j'ai tout esseyé ....problème: trojan STARTDRV (RÉSOLU)

[prelude93]

bonjour

j'ai tout esseyé pour l'enlever ce virus
et j'ai toujours le TROJAN HORSE STARTDRV.EXE
et mon ordinateur est très lent..

il est sur C/window//temp et toutes les tentatives pour l'enlever ne fonctionnent pas..

j'ai passé AVG 7.5, Spybots, AD-Awar, Cleaner.. et Smitfraudfix ...

je fais ça en mode "sans échec" et avec la restauration "désactivé"..

rien ne marche... AVG me dit toujours que j'ai ce virus...

impossible de l'enlever...

en plus je remarque que ce programme est "coché" pour
s'exécuter au démarrage de window ..

quelqu'un peut m'aider...

[Stef666]

1) démarrer en utilisant un Ubuntu Live CD (ou tout autre système d'exploitation CD-ROM amorçable)

2) Supprimer C: / Windows / temp / startdrv.exe et C: / Windows/system32/runtime2.sys (variantes du virus Il crée des fichiers avec des noms différents dans le dossier system32)

3) Démarrez Windows, ouvrez regedit et supprimer les clés
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv

HKLM \ SYSTEM \ CurrentControlSet \ Services \ runtime2

HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ runtime2.sys

[prelude93]

1) démarrer en utilisant un Ubuntu Live CD (ou tout autre système d'exploitation CD-ROM amorçable)

2) Supprimer C: / Windows / temp / startdrv.exe et C: / Windows/system32/runtime2.sys (variantes du virus Il crée des fichiers avec des noms différents dans le dossier system32)

3) Démarrez Windows, ouvrez regedit et supprimer les clés
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv

HKLM \ SYSTEM \ CurrentControlSet \ Services \ runtime2

HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ runtime2.sys

merci pour la réponse.. c'est très apprécié....

mais j'ai besoin d'explication ... car
je ne suis pas un spécialiste en informatique;


1) démarrer en utilisant un Ubuntu Live CD (ou tout autre système d'exploitation CD-ROM amorçable)

démarrrer avec un UBUNTU LIVE CD.. ou autres ???? ....

où je trouve ça ??? et comment fais-t-on ????


2) Supprimer C: / Windows / temp / startdrv.exe et C: / Windows/system32/runtime2.sys (variantes du virus Il crée des fichiers avec des noms différents dans le dossier system32)

je suprime ça avec "windows explorer" ????

3) Démarrez Windows, ouvrez regedit et supprimer les clés

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
HKLM \ SYSTEM \ CurrentControlSet \ Services \ runtime2
HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ runtime2.sys

ouvrir REGEDIT ...????? comment fais-t-on ???

en suite quelle est la procédure de suppression des ces clés...????

[Stef666]

où je trouve ça ??? et comment fais-t-on

http://knoppix-fr.org/site/presentation

Quoi télécharger: http://forums.knoppix-fr.org/viewtopic. ... 225#p21225

lien direct : ftp://ftp.free.fr/pub/Distributions_Lin ... -04-EN.iso


Vous aller graver ce .iso avec un logiciel de gravure sur un cd. Une fois le cd graver, vous aller le laisser dans votre ordinateur et démarrer celui ci. Au lieu de démarrer Windows, si votre bios est bien configurer, c'est Knoppix qui va démarrer. Ça ressemble a Windows, vous aller donc avoir un icône de votre disque dur (hard drive) et vous pourrez aller explorer votre disque dur. vous aller alors voir le répertoire Windows et pourrez supprimer votre bestiole.

(image de ce que le bureau de Knoppix à l'air: http://netlibre.tuxfamily.org/assets/im ... pture1.png )

Vous redémarrer l'ordi sans le CD pour retrouver Windows. Pour supprimer les clefs de la base de registre, voici un petit tutoriel pour le regedit

http://www.zebulon.fr/dossiers/57-2-acc ... istre.html


N'hésitez pas si vous avec des questions

[/b]

[prelude93]

ok je vais faire ça.. à suivre..

j'ai fait un anlayse avec HIJACKTHIS ...

j'ai le log ... si ça peut être utile .. que je pourrais vous envoyez..

note:
dans la liste du log je vois une ligne qui mentionne startdrv

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

[Stef666]

Il faut l'enlever, mais le problème surement, c'est qu'il n'est pas seul. Il y a un espion qui "surveille" si vous supprimer cet entré dans hijackthis et va le remettre immédiatement. En supprimant à l'aide d'un autre systeme d'exploitation, "l'espion" ne sera pas chargé en mémoire et ne pourra pas le réinstaller.

[prelude93]

Il faut l'enlever, mais le problème surement, c'est qu'il n'est pas seul. Il y a un espion qui "surveille" si vous supprimer cet entré dans hijackthis et va le remettre immédiatement. En supprimant à l'aide d'un autre systeme d'exploitation, "l'espion" ne sera pas chargé en mémoire et ne pourra pas le réinstaller.

donc si je comprends bien
ça donne rien d'enlever STARTDRV avec HIJACKTHIS ...

il faut procéder comme tu me l'as décrit dans
ta téponse précédente..


est-ce bien ça... ???

[Stef666]

Oui, vous pouvez toujours essayer de le supprimer en mode sans échec mais habituellement, on le coche dans hijackthis, on presse sur "fix checked", on refait un scan, et il est à nouveau présent.

[prelude93]

Oui, vous pouvez toujours essayer de le supprimer en mode sans échec mais habituellement, on le coche dans hijackthis, on presse sur "fix checked", on refait un scan, et il est à nouveau présent.

exact...vous avez raison .... on a beau le supprimer ..
et il est encore là..

[dannyboy]

il est encore là parce qu'il est actif au démarrage.
allez dans démarrer-executer et taper msconfig dans la fenêtre.
cliquez sur l'onglet démarrage et décochez -le (stratdrv) ainsi que tout ce qui n,est pas utile de s,activer au démarrage.

faites un scan avec hijackthis et cochez la case
ciquez sur fix checked et redémarrer.

allez dans démarrer-rechercher et cherchez le fichier startdrv et supprimez-le s'il est présent

je n'ai pas vu le log entier
si ça ne fonctionne pas, postez un log hijackthis

[rikwar]

1) démarrer en utilisant un Ubuntu Live CD (ou tout autre système d'exploitation CD-ROM amorçable)

2) Supprimer C: / Windows / temp / startdrv.exe et C: / Windows/system32/runtime2.sys (variantes du virus Il crée des fichiers avec des noms différents dans le dossier system32)

3) Démarrez Windows, ouvrez regedit et supprimer les clés
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv

HKLM \ SYSTEM \ CurrentControlSet \ Services \ runtime2

HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ runtime2.sys

??vous voulez lui faire installer Ubuntu Live CD(un linux)
pour supprimé un virus en plus vos lien sont pour Knoppix et non Ubuntu????? cest une farce????

[Stef666]

Pour supprimer une bestiole qui se régénère sous windows, c'est un moyen très rapide.

Knoppix est un projet open source avec le cœur Linux, alors , que je dise Ubuntu, RedHat, Linux... vous voyer une différence ? J'aimerai savoir ou est la farce car comme je suis quelqu'un qui adore l'humour, je pourrai en rire.

J'ai copier coller la technique pour supprimer la cochonnerie, j'ai mis les liens pour accéder facilement à un live cd de linux. D'accord, il était question de Ubuntu, et puis ? Vous voyez une différence dans le but visez ? Avant de dénigrer une personne qui tente d'aider, vous ne pourriez pas posez des questions sur les interrogations qui vous viennent à l'esprit ?

[prelude93]

merci à vous deux Dannyboy et Stef666..

comme je ne suis pas un crack en informatique.. je vais esseyer la méthode de Dannyboy... en premier... qui me semble plus simple...

si marche pas ... je vais vous poster le log de Hijackthis

après ça... je vais esseyer la méthode de Stef666

[cobra501]

Bonjour
Pour desinstaller et nettoyer le registre de STARTDRV.EXE

Télécharger SDFix sur votre bureau
Ici pour SDFIX

Redémarrer en mode sans échec. Attention, vous n'as pas accès à internet dans ce mode, noter bien ce que vous avez à faire.

Pour Démarrer en mode sans échec
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyer sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuyer sur Enter.

Double clique sur SDFix.exe et choisir Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Taper Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Appuyer sur une touche du clavier pour redémarrer quand SDFix aura fini

Le PC va mettre un peu de temps au redémarrage 'ceci est normal'
Appuyer sur une touche du claver lorsque "Finished" s'affichera a l'écran

Ouvre le dossier SDFix et faire un copier/coller ici du contenu du fichier "Report.txt"

Bonne Journée

[prelude93]

merci cobra501... ça l'air que ça marché ..

je n'ai plus STRATDRV dans mon menue de démarrage..
je vais passer AVG pour voir si tout est OK..
et je vous reviens avec ça..

cependant, j'ai une question..

après avoir passer SDFIX ... comme j'ai Spybot sur mon poste..
ce dernier m'a demandé t'autoriser une modification au "régistre"
concernant "startdrv"... ..

j'ai refusé ........ ai-je bien fait ???????

j'avais peur que si j'autorisais la modif. que le virus revienne..

je ne comprends pas bien le fonctionnment de Spybot ...
quand il demande ce type d'autorisation...

faut-il répondre "oui"... tout le temps..

explication svp..