bon voila
j'ai lu tout vos truc mais je suis un noob sur le pc alors aider le plus simplement possible car je n'arrive pas a m'en deffere.
j'ai un trojan cachecachekit dans :
window system 32\rdriv.sys
que doije faire
merci
Salut,
Quel antivirus et firewall as tu ?
g norton anti virus 2003
Bonsoir,
Télécharge le programme >>Hijackthis 1.99.1<<
Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )
Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
on regardera quand on aura un moment...
merci esteban
voici le raport
Logfile of HijackThis v1.99.1
Scan saved at 0:56:00, on 25/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\vexx\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe
juste avant de faire ton log hijackthis tu peux tenter la méhode de symantech puisqu il semblerait que leur antivirus arrive à supprimer ce trojan
méthode symantech
edit: bon ba trop tard ^^essais quand meme la methode symantech, j ai rien u de suspect dans ton log (attend la confirmation d esteban )
oui g lu met c noter en anglais alors je rame
a moin que tu lé en francais toi leur truc
ba le lien que je t ai filé est en français, enfin chez moi toute la methose est en français...
oui moi aussi il me mette ca
Trojan.Cachecachekit
Découvert le : 12/04/2005
Dernière mise à jour le : 12/07/2005
Trojan.Cachecachekit est un programme de pilote de périphérique utilisé pour cacher la présence de certains fichiers prédéfinis. Il est déposé par W32.Spybot.NLX.
Remarque : Les définitions de virus antérieures au 7 juin 2005 détectent cette menace comme Trojan.Horse.
Type : Trojan Horse
Etendue de l’infection : 7 168 octets
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Définitions de virus (Intelligent Updater) *
07/06/2005
Définitions de virus (LiveUpdate™) **
08/06/2005
*
Les définitions de virus de l’Intelligent Updater sont diffusées quotidiennement, mais requièrent un téléchargement et une installation manuels.
Cliquez ici pour télécharger manuellement.
**
Les définitions de virus de LiveUpdate sont généralement diffusées chaque mercredi.
Cliquez ici pour obtenir les instructions sur l’utilisation de LiveUpdate
Wild
Nombre d’infections : Plus de 1000
Nombres de sites : Plus de 10
Répartition géographique : Faible
Endiguement de la menace : Facile
Suppression : Modéré
Métrique de la menace
Wild :
Faible
Dommages :
Faible
Distribution :
Faible
Dommages
Elément déclencheur : Ne s'applique pas
Charge utile : Cache les fichiers et les services malveillants.
Envoie du courrier électronique à grande échelle : Ne s'applique pas
Supprime les fichiers : Ne s'applique pas
Modifie les fichiers : Ne s'applique pas
Dégrade les performances : Ne s'applique pas
Provoque l’instabilité du système : Ne s'applique pas
Divulgue des informations confidentielles : Ne s'applique pas
Compromet les paramètres de sécurité : Ne s'applique pas
Distribution
Objet du courrier électronique : Ne s'applique pas
Nom de la pièce jointe : Ne s'applique pas
Taille de la pièce jointe : Ne s'applique pas
Date de la pièce jointe : Ne s'applique pas
Ports : Ne s'applique pas
Lecteurs partagés : Ne s'applique pas
Cible de l’infection : Ne s'applique pas
Lorsque Trojan.Cachecachekit s'exécute, il réalise les opérations suivantes :
Se charge automatiquement dans tous les processus et cache la présence des fichiers et services de W32.Spybot.NLX.
Symantec Security Response invite utilisateurs et administrateurs à adopter les mesures de base les plus efficaces en matière de sécurité :
Eteignez et supprimez tous les services inutiles. Par défaut, de nombreux systèmes d’exploitation installent des services auxiliaires qui ne sont pas primordiaux, tels qu’un client FTP, telnet, et un serveur Web. Ces services sont la porte ouverte aux attaques. S’ils sont supprimés, les attaques ont moins de chances de parvenir et vous avez moins de services à entretenir au moyen de correctifs.
Si une attaque multiple exploite un ou plusieurs services réseau, désactivez ou bloquez l’accès à ces services jusqu’à ce qu’un correctif soit appliqué.
Maintenez toujours le niveau de vos correctifs à jour, en particulier sur les ordinateurs qui hébergent des services publics et qui sont accessibles via un firewall, tels que HTTP, FTP, messagerie, et services DNS.
Appliquez une stratégie un mot de passe. Sur les ordinateurs compromis, il est plus difficile de violer les fichiers de mots de passe si ceux-ci sont complexes. Ceci vous permet d’éviter ou de limiter les dommages potentiels encourus par un ordinateur compromis.
Configurez votre serveur de messagerie afin de bloquer ou de supprimer les e-mails qui contiennent des annexes couramment utilisées pour propager des virus, comme par exemple les fichiers .vbs, .bat, .exe, .pif et .scr.
Isolez rapidement les ordinateurs infectés afin d’éviter de compromettre d’avantage votre organisation. Effectuez une analyse complète et restaurez les ordinateurs utilisant des médias approuvés.
Exhortez les employés à n’ouvrir que les pièces jointes attendues. Aussi, n’exécutez aucun logiciel téléchargé depuis Internet qui n’a pas subi de recherche de virus. Le simple fait de visiter un site Internet compromis peut provoquer une infection si certaines vulnérabilités du navigateur ne sont pas corrigées.
Avant de suivre les instructions de suppression ci-dessous, consultez les instructions de suppression de W32.Spybot.NLX car W32.Spybot.NLX doit être supprimé avant que Trojan.Cachecachekit puisse être supprimé.
et des que je clic sur le lien w32.spybot.nlx je tombe sur une page en anglais se qui fait k'avant de suprimer le trojan je dois faire se kil disent et je lis pas l'anglais
Essaie ça :
1/ Démarrer/Exécuter/ tape services.msc puis entrée
Dans la liste des services, cherche :
Windows Updates puis double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\windowsupdates.exe
ensuite dans Type de démarrage, sélectionne Désactiver
Ensuite si le statut du service est "démarré", clique sur le bouton Arrêter
puis clique sur Appliquer.
2/ Supprime le fichier C:\WINDOWS\windowsupdates.exe
3/ Démarrer/Exécuter/ tape regedit puis Entrée
Dans la liste des services : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
cherche le service Windows Updates
puis clic droit sur ce service puis Supprimer et réponds OUI à la question de confirmation.
pardon c ca ke je voulais mettre
Avant de suivre les instructions de suppression ci-dessous, consultez les instructions de suppression de W32.Spybot.NLX car W32.Spybot.NLX doit être supprimé avant que Trojan.Cachecachekit puisse être supprimé.
g pas de windowsupdate.exe
seulement un windowsupdate.log
2/ Supprime le fichier C:\WINDOWS\windowsupdates.exe
moi je le trouve pas dedans
Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)
ok maintenant je le vois
mais il me dise que je peut pas le suprimé car il doit etre protégé en ecriture ou utilisé.......
Ensuite si le statut du service est "démarré", clique sur le bouton Arrêter
--> est-ce que tu l'as fait ça ?
alors lorsque g taper
*services.msc
puis *windows updates
type de demarage*desactivé.
il me demande pas si je veut arreté comme tu me la dit et je vois toujour que c demaré
ca c noter mais c pas activé , je pe pas clicer dessus
Ensuite si le statut du service est "démarré", clique sur le bouton Arrêter
le statut du service es sur demarer mais je pe pas clicer sur areté
ok dans ce cas il faut supprimer le fichier en mode sans échec.
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
bon là je te laisse je vais me coucher
mais tiens-moi au courant (après suppression du trojan, tu continues la manip 3/ et tu redémarres normalement)
alors que doij faire estaban ?
ok je te dit ca demain merci et bonne nuit
ok g tt fait
maintenant g pu le suprimer.
doij laisser comme ca ou y a til un truc a remettre comme avant ?????
je suis encore là...
recoche "Masquer les fichiers protégés du système d'exploitation" pour éviter de faire des fausses manip ou des erreurs sur ces fichiers à l'avenir.
voilà.
c ou ca stp
desolé je sui une burne
Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Masquer les fichiers protégés du système d'exploitation" ->coché
ouais je suis trop fort g trouver
merci mon esteban c super cool de ta part
c cool g trouvé
encore merci t un gars super et en plus patient
merciiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii
content d'avoir pu t'aider ;-)
Il y a 1933 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
