Virus tres embarassant

Virus tres embarassant - Sécurité - Windows & Software

Marsh Posté le 30-11-2005 à 19:27:28    

Bonjour,  
 
j'ai un gros problème avec un (des) virus. Je vais tout d'abord résumer les problèmes encourus, ce que j'ai tenté, ce qui a été résolu et ce qui persiste...
 
1) Lorsque j'ai allumé mon pc, plus aucun executable ne voulait se lancer, meme pas le poste de travail ou IE.
 
2) Après recupération des données importantes, j'ai formaté purement et simplement, question de mettre à neuf.
 
3) Malgré cela, certains problème ont persisté, comme un ralentissement général, mais pas trop important, mais surtout un ralentissement très très important de ma connection à internet: de longs moment pour afficher une simple page web, des vitesses de téléchargement très faibles sur de bons serveurs ou encore de gros temps de latence dans un jeu tel que wow, le rendant injouable.
 
4) j'ai installé l'antivirus avast qui a detecté qqch: le fichier rdriv.sys infecté dans le répertoire /Windows/system32. Impossible de supprimer ce fichier: utilisé par un autre processus, ou alors il se supprime mais revient dans la seconde.
 
5) j'ai suivi des directives sur ce forum, suite au même style de virus (dsl mais je ne le retrouve plus pour le numéro de sujet). J'ai utilisé le logiciel HiJackThis et cela a résolu le problème en partie mais pas totalement. Je retrouve une connection correcte pendant un certain moment puis après un certain temps, plus rien, je ne sais meme plus afficher une page web et je dois reboot.
 
6) après un certain moment, lorsque je suis connecté à internet, une petite application se lance "FreeProd" qui lance l'installation d'une barre d'outil dans IE. J'ai trouvé qu'il s'agissait d'un spyware ou d'un vers mais je n'arrive pas à le virer. De plus, le fichier rdriv.sys dans Windows\system32 existe toujours, mais impossible de le supprimer.
 
Voici le fichier de log HiJackThis apres le chargement de FreeProd:
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 19:21:19, on 30/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\winsystem.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\real.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\syscntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
I:\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [internet connection] winsystem.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\RunServices: [internet connection] winsystem.exe
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A282AE8-9C0A-4BBA-9BD9-1494E879E763}: NameServer = 195.238.2.21 195.238.2.22
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\real.exe
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


 
Je supprime la ligne

Citation :

O17 - HKLM\System\CCS\Services\Tcpip\..\{4A282AE8-9C0A-4BBA-9BD9-1494E879E763}: NameServer = 195.238.2.21 195.238.2.22


mais rien n'y fait elle revient. J'ai de gros doutes quand aux lignes qui lancent le proxessus real.exe (aucun player installé en dehors de wmp).
 
J'ai egalement supprimé la ligne  

Citation :

O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe


mais elle revient également.
 
Le fichier rdriv.sys dans /windows/system32 est egalement impossible a supprimer (impossible, ou il revient)
 
Merci pour l'attention que vous portez à la résolution de mon problème.

Reply

Marsh Posté le 30-11-2005 à 19:27:28   

Reply

Marsh Posté le 01-12-2005 à 13:07:49    

T'es multi-infecté...
 
Fixe ça :
 
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\real.exe
C:\WINDOWS\system32\syscntrl.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
O4 - HKLM\..\Run: [internet connection] winsystem.exe
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\RunServices: [internet connection] winsystem.exe
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\real.exe
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe
 
Desactive la restauration système
 
Démarre en mode sans echec
 
Va supprimer :
 
C:\WINDOWS\MSmedia.exe  (Tu peux supprimer rdriv.sys par la même occasion)
C:\WINDOWS\System32\winsystem.exe  
C:\WINDOWS\System32\real.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
C:\WINDOWS\system32\syscntrl.exe
 
Ca devrait être clean maintenant
 
Pour t'en protéger à nouveau, commence déjà par réactiver la notification windows update (la backdoor (MSMedia.exe) l'a peut-etre desactivée), et appliques toutes les maj/hotfix (tu es en SP1, et ton IE est à la bourre aussi) histoire de limiter le stockage de worms sur ton disque dur...


Message édité par elooo le 01-12-2005 à 13:34:23
Reply

Marsh Posté le 02-12-2005 à 14:24:05    

ok, merci bcp pour ton aide, je vais effectuer ça dès ce soir

Reply

Marsh Posté le 03-12-2005 à 11:20:44    

Excusez moi mais j'ai quelques petits soucis pour booter en mode sans échec... A ma connaissance, il faut pousser sur F8 quand la machien charge. Ce F8 m'amene dans un menu bleu style "dos" qui me permet de choisir mon lecteur de boot. Mais rien la dedans concernant un mode sans échec.
 
Je ne m'y connais pas bcp donc merci pour votre indulgence :)

Reply

Marsh Posté le 03-12-2005 à 12:00:14    

Petits problèmes restants:
 
je n'ai pas réussi à trouver ces fichiers (en mode sans échec):
 

Citation :

C:\WINDOWS\MSmedia.exe  
C:\WINDOWS\System32\winsystem.exe  
C:\WINDOWS\System32\real.exe  
C:\WINDOWS\system32\syscntrl.exe


 
et bien sur, ces lignes se lancent toujours:
 

Citation :

O4 - HKLM\..\Run: [Service] real.exe  
O4 - HKLM\..\RunServices: [Service] real.exe  
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\real.exe  
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe


 
y aurait-il qqch d'autre a faire ?
 
De plus il me detecte un nouveau virus dans

Citation :

c:\Windows\system32\scchosts.exe


mais la, egalement, rien en mode sans echec
 
D'avance, merci pour les conseils

Reply

Marsh Posté le 04-12-2005 à 23:19:03    

Essaye dans les otpions de dossier de décocher "masquer les fichiers protégés du systéme d'exploitation" et de cliquer sur l'onglet "afficher les fichiers et dossiers cachés".
 
ça devrait fonctionner
bon courage

Reply

Marsh Posté le 05-12-2005 à 20:36:36    

Merci, ce n'etait pas ca mais ca m'a mis sur le chemin, c'etait en fait l'affichage des fichiers systeme qu'il fallait activer.
 
J'ai tout trouvé sauf celui-ci:
 

Citation :

C:\WINDOWS\System32\real.exe


 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed