problème avec trojan horse generic

[reboots]

bonjour à tous,
voila je suis nouveau donc je ne sais pas trop ou mettre ce sujet donc je le met la
bon je commence: récemment j'ai installé Windows XP Professionnel
depuis pas mal de temps j'ai vu que quand je faisai des scan avec mon anti virus il y avait toujours un virus, mais que je n'arrivais pas a enlever:
trojan horse generic.sys
il est situé dans: C:/Windows/System32/rdriv.sys
j'ai l'impression qu'il se lance au démarrage de windows...
j'ai tout essayé, c'est a dire avec Avast (mon anti virus), avec Ad Aware SE autant en mode normal que en mode sans échec....et il revient toujours....
j'ai alors télécharger hijackthis et j'ai fais un scan en ligne...rien a faire il revient aussi!!!
je vous donne des informations sur mon système:
- Windows XP Prfessionnel version 2002
- Service Pack 2
- Processeur AMD Athlon 2600+ 1.92GHz
-512 Mo de RAM

voila si vous voulez plus d'informations, genre mon log, prévener moi....
merci d'avance j'espère pour l'aide que vous allez me fournirs'il vous plait aider moi....

[/quote][/url]

[phoenix440]

Utilsie Kaspersky comme anti virus, je le trouve très performant.

[Louis-Guillaume Morand]

pose nous ton log Hijackthis dans stp (dans les balises quote pou rplus de lisibilité )

[reboots]

merci de m'avoir répondu,
boila comme prévu mon log avec hijackthis:

Citation:

Logfile of HijackThis v1.99.1
Scan saved at 12:46:37, on 08/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\windupdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\uudfnrq.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Program Files\AIDA32 - Enterprise System Information\aida32.bin
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\EVERYBODY\Bureau\HijackThis\HijackThis.exe
C:\WINDOWS\SYSWIN32.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [jffsqgu] C:\WINDOWS\system32\uudfnrq.exe r
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{40B3BA60-FC5A-4E87-86E3-45189C45E17B}: NameServer = 217.19.192.132 217.19.192.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{40B3BA60-FC5A-4E87-86E3-45189C45E17B}: NameServer = 217.19.192.132 217.19.192.131
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\system32\msnq3insller.exe (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: servicesnt Service: spoolntA (spoolntA) - Unknown owner - C:\WINDOWS\system32\drivers\etc\systemp\servicesnt.EXE (file missing)
O23 - Service: servicesnt Service: svchostntA (svchostntA) - Unknown owner - C:\WINDOWS\system32\drivers\etc\systemp\servicesnt.EXE (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE

merci encore et bonne chance moi j'y comprend rien...

[brice45]

salut,
apparamment quelqu'un a eu le même problème que toi mais a trouvé une solution :

Citation:

c'est un fichier systeme qui se place c:\windows\system32\rdriv.sys
l' antivirus le detect mais ne peu pas l'enlever,et en mode sans echec il n'apparais pas.car tout simplement c'est un virus partager en deux.

alors comment faire a part formater.c'est simple quand on connais l'astuce.

je vous la donne :


(1) Démarrer -> exécuter -> tape: services.msc
Double clique : Externtelecom
Règle-le sur "Arrêté" et "Désactivé".


(2) telechargez "PocketKillBox" :
ICI

(3) Lancez "PocketKillBox"
-Cochez "Delete on reboot"
-Dans "Paste full path of file..", faites glisser le fichier rdriv.
- cliquez "Delete file" (la croix blanche)
-vous aurez ce premier message : "File will be deleted on next reboot", répondez "Yes", puis un second :"Process and Reboot now?". Réponds "YES"


(4) le pc reboot et là votre antivirus supprime la premiere partie de se foutus virus qui etais dans se cas : extel.exe

tu peux tjrs essayer

[brice45]

c'est le cas d'un virus qui se loge lui aussi dans le fichier C:/Windows/System32/rdriv.sys

[reboots]

merci pr l'info je vais aller voir
8)


edit:
j'ai essayé avec ta page web mais ca marche pas vu que je n'ai pas le fichier "externtelecom" situé dans "services.msc"
merci quand même pour ton aide

[Louis-Guillaume Morand]

externtelecom semble un service specifique à ce monsieur. essaie de le continuer la manipulation en sautant cette étape




pour ton scan. tu relance le scan de hijackthis et tu coches les lignes suivantes

Citation:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
==> je ne connais pas cet exe.

O4 - HKLM\..\Run: [jffsqgu] C:\WINDOWS\system32\uudfnrq.exe r

O17 - HKLM\System\CCS\Services\Tcpip\..\{40B3BA60-FC5A-4E87-86E3-45189C45E17B}: NameServer = 217.19.192.132 217.19.192.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{40B3BA60-FC5A-4E87-86E3-45189C45E17B}: NameServer = 217.19.192.132 217.19.192.131
==> ils sont bizarres ces trucs!! mais c'est p-e utile a ton avast. faudrait regarder de plus près

[reboots]

Citation:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [jffsqgu] C:\WINDOWS\system32\uudfnrq.exe r

O17 - HKLM\System\CCS\Services\Tcpip\..\{40B3BA60-FC5A-4E87-86E3-45189C45E17B}: NameServer = 217.19.192.132 217.19.192.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{40B3BA60-FC5A-4E87-86E3-45189C45E17B}: NameServer = 217.19.192.132 217.19.192.131

>le premier il revient tout le temps
>le deuxième je ne le trouve plus depuis que j'ai fait un autre scan..

[reboots]

Citation:

c'est un fichier systeme qui se place c:\windows\system32\rdriv.sys
l' antivirus le detect mais ne peu pas l'enlever,et en mode sans echec il n'apparais pas.car tout simplement c'est un virus partager en deux.

alors comment faire a part formater.c'est simple quand on connais l'astuce.

je vous la donne :


(1) Démarrer -> exécuter -> tape: services.msc
Double clique : Externtelecom
Règle-le sur "Arrêté" et "Désactivé".


(2) telechargez "PocketKillBox" :
ICI

(3) Lancez "PocketKillBox"
-Cochez "Delete on reboot"
-Dans "Paste full path of file..", faites glisser le fichier rdriv.
- cliquez "Delete file" (la croix blanche)
-vous aurez ce premier message : "File will be deleted on next reboot", répondez "Yes", puis un second :"Process and Reboot now?". Réponds "YES"


(4) le pc reboot et là votre antivirus supprime la premiere partie de se foutus virus qui etais dans se cas : extel.exe


>>>mais dans ce cas il faut désactivé l'antivirus ou pas (c'est a dire pour moi avast, parce que il me signale qu'il y a un virus dans C:\Windows.....enfin dans rdriv.sys koi!!)
donc je ne peux pas faire le reboot)