draw32.dll

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

draw32.dll

Messagepar lara » 03 Jan 2005 23:49

Bonjour à tous !

Voilà, j'ai attrappé un virus en me baladant sur le net, il ya quelque jours. Norton le détecte mais ne peut rien faire. Il a infecté le fichier draw32.dll (j'ai windows 2000 comme SE)
J'ai lancé un scan et un anti spy et à chaque fois, mon ordi plante. Et plus il plante, moins il veut redémarrer. Est ce que quelqu'un peut m'aider.
Merci
lara
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Jan 2005 23:43

Messagepar micjack » 04 Jan 2005 00:08

Salut,

Tu peut deja redemarrer en mode sans echec ( F8 au demarrage ) et le virer manuelement...
Apres refait un scan...

PS:Mais Norton t'a bien donné un nom de virus, non? avec le chemin complet d'ou il se niche...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar lara » 04 Jan 2005 00:14

J'ai déjà redémarré en mode sans échec. Impossible de virer ce fichier. En fait il est pas visible. Même sous Dos je le vois pas. Donc je peux pas le supprimer!

Norton m'a donné comme nom bloodhound.packed et je crois que c'est le nom qu'il attribue par défaut à tous les virus qu'il connait pas!
lara
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Jan 2005 23:43

Messagepar micjack » 04 Jan 2005 00:22

A tu permis d' afficher les fichiers cachés ? puis, que donne Google, concernant ce fichier ?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar pulsergene » 04 Jan 2005 00:35

Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city

Messagepar micjack » 04 Jan 2005 00:40

Ainsi que de telecharger "Msconfig " pour Windows 2000 (car inexistant d'orrigine)

---> http://www.perfectdrivers.com/local/msc ... config.exe

Et regarde ce qui est louche dans l'onglet "demarrage" ...Si tu ne sais pas trop, apporte le resultat ici...

PS: Certains vont te conseillé "Hijackthis", mais bon, apres y'a franchement à boire et à manger dans ce genre de log :?
Dernière édition par micjack le 04 Jan 2005 00:42, édité 1 fois au total.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar lara » 04 Jan 2005 00:41

Je crois bien que j'avais demandé les fichiers cachés.
Sinon, sur le net je viens de trouver quelqu'un qui a été infecté récemment et qui a réussi à supprimer le fichier en mode sans échec et en lancant le programme killbox.
Qu'en penses tu?
Qu'est ce que je risque à supprimer manuellement ce fichier ?
En fait je flippe un peu! Mon ordi est mon outil de travail!
lara
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Jan 2005 23:43

Messagepar micjack » 04 Jan 2005 00:46

Ne le supprime pas, rennome le dans un premier temp...
Genre en mode DOS ren draw32.dll *.old :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar lara » 04 Jan 2005 00:53

J'ai téléchargé msconfig et je comprends rien ! Je suis d'être une pro de ce genre d'informatique.
J'ai pleins de trucs mais j'arrive pas à faire de copier coller pour vous en faire profiter
Une solution !
lara
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Jan 2005 23:43

Messagepar micjack » 04 Jan 2005 01:10

Aucune... Quoi que, avec une copie d'ecran mise sur une serveur en donnant le lien ici.

Si non, y'a rien de douteux?

Bon, si tu n'arrive pas à decrire, telecharge "Hijackthis" le trie serra plus fastidieux pour retrouver trois broutilles..
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar lara » 04 Jan 2005 01:10

Bon j'essaye de vous donner la liste des taches dans l'onglet démarrage


mobsync
rudll32
ccApp
ccRegVfy
CTHELPER
updReg
ADGJet
realsched
SNDMon
UsrPrmpt
Create CD (que je n'arrive plus à lancer d'ailleurs !)
Microsoft Office

Sinon, j'essayerai demain soir de renommer ce fichier. Mais avant, je vais il faut que je me procure une version de Windows 2000. On sait jamais !

En tout cas merci pour vos réponses. Je vous tiens au courant
lara
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Jan 2005 23:43

Messagepar lara » 04 Jan 2005 01:20

Sinon, j'ai envoyé la copie d'écran à l'adresse suivante!
Je ne sais pas si tout est normal! C'est un peu du chinois pour moi!
Voilà l'adresse
http://loritzcpge.free.fr/bug/
lara
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Jan 2005 23:43

Messagepar micjack » 04 Jan 2005 01:39

Pour moi y'a rien de suspect, sauf si l'un des fichiers est verolé..

Quoi que, le resident "Create CD" à été particulierement veroler il fut une periode, mais cela date de plus de deux ans...Donc ton Norton aurrait du l'identifier et l'eradiquer.

Tente de tout desactiver dans "demarrage" Msconfig puis de tester un autre AV

Le site --> http://www.avp.ch/
En evaluation --> http://www.avp.ch/E/dlwin50.stm
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar lara » 04 Jan 2005 01:49

Bon, pour ce soir j'arette je vais me coucher!
J'essayerai demain le killbox
Je vous tiens au courant...si j'peux !
En tout cas merci beaucoup
lara
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Jan 2005 23:43

troj Haxdoor

Messagepar bernie50 » 04 Jan 2005 20:14

bonsoir,


Voilà ce qu'en dit sophos , postes un log hitjackthis afin de voir si tu as bien les clés et puis fix les clés douteuses le reste fait le à la main.

Troj/Haxdoor-Z is a backdoor Trojan that provides remote attackers with access to the infected computer.

The installation executable for Troj/Haxdoor-Z copies itself to the Windows system folder and drops the following files to the system folder:

i.a3d or ps.a3d, draw32.dll, p2.ini, cm.dll, vdnt32.sys, hm.sys, memlow.sys, wd.sys and klogini.dll (not all of these files will be installed under Windows NT/XP).

i.a3d/ps.a3d, p2.ini and klogini.dll are harmless data files for which there is no detection. mode furtif

On NT-based versions of Windows services are created named memlow and vdnt32 (with display names of "LMMngr" and "MemDRV") to run memlow.sys and vdnt32.sys respectively, creating registry entries under:

HKLM\SYSTEM\CurrentControlSet\Services\memlow\
HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\

The new memlow service has a startup type set to automatic, so that it is activated automatically on startup. vdnt32.sys is configured to be loaded automatically on startup as a system driver.

On NT-based versions of Windows sub-keys of the following new registry entry are created to load draw32.dll on startup and run the "MedManager" export:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\draw32\

Under Windows 95/98/ME one of the following sets of registry entries is created, so that draw32.dll is loaded on startup and the "MedManager" export called:

HKLM\System\CurrentControlSet\control\mprser\
Dllname = draw32.dll

HKLM\System\CurrentControlSet\control\mprser\
Entrypoint = "MedManager"

HKLM\System\CurrentControlSet\control\mprser\
StackSize = 0

HKLM\System\currentcontrolset\control\MPRServices\
TestService\Dllname = draw32.dll

HKLM\System\currentcontrolset\control\MPRServices\
TestService\Entrypoint = "MedManager"

HKLM\System\currentcontrolset\control\MPRServices\
TestService\StackSize = 0

(causing the draw32.dll code to be run under the Mprexe system process.)

The following registry entries are also set:

HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableTrayIcon = 1

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
Memory Management\EnforceWriteProtection = 0

HKLM\SYSTEM\CurrentControlSet\Control\Impersonate
HKLM\SYSTEM\CurrentControlSet\Control\StackSize

Troj/Haxdoor-Z attempts to disable certain anti-virus and security related programs and may attempt to prevent its registry entries and files from being deleted.

The Trojan then runs continuously in the background listening for instructions from a remote user.


Sophos © 2004 Sophos Plc. All rights reserved. Legal | Privacy
Il faut vivre vite, car la mort vient tôt - james dean (star de cinéma)
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
Avatar de l’utilisateur
bernie50
Contre-Amiral
Contre-Amiral
 
Messages: 379
Inscrit le: 13 Nov 2003 01:00
Localisation: DOUR-Belgium

Suivant

Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité