Bonjour,
j'ai un gros problème avec un (des) virus. Je vais tout d'abord résumer les problèmes encourus, ce que j'ai tenté, ce qui a été résolu et ce qui persiste...
1) Lorsque j'ai allumé mon pc, plus aucun executable ne voulait se lancer, meme pas le poste de travail ou IE.
2) Après recupération des données importantes, j'ai formaté purement et simplement, question de mettre à neuf.
3) Malgré cela, certains problème ont persisté, comme un ralentissement général, mais pas trop important, mais surtout un ralentissement très très important de ma connection à internet: de longs moment pour afficher une simple page web, des vitesses de téléchargement très faibles sur de bons serveurs ou encore de gros temps de latence dans un jeu tel que wow, le rendant injouable.
4) j'ai installé l'antivirus avast qui a detecté qqch: le fichier rdriv.sys infecté dans le répertoire /Windows/system32. Impossible de supprimer ce fichier: utilisé par un autre processus, ou alors il se supprime mais revient dans la seconde.
5) j'ai suivi des directives sur ce forum, suite au même style de virus (dsl mais je ne le retrouve plus pour le numéro de sujet). J'ai utilisé le logiciel HiJackThis et cela a résolu le problème en partie mais pas totalement. Je retrouve une connection correcte pendant un certain moment puis après un certain temps, plus rien, je ne sais meme plus afficher une page web et je dois reboot.
6) après un certain moment, lorsque je suis connecté à internet, une petite application se lance "FreeProd" qui lance l'installation d'une barre d'outil dans IE. J'ai trouvé qu'il s'agissait d'un spyware ou d'un vers mais je n'arrive pas à le virer. De plus, le fichier rdriv.sys dans Windows\system32 existe toujours, mais impossible de le supprimer.
Voici le fichier de log HiJackThis apres le chargement de FreeProd:
Citation :
Logfile of HijackThis v1.99.1
Scan saved at 19:21:19, on 30/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\winsystem.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\real.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\syscntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
I:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [internet connection] winsystem.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\RunServices: [internet connection] winsystem.exe
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A282AE8-9C0A-4BBA-9BD9-1494E879E763}: NameServer = 195.238.2.21 195.238.2.22
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\real.exe
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
|
Je supprime la ligne
Citation :
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A282AE8-9C0A-4BBA-9BD9-1494E879E763}: NameServer = 195.238.2.21 195.238.2.22
|
mais rien n'y fait elle revient. J'ai de gros doutes quand aux lignes qui lancent le proxessus real.exe (aucun player installé en dehors de wmp).
J'ai egalement supprimé la ligne
Citation :
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000190.exe
|
mais elle revient également.
Le fichier rdriv.sys dans /windows/system32 est egalement impossible a supprimer (impossible, ou il revient)
Merci pour l'attention que vous portez à la résolution de mon problème.