draw32.dll

par **lara** » 03 Jan 2005 23:49

Bonjour à tous !

Voilà, j'ai attrappé un virus en me baladant sur le net, il ya quelque jours. Norton le détecte mais ne peut rien faire. Il a infecté le fichier draw32.dll (j'ai windows 2000 comme SE)
J'ai lancé un scan et un anti spy et à chaque fois, mon ordi plante. Et plus il plante, moins il veut redémarrer. Est ce que quelqu'un peut m'aider.
Merci

par **micjack** » 04 Jan 2005 00:08

Salut,

Tu peut deja redemarrer en mode sans echec ( F8 au demarrage ) et le virer manuelement...
Apres refait un scan...

PS:Mais Norton t'a bien donné un nom de virus, non? avec le chemin complet d'ou il se niche...

par **lara** » 04 Jan 2005 00:14

J'ai déjà redémarré en mode sans échec. Impossible de virer ce fichier. En fait il est pas visible. Même sous Dos je le vois pas. Donc je peux pas le supprimer!

Norton m'a donné comme nom bloodhound.packed et je crois que c'est le nom qu'il attribue par défaut à tous les virus qu'il connait pas!

par **micjack** » 04 Jan 2005 00:22

A tu permis d' afficher les fichiers cachés ? puis, que donne Google, concernant ce fichier ?

par **pulsergene** » 04 Jan 2005 00:35

bonsoir

un tit lien
http://www.sophos.com/virusinfo/analyse ... doorl.html
ou celui-ci
http://securityresponse.symantec.com/av ... .html?Open

bonne soirée

par **micjack** » 04 Jan 2005 00:40

Ainsi que de telecharger "Msconfig " pour Windows 2000 (car inexistant d'orrigine)

---> http://www.perfectdrivers.com/local/msc ... config.exe

Et regarde ce qui est louche dans l'onglet "demarrage" ...Si tu ne sais pas trop, apporte le resultat ici...

PS: Certains vont te conseillé "Hijackthis", mais bon, apres y'a franchement à boire et à manger dans ce genre de log

par **lara** » 04 Jan 2005 00:41

Je crois bien que j'avais demandé les fichiers cachés.
Sinon, sur le net je viens de trouver quelqu'un qui a été infecté récemment et qui a réussi à supprimer le fichier en mode sans échec et en lancant le programme killbox.
Qu'en penses tu?
Qu'est ce que je risque à supprimer manuellement ce fichier ?
En fait je flippe un peu! Mon ordi est mon outil de travail!

par **micjack** » 04 Jan 2005 00:46

Ne le supprime pas, rennome le dans un premier temp...
Genre en mode DOS ren draw32.dll *.old :wink:

par **lara** » 04 Jan 2005 00:53

J'ai téléchargé msconfig et je comprends rien ! Je suis d'être une pro de ce genre d'informatique.
J'ai pleins de trucs mais j'arrive pas à faire de copier coller pour vous en faire profiter
Une solution !

par **micjack** » 04 Jan 2005 01:10

Aucune... Quoi que, avec une copie d'ecran mise sur une serveur en donnant le lien ici.

Si non, y'a rien de douteux?

Bon, si tu n'arrive pas à decrire, telecharge "Hijackthis" le trie serra plus fastidieux pour retrouver trois broutilles..

par **lara** » 04 Jan 2005 01:10

Bon j'essaye de vous donner la liste des taches dans l'onglet démarrage

mobsync
rudll32
ccApp
ccRegVfy
CTHELPER
updReg
ADGJet
realsched
SNDMon
UsrPrmpt
Create CD (que je n'arrive plus à lancer d'ailleurs !)
Microsoft Office

Sinon, j'essayerai demain soir de renommer ce fichier. Mais avant, je vais il faut que je me procure une version de Windows 2000. On sait jamais !

En tout cas merci pour vos réponses. Je vous tiens au courant

par **lara** » 04 Jan 2005 01:20

Sinon, j'ai envoyé la copie d'écran à l'adresse suivante!
Je ne sais pas si tout est normal! C'est un peu du chinois pour moi!
Voilà l'adresse
http://loritzcpge.free.fr/bug/

par **micjack** » 04 Jan 2005 01:39

Pour moi y'a rien de suspect, sauf si l'un des fichiers est verolé..

Quoi que, le resident "Create CD" à été particulierement veroler il fut une periode, mais cela date de plus de deux ans...Donc ton Norton aurrait du l'identifier et l'eradiquer.

Tente de tout desactiver dans "demarrage" Msconfig puis de tester un autre AV

Le site --> http://www.avp.ch/
En evaluation --> http://www.avp.ch/E/dlwin50.stm

par **lara** » 04 Jan 2005 01:49

Bon, pour ce soir j'arette je vais me coucher!
J'essayerai demain le killbox
Je vous tiens au courant...si j'peux !
En tout cas merci beaucoup

par **bernie50** » 04 Jan 2005 20:14

bonsoir,

Voilà ce qu'en dit sophos , postes un log hitjackthis afin de voir si tu as bien les clés et puis fix les clés douteuses le reste fait le à la main.

Troj/Haxdoor-Z is a backdoor Trojan that provides remote attackers with access to the infected computer.

The installation executable for Troj/Haxdoor-Z copies itself to the Windows system folder and drops the following files to the system folder:

i.a3d or ps.a3d, draw32.dll, p2.ini, cm.dll, vdnt32.sys, hm.sys, memlow.sys, wd.sys and klogini.dll (not all of these files will be installed under Windows NT/XP).

i.a3d/ps.a3d, p2.ini and klogini.dll are harmless data files for which there is no detection. mode furtif

On NT-based versions of Windows services are created named memlow and vdnt32 (with display names of "LMMngr" and "MemDRV") to run memlow.sys and vdnt32.sys respectively, creating registry entries under:

HKLM\SYSTEM\CurrentControlSet\Services\memlow\
HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\

The new memlow service has a startup type set to automatic, so that it is activated automatically on startup. vdnt32.sys is configured to be loaded automatically on startup as a system driver.

On NT-based versions of Windows sub-keys of the following new registry entry are created to load draw32.dll on startup and run the "MedManager" export:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\draw32\

Under Windows 95/98/ME one of the following sets of registry entries is created, so that draw32.dll is loaded on startup and the "MedManager" export called:

HKLM\System\CurrentControlSet\control\mprser\
Dllname = draw32.dll

HKLM\System\CurrentControlSet\control\mprser\
Entrypoint = "MedManager"

HKLM\System\CurrentControlSet\control\mprser\
StackSize = 0

HKLM\System\currentcontrolset\control\MPRServices\
TestService\Dllname = draw32.dll

HKLM\System\currentcontrolset\control\MPRServices\
TestService\Entrypoint = "MedManager"

HKLM\System\currentcontrolset\control\MPRServices\
TestService\StackSize = 0

(causing the draw32.dll code to be run under the Mprexe system process.)

The following registry entries are also set:

HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableTrayIcon = 1

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
Memory Management\EnforceWriteProtection = 0

HKLM\SYSTEM\CurrentControlSet\Control\Impersonate
HKLM\SYSTEM\CurrentControlSet\Control\StackSize

Troj/Haxdoor-Z attempts to disable certain anti-virus and security related programs and may attempt to prevent its registry entries and files from being deleted.

The Trojan then runs continuously in the background listening for instructions from a remote user.

Sophos © 2004 Sophos Plc. All rights reserved. Legal | Privacy

draw32.dll

draw32.dll

troj Haxdoor

Qui est en ligne ?