISHED*
----------------------------------------------------------------------
----------LOG Highjack----------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 08:15:48, on 10/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\girder\Girder.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\cmd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\Run: [Doc32 service] servicewin32.pif
O4 - HKLM\..\Run: [prosesor] ueowersph.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [cctray] "D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\RunServices: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\RunServices: [Doc32 service] servicewin32.pif
O4 - HKLM\..\RunServices: [prosesor] ueowersph.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Microsoft DllHost Service] dllhost.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - Startup: Girder3.lnk = C:\Program Files\girder\Girder.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
---------------------------------------------------------------------------
si tu as une piste.... ?
je repasserais une passe de SDFix à midi, là je dois me casser au taf.
Voici les 2 rapports. Ca m'a bien viré mon premier virus,
mais maintenant mon antivirus m'indique la présence de:
Win32/linkbot.AM dans le fichier \system32\firewall.exe
Win32/Ranck!Generic dans le fichier \update\updmgr.exe
Win32/Linkbot.AM dans \system32\qqmmn.exe
VOici les rapports SDFix et Highjack:
--------LOG SDFix ------------
SDFix: Version 1.28
-------------------
Scan run on:
10/10/2006
Time:
07:58
Microsoft Windows XP [version 5.1.2600]
Running from: C:\Documents and Settings\Administrateur\Bureau\SDFix
Stage One...
Checking Services...
Name:
-----
rdriv
Path:
----
\??\C:\WINDOWS\system32\rdriv.sys
rdriv ... deleted
Repairing Registry...
Restoring Default Hosts File...
Stage One Complete
Rebooting!
Stage Two...
Registry Cleaning Finished...
Checking For Malware Files:
--------------------------
C:\WINDOWS\system32\rdriv.sys
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\update\updmgr.exe
Backing Up and Removing any Files Found...
Final Check:
Remaining Services:
------------------
Remaining Files:
--------------
C:\WINDOWS\system32\rdriv.sys
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\update\updmgr.exe
*Any removed Files are saved in the SDFix\backups Folder*
*FINISHED*
----------------------------------------------------------------------
----------LOG Highjack----------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 08:15:48, on 10/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\girder\Girder.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\cmd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\Run: [Doc32 service] servicewin32.pif
O4 - HKLM\..\Run: [prosesor] ueowersph.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [cctray] "D:\eTRUST\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\RunServices: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\RunServices: [Doc32 service] servicewin32.pif
O4 - HKLM\..\RunServices: [prosesor] ueowersph.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Microsoft DllHost Service] dllhost.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - Startup: Girder3.lnk = C:\Program Files\girder\Girder.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{40E2E399-7DA9-426F-8088-5CB51F03C455}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - D:\eTRUST\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
---------------------------------------------------------------------------
si tu as une piste.... ?
je repasserais une passe de SDFix à midi, là je dois me casser au taf.
Bonjour,
relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O4 - HKLM\..\Run: [Doc32 service] servicewin32.pif
O4 - HKLM\..\Run: [prosesor] ueowersph.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\RunServices: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\RunServices: [Doc32 service] servicewin32.pif
O4 - HKLM\..\RunServices: [prosesor] ueowersph.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Microsoft DllHost Service] dllhost.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Microsoft DllHost Service] dllhost.exe
Ensuite, tu vas dans menu démarrer>exécuter>tu écris services.msc>dans la fenêtre qui s'ouvre, tu recherches sdktemp>tu doubles clic dessus et dans "type de démarrage", tu sélectionne "désactiver"
recherche et supprime le fichier en gras ci dessous:
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\axdcfasb.exe
passe un scan en ligne ici:
http://www.bitdefender.fr/scan8/ie.html
poste le rapport bitdefender ainsi qu'un nouveau rapport hijackthis
a+
relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O4 - HKLM\..\Run: [Doc32 service] servicewin32.pif
O4 - HKLM\..\Run: [prosesor] ueowersph.exe
O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Microsoft DllHost Service] dllhost.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\RunServices: [Realtek Sound Managers] foefmvua.exe
O4 - HKLM\..\RunServices: [Doc32 service] servicewin32.pif
O4 - HKLM\..\RunServices: [prosesor] ueowersph.exe
O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Microsoft DllHost Service] dllhost.exe
O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe
O4 - HKCU\..\Run: [Microsoft DllHost Service] dllhost.exe
Ensuite, tu vas dans menu démarrer>exécuter>tu écris services.msc>dans la fenêtre qui s'ouvre, tu recherches sdktemp>tu doubles clic dessus et dans "type de démarrage", tu sélectionne "désactiver"
recherche et supprime le fichier en gras ci dessous:
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\axdcfasb.exe
passe un scan en ligne ici:
http://www.bitdefender.fr/scan8/ie.html
poste le rapport bitdefender ainsi qu'un nouveau rapport hijackthis
a+
Ok c'est cool de m'aider, mais après avoir fait tes modifs, toujours des virus qui aparaissaient... donc j'ai refait toutes les manip' sus-citées d'un coup en mode sans-échec, et en rebootant je me suis pris une floppée de merde (détectées par BitDefender), et notamment un certain "Virbot" ou un truc comme ca, qui se duplique à la fin de tous les *.exe plus vite que Bitdefender n'arrive à les nettoyer.
J'ai donc recherché tous les *.exe de toutes mes partitions, que j'ai sauvé dans une archive Zip (en faisant gaffe de conserver les chemins relatifs), et formaté/réinstallé windows.
J'ai vu dans un post que l'archivage d'un .exe neutralisait son action, et qu'il était possible de scanner une archive avec un antivirus. Je vais donc me réinstaller une version safe de windows, puis scanner tout mes *.exe avant de les réintégrer dans leur chemin d'origine. (méthode décrite dans le post)
Dès que j'ai pu vérifier l'efficacité de la manip', je vous tiens au jus.
++
J'ai donc recherché tous les *.exe de toutes mes partitions, que j'ai sauvé dans une archive Zip (en faisant gaffe de conserver les chemins relatifs), et formaté/réinstallé windows.
J'ai vu dans un post que l'archivage d'un .exe neutralisait son action, et qu'il était possible de scanner une archive avec un antivirus. Je vais donc me réinstaller une version safe de windows, puis scanner tout mes *.exe avant de les réintégrer dans leur chemin d'origine. (méthode décrite dans le post)
Dès que j'ai pu vérifier l'efficacité de la manip', je vous tiens au jus.
++
