Votre question

Je suis infecté avec le Trojan.Rootkit.L

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Juillet 2007 20:00:29

Bonjour
Je suis infecté avec le Trojan.Rootkit.L
Il se trouve dans:
c:/windows/system32/rdriv
Voilà le rapport de hijackthis, je précise que j'ai:
BitDefender 9, Spysweeper, Ad-Aware et Spybot - Search & Destroy.
Merci d'avance pour toute l'aide que vous m'apporterez

Logfile of HijackThis v1.99.1
Scan saved at 19:41:55, on 03/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Photo\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Utils\CleverCache\ooccag.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Sécurité\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\scurit~1\bitdef~1\bdmcon.exe
C:\Sécurité\BitDefender9\bdoesrv.exe
C:\scurit~1\bitdef~1\bdnagent.exe
C:\scurit~1\bitdef~1\bdswitch.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Fichiers communs\TerraTec\Remote\TTTvRc.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Sécurité\Spy Sweeper\SpySweeperUI.exe
C:\Utils\Eraser\eraser.exe
C:\Gravure\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\windowsupdates.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Sécurité\BitDefender9\vsserv.exe
C:\Sécurité\Spy Sweeper\SSU.EXE
C:\Sécurité\HijackThis\HijackThis.exe
C:\WINDOWS\windowsupdates.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Sécurité\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - c:\texte\Systran Prenium 4.0\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [BDMCon] c:\scurit~1\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Sécurité\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\scurit~1\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\scurit~1\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RunDLL32.exe" NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Fichiers communs\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Sécurité\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [Eraser] "C:\Utils\Eraser\eraser.exe" -hide
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: TransBar.lnk = C:\Divers\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Gravure\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\Texte\Office 2003\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Texte\Office 2003\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Photo\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NBService - Nero AG - C:\Gravure\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Utils\CleverCache\ooccag.exe
O23 - Service: PDAgent - Unknown owner - C:\Utils\PerfectDisk 8.0.30\PDAgent.exe (file missing)
O23 - Service: PDEngine - Unknown owner - C:\Utils\PerfectDisk 8.0.30\PDEngine.exe (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Utils\Sandra Professional Personnel XI.SP2c\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Utils\Sandra Professional Personnel XI.SP2c\RpcSandraSrv.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Sécurité\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Sécurité\Spy Sweeper\SpySweeper.exe
O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
:hello: 

Autres pages sur : infecte trojan rootkit

a b 8 Sécurité
3 Juillet 2007 20:11:07

Bonjour,

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.
4 Juillet 2007 22:48:04

Voilà le rapport de Clean:

04/07/2007 a 22:41:37,15

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\windowsupdates.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\bdod.bin FOUND
C:\WINDOWS\system32\rdriv.sys FOUND
"C:\Documents and Settings\stephane\Application Data\ezpinst.exe" FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
Contenus similaires
a b 8 Sécurité
5 Juillet 2007 11:39:26

Re,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
    5 Juillet 2007 18:48:30

    Salut
    Je pense que ça a marché, car au démarrage, BitDefender m'annonçait que j'étais infecté par le Trojan.Rootkit.L
    Et maintenant je n'ai plus le message.
    Voilà le report de SDFix
    SDFix: Version 1.89

    Run by stephane on 05/07/2007 at 17:56

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix\SDFix

    Safe Mode:
    Checking Services:

    Name:
    rdriv

    ImagePath:
    \??\C:\WINDOWS\system32\rdriv.sys

    rdriv - Deleted



    Restoring Windows Registry Values
    Restoring Windows Default Hosts File
    Restoring Missing Security Center Service
    Restoring Missing SharedAccess Service

    Rebooting...


    Normal Mode:
    Checking Files:

    Below files will be copied to Backups folder then removed:

    C:\WINDOWS\system32\rdriv.sys - Deleted
    C:\WINDOWS\WindowsUpdates.exe - Deleted



    Removing Temp Files...

    ADS Check:

    Checking C:\WINDOWS
    C:\WINDOWS
    No streams found.

    Checking C:\WINDOWS\system32
    C:\WINDOWS\system32
    No streams found.

    Checking C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    No streams found.

    Checking C:\WINDOWS\system32\ntoskrnl.exe
    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.



    Final Check:

    Remaining Services:
    ------------------



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Divers\\SimpleCopier\\simplecopier.exe"="C:\\Divers\\SimpleCopier\\simplecopier.exe:*:Enabled:SimpleCopier"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Divers\\SimpleCopier\\simplecopier.exe"="C:\\Divers\\SimpleCopier\\simplecopier.exe:*:Enabled:SimpleCopier"

    Remaining Files:
    ---------------

    Backups Folder: - C:\SDFix\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    C:\Documents and Settings\stephane\Application Data\SCPSS5.DLL
    C:\Documents and Settings\stephane\Local Settings\Application Data\scpsv5.dll
    C:\Video\SUPER\cygwin1.dll
    C:\Video\SUPER\cygz.dll
    C:\Video\SUPER\_Setup.dll
    C:\Video\SUPER\mencoder\14_43260.dll
    C:\Video\SUPER\mencoder\28_83260.dll
    C:\Video\SUPER\mencoder\atrc3260.dll
    C:\Video\SUPER\mencoder\cook3260.dll
    C:\Video\SUPER\mencoder\ddnt3260.dll
    C:\Video\SUPER\mencoder\dnet3260.dll
    C:\Video\SUPER\mencoder\drv13260.dll
    C:\Video\SUPER\mencoder\drv23260.dll
    C:\Video\SUPER\mencoder\drv33260.dll
    C:\Video\SUPER\mencoder\drv43260.dll
    C:\Video\SUPER\mencoder\dspr3260.dll
    C:\Video\SUPER\mencoder\ivvideo.dll
    C:\Video\SUPER\mencoder\qtmlClient.dll
    C:\Video\SUPER\mencoder\raac.dll
    C:\Video\SUPER\mencoder\rnco3260.dll
    C:\Video\SUPER\mencoder\rnlt3260.dll
    C:\Video\SUPER\mencoder\rv103260.dll
    C:\Video\SUPER\mencoder\rv203260.dll
    C:\Video\SUPER\mencoder\rv303260.dll
    C:\Video\SUPER\mencoder\rv403260.dll
    C:\Video\SUPER\mencoder\sipr3260.dll
    C:\Video\SUPER\mencoder\tokr3260.dll
    C:\WINDOWS\system32\AVSredirect.dll
    C:\WINDOWS\system32\cygwin1.dll
    C:\WINDOWS\system32\cygz.dll
    C:\WINDOWS\system32\flvDX.dll
    C:\WINDOWS\system32\i420vfw.dll
    C:\WINDOWS\system32\msfDX.dll
    C:\WINDOWS\system32\yv12vfw.dll
    C:\Video\SUPER\Setup.exe
    C:\WINDOWS\meta4.exe
    C:\WINDOWS\MOTA113.exe
    C:\WINDOWS\system32\x.264.exe

    Finished

    a b 8 Sécurité
    5 Juillet 2007 18:50:03

    Refais un scan clean option 1.
    5 Juillet 2007 18:58:17

    En mode sans echec ?
    5 Juillet 2007 19:18:46

    Il est toujour la, mais dans le dossier backup de SDFix
    Pour scan clean option 1, je le fait en mode sans echec ou pas ?
    a b 8 Sécurité
    5 Juillet 2007 19:51:16

    En mode normal. Supprime le dossier SDFix.
    5 Juillet 2007 20:38:19

    Excuse moi de faire encore appel à toi, mais je ne vois pas ce que tu veut dire par "scan clean option 1"
    Et je ne peut pas supprimer le dossier SDFix, j'ai le message suivant:
    Impossible de lire à partir du fichier ou de la disquette source.
    7 Juillet 2007 01:04:21

    Voilà le rapport clean:

    07/07/2007 a 0:51:05,67

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\bdod.bin FOUND
    "C:\Documents and Settings\stephane\Application Data\ezpinst.exe" FOUND

    *** Recherche des fichiers dans C:\Program Files
    *** Fin du rapport !

    Y'à t'il une solution pour supprimer SDFix dans c:\windows ?
    a b 8 Sécurité
    7 Juillet 2007 12:56:20

    Re,

    Télécharge puis installe AVG Anti-Spyware (AVG AS)
    Fais les mises à jour mais ne lance pas de scan pour le moment.
    AIDE : Tuto sur AVG Anti-Spyware (Malekal)

    Redémarre en mode sans échec

    Relance AVG AS :
    - Choisis l'onglet "Analyse"
    - Puis l'onglet "Paramètres"
    - Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    - Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    [#ff0000]Si un fichier est infecté en fin d'analyse, clique sur "Appliquer toutes les actions"[/#f]

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.

    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 2 puis patiente.

    Redémarre normalement.
    Poste le rapport AVG AS ainsi qu'un rapport Hijackthis.

    Poste le rapport clean : C:\rapport_clean.txt
    8 Juillet 2007 18:11:34

    Je tiens vraiment à te remercier Angeldark, c'est plus que sympa de m'aider sur ce coup là.
    Juste une petite précision, tu me proposes d'utiliser "AVG Anti-Spyware"
    Est ce que Spy Sweeper que je possède en version complète ne pourrai pas faire l'affaire ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS