[Virus] rdriv.sys infecté

salut
0. Installe ce nettoyeur CCLEANER http://www.ccleaner.com/ ou lien direct là http://www.filehippo.com/download_ccleaner.html (la flèche)
Tutorial là http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ensuite
*Configure ton ordi pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers

Désinstalle MSN-Plus car tu sembles avoir accepté les sponsort

1. à vérifier là http://virusscan.jotti.org/ fichier par fichier Parcourir puis SUBMIT lance ce multiple scanneur antivirus
C:\WINDOWS\winupd.exe

2. Relances Hijackthis et coche (puis FIX)
O4 - HKCU\..\Run: [Intec Service Drivers] msconfig32x.exe
O4 - HKCU\..\RunServices: [Intec Service Drivers] msconfig32x.exe
O4 - HKLM\..\RunServices: [Intec Service Drivers] msconfig32x.exe
O20 - AppInit_DLLs: MsgPlusLoader.dll

3. Effacer ces programmes .EXE et .DLL( et à la fin vider la corbeille)
C :… msconfig32x.exe

5. vider les répertoires temps et la corbeille, en lançant Ccleaner
Refais un hijackthis de contrôle et dis nous où en sont les problèmes…
a+

salut bernie pourquoi cette 020?

oki j avais pas fait attention que tu lui avais demander de le desinstal

Tout d'abord merci de vous être penché sur mon problème pour la rapidité!

Suivant vos conseils à la lettre, je télécharge Ccleaner, mais je n'arrive pas à l'installer... Le programme s'ouvre, j'accepte la charte blabla, je passe la page où ils me demandent si je veux avoir un raccourci ou pas sur mon bureau/dans le menu démarrer, etc, mais alors que l'installation va commencer à proprement parler la fenetre se ferme sans que je ne sache pourquoi... Le virus aurait il assez de pouvoir pour m'impecher d'installer Ccleaner?!

Malgré ça (je ne sais pas si ça sert à quelque chose...), j'ai quand même désinstallé MSN plus, "fixer" les fichiers suivants avec Hijack this (n'ayant pas trouvé le 4ème dans ma liste...)

O4 - HKCU\..\Run: [Intec Service Drivers] msconfig32x.exe
O4 - HKCU\..\RunServices: [Intec Service Drivers] msconfig32x.exe
O4 - HKLM\..\RunServices: [Intec Service Drivers] msconfig32x.exe

Et effacer un msconfig32x.exe qui se trouvait dans c:\windows\system32. (et vider la corbeille).

Quant au Jotti's malware scan, j'obtient quelque chose de ce type (dont je ne sais quoi faire au passage...):

File: winupd.exe
Status:
INFECTED/MALWARE
MD5 3b02347e83d2cd05b1712015474fef9a
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found IRC/BackDoor.SdBot.SFE
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found Backdoor.Win32.SdBot.aki
NOD32
Found a variant of IRC/SdBot
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Backdoor.Win32.SdBot.aki

N'oublions pas de préciser que ma chère alerte de virus ne m'a pas quitté bien entendu...
merci!

re
alors utilise l'effaceur de HT pour effacer le fichier
C:\WINDOWS\winupd.exe

effaceur Hijackthis
ouvrir Hijackthis là en bas droite CONFIG puis onglet MISCtools, là " Delete a file on reboot ", cliq dessus et suivre chemin de fichier à effacer, il indique alors " voulez-vous redémarrer maintenant ", cliq sur NON si d'autres fichiers sont à sélectionner et à nouveau " Delete a file on reboot " .. puis cliq OUI quand tous les fichiers sont sélectionnés

puis refais un hijackthis qu on contrôle
a+

Suivant ces derniers conseils, je supprime le fichier en question avec Hijackthis, je redemarre et voilà qu'une boîte "Error" apparait avec ça:

OS: Windows XP Professional, SP1
CPU: GenuineIntel, Intel Pentium 4, MMX @ 0 MHz

Application data:
VmVyc2lvbjogVm1oc1pteDBkeVJXWUhSd2JtUnRleVVwT3lZck9TQXN
QQ0V1UERjL0hSb2pQeU1qTTNGaGZYbHhOaVlrT1Nrck9VdC9kbjU2Yj
Nreg0KSW1hZ2VCYXNlOiAwMDQwMDAwMA0KLTENCkNvZGUgPSBbMTE0X
Q0KLSAyMjENCi0gMA0KLSAyMjANCi0gMA0KLSBbXQ0KPiBDOlxXSU5E
T1dTXHdpbnVwZC5leGUNCj4gQzpcV0lORE9XU1xTeXN0ZW0zMlxudGR
sbC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxrZXJuZWwzMi5kbG
wNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx1c2VyMzIuZGxsDQo+IEM6X
FdJTkRPV1Ncc3lzdGVtMzJcR0RJMzIuZGxsDQo+IEM6XFdJTkRPV1Nc
c3lzdGVtMzJcQURWQVBJMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGV
tMzJcUlBDUlQ0LmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTMyXG9sZW
F1dDMyLmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTMyXE1TVkNSVC5ET
EwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxPTEUzMi5ETEwNCj4gQzpc
V0lORE9XU1xzeXN0ZW0zMlx2ZXJzaW9uLmRsbA0KPiBDOlxXSU5ET1d
TXFN5c3RlbTMyXHdzb2NrMzIuZGxsDQo+IEM6XFdJTkRPV1NcU3lzdG
VtMzJcV1MyXzMyLmRsbA0KPiBDOlxXSU5ET1dTXFN5c3RlbTMyXFdTM
khFTFAuZGxsDQo+IEM6XFdJTkRPV1NcU3lzdGVtMzJcdXh0aGVtZS5k
bGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlx3aW5pbmV0LmRsbA0KPiB
DOlxXSU5ET1dTXHN5c3RlbTMyXFNITFdBUEkuZGxsDQo+IEM6XFdJTk
RPV1Ncc3lzdGVtMzJcQ1JZUFQzMi5kbGwNCj4gQzpcV0lORE9XU1xze
XN0ZW0zMlxNU0FTTjEuZGxsDQo+IEM6XFdJTkRPV1NcV2luU3hTXHg4
Nl9NaWNyb3NvZnQuV2luZG93cy5Db21tb24tQ29udHJvbHNfNjU5NWI
2NDE0NGNjZjFkZl82LjAuMTAuMF94LXd3X2Y3ZmI1ODA1XGNvbWN0bD
MyLmRsbA0KPiBDOlxXSU5ET1dTXFN5c3RlbTMyXFNlY3VyMzIuZGxsD
Qo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcc2hlbGwzMi5kbGwNCj4gQzpc
V0lORE9XU1xzeXN0ZW0zMlxjb21jdGwzMi5kbGwNCj4gQzpcV0lORE9
XU1xTeXN0ZW0zMlxuZXRhcGkzMi5kbGwNCj4gQzpcV0lORE9XU1xTeX
N0ZW0zMlxkbnNhcGkuZGxsDQo+IEM6XFdJTkRPV1NcU3lzdGVtMzJca
XBobHBhcGkuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcbXByLmRs
bA0KPiBDOlxXSU5ET1dTXFN5c3RlbTMyXG9kYmMzMi5kbGwNCj4gQzp
cV0lORE9XU1xzeXN0ZW0zMlxjb21kbGczMi5kbGwNCj4gQzpcV0lORE
9XU1xTeXN0ZW0zMlxvZGJjaW50LmRsbA0KPiBDOlxXSU5ET1dTXFN5c
3RlbTMyXHBzYXBpLmRsbA0KPiBDOlxXSU5ET1dTXFN5c3RlbTMyXHBz
dG9yZWMuZGxsDQo+IEM6XFdJTkRPV1NcU3lzdGVtMzJcQVRMLkRMTA=
=

Puis Windows m'annonce qu'il doit redemarrer dans 50s que je le veuille ou non car un fichier Isaac (? pas eu le temps denoter le nom...) c'ets arrêter brusquement... Apres avoir redemarrer, à priori plus d'erreur de ce type, sauf que mon virus sur rdriv, lui, est bien là...

Voilà le scan de Hijackthis que je viens de faire (au cas où ça changerait du précédent...):

Logfile of HijackThis v1.99.1
Scan saved at 21:46:08, on 05/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Aurélie\Bureau\HijackThis(2).exe
C:\WINDOWS\winupd.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Intec Service Drivers] msconfig32x.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: WkCalRem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: securesvc (Microsoft Secure Service) - Unknown owner - C:\WINDOWS\winupd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Merci!

salut
fait
Démarrer/exécuter et là tappes
SHUTDOWN -a

puis passe cet antivirus sysclean
http://users.skynet.be/BernieClub/#sysclean
a+

salut bernie
apparament c est un roktit il faut agir sur la BDR pour dezinguer le service a tous les niveaux

bonne nuit bernie
je l avais jamais tester je vais l essayer demain le scan est un peu long pour se soir

serait ce possible??? voilà que j'ai allumé mon pc, est ouvert ma session, y suis depuis une dizaine de minutes et pas de traces d'alertes de virus... AVG aurait il renoncé à me prévenir ou est ce que tout vos conseils ont fini par en venir à bout?
Je vous tiens au courant ;)
merci!!!!!!!!

Slt!
Dsl du retard! A priori, pas de problèmes à signaler depuis mon dernier message! donc un grand merci à tous ceux qui m'ont aidé!!!!!!!!!
@ bientot