Virus dans rdriv.sys, besoin d'aide sur le log Hijackthis

Salut,

Vu les programmes que t'as... je dirais que tu as un IBM ThinkPad :-P T42 ?

---------------------------

1/ Redémarres en mode sans échec

2/ Coches ces lignes et appuyes sur Fix Checked :


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [microsft windows updates] mwupdate32.exe
O4 - HKLM\..\Run: [li start up] li32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Checkdisk] C:\WINDOWS\System32\mscas.exe
O4 - HKLM\..\Run: [`\V\kkyaolqqepgx] C:\WINDOWS\System32\jmuyjxuhexikso.exe
O4 - HKLM\..\Run: [O\aOVMQRKIZJU\] C:\WINDOWS\System32\zetlfa.exe
O4 - HKLM\..\RunServices: [microsft windows updates] mwupdate32.exe
O4 - HKLM\..\RunServices: [li start up] li32.exe
O4 - HKLM\..\RunServices: [`\V\kkyaolqqepgx] C:\WINDOWS\System32\jmuyjxuhexikso.exe
O4 - HKLM\..\RunServices: [O\aOVMQRKIZJU\] C:\WINDOWS\System32\zetlfa.exe

O4 - HKCU\..\Run: [li start up] li32.exe
O4 - HKCU\..\RunServices: [li start up] li32.exe
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Za [...] ge-c18.cab

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe

O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)


3/ Affiches tous les fichiers
Outils / Options des dossiers / Affichage
coches "afficher les fichiers cachés"
décoches "masquer les extensions des types connus"
décoches "masquer les fichiers protégés du système d'exploitation"


4/ Supprimes ces services :
Démarrer / Exécuter / services.msc
Trouves, arrêtes les s'ils sont démarrés, et désactives les services suivants :

AOL Instant Messanger (AIM)
sdktemp
Windows HWinfo Loader


5/ Supprimes ces fichiers :

mwupdate32.exe
li32.exe
C:\WINDOWS\System32\mscas.exe
C:\WINDOWS\System32\jmuyjxuhexikso.exe
C:\WINDOWS\System32\zetlfa.exe
C:\WINDOWS\aim.exe
C:\WINDOWS\microsoft.exe
C:\WINDOWS\iexplre.exe


Les fichiers sans arborescence sont dans C:\Windows ou C:\Windows\system32

6/ Redémarres normalement

7/ Repostes un log (pas en mode sans échec le log !!) ici en nous disant ceux que t'as pas pu supprimer (au cas ou y'en a certains !)

Bonjour!

J'ai fait toutes les manipulations conseillées, et le PC tourne déja mieux. Problème quand même: je n'arrive pas à lancer Hijackthis en mode normal (je n'ai pas le problème en mode sans échec). Dès que je le lance, la fenêtre s'ouvre et se referme aussitôt.
Ca me fait la même chose depuis quelques temps quand j'essaie d'ouvrir le gestionnaire des tâches de windows.
Qu'est-ce que ça pourrait être? un fichier abimé, ou quelque chose dans ce goût là?

je sais qu'il est légitime, mais il sert à rien au démarrage. C'est pour ça que je le vire du démarrage, mais que je ne le vire pas du PC.
C'est comme le truc de Java avec jushed, et ou le truc de QuickTime avec qttask. C'est deux programmes qui servent à rien à part ralentir le démarrage de ton PC ;-)

désoler ;-)

bonjour
Mes problèmes récents étaient dus à une mémoire virtuelle insuffisante, je pense. Voici un nouveau log hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 15:40:43, on 02/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server
O4 - HKLM\..\Run: [StorageGuard] "c:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Nero Checker] C:\WINDOWS\nerocheck.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [icmdn] C:\WINDOWS\System32\xawhjsziusr.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [icmdn] C:\WINDOWS\System32\xawhjsziusr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0504396F-3DC5-43C4-AF95-27E5892DD6F5}: NameServer = 85.255.113.123,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD22039B-4719-40BD-801C-8FB5F435592B}: NameServer = 85.255.113.123,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{0504396F-3DC5-43C4-AF95-27E5892DD6F5}: NameServer = 85.255.113.123,85.255.112.14
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Antivirus\Avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Antivirus\Avast\ashServ.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe