virus Hacktool.Rootkit et Trojan.Cachecachekit
Forum Sécurité - Virus : virus Hacktool.Rootkit et Trojan.Cachecachekit
voila j'ai 2 virus sur mon pc et j'arrive pas a m'en débarasser!!
il y a Hacktool.Rootkit situé dans msdirectx.sys
et Trojan.Cachecachekit situé dans rdriv.sys
merci de m'aider et de me dire ce qu'il faut faire pour m'en débarrasser!!!
voila mon log avec HiJackThis :
Logfile of HijackThis v1.99.1
Scan saved at 11:22:23, on 21/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\savedump.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
D:\INSTALL\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - F:\WINDOWS\System32\jkkjg.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - F:\WINDOWS\System32\ssqpn.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "F:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] F:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [iTunesHelper] F:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [Media Access] F:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Internet Optimizer] "F:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Media player 9] msmedia32.exe
O4 - HKLM\..\Run: [Workstation Ver 5.0] vmware.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\Run: [FWDMON.EXE] F:\WINDOWS\System32\fwdmon.exe
O4 - HKLM\..\Run: [REGSYS] C:\pnstx.exe
O4 - HKLM\..\Run: [REGWIN32] C:\pnsx.exe
O4 - HKLM\..\Run: [Compaqs Service Driver] copypad32.exe
O4 - HKLM\..\Run: [REGMSYS] C:\svqq.exe
O4 - HKLM\..\Run: [SWOD] F:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [elos] F:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [Up Service] up32.pif
O4 - HKLM\..\Run: [System service76] F:\WINDOWS\etb\pokapoka76.exe
O4 - HKLM\..\Run: ![[:F=e]](http://img.infos-du-net.com/forum/images/perso/F=e.gif "[:F=e]")
F:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [SVCH Service] svch32.pif
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [Microsoft Media player 9] msmedia32.exe
O4 - HKLM\..\RunServices: [Workstation Ver 5.0] vmware.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Compaqs Service Driver] copypad32.exe
O4 - HKLM\..\RunServices: [Up Service] up32.pif
O4 - HKLM\..\RunServices: [SVCH Service] svch32.pif
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [Compaqs Service Driver] copypad32.exe
O4 - HKCU\..\Run: [Up Service] up32.pif
O4 - HKCU\..\Run: [SVCH Service] svch32.pif
O4 - HKCU\..\RunServices: [Compaqs Service Driver] copypad32.exe
O4 - HKCU\..\RunServices: [Up Service] up32.pif
O4 - HKCU\..\RunServices: [SVCH Service] svch32.pif
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] e-c267.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.co [...] nstall.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab
O20 - Winlogon Notify: jkkjg - F:\WINDOWS\SYSTEM32\jkkjg.dll
O20 - Winlogon Notify: ssqpn - F:\WINDOWS\System32\ssqpn.dll
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - F:\WINDOWS\System32\ImapiRox.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - F:\WINDOWS\lsass.exe
O23 - Service: Microsoft Path Finder Service (mspathfinder) - Unknown owner - F:\WINDOWS\mspathfinder
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - F:\WINDOWS\smsc.exe
O23 - Service: SMSS - Unknown owner - F:\WINDOWS\smss.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SYS MANAGER (system) - Unknown owner - F:\WINDOWS\SYSWIN32.EXE
Salut, c'est pour un record ? :-D
1/ Redémarrer en mode sans échec
Redémarre l'ordinateur. Après les écritures du BIOS, appuyes sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.
Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).
Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience. ;-)
2/ Fixer des lignes
Relances HijackThis. Choisi Do a system scan only cette fois-ci.
Puis coche les lignes suivantes, et appuie sur Fix Checked.
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yoursearchspace.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [Media Access] F:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Internet Optimizer] "F:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Media player 9] msmedia32.exe
O4 - HKLM\..\Run: [Workstation Ver 5.0] vmware.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\Run: [FWDMON.EXE] F:\WINDOWS\System32\fwdmon.exe
O4 - HKLM\..\Run: [REGSYS] C:\pnstx.exe
O4 - HKLM\..\Run: [REGWIN32] C:\pnsx.exe
O4 - HKLM\..\Run: [Compaqs Service Driver] copypad32.exe
O4 - HKLM\..\Run: [REGMSYS] C:\svqq.exe
O4 - HKLM\..\Run: [SWOD] F:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [elos] F:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [Up Service] up32.pif
O4 - HKLM\..\Run: [System service76] F:\WINDOWS\etb\pokapoka76.exe
O4 - HKLM\..\Run: F:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [SVCH Service] svch32.pif
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [Microsoft Media player 9] msmedia32.exe
O4 - HKLM\..\RunServices: [Workstation Ver 5.0] vmware.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Compaqs Service Driver] copypad32.exe
O4 - HKLM\..\RunServices: [Up Service] up32.pif
O4 - HKLM\..\RunServices: [SVCH Service] svch32.pif
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [Compaqs Service Driver] copypad32.exe
O4 - HKCU\..\Run: [Up Service] up32.pif
O4 - HKCU\..\Run: [SVCH Service] svch32.pif
O4 - HKCU\..\RunServices: [Compaqs Service Driver] copypad32.exe
O4 - HKCU\..\RunServices: [Up Service] up32.pif
O4 - HKCU\..\RunServices: [SVCH Service] svch32.pif
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - F:\WINDOWS\lsass.exe
O23 - Service: Microsoft Path Finder Service (mspathfinder) - Unknown owner - F:\WINDOWS\mspathfinder
O23 - Service: System Manager Service (SMSC) - Unknown owner - F:\WINDOWS\smsc.exe
O23 - Service: SMSS - Unknown owner - F:\WINDOWS\smss.exe (file missing)
O23 - Service: SYS MANAGER (system) - Unknown owner - F:\WINDOWS\SYSWIN32.EXE
3/ Afficher tous les fichiers
Dans l'explorateur de Windows (par ex) :
Outils -> Options des dossier -> onglet Affichage
Coche : Afficher les fichiers cachés
Décoche : Masquer les extensions des types connus
Décoche : Masquer les fichiers protégés du système d'exploitation
4/ Supprimer des services
Démarrer -> Exécuter -> services.msc
Trouve, arrête les s'ils sont démarrés, et désactive les services suivants :
Local Security Authority Subsystem Service (lsass)
Microsoft Path Finder Service (mspathfinder)
System Manager Service (SMSC)
SMSS
SYS MANAGER (system)
5/ Supprimer des programmes
Panneau de configuration -> Ajout/Suppression de programmes
Trouve et supprime les programmes suivants (tu ne les trouveras pas forcément tous) :
Media Access
Internet Optimizer
6/ Supprimer des fichiers
Supprime les fichiers / dossiers en gras suivants :
F:\Program Files\Media Access\ (suppr. ce dossier)
F:\Program Files\Internet Optimizer\ (suppr. ce dossier)
F:\WINDOWS\lsass.exe (celui dans windows, pas dans system32 !!!!!)
F:\WINDOWS\mspathfinder
F:\WINDOWS\smsc.exe
F:\WINDOWS\smss.exe (celui dans windows, pas dans system32 !!!!!)
F:\WINDOWS\SYSWIN32.EXE
F:\WINDOWS\System32\fwdmon.exe
F:\WINDOWS\exe82.exe
C:\pnstx.exe
C:\pnsx.exe
C:\svqq.exe
F:\WINDOWS\etb\ (suppr. ce dossier)
Les fichiers suivants sans arborescence sont dans C:\Windows ou C:\Windows\system32.
msmedia32.exe
vmware.exe
task32w.exe
copypad32.exe
MSMSN7.exe
up32.pif
svch32.pif
7/ Redémarrer normalement
Redémarre normalement l'ordinateur.
8/ Remettre la configuration de l'affichage des fichiers comme avant
Dans l'explorateur de Windows (par ex) :
Outils -> Options des dossier -> onglet Affichage
Remet tout comme avant (si tu affichais déjà tous les fichiers, ne change rien).
Décoche : Afficher les fichiers cachés
Coche : Masquer les extensions des types connus
Coche : Masquer les fichiers protégés du système d'exploitation
9/ Nettoyer les traces avec CCleaner et Kaspersky
Fais des analyses avec CCleaner et Kaspersky.
10/ Reposter un log
Relances HijackThis. Choisi Do a system scan and save a logfile.
Et repostes nous ton nouveau log en nous précisant les étapes que tu n'as pas réussi.
Par Destrio5 il y a 6 jours :
