aie je suis infecté grave...

[repieloose]

Salut a vous,

 

voici mon deuxieme post sur votre sympathique forum,

 

je suis chez un ami et son pc est trop infecté, vu que vous avez guéri le mien il y a quelques mois (merci beaucoup j ai pas eu probleme depuis ), je me permet d' user encore un peu de votre temps.

 

Son pc est infecté entre autres par rdriv.sys.

 

voici son log

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:40:48, on 30/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\WINDOWS\ATKKBService.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\system32\client.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\devldr32.exe

C:\Documents and Settings\Administrateur\Bureau\SECURIT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.be

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\mlljk.dll

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\mljge.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [client] C:\WINDOWS\system32\client.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [Windowsz] rwnt.exe

O4 - HKLM\..\Run: [Window_Protect] winsi32.exe

O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe

O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe

O4 - HKCU\..\Run: [Window_Protect] winsi32.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.be

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O20 - Winlogon Notify: mljge - C:\WINDOWS\SYSTEM32\mljge.dll

O20 - Winlogon Notify: mlljk - C:\WINDOWS\System32\mlljk.dll

O20 - Winlogon Notify: pmkjk - C:\WINDOWS\SYSTEM32\pmkjk.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)

O23 - Service: FireDaemon Service: msserv (msserv) - Unknown owner - C:\RECYCLER\.temp\com1\test\FireDaemon.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

 

 

 

 

je vous remercie d avance pour vos conseils

[repieloose]

je precise juste que j ai utilisé le dernier CCleaner a la place de Easycleaner, mais je pense qu'ils font la meme chose, sinon j ai bien suivi la procedure.

 

 

 

et bonne année a tous meilleurs voeux

[megataupe]

Bonsoir repieloose. En attendant qu'un de mes petits camarades

analyse ton rapport, tu peux commencer par ce qui suit (le

PC est bien infecté).

 

Télécharge VirtumundoBegone sur le bureau:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.

Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau

dans ta prochaine réponse avec un nouveau rapport HijackThis.

 

Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

[repieloose]

merci j essaye ca de suite

 

voici le VBG:

 

 

 

[12/30/2005, 23:28:33] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\SECURIT\VirtumundoBeGone.exe" )

[12/30/2005, 23:28:51] - Detected System Information:

[12/30/2005, 23:28:51] - Windows Version: 5.1.2600, Service Pack 1

[12/30/2005, 23:28:51] - Current Username: Administrateur (Admin)

[12/30/2005, 23:28:51] - Windows is in NORMAL mode.

[12/30/2005, 23:28:51] - Searching for Browser Helper Objects:

[12/30/2005, 23:28:51] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()

[12/30/2005, 23:28:51] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/30/2005, 23:28:51] - Checking for HKLM\...\Winlogon\Notify\SDHelper

[12/30/2005, 23:28:51] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.

[12/30/2005, 23:28:51] - BHO 2: {93C6313C-9DB4-4694-8BD0-E378C573A9AD} (ATLDistrib Object)

[12/30/2005, 23:28:51] - ALERT: Found ATLDistrib Object!

[12/30/2005, 23:28:51] - BHO 3: {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} ()

[12/30/2005, 23:28:51] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/30/2005, 23:28:51] - Checking for HKLM\...\Winlogon\Notify\mljge

[12/30/2005, 23:28:51] - Found: HKLM\...\Winlogon\Notify\mljge - This is probably Virtumundo.

[12/30/2005, 23:28:51] - Assigning {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} MSEvents Object

[12/30/2005, 23:28:51] - BHO list has been changed! Starting over...

[12/30/2005, 23:28:51] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()

[12/30/2005, 23:28:51] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/30/2005, 23:28:51] - Checking for HKLM\...\Winlogon\Notify\SDHelper

[12/30/2005, 23:28:51] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.

[12/30/2005, 23:28:51] - BHO 2: {93C6313C-9DB4-4694-8BD0-E378C573A9AD} (ATLDistrib Object)

[12/30/2005, 23:28:51] - ALERT: Found ATLDistrib Object!

[12/30/2005, 23:28:51] - BHO 3: {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} (MSEvents Object)

[12/30/2005, 23:28:51] - ALERT: Found MSEvents Object!

[12/30/2005, 23:28:51] - Finished Searching Browser Helper Objects

[12/30/2005, 23:28:51] - *** Detected ATLDistrib Object

[12/30/2005, 23:28:51] - *** Detected MSEvents Object

[12/30/2005, 23:28:51] - Trying to remove ATLDistrib Object...

[12/30/2005, 23:28:52] - Terminating Process: IEXPLORE.EXE

[12/30/2005, 23:28:52] - Terminating Process: RUNDLL32.EXE

[12/30/2005, 23:28:52] - Disabling Automatic Shell Restart

[12/30/2005, 23:28:52] - Terminating Process: EXPLORER.EXE

[12/30/2005, 23:28:53] - Suspending the NT Session Manager System Service

[12/30/2005, 23:28:53] - Terminating Windows NT Logon/Logoff Manager

[12/30/2005, 23:28:53] - Re-enabling Automatic Shell Restart

[12/30/2005, 23:28:53] - File to disable: C:\WINDOWS\System32\mlljk.dll

[12/30/2005, 23:28:53] - Renaming C:\WINDOWS\System32\mlljk.dll -> C:\WINDOWS\System32\mlljk.dll.vir

[12/30/2005, 23:28:53] - File successfully renamed!

[12/30/2005, 23:28:53] - Removing HKLM\...\Browser Helper Objects\{93C6313C-9DB4-4694-8BD0-E378C573A9AD}

[12/30/2005, 23:28:53] - Removing HKCR\CLSID\{93C6313C-9DB4-4694-8BD0-E378C573A9AD}

[12/30/2005, 23:28:53] - Adding Kill Bit for ActiveX for GUID: {93C6313C-9DB4-4694-8BD0-E378C573A9AD}

[12/30/2005, 23:28:53] - Deleting ATLEvents/MSEvents Registry entries

[12/30/2005, 23:28:53] - Removing HKLM\...\Winlogon\Notify\mlljk

[12/30/2005, 23:28:53] - Trying to remove MSEvents Object...

[12/30/2005, 23:28:54] - Terminating Process: IEXPLORE.EXE

[12/30/2005, 23:28:54] - Terminating Process: RUNDLL32.EXE

[12/30/2005, 23:28:54] - Disabling Automatic Shell Restart

[12/30/2005, 23:28:54] - Terminating Process: EXPLORER.EXE

[12/30/2005, 23:28:54] - Suspending the NT Session Manager System Service

[12/30/2005, 23:28:54] - Terminating Windows NT Logon/Logoff Manager

[12/30/2005, 23:28:54] - Re-enabling Automatic Shell Restart

[12/30/2005, 23:28:54] - File to disable: C:\WINDOWS\System32\mljge.dll

[12/30/2005, 23:28:54] - Renaming C:\WINDOWS\System32\mljge.dll -> C:\WINDOWS\System32\mljge.dll.vir

[12/30/2005, 23:28:54] - File successfully renamed!

[12/30/2005, 23:28:54] - Removing HKLM\...\Browser Helper Objects\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}

[12/30/2005, 23:28:54] - Removing HKCR\CLSID\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}

[12/30/2005, 23:28:54] - Adding Kill Bit for ActiveX for GUID: {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}

[12/30/2005, 23:28:54] - Deleting ATLEvents/MSEvents Registry entries

[12/30/2005, 23:28:54] - Removing HKLM\...\Winlogon\Notify\mljge

[12/30/2005, 23:28:54] - Searching for Browser Helper Objects:

[12/30/2005, 23:28:54] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()

[12/30/2005, 23:28:54] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/30/2005, 23:28:54] - Checking for HKLM\...\Winlogon\Notify\SDHelper

[12/30/2005, 23:28:54] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.

[12/30/2005, 23:28:54] - Finished Searching Browser Helper Objects

[12/30/2005, 23:28:54] - Finishing up...

[12/30/2005, 23:28:54] - A restart is needed.

[12/30/2005, 23:29:32] - Attempting to Restart via STOP error (Blue Screen!)

[repieloose]

je viens de reprendre une attaque de virus, antivir m' a bloquer plusieurs worms

 

ca change ma config clavier d ailleur, je suis en belge...

 

en fait il s agit je pense de rdriv.sys un foutu virus qui cree des petits camarades, le hic c est que ce fichier ben je ne peux pas le supprimé

 

si vous savez comment on le kill...

[Gothic_Ted]

Salut,

 

quand je suis confronté a ce genre de probleme j'utilise le scan en ligne de Kaspersky qui m'aide pas mal.

 

apres si tu as des ptits problemes de suppression tu peux essayer en mode sans echec (F8 au boot)

[repieloose]

ok j essaye le kasper, on va voir ce qu il dit

 

merci

[repieloose]

aie!!!

 

le kasper il est pas content : 5 virus et 56 objets infecté, pendant le scan j ai eu pas mal d alerte antivir, j ai delete les files

sinon kasper a ignorer la plupart des fichiers, on ne peut pas les supprimer les cases sont grisées.

 

c' est toujours les memes virus qui reviennent.

 

je vais relancer un antivir en attendant le rapport

 

sinon je crois avoir lu qu il y avait moyen de regler le probleme en supprimant des ligne de la base de registre. Mais comme je suis un noob je prefere attendre vos avis.