Trojan rdriv.sys

pad74 · Décembre 27, 2005, 4:05

Bonjour à tous,

Mon antivirus AVG détecte le virus rdriv.sys

Jai vu sur pas mal de forum quil nexistait pas une solution miracle pour le détruire et quà priori, aucun antivirus ne pouvait le supprimer.

Jai donc envoyé un scan HijackThis, je voulais savoir si je pouvais avoir votre aide.

Davance, je vous remercie.

Logfile of HijackThis v1.99.1
Scan saved at 15:58:29, on 27/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Spy Emergency 2005\SpyEmergency.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Program Files\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
C:\Program Files\Webshots\WebshotsTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Mes logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\…\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\…\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\…\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\…\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\…\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\…\Run: [SpyEmergency] "C:\Program Files\Spy Emergency 2005\SpyEmergency.exe"
O4 - HKCU\…\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav…can_unicode.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

moa · Décembre 27, 2005, 4:07

Je te redirige vers un forum plus approprié: logiciel/général

Merci pour ta patience :jap:

pad74 · Décembre 27, 2005, 4:23

merci Moa :hello:

westernunion · Décembre 27, 2005, 6:07

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

…Lorsquil est exécuté pour la première fois, W32/Tilebot-BG se déplace dans <Windows>\MSmedia.exe et crée le fichier <System>\rdiv.sys.
http://www.sophos.fr/virusinfo/analyses/w32tilebotbg.html

Via la Console des Services/stopper le processus

Démarrer->exécuter->tape: services.msc

recherche --> Service: [MicroSoft Media Tools]
“Chemin d’accès des fichiers”>>C:\WINNT\MSmedia.exe
*Type de démarrage --> sur Désactiver
*Statut du Service–> Arrêter
Valide/OK
[u]

désactive ta restauration système[/u]
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés (important)
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

3) passe en mode sans échec
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

------------------mode sans échec-------------

Re- Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)

et fixed checked
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

Fermer Hijack

Ouvre l’Explorateur Windows et recherche la présence du fichier MSmedia.exe dans C:\WINNT et supprime-le

--------------mode normal---------------

Lance CCleaner : décoche l’option Corbeille (plus prudent) et fait un nettoyage complet y compris de la base de registre (icône bleue/résultats) avec sauvegarde pour cette partie uniquement (supprime les sauvegardes au fur et à mesure de nouvelles sauvegardes) - Télécharger ce logiciel avant bien sûr :sol:

Réactive ta restauration système (1) et recache les fichiers système (2) : important

Surveille ton ordi dans les prochains jours en relancant Hijack - l’infection était pratiquement erradiquée ça devrait aller sinon reposte un nouveau log ici

Windows XP SP1 <-- tu devrais installer le SP2

pad74 · Décembre 27, 2005, 9:33

westernunion:

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

…Lorsquil est exécuté pour la première fois, W32/Tilebot-BG se déplace dans <Windows>\MSmedia.exe et crée le fichier <System>\rdiv.sys.
http://www.sophos.fr/virusinfo/analyses/w32tilebotbg.html
Via la Console des Services/stopper le processus

Démarrer->exécuter->tape: services.msc

recherche --> Service: [MicroSoft Media Tools]
“Chemin d’accès des fichiers”>>C:\WINNT\MSmedia.exe
*Type de démarrage --> sur Désactiver
*Statut du Service–> Arrêter
Valide/OK
[u]

désactive ta restauration système[/u]
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés (important)
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

3) passe en mode sans échec
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

------------------mode sans échec-------------

Re- Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)

et fixed checked
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

Fermer Hijack

Ouvre l’Explorateur Windows et recherche la présence du fichier MSmedia.exe dans C:\WINNT et supprime-le

--------------mode normal---------------

Lance CCleaner : décoche l’option Corbeille (plus prudent) et fait un nettoyage complet y compris de la base de registre (icône bleue/résultats) avec sauvegarde pour cette partie uniquement (supprime les sauvegardes au fur et à mesure de nouvelles sauvegardes) - Télécharger ce logiciel avant bien sûr :sol:

Réactive ta restauration système (1) et recache les fichiers système (2) : important

Surveille ton ordi dans les prochains jours en relancant Hijack - l’infection était pratiquement erradiquée ça devrait aller sinon reposte un nouveau log ici

Windows XP SP1 <-- tu devrais installer le SP2

Pour le sp2, je vais me le mettre de coté pour l’installer bientot, tu as raison :jap:

Je viens de faire une restau system sur 2 jours et j’ai aussi téléchargé et mis à jour ce logiciel qui, semble-t-il a enlevé mon trojan :
http://www.ewido.net/en/

Je vais surveiller mon pc dans les jours à venir et si ça redéconne, je viendrai essayer ton procédé.

Un grand merci en tout cas :jap: