Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1542 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Virus tenace! rdriv.sys

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Virus tenace! rdriv.sys

n°2407504
remi_du_38
Posté le 10-05-2006 à 19:45:33  profilanswer
 

J'ai essayé de faire comme c'était expliquer sur les autre post mais rien y fait ce saloupio revient tout le temps! J'arrete pas de le virer de la base de registre avec son pote wscsvc mais rien y fait...
 
Quelqu'un a une solution qui marche?? Je commence vraiment à en avoir marre!

mood
Publicité
Posté le 10-05-2006 à 19:45:33  profilanswer
 

n°2407520
eZula
Posté le 10-05-2006 à 19:52:50  profilanswer
 

Salut,
 
poste un log HijackThis http://sitethemacs.free.fr/aide_en [...] ackthi.htm

n°2407528
sebbes
Hé Ho
Posté le 10-05-2006 à 19:57:35  profilanswer
 

Arretez un peu avec vos log qui servent a rien
 
Windows Update corrige le probleme
 
http://support.microsoft.com/?kbid=892489


---------------
pluralitas non est ponenda sine necessitate
n°2407538
eZula
Posté le 10-05-2006 à 20:16:07  profilanswer
 

bonjour à toi aussi, sebbes  ;)  
 

sebbes a écrit :

Arretez un peu avec vos log qui servent a rien
 
Windows Update corrige le probleme
 
http://support.microsoft.com/?kbid=892489


 
voilà, fais la mise à jour sur un pc infecté, le meilleur moyen de le mettre en vrac  :jap:

n°2407541
Anthony10
Posté le 10-05-2006 à 20:19:53  profilanswer
 

Bonjour eZula, Sebbes ...
 
* Sebbes, si tu arrives a desinfecter son Pc avec la mise a jour, tu es un Dieu de l'informatique. Normalement, le virus apparaitra dans le log ou dans un rapport futur.
 
* Pour eZula, bah salut et bonne chance pour ce topic. ^^

n°2407549
sebbes
Hé Ho
Posté le 10-05-2006 à 20:28:15  profilanswer
 

eZula a écrit :

bonjour à toi aussi, sebbes  ;)  
 
 
 
voilà, fais la mise à jour sur un pc infecté, le meilleur moyen de le mettre en vrac  :jap:


 
10 ans de metier, je pense pas que tu va m'apprendre
 

Anthony10 a écrit :

Bonjour eZula, Sebbes ...
 
* Sebbes, si tu arrives a desinfecter son Pc avec la mise a jour, tu es un Dieu de l'informatique. Normalement, le virus apparaitra dans le log ou dans un rapport futur.
 
* Pour eZula, bah salut et bonne chance pour ce topic. ^^


 
ce n'est pas une desinfection mais un correctif, si tu savais combien il y a de Trojan et autres worms qui trainent et qui ne sont pas activés grace a ces correctifs.....
 
Le log ne set a rien du tout puisque le probleme est identifié clairement  


---------------
pluralitas non est ponenda sine necessitate
n°2407552
Anthony10
Posté le 10-05-2006 à 20:31:11  profilanswer
 

Re.
 
Je te laisse aider la personne alors, bonne chance.
 
Personellement, la mise a jour se fait a la fin.

n°2407579
remi_du_38
Posté le 10-05-2006 à 20:44:27  profilanswer
 

Logfile of HijackThis v1.99.1
Scan saved at 20:43:42, on 10/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Program Files\ATITool\ATITool.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\axdcfasb.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Raxco\PerfectDisk\PDSched.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\hiajckthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATITool] "D:\Program Files\ATITool\ATITool.exe" -s
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7280995671
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe
 
et voila

n°2407582
eZula
Posté le 10-05-2006 à 20:48:17  profilanswer
 

sebbes a écrit :

10 ans de metier


 
raconte-nous ce que tu a pris au petit déjeuner, tant que tu y es  
 
Voilà donc ce qu'on peut lire dans ton lien, les premières lignes :
 

Citation :

Symptômes
Lorsque vous pouvez pour l'ordinateur remarquer une augmentation du chiffre d'handle ouverts pour le processus svchost.exe, vous effectuez une analyse antivirus manuel ou planifié sur un Service Pack 2 ( SP2 ) (SP2) Microsoft Windows XP - basé.


 
hé bien avec ça, la personne qui poste est bien barrée
 
bref, une intervention sauvage, assurément, constructive, assurément pas !
 
Quand aux correctifs de windows, il ne faut pas trop rêver non plus  ;)

n°2407592
sebbes
Hé Ho
Posté le 10-05-2006 à 20:54:55  profilanswer
 

eZula a écrit :

raconte-nous ce que tu a pris au petit déjeuner, tant que tu y es  
 
Voilà donc ce qu'on peut lire dans ton lien, les premières lignes :
 

Citation :

Symptômes
Lorsque vous pouvez pour l'ordinateur remarquer une augmentation du chiffre d'handle ouverts pour le processus svchost.exe, vous effectuez une analyse antivirus manuel ou planifié sur un Service Pack 2 ( SP2 ) (SP2) Microsoft Windows XP - basé.


 
hé bien avec ça, la personne qui poste est bien barrée
 
bref, une intervention sauvage, assurément, constructive, assurément pas !
 
Quand aux correctifs de windows, il ne faut pas trop rêver non plus  ;)


 
Merci de lire en entier  
 
 

Citation :

Information de fichier
La version anglaise de ce correctif logiciel possède les attributs de fichier indiqués dans le tableau suivant ou ceux d'une version ultérieure. Les dates et heures de création de ces fichiers sont indiquées par rapport à l'heure universelle (GMT). Lorsque vous affichez l'information de fichier, elle est converti à l'heure locale. Pour connaître le décalage entre heure GMT et l'heure locale, utilisez l'onglet Fuseau horaire dans l'utilitaire dans Panneau de configuration Date et heure.
 
   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   28-Jan-2005  23:49  5.1.2600.2604      80,896  Wscsvc.dll


 
Ton intervention est constructive ??


---------------
pluralitas non est ponenda sine necessitate
mood
Publicité
Posté le 10-05-2006 à 20:54:55  profilanswer
 

n°2407615
eZula
Posté le 10-05-2006 à 21:12:20  profilanswer
 

désolé sebbes, mais je pense que tu es loin du compte.  
Quand je lis cette intervention, au hasard http://forum.hardware.fr/hardwaref [...] m#t2407553
la première chose qui me vient à l'esprit, c'est as-tu regardé les processus en cours ? si la réponse était oui, tu te serais sans doute dispensé de répondre.
 
-----------------
 
remi_du_38 :  
 
Télécharge : Pocket Killbox http://www.downloads.subratam.org/KillBox.exe
Mets-le sur ton bureau
 
Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous, ligne vide comprise à la fin (copie tout d'un trait, sauf le mot "citation bien sur ;) ) :
 

Citation :

REGEDIT4
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdktemp]
 


 
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix2.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
 
L'icône de fix2.reg doit ressembler à cela http://www.hiboox.com/images/4905/avnoztv.jpg
 
 
1/ Désactive le service suivant :
vas dans démarrer, clique sur "exécuter", tapes :  
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
sdktemp
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
 "C:\WINDOWS\axdcfasb.exe"  
dans "Type de démarrage",
clique sur "désactiver" et règle-le sur "arrêté"
"Appliquer"/"ok"
 
 
2/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
 
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
 
3/ quitte internet et double clique sur fix2.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
 
4/ Lancer killbox.exe
Cocher le bouton "Delete on Reboot"
Coller la première ligne ci-dessous, dans la case "Full path of file to delete"
C:\WINDOWS\axdcfasb.exe
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la 2ème ligne ci-dessous
C:\Windows\System32\rdriv.sys
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI
 
l'ordinateur va redémarrer, sinon fais-le toi-même
 
Poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
 

n°2407788
remi_du_38
Posté le 11-05-2006 à 07:28:36  profilanswer
 

C'est bon j'ai fais tout ca. J'ai juste du reboot afin que le sercices soit desactivé car je pouvai pas l'arreter le bouton était grisé. Et sinon les fichiers de backup de killbox je les vire ou pas?
 
 
edit : voila
 
Logfile of HijackThis v1.99.1
Scan saved at 07:29:08, on 11/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Program Files\ATITool\ATITool.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Raxco\PerfectDisk\PDSched.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
D:\hiajckthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATITool] "D:\Program Files\ATITool\ATITool.exe" -s
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7280995671
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe
 
je ferai un pti scan avec avast ce soir pour voir si tout va bien


Message édité par remi_du_38 le 11-05-2006 à 07:29:44
n°2407987
eZula
Posté le 11-05-2006 à 12:04:49  profilanswer
 

salut
 
le rapport est propre. Supprime en effet le dossier C:\!Killbox
 
Fais plutot ce scan en ligne http://webscanner.kaspersky.fr/


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Virus tenace! rdriv.sys

 

Sujets relatifs
2 virus détecté par antivirus mais récurents (rapport hijack fournit)virus -> "Window ne peut pas trouver..."
perdue wininet apres infection virusVirus & spyware! je m'en sors plus..
Virus jcJI ?besoin d'aide pr éradiquer virus Constructor.Perl.Msdds.b
probleme de spyware, virus, trojanCoupure d'internet bizarre - virus
VIRUS dl.exe :''''((((Virus inconnu ou problème avec le DD ?
Plus de sujets relatifs à : Virus tenace! rdriv.sys


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR