Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Virus Trojan ADW_RULEDOR.C : très peu d'infos

Trojan ADW_RULEDOR.C : très peu d'infos

4 réponses
Avatar
tonic-magazine
Salut à vous tous ! Je suis sûr que mon message ne va étonner personne mais
j'ai chopé un Trojan de m... sur mon ordi : ADW_RULEDOR.C
J'ai d'abord remarqué que dès que mon accès web est lancé, le curseur de
souris se mettait à clignoter comme un dingue, puis plantage d'une certaine
application qui tourne en arrière plan "wrvcsws.exe" (un truc comme ça j'ai
pas eu le temps de noter).
L'antivirus a détecté le trojan sur le fichier suivant :
system32/CLRSCHPO12.EXE fichier que j'ai supprimé manuellement pensant
régler le pb de suite mais rien n'y fait à chaque redémarrage, il continue
les install sauvages de logiciels et le clignotement du curseur.
j'ai cherché de sinfos sur le Web mais j'ai trouvé un truc uniquement en
anglais, où ils disent qu'il faut supprimer manuellement tous les logiciels
qu'il a installé depuis la base de registre. J'en ai trouvé que deux :
CLRSCH et LycosSearch, que j'ai supprimé comme ils disaient de faire.
Mais les problèmes continuent toujours...
Qqun peut m'aider ?

Mat
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Maryse
Bonjour,

tonic-magazine a écrit dans
news:BDF0796C.1686% :
Qqun peut m'aider ?


Publiez ici un rapport Hijackthis, en le recopiant (pas en pièce jointe)
http://joke0.free.fr/ht.html


--
Maryse

FAQ virus: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html

Avatar
tonic-magazine
ok je suis au boulot, dès que je rentre chez moi j e vous fais ça.
Merci
A+

De : "Maryse"
Société : Neottia nidus-avis
Groupes : fr.comp.securite.virus
Date : Thu, 23 Dec 2004 17:05:06 +0100
Objet : Re: Trojan ADW_RULEDOR.C : très peu d'infos

Bonjour,

tonic-magazine a écrit dans
news:BDF0796C.1686% :
Qqun peut m'aider ?


Publiez ici un rapport Hijackthis, en le recopiant (pas en pièce jointe)
http://joke0.free.fr/ht.html


--
Maryse

FAQ virus: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html




Avatar
NEWS
Logfile of HijackThis v1.99.0
Scan saved at 18:32:25, on 24/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsEPSONEBAPIeEBSVC.exe
C:WINDOWSSystem32sistray.EXE
C:WINDOWSsoundman.exe
C:Program FilesElaborate BytesCloneCDCloneCDTray.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:PROGRA~1COMMON~1Toolbarwinnet.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesWinamp3winampa.exe
C:WINDOWSSystem32rundll32.exe
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe
C:PROGRA~1vxwrvtvwpxxw.exe
C:WINDOWSARUpdate.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1OntrackSYSTEM~1MXTask.exe
C:PROGRA~1vxwrvtwxxpwv.exe
C:WINDOWSSystem32vmssvmss.exe
C:Program FilesBullsEye Networkbinbargains.exe
C:WINDOWSsystemlsvchost.exe
C:Program FilesCommon filesupdaterwupdater.exe
C:Program FilesBcpcbcpc.exe
C:PROGRA~1OntrackSYSTEM~1mxtask.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesSAGEMSAGEM 800-908dslmon.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsDEVAUXBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://www.couldnotfind.com/search_page.html?&account_id3041
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://www.couldnotfind.com/search_page.html?&account_id3041
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL http://home.free.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://www.couldnotfind.com/search_page.html?&account_id3041
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} -
C:Program FilesTV MediaTvmBho.dll
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} -
C:PROGRA~1COMMON~1Toolbarcnbabe.dll
O2 - BHO: MSViewObj Class - {00000580-C637-11D5-831C-00105AD6ACF0} -
C:WINDOWSMSView.DLL
O2 - BHO: Sidesearch BHO - {00000762-3965-4A1A-98CE-3D4BF457D4C8} -
C:Program FilesLycosSidesearchsidesearch1400.dll (file missing)
O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} -
C:WINDOWSSystem32mpz300.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -
C:Program FilesNewDotNetnewdotnet6_38.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} -
C:PROGRA~1INCRED~1BHOINCFIN~1.DLL
O2 - BHO: NetPal Class - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} -
C:WINDOWSSystem32NetPal.dll
O2 - BHO: C:WINDOWSlbbho.dll - {6C79D19A-578B-45AA-8DDE-FCAE4B5EFFAE} -
C:WINDOWSlbbho.dll
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} -
c:Program FilesXMLXML.dll
O2 - BHO: Clear Search - {947E6D5A-4B9F-4CF4-91B3-562CA8D03313} - C:Program
FilesClearSearchIE_ClrSch.DLL (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} -
C:WINDOWSSystem32nvms.dll
O2 - BHO: Band Class - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} -
C:WINDOWSAdRoar.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} -
C:WINDOWSSystem32mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:Program
FilesBargain Buddybin2apuc.dll (file missing)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} -
C:WINDOWSSystem32msbe.dll
O4 - HKLM..Run: [SiS Tray] C:WINDOWSSystem32sistray.EXE
O4 - HKLM..Run: [SiS KHooker] C:WINDOWSSystem32khooker.exe
O4 - HKLM..Run: [SoundMan] soundman.exe
O4 - HKLM..Run: [Fix-It AV] C:PROGRA~1OntrackSYSTEM~1MemCheck.exe
O4 - HKLM..Run: [BMail Installation] C:Program
FilesiMeshClientFTP_back.exe
O4 - HKLM..Run: [setFTPBack] C:WINDOWSSystem32createsw.exe
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate
BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesElaborate
BytesCloneCDCloneCDTray.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [winnet] C:PROGRA~1COMMON~1Toolbarwinnet.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [WinampAgent] "C:Program FilesWinamp3winampa.exe"
O4 - HKLM..Run: [susp] C:WINDOWSsusp.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [New.net Startup] rundll32
C:PROGRA~1NEWDOT~1NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM..Run: [RgFHSg1w] C:PROGRA~1vxwrvtvwpxxw.exe
O4 - HKLM..Run: [Wast] C:WINDOWSwast2.exe 2
O4 - HKLM..Run: [AdRoarUpdate] C:WINDOWSARUpdate.exe
O4 - HKLM..Run: [Breg] "C:Program FilesCommon FilesJavabcre.exe"
O4 - HKLM..Run: [TV Media] C:Program FilesTV MediaTvm.exe
O4 - HKLM..Run: [Dvx] C:WINDOWSSystem32wsxsvcwsxsvc.exe
O4 - HKLM..Run: [vmss] C:WINDOWSSystem32vmssvmss.exe
O4 - HKLM..Run: [BullsEye Network] C:Program FilesBullsEye
Networkbinbargains.exe
O4 - HKLM..Run: [System Update] C:WINDOWSSystem32gogotxtb.exe
O4 - HKLM..Run: [.mscdsr] C:WINDOWSsystemlsvchost.exe
O4 - HKLM..Run: [Cryptographic Service] C:WINDOWSSystem32cldhrrv.exe
O4 - HKLM..Run: [updater] C:Program FilesCommon
filesupdaterwupdater.exe
O4 - HKLM..Run: [BCPC] "C:Program FilesBcpcbcpc.exe"
O4 - HKLM..Run: [Xcpy1] "C:Program FilesCommon FilesJavaXcpy1.exe"
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [TV Media] C:Program FilesTV MediaTvm.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM
800-908dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Add A Page Note - C:Program
FilesCommonNameToolbarcreatenote.htm
O8 - Extra context menu item: Bookmark This Page - C:Program
FilesCommonNameToolbarcreatebookmark.htm
O8 - Extra context menu item: Email This Link - C:Program
FilesCommonNameToolbaremaillink.htm
O8 - Extra context menu item: Pages liées - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Search using CommonName - C:Program
FilesCommonNameToolbarnavigate.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O10 - Hijacked Internet access by New.Net
O11 - Options group: [CommonName] CommonName
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} -
http://www.craquantes.com/kits/123/maniacraqu.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris
/us/win/QuickTimeInstaller.exe
O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} -
C:WINDOWSSystem32Emhlfi32.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique -
Unknown - C:WINDOWSSystem32dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:Program
FilesFichiers communsEPSONEBAPIeEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION -
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe
O23 - Service: Journal des événements - Unknown -
C:WINDOWSsystem32services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown -
C:WINDOWSsystem32imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown -
C:WINDOWSSystem32mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance -
Unknown - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown -
C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Journaux et alertes de performance - Unknown -
C:WINDOWSsystem32smlogsvc.exe
O23 - Service: SystemSuite Task Manager - Ontrack Data International -
C:PROGRA~1OntrackSYSTEM~1MXTask.exe
O23 - Service: Cliché instantané de volume - Unknown -
C:WINDOWSSystem32vssvc.exe
O23 - Service: Carte de performance WMI - Unknown -
C:WINDOWSSystem32wbemwmiapsrv.exe
Avatar
Maryse
Bonsoir,
(désolée pour le retard)

NEWS a écrit dans
news:41cc534c$0$16224$ :
Logfile of HijackThis v1.99.0
[un truc horrible]


Je suis incapable de décortiquer tellement ya de cochonneries.
On va donc commencer par faire un peu de ménage.

1) installez un antivirus ( par exemple Antivir, www.free-av.com, il
détecte bien les trojans) et faites une analyse.

2) installez et exécutez un antispyware comme Ad-Aware ou Spybot.

3) ensuite, refaites un Hijackthis et publiez le log ici afin qu'on
supprime les résidus


--
Maryse

FAQ virus: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html