Svp je suis en besoin d'aide ceb rooktkit
aouadi76
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
je suis administrateur de systeme et mon serveur et infecté par un rootkit qui verouille mon session admùinistration et bloquele reseau et affice des message avec un titre 444.scr-erreur d'application puis 45.scr-erreur d'application puis 46 et ainsi de suite jusqu'a un nombre indeterminé j'ai trouve l'executablke dans c:\windows\system\1sasse.exe et il est fichier cahé et en lecture seul puiis j'ai scanné avec hijackthis et voila le rapport et voila le rapport malgré que j'ai utiliser sophos qui le trouve et il me dis eliminer mais quand je redemmare il revient , j'ai utiliser avg et la meme chose et malgré tt ca j'ai symantec 9 mais il n'est pas eliminer qcq je dois faire svp et voila le rapport de hijachthis et une autre remarque ce rootkit et il a le comportement d'une verre qui se deplace dans tt les hotes de reseaux local voila le rapport du mon serveur
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:47, on 29/04/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\FlushServ.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\CBA\pds.exe
C:\WINNT\System32\llssrv.exe
E:\backup\MaxBackServiceInt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\Megaserv.exe
C:\Program Files\MegaRAID\rpc\Portserv.exe
C:\WINNT\system32\ntfrs.exe
E:\backup\Utils\SyncServices.exe
C:\Program Files\MegaRAID\regserv\Reg_serv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\snmptrap.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\MsgSys.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\ams_ii\iao.exe
C:\WINNT\system32\cba\xfr.exe
C:\Program Files\MegaRAID\rserver\Raidserv.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\wspsrv.exe
C:\Program Files\Microsoft ISA Server\w3proxy.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\35.scr
C:\WINNT\system32\44.scr
C:\WINNT\system\1sass.exe
C:\WINNT\system32\44.scr
C:\WINNT\system32\73.scr
C:\WINNT\system32\46.scr
C:\WINNT\system32\26.scr
C:\WINNT\system32\27.scr
C:\WINNT\system32\00.scr
C:\WINNT\system32\36.scr
C:\WINNT\system32\37.scr
C:\WINNT\system32\06.scr
C:\WINNT\system32\52.scr
C:\WINNT\system32\46.scr
C:\WINNT\system32\84.scr
C:\WINNT\system32\77.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\30.scr
C:\WINNT\system32\54.scr
C:\WINNT\system32\54.scr
C:\WINNT\system32\55.scr
C:\WINNT\system32\48.scr
C:\WINNT\system32\83.scr
C:\WINNT\system32\32.scr
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\01.scr
C:\WINNT\system32\03.scr
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\85.scr
C:\WINNT\system32\37.scr
C:\WINNT\system32\67.scr
C:\WINNT\system32\75.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\84.scr
C:\WINNT\system32\42.scr
C:\WINNT\system32\72.scr
C:\WINNT\system32\07.scr
C:\WINNT\system32\55.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\81.scr
C:\WINNT\system32\60.scr
C:\WINNT\system32\72.scr
C:\WINNT\system32\17.scr
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10164&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10164&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.30:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [mxomssmenu] "C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [MRT] "C:\WINNT\system32\MRT.exe" /R
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - HKUS\.DEFAULT\..\Run: [Win Security] msw32.pif (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Visual Debuger] C:\WINNT\system32\mdm.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Win Security] msw32.pif (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: Nls - C:\WINNT\system32\wR2time.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Synchronize Cache Utility (FlushService) - American Megatrends Inc. - C:\WINNT\system32\FlushServ.exe
O23 - Service: Opérateur de contrôle d'appels Microsoft H.323 (GKSVC) - Unknown owner - svchost.exe (file missing)
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\CBA\pds.exe
O23 - Service: MaxBackServiceInt - Unknown owner - E:\backup\MaxBackServiceInt.exe
O23 - Service: MegaServ - Unknown owner - C:\WINNT\system32\Megaserv.exe
O23 - Service: MGE Service module - Unknown owner - C:\WINNT\system32\MGE\RunSC.exe (file missing)
O23 - Service: NobleNet Portmapper for TCP - Unknown owner - C:\Program Files\MegaRAID\rpc\Portserv.exe
O23 - Service: MaxSyncService (NTService1) - - E:\backup\Utils\SyncServices.exe
O23 - Service: RAID_SERVER - Unknown owner - C:\Program Files\MegaRAID\rserver\Raidserv.exe
O23 - Service: REG_SERVER - Unknown owner - C:\Program Files\MegaRAID\regserv\Reg_serv.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINNT\System32\ups2.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
je suis administrateur de systeme et mon serveur et infecté par un rootkit qui verouille mon session admùinistration et bloquele reseau et affice des message avec un titre 444.scr-erreur d'application puis 45.scr-erreur d'application puis 46 et ainsi de suite jusqu'a un nombre indeterminé j'ai trouve l'executablke dans c:\windows\system\1sasse.exe et il est fichier cahé et en lecture seul puiis j'ai scanné avec hijackthis et voila le rapport et voila le rapport malgré que j'ai utiliser sophos qui le trouve et il me dis eliminer mais quand je redemmare il revient , j'ai utiliser avg et la meme chose et malgré tt ca j'ai symantec 9 mais il n'est pas eliminer qcq je dois faire svp et voila le rapport de hijachthis et une autre remarque ce rootkit et il a le comportement d'une verre qui se deplace dans tt les hotes de reseaux local voila le rapport du mon serveur
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:47, on 29/04/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\FlushServ.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\CBA\pds.exe
C:\WINNT\System32\llssrv.exe
E:\backup\MaxBackServiceInt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\Megaserv.exe
C:\Program Files\MegaRAID\rpc\Portserv.exe
C:\WINNT\system32\ntfrs.exe
E:\backup\Utils\SyncServices.exe
C:\Program Files\MegaRAID\regserv\Reg_serv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\snmptrap.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\MsgSys.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\ams_ii\iao.exe
C:\WINNT\system32\cba\xfr.exe
C:\Program Files\MegaRAID\rserver\Raidserv.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\wspsrv.exe
C:\Program Files\Microsoft ISA Server\w3proxy.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\35.scr
C:\WINNT\system32\44.scr
C:\WINNT\system\1sass.exe
C:\WINNT\system32\44.scr
C:\WINNT\system32\73.scr
C:\WINNT\system32\46.scr
C:\WINNT\system32\26.scr
C:\WINNT\system32\27.scr
C:\WINNT\system32\00.scr
C:\WINNT\system32\36.scr
C:\WINNT\system32\37.scr
C:\WINNT\system32\06.scr
C:\WINNT\system32\52.scr
C:\WINNT\system32\46.scr
C:\WINNT\system32\84.scr
C:\WINNT\system32\77.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\30.scr
C:\WINNT\system32\54.scr
C:\WINNT\system32\54.scr
C:\WINNT\system32\55.scr
C:\WINNT\system32\48.scr
C:\WINNT\system32\83.scr
C:\WINNT\system32\32.scr
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\01.scr
C:\WINNT\system32\03.scr
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\85.scr
C:\WINNT\system32\37.scr
C:\WINNT\system32\67.scr
C:\WINNT\system32\75.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\84.scr
C:\WINNT\system32\42.scr
C:\WINNT\system32\72.scr
C:\WINNT\system32\07.scr
C:\WINNT\system32\55.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\81.scr
C:\WINNT\system32\60.scr
C:\WINNT\system32\72.scr
C:\WINNT\system32\17.scr
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10164&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10164&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.30:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [mxomssmenu] "C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [MRT] "C:\WINNT\system32\MRT.exe" /R
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - HKUS\.DEFAULT\..\Run: [Win Security] msw32.pif (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Visual Debuger] C:\WINNT\system32\mdm.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Win Security] msw32.pif (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: Nls - C:\WINNT\system32\wR2time.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Synchronize Cache Utility (FlushService) - American Megatrends Inc. - C:\WINNT\system32\FlushServ.exe
O23 - Service: Opérateur de contrôle d'appels Microsoft H.323 (GKSVC) - Unknown owner - svchost.exe (file missing)
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\CBA\pds.exe
O23 - Service: MaxBackServiceInt - Unknown owner - E:\backup\MaxBackServiceInt.exe
O23 - Service: MegaServ - Unknown owner - C:\WINNT\system32\Megaserv.exe
O23 - Service: MGE Service module - Unknown owner - C:\WINNT\system32\MGE\RunSC.exe (file missing)
O23 - Service: NobleNet Portmapper for TCP - Unknown owner - C:\Program Files\MegaRAID\rpc\Portserv.exe
O23 - Service: MaxSyncService (NTService1) - - E:\backup\Utils\SyncServices.exe
O23 - Service: RAID_SERVER - Unknown owner - C:\Program Files\MegaRAID\rserver\Raidserv.exe
O23 - Service: REG_SERVER - Unknown owner - C:\Program Files\MegaRAID\regserv\Reg_serv.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINNT\System32\ups2.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
3 réponses
Essaye ça mais je ne sais pas si cela va marcher :
Malwarebytes' Anti-Malware :
▶ Télécharge malwarebyte's anti-malware
▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
▶ L'analyse peut durer un bon moment.....
▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
Malwarebytes' Anti-Malware :
▶ Télécharge malwarebyte's anti-malware
▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
▶ L'analyse peut durer un bon moment.....
▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
slt
merci pour votre reponse mais j'ai deja utilier ce logiile et il ne detecte pas cette rotkit
bon j'ai fais ces etapes:
j'ai installer sophos et j'ai scanner il me donne que ya un ficier cahé et dansgereux je le confirmame pour qu'il suprimme mais il ne le supprime pas alors j'ai y 'aller vers l'emplecemnt de ce fichier et j'ai cocher l'optin afficher ficheir caché et j'ai decocher l'option masquer les extension...alors l'executable s'affiche alors je fais renommer ce fichier a une autre extension exemple n'importe quoi .doc puis j'utilise un logeciel qui est unlocker pour pouvoir supprimer ce fichier il s'efface puis j'installe le correctif de securité pour qui va empecher ce rootkit d'utliser lé processyus LSASSE qui est un processus legal de windows et derrier la quel se chache se rootkit et j'installe enfin les driver de systeme qui ont été toucher par ce rootkit qui sont le driver du son et ethernet ,tous vas bien jusqu'amnt mais l probleme c que ce rootkit reste au registe et je sais son chemin et son nom au registre mais j'arrive pas a effacer comment je peux faire pour l'effacer pcq enfinsi je nl'efface pa il a etre reinitiliser et c ce que ma passer enfin pcq quand je redemmare il revient ce message ....je veux savoir comment reparrer le registre
merci
merci pour votre reponse mais j'ai deja utilier ce logiile et il ne detecte pas cette rotkit
bon j'ai fais ces etapes:
j'ai installer sophos et j'ai scanner il me donne que ya un ficier cahé et dansgereux je le confirmame pour qu'il suprimme mais il ne le supprime pas alors j'ai y 'aller vers l'emplecemnt de ce fichier et j'ai cocher l'optin afficher ficheir caché et j'ai decocher l'option masquer les extension...alors l'executable s'affiche alors je fais renommer ce fichier a une autre extension exemple n'importe quoi .doc puis j'utilise un logeciel qui est unlocker pour pouvoir supprimer ce fichier il s'efface puis j'installe le correctif de securité pour qui va empecher ce rootkit d'utliser lé processyus LSASSE qui est un processus legal de windows et derrier la quel se chache se rootkit et j'installe enfin les driver de systeme qui ont été toucher par ce rootkit qui sont le driver du son et ethernet ,tous vas bien jusqu'amnt mais l probleme c que ce rootkit reste au registe et je sais son chemin et son nom au registre mais j'arrive pas a effacer comment je peux faire pour l'effacer pcq enfinsi je nl'efface pa il a etre reinitiliser et c ce que ma passer enfin pcq quand je redemmare il revient ce message ....je veux savoir comment reparrer le registre
merci
Salut,
==>>Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.<<===
!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!
▶ Double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
▶ Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
▶ Choisis l'option 1 ( "recherche") et tapes "entrée" .
▶Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
Tutoriel Toolbard-S&D
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
==>>Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.<<===
!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!
▶ Double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
▶ Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
▶ Choisis l'option 1 ( "recherche") et tapes "entrée" .
▶Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
Tutoriel Toolbard-S&D
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
