LA TOTALE rootkin.win32+trojan.pandex Fermé

Question

please help

mon ordi est virsusé de partout
je sais pas quoi faire 
dernier log :

Logfile of HijackThis v1.99.1
Scan saved at 22:23:24, on 21/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX00.015\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)



merci d'avance

green day · Answer

Salut

Téléchargez VundoFix.exe (par Atribune) sur ton Bureau : 

 http://www.atribune.org/ccount/click.php?id=4

*Double-clique VundoFix.exe afin de le lancer.
* Cochez Run VundoFix as a task.
* l'outil va se fermer et s'ouvrir à nouveau : cliquez Ok
* Cliquez sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquez sur le bouton Remove Vundo.
* Une invite vous demandera  supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
 * le PC va s'éteindre ("shutdown") :  clique OK
 * Démarrez votre PC à nouveau
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 


++

jaja · Answer

ca tourne 
je te tiens au courant
merci

jaja · Answer

aucun virus trouvé

le log 


VundoFix V6.3.17

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 22:29:13 21/03/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

merci

green day · Answer

re

ok, fais les manips de ce lien stp :

virus methode preliminaire de desinfection version fr

++

jaja · Answer

g deja fait un avg et un kaspersk complet

ca reste la.ils n'arrivent pas a l enlever

est ce utile que je rfasse ta procedure??j ai l'impresssion que ca na va pas donner de nouveautés.

le virus est logé
ds c:\windows\system 32\drivers\ip6fw.sys et runtime.sys pour rootkit
et ds winlogon pour trojan.pandex

merci

green day · Answer

ok, on va essayé autre chose :


Télécharge Blacklight (de F-Secure) : 

https://europe.f-secure.com/exclude/blacklight/index.shtml

et sauvegarde le sur ton Bureau. 

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse 


++

jaja · Answer

ca tourne...

jaja · Answer

rien non plus je crois


03/21/07 22:51:06 [Info]: BlackLight Engine 1.0.55 initialized
03/21/07 22:51:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/21/07 22:51:06 [Note]: 7019 4
03/21/07 22:51:06 [Note]: 7005 0
03/21/07 22:51:14 [Note]: 7006 0
03/21/07 22:51:14 [Note]: 7011 1732
03/21/07 22:51:14 [Note]: 7026 0
03/21/07 22:51:14 [Note]: 7026 0
03/21/07 22:51:14 [Note]: 7024 3
03/21/07 22:51:14 [Info]: Hidden process: C:\Program Files\Internet Explorer\iexplore.exe
03/21/07 22:51:14 [Note]: 7024 3
03/21/07 22:51:14 [Info]: Hidden process: C:\Program Files\Internet Explorer\iexplore.exe
03/21/07 22:51:21 [Note]: FSRAW library version 1.7.1021
03/21/07 22:57:51 [Note]: 7007 0


que faire??
merciu

green day · Answer

ok

poste le rapprt de ton antivirus stp

je ne vais pas tarder !

@+

jaja · Answer

merci bcp pour tn aide

le rapport hijack :

Logfile of HijackThis v1.99.1
Scan saved at 23:14:52, on 21/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\zstatus.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX00.484\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)



si tu veux le rapport de kaspersky c est hyper long

mais j ai resumé en gros les details

jaja · Answer

es tu parti???

green day · Answer

poste le quand même ! je verrai ça demain !

je déconnecte :)

@+

jaja · Answer

ok voila


21/03/2007 21:13:00	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:13:00	File C:\WINDOWS\system32\winlogon.exe: is still infected, skipped by user.
21/03/2007 21:13:26	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:13:26	File C:\WINDOWS\system32\winlogon.exe: is still infected, postponed.
21/03/2007 21:14:06	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:14:06	File C:\WINDOWS\system32\winlogon.exe: is still infected, skipped by user.
21/03/2007 21:14:12	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'. User: JAWAD\djaidi, computer: localhost.
21/03/2007 21:14:12	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: is still infected, skipped by user.
21/03/2007 21:14:17	File C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS//PE_Patch: detected Trojan program 'Rootkit.Win32.Agent.dp'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:14:17	File C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS//PE_Patch: is still infected, skipped by user.
21/03/2007 21:14:24	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:14:24	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: is still infected, skipped by user.
21/03/2007 21:15:20	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:15:41	File c:\windows\system32\drivers\ip6fw.sys//PE_Patch: detected Trojan program 'Rootkit.Win32.Agent.dp'.
21/03/2007 21:15:41	File c:\windows\system32\drivers\ip6fw.sys//PE_Patch: is still infected, postponed.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:36	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'.
21/03/2007 21:16:37	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE will be disinfected on system restart.
21/03/2007 21:16:59	File C:\WINDOWS\system32\drivers\ip6fw.sys//PE_Patch: detected Trojan program 'Rootkit.Win32.Agent.dp'.
21/03/2007 21:16:59	File C:\WINDOWS\system32\drivers\ip6fw.sys//PE_Patch: is still infected, postponed.
21/03/2007 21:17:13	File c:\windows\system32\drivers\ip6fw.sys//PE_Patch: detected Trojan program 'Rootkit.Win32.Agent.dp'.
21/03/2007 21:17:18	File C:\windows\system32\drivers\ip6fw.sys//PE_Patch: detected Trojan program 'Rootkit.Win32.Agent.dp'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:17:30	File c:\windows\system32\drivers\ip6fw.sys//PE_Patch: is still infected, skipped by user.
21/03/2007 21:17:32	File C:\windows\system32\drivers\ip6fw.sys//PE_Patch: is still infected, skipped by user.
21/03/2007 21:20:52	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'. User: JAWAD\djaidi, computer: localhost.
21/03/2007 21:20:57	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'. User: JAWAD\djaidi, computer: localhost.
21/03/2007 21:21:07	File C:\WINDOWS\SYSTEM32\WINLOGON.EXE: detected Trojan program 'Trojan.Win32.Patched.g'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:21:55	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'. User: JAWAD\djaidi, computer: localhost.
21/03/2007 21:22:19	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'. User: JAWAD\djaidi, computer: localhost.
21/03/2007 21:26:57	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:27:02	File C:\WINDOWS\system32\winlogon.exe: detected Trojan program 'Trojan.Win32.Patched.g'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:27:16	Protection of your computer is not running. You are advised to resume protection.
21/03/2007 21:28:19	Protection of your computer started.
21/03/2007 21:29:16	Security threats have been detected. You are advised to neutralize them immediately.
21/03/2007 21:29:16	Running process C:\WINDOWS\Temp\svchost.exe: detected modification of riskware 'Hidden object'.
21/03/2007 21:30:36	The application  cannot establish connection with server 194.67.23.20. Please check your internet connection settings. If you have a firewall installed, check that the application avp.exe is allowed internet access.
21/03/2007 21:35:32	Process C:\WINDOWS\Temp\svchost.exe (PID 224) not terminated.
21/03/2007 21:38:04	Protection of your computer is not running. You are advised to resume protection.
21/03/2007 21:39:07	Protection of your computer started.
21/03/2007 21:39:28	Security threats have been detected. You are advised to neutralize them immediately.
21/03/2007 21:39:56	Running process C:\WINDOWS\Temp\svchost.exe: detected modification of riskware 'Hidden object'.
21/03/2007 21:40:00	File C:\windows\system32\drivers\ip6fw.sys//PE_Patch: detected Trojan program 'Rootkit.Win32.Agent.dp'. User: WORKGROUP\JAWAD$, computer: localhost.
21/03/2007 21:40:16	The application  cannot establish connection with server 194.67.23.20. Please check your internet connection settings. If you have a firewall installed, check that the application avp.exe is allowed internet access.
21/03/2007 21:41:50	File C:\windows\system32\drivers\ip6fw.sys//PE_Patch: is still infected, skipped by user.
21/03/2007 21:41:55	Process C:\WINDOWS\Temp\svchost.exe (PID 500) not terminated.
21/03/2007 22:03:49	Rollback successfully completed.
21/03/2007 22:03:49	Running process C:\WINDOWS\Temp\svchost.exe: detected modification of riskware 'Hidden object'.
21/03/2007 22:19:56	Running process C:\Program Files\WinRAR\WinRAR.exe: detected modification of riskware 'Hidden object'.
21/03/2007 22:39:56	Running process C:\Program Files\WinRAR\WinRAR.exe: detected modification of riskware 'Hidden object'.
21/03/2007 22:59:57	Running process C:\Program Files\WinRAR\WinRAR.exe: detected modification of riskware 'Hidden object'.

green day · Answer

Salut

fais le scan en ligne de bitdefender stp

++

jaja · Answer

salut 

je viens de faire le scan en ligne

ci joint le rapport :

BitDefender Online Scanner
  
  
 
Scan report generated at: Thu, Mar 22, 2007 - 14:44:56
 
 
  
  
 
Scan path: C:\WINDOWS\system32;
  
  
 
 
  
  
 
Statistics
 
Time
 00:02:51
 
Files
 5246
 
Folders
 163
 
Boot Sectors
 7
 
Archives
 19
 
Packed Files
 258
 
  
  
 
Results
 
Identified Viruses 
 1
 
Infected Files 
 1
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 0
 
  
  
 
Engines Info
 
Virus Definitions
 406678
 
Engine build
 AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 6
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Prompt
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\WINDOWS\system32\winlogon.exe
 Infected with: Trojan.Keylogger.iOpus.A
 
C:\WINDOWS\system32\winlogon.exe
 Disinfection failed
 
  
 



Sinon pour resumer, je crois que le virus trojan.pandex est plutot neutralisé car kaspersky ne le detecte plus.
Par contre j ai tjrs le rootkit.win32.agent.dp.
il est detecté par kaspersky mais ne peut etre nettoyé.
il est logé ds c/windows/systeme32/drivers/ip6fw

Enfin bitfender a dtecté un autre trojan.mais je suis pas sur qu il soit tres mechant???

J ai par ailleurs l impression que ces virus st liés ...

Maintenant que faire???

green day · Answer

re

le truc c'est que j'ai des doutes sur la légitimité de ce fichier : ip6fw 

Philae ?! ...

++

jaja · Answer

cad???tu veux dire si on peut le supprimer???

balltrap34 · Answer

salut tous les deux
fait ceci stp pour voir
Télécharge http://noahdfear.geekstogo.com/FindAWF.exe (par Noahdfear) sur ton Bureau.

- Double-clique FindAWF.exe
- Un fichier texte sera produit et s'affichera à l'écran (awf.txt)
- Copie/colle le contenu du fichier dans ta prochaine réponse.

jaja · Answer

g utilisé une multitude de reewre.je veux bien reessayer celui la. Mais pense que ca va marcher???

qu'il va reussir a l'elimner??

balltrap34 · Answer

re 
et pour se fichier fait un clik droit dessus et proprieter
donne nous sa description et sa taille stp

Lyonnais92 · Answer

Bonjour à tous,


J'ai cru que le rapport Kaspersky renvoyait au fichier infecté  :
 C:\windows\system32\drivers\ip6fw.sys//PE_Patch

et non
 C:\windows\system32\drivers\ip6fw.sys (ce dernier étant annocé comme légitime , voir https://www.file.net/process/ip6fw.sys.html

mais il semble bien que C:\windows\system32\drivers\ip6fw.sys puisse servir à ce malware :
http://www.sunbeltsecurity.com/ThreatDisplay.aspx?tid=123911&cs=362024F6FD08FFEF2D713ACA4A7DE4BB

Bonne suite

jaja · Answer

PLEAAAAAAAAAAAAAAAAAAAAAAASE

SVP qu'on me dise si possible que faire!!!

j ai de nouveaux virus alors que mon ordi est protogé.je comprends rien!!est il possible qu'ils mutent????

mon dernioer log hijackthis 


Logfile of HijackThis v1.99.1
Scan saved at 18:53:27, on 22/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\djaidi\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\djaidi\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX00.531\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - https://www.f-secure.com/en/home/support
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)



Que faire

please

merci d'avance

Lyonnais92 · Answer

Re,

fais ce que demande balltrap au post 19 et au post 21.

La taille du fichier va déterminer s'il est bon ou mauvais.

Bonne suite.

jaja · Answer

c est un fichier system

il fait 29ko!!!

ce qui veut dire??

green day · Answer

re

 pas compris ???


Fais ceci stp :

fait ceci stp pour voir
Télécharge http://noahdfear.geekstogo.com/FindAWF.exe (par Noahdfear) sur ton Bureau.

- Double-clique FindAWF.exe
- Un fichier texte sera produit et s'affichera à l'écran (awf.txt)
- Copie/colle le contenu du fichier dans ta prochaine réponse.


++

THOMASJAGER · Answer

Salut essaye de faire un scan de ton ordi avec ton antivirus et les antivirus en ligne et ayant au préalable désactiver ta restauration systemet ( clic droit poste de travail ; propriete; onglet" restauration systeme " ; et coche " desactive restauration systems)puis tu redemarre ton ordi en mode sans echecs et la tu fais touts les scan possibe et imginable et puis nous reaffiche les rapports que les autres analyserons car mes competences sont limiter .

voila bon courage

jaja · Answer

bein il detecte rien

Find AWF report by noahdfear ©2006


  bak folders found
  ~~~~~~~~~~~



  Duplicate files of bak directory contents
  ~~~~~~~~~~~~~~~~~~~~~~~



  end of report



que faire alors???

THOMASJAGER · Answer

tu vien de scanné avec kell logiciel ?

jaja · Answer

avec findawf.

mais je crois paas que ca marche tres bien.

a l'heure actuelle je suis infecté
par rootkin.win32.agent.dp

ttes les procdiures avec des freewares ont echoué!!!

je commence a tre depité

THOMASJAGER · Answer

eska lors de l affichage du rapport il a donner le chemin d acces ( l emplacement )  du virus ? dans se cas la suprime le manuellement

bon courage

jaja · Answer

si tu parles de awf il n'a rien dectecté.

Si tu parles du rootkit alors je ne veux pas prendre le risque d'effacer un fichier sytem. ca pourrait tt plomber et me faire tt perdre.

dc tu n'as pas une meilleure solution??

THOMASJAGER · Answer

si j en est une mais radicale , a la limite tu formate ton ordinateur en ayant sauvegarder au par avant des données persos

jaja · Answer

Super pour l'aide ;-)

green day · Answer

On va faire analysé le fichier !

Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :  C:\windows\system32\drivers\ip6fw.sys
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

tiens nous au courant !

@+

jaja · Answer

j ai fait le sacan

resultat 


AntiVir  Found RKIT/Agent.DQ.31.A  
ArcaVir  Found Trojan.Rootkit.Agent.Dp  
Avast  Found nothing 
AVG Antivirus  Found BackDoor.Generic5.PFN  
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found Trojan.DownLoader.19481  
F-Prot Antivirus  Found unknown virus (probable variant)  
F-Secure Anti-Virus  Found Rootkit.Win32.Agent.dp  
Fortinet  Found W32/Agent.DP!tr.rkit  
Kaspersky Anti-Virus  Found Rootkit.Win32.Agent.dp  
NOD32  Found Win32/Rootkit.Agent.NAZ  
Norman Virus Control  Found nothing 
Panda Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found Rootkit.Win32.Agent.dp  


que faire???

Merci

green day · Answer

Salut

Ok, il suffirait de supprimer ce fichier, mais comme dit précédemment, j'ai des doutes sur la légitimité de ce fichier :/

J'attends l'avis des autres ! et je vais me renseigner !

@+

jaja · Answer

ok j attends de tes nouvelles
car ce serait con de bloquer mon systeme.
Pour ton information je ne peux plus changer ma page d'ouverture d'IE.Ca doit etre un des effets du virus. le fait de supprimer le fichier va t il me permettre d'en reprendre le controle??Moi je pense que c dangereux de le supprimer.Mais je ne suis pas non plus un pro de l info.

Merci

green day · Answer

re

 fais une recherche du fichier ip6fw.sys sur ta/tes partition(s)

copie/colle le résultat ici stp

@+

balltrap34 · Answer

salut
c est bizzard
le clik droit proprieter ne te dit pas a qui appartient ce fichier
apparament sa taille serait bonne

ont pourrait le renommer pour voir
ont prend le risque de faire un blocage
renomme le comme ceci
ip6fw.ren

redemarre ta becanne si tous vas bien refait un scan pour voir
si tous marche au bout d une semaine tu pourrat suppr le fichier renommer
a++

zBr · Answer

Bonjour

Juste pour suivre...alléché par l'odeur du Root lol...
a+

PS:
Jaja il y a quoi exactement comme fichiers dans le dossier C:\WINDOWS\Temp ?
Si tu en a l'occasion, lance Hijackthis, clic sur [Open the misc tools section]
A coté du bouton [Générate startuplist log] coche les 2 cases.
Puis clic sur  [Générate startuplist log]
Copie et colle le rapport ici, ca pourra peut-être, on sait jamais, apporter de nouveaux éléments aux personnes qui t'aide.

jaja · Answer

KELS ST LES RISQUES SI JE LE RENOME COMME CA.
CA PEUT BLOQUER LA MACHINE,,AUQUEL CAS  JE POURRAIS PLUS LA RECUPERER,,??,!!!
est ce risqué???

jaja · Answer

j ai fait un misc tools section

voila le rapport 


StartupList report, 24/03/2007, 17:50:40
StartupList version: 1.52.2
Started from : C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX01.937\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Freeplayer\vlc\vlc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\zstatus.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX01.937\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\djaidi\Menu Démarrer\Programmes\Démarrage]
*No files*

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
*No files*

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

(Default) = 
ccApp = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
!AVG Anti-Spyware = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
AVP = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
SBCSTray = C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT	xtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32egsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32	hemeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Regedit.exe has no CompanyName property! It is either missing or named something else.
- Regedit.exe has no OriginalFilename property! It is either missing or named something else.
- Regedit.exe has no FileDescription property! It is either missing or named something else.

Registry check failed!

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}

--------------------------------------------------

Enumerating Task Scheduler jobs:

*No jobs found*

--------------------------------------------------

Enumerating Download Program Files:

[Microsoft XML Parser for Java]
CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab
OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

[{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[MSSecurityAdvisor Class]
InProcServer32 = C:\WINDOWS\System32\mssecadv.dll
CODEBASE = http://protect.microsoft.com/security/protect/wsa/shared/CAB/x86/msSecAdv.cab?1130796613295

[BDSCANONLINE Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\oscan8.ocx
CODEBASE = http://download.bitdefender.com/resources/scan8/oscan8.cab

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://update.microsoft.com/...

[MUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\muweb.dll
CODEBASE = http://update.microsoft.com/...

[Java Plug-in]
InProcServer32 = C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

[F-Secure Online Scanner 3.0]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll
CODEBASE = https://www.f-secure.com/en/home/support

[MsnMessengerSetupDownloadControl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
CODEBASE = http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

[Java Plug-in]
InProcServer32 = C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

[Java Plug-in 1.5.0_06]
InProcServer32 = C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash8.ocx
CODEBASE = http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\mswsock.dll
Protocol #2: C:\WINDOWS\system32\mswsock.dll
Protocol #3: C:\WINDOWS\system32\mswsock.dll
Protocol #4: C:\WINDOWS\system32svpsp.dll
Protocol #5: C:\WINDOWS\system32svpsp.dll
Protocol #6: C:\WINDOWS\system32\mswsock.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\mswsock.dll
Protocol #10: C:\WINDOWS\system32\mswsock.dll
Protocol #11: C:\WINDOWS\system32\mswsock.dll
Protocol #12: C:\WINDOWS\system32\mswsock.dll
Protocol #13: C:\WINDOWS\system32\mswsock.dll
Protocol #14: C:\WINDOWS\system32\mswsock.dll
Protocol #15: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Pilote ACPI Microsoft: System32\DRIVERS\ACPI.sys (system)
Adobe LM Service: "C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe" (manual start)
aeaudio: system32\drivers\aeaudio.sys (manual start)
Suppresseur d'écho acoustique (Noyau Microsoft): system32\drivers\aec.sys (manual start)
Environnement de prise en charge de réseau AFD: \SystemRoot\System32\drivers\afd.sys (system)
Filtre de bus AGP Intel: System32\DRIVERS\agp440.sys (system)
Avertissement: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Service de la passerelle de la couche Application: %SystemRoot%\System32\alg.exe (manual start)
Gestion d'applications: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start)
Pilote de média asynchrone RAS: System32\DRIVERS\asyncmac.sys (manual start)
Contrôleur de disque dur IDE/ESDI standard: System32\DRIVERS\atapi.sys (system)
Protocole client ATM ARP: System32\DRIVERS\atmarpc.sys (manual start)
Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Pilote audio Stub: System32\DRIVERS\audstub.sys (manual start)
AVG Anti-Spyware Driver: \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys (system)
AVG Anti-Spyware Guard: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (autostart)
AVG Anti-Spyware Clean Driver: System32\DRIVERS\AvgAsCln.sys (system)
Kaspersky Anti-Virus 6.0: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (autostart)
basic2: System32\DRIVERS\HSF_BSC2.sys (manual start)
ASUSTeK/Broadcom 440x 10/100 Integrated Controller XP Driver: System32\DRIVERS\bcm4sbxp.sys (manual start)
Service de transfert intelligent en arrière-plan: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Explorateur d'ordinateur: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Symantec Event Manager: "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe" (autostart)
Symantec Settings Manager: "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe" (autostart)
Pilote de CD-ROM: System32\DRIVERS\cdrom.sys (system)
Service d'indexation: C:\WINDOWS\System32\cisvc.exe (manual start)
Gestionnaire de l'Album: %SystemRoot%\system32\clipsrv.exe (disabled)
Symantec Lic NetConnect service: "C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (autostart)
Application système COM+: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Services de cryptographie: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Lanceur de processus serveur DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
Client DHCP: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Pilote de disque: System32\DRIVERS\disk.sys (system)
Service d'administration du Gestionnaire de disque logique: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Pilote de Gestionnaire de disque logique: System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Gestionnaire de disque logique: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Synthétiseur DLS du noyau Microsoft: system32\drivers\DMusic.sys (manual start)
Client DNS: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
Filtre de décodeur DRM (Noyau Microsoft): system32\drivers\drmkaud.sys (manual start)
EraserUtilRebootDrv: \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (manual start)
Service de rapport d'erreurs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Creative AudioPCI (ES1371,ES1373) (WDM): system32\drivers\es1371mp.sys (manual start)
Journal des événements: %SystemRoot%\system32\services.exe (autostart)
Système d'événements de COM+: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
EXAMPLE: \??\C:\WINDOWS\system32\main.sys (system)
Fallback: System32\DRIVERS\HSF_FALL.sys (autostart)
Compatibilité avec le Changement rapide d'utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Pilote de contrôleur de lecteur de disquettes: System32\DRIVERS\fdc.sys (manual start)
Pilote de lecteur de disquettes: System32\DRIVERS\flpydisk.sys (manual start)
FltMgr: system32\drivers\fltmgr.sys (system)
F-Secure BlackLight Engine Driver: \??\C:\DOCUME~1\djaidi\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsbldrv.sys (manual start)
Fsks: System32\DRIVERS\HSF_FSKS.sys (autostart)
Pilote du Gestionnaire de volume: System32\DRIVERS\ftdisk.sys (system)
Énumérateur de port jeu: System32\DRIVERS\gameenum.sys (manual start)
Classificateur de paquets générique: System32\DRIVERS\msgpc.sys (manual start)
Aide et support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Accès du périphérique d'interface utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
hsf_msft: System32\DRIVERS\HSF_MSFT.sys (manual start)
HTTP: System32\Drivers\HTTP.sys (manual start)
HTTP SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
Pilote pour clavier i8042 et souris sur port PS/2: System32\DRIVERS\i8042prt.sys (system)
Pilote de filtre de gravure CD: system32\DRIVERS\imapi.sys (system)
Service COM de gravage de CD IMAPI: C:\WINDOWS\System32\imapi.exe (manual start)
Pilote de processeur Intel: System32\DRIVERS\intelppm.sys (system)
Pilote du pare-feu Windows IPv6: system32\drivers\ip6fw.sys (manual start)
Pilote de filtre de trafic IP: System32\DRIVERS\ipfltdrv.sys (manual start)
Pilote de tunnelage IP dans IP: System32\DRIVERS\ipinip.sys (manual start)
Traducteur d'adresses réseau IP: System32\DRIVERS\ipnat.sys (manual start)
Pilote IPSEC: System32\DRIVERS\ipsec.sys (system)
Service énumérateur IR: System32\DRIVERS\irenum.sys (manual start)
Pilote de bus Plug-and-Play ISA/EISA: System32\DRIVERS\isapnp.sys (system)
K56: System32\DRIVERS\HSF_K56K.sys (autostart)
Pilote de la classe Clavier: System32\DRIVERS\kbdclass.sys (system)
Kl1: system32\drivers\kl1.sys (system)
Klif: \??\C:\WINDOWS\system32\drivers\klif.sys (system)
Mélangeur audio Wave de noyau Microsoft: system32\drivers\kmixer.sys (manual start)
Serveur: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Station de travail: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Assistance TCP/IP NetBIOS: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Affichage des messages: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Partage de Bureau à distance NetMeeting: C:\WINDOWS\System32\mnmsrvc.exe (manual start)
Pilote de la classe Souris: System32\DRIVERS\mouclass.sys (system)
Redirecteur client WebDav: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start)
Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start)
Proxy de service de répartition Microsoft: system32\drivers\MSKSSRV.sys (manual start)
Proxy d'horloge de répartition Microsoft: system32\drivers\MSPCLOCK.sys (manual start)
Proxy de gestion de qualité de répartition Microsoft: system32\drivers\MSPQM.sys (manual start)
Pilote BIOS de gestion de systèmes Microsoft: System32\DRIVERS\mssmbios.sys (manual start)
Pilote TAPI NDIS d'accès distant: System32\DRIVERS
distapi.sys (manual start)
NDIS mode utilisateur E/S Protocole: System32\DRIVERS
disuio.sys (manual start)
Pilote réseau étendu NDIS d'accès distant: System32\DRIVERS
diswan.sys (manual start)
Interface NetBIOS: System32\DRIVERS
etbios.sys (system)
NetBIOS sur TCP/IP: System32\DRIVERS
etbt.sys (system)
DDE réseau: %SystemRoot%\system32
etdde.exe (disabled)
DSDM DDE réseau: %SystemRoot%\system32
etdde.exe (disabled)
Ouverture de session réseau: %SystemRoot%\System32\lsass.exe (manual start)
Connexions réseau: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Norton Protection Center Service: "C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE" (manual start)
Fournisseur de la prise en charge de sécurité LM NT: %SystemRoot%\System32\lsass.exe (manual start)
Stockage amovible: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
nv: System32\DRIVERS
v4_mini.sys (manual start)
Pilote de filtre de trafic IPX: System32\DRIVERS
wlnkflt.sys (manual start)
Pilote de transfert de trafic IPX: System32\DRIVERS
wlnkfwd.sys (manual start)
Pilote de port parallèle: System32\DRIVERS\parport.sys (manual start)
PCAMPR5 NDIS Protocol Driver: \??\C:\WINDOWS\system32\PCAMPR5.SYS (manual start)
PCANDIS5 NDIS Protocol Driver: \??\C:\WINDOWS\system32\PCANDIS5.SYS (manual start)
Pilote de bus PCI: System32\DRIVERS\pci.sys (system)
PCIIde: System32\DRIVERS\pciide.sys (system)
Plug-and-Play: %SystemRoot%\system32\services.exe (autostart)
Services IPSEC: %SystemRoot%\System32\lsass.exe (autostart)
Miniport réseau étendu (PPTP): System32\DRIVERSaspptp.sys (manual start)
Pilote processeur: System32\DRIVERS\processr.sys (system)
Emplacement protégé: %SystemRoot%\system32\lsass.exe (autostart)
Planificateur de paquets QoS: System32\DRIVERS\psched.sys (manual start)
Pilote de liaison parallèle directe: System32\DRIVERS\ptilink.sys (manual start)
PxHelp20: system32\DRIVERS\PxHelp20.sys (system)
Pilote de connexion automatique d'accès distant: System32\DRIVERSasacd.sys (system)
Gestionnaire de connexion automatique d'accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Miniport réseau étendu (L2TP): System32\DRIVERSasl2tp.sys (manual start)
Gestionnaire de connexions d'accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Pilote PPPOE d'accès à distance: System32\DRIVERSaspppoe.sys (manual start)
Parallèle direct: System32\DRIVERSaspti.sys (manual start)
Rdbss: System32\DRIVERSdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Pilote de redirecteur de périphérique Terminal Server: System32\DRIVERSdpdr.sys (manual start)
Gestionnaire de session d'aide sur le Bureau à distance: C:\WINDOWS\system32\sessmgr.exe (manual start)
Pilote de filtre de lecture digitale de CD audio: System32\DRIVERSedbook.sys (system)
Routage et accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Rksample: System32\DRIVERS\HSF_SAMP.sys (manual start)
Localisateur d'appels de procédure distante (RPC): %SystemRoot%\System32\locator.exe (manual start)
Appel de procédure distante (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS RSVP: %SystemRoot%\System32svp.exe (manual start)
Runtime: \??\C:\WINDOWS\System32\driversuntime.sys (manual start)
Gestionnaire de comptes de sécurité: %SystemRoot%\system32\lsass.exe (autostart)
Sunbelt CounterSpy Antispyware: "C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe" (autostart)
Carte à puce: %SystemRoot%\System32\SCardSvr.exe (manual start)
Planificateur de tâches: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (manual start)
Connexion secondaire: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Notification d'événement système: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Pilote de filtre Serenum: System32\DRIVERS\serenum.sys (manual start)
Pilote de port série: System32\DRIVERS\serial.sys (system)
Pare-feu Windows / Partage de connexion Internet: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Détection matériel noyau: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
smwdm: system32\drivers\smwdm.sys (manual start)
Symantec Network Drivers Service: "C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe" (autostart)
SoftFax: System32\DRIVERS\HSF_FAXX.sys (autostart)
Splitter audio du noyau Microsoft: system32\drivers\splitter.sys (manual start)
Spouleur d'impression: %SystemRoot%\system32\spoolsv.exe (autostart)
Windows Service Pack Installer update service: C:\WINDOWS\system32\spupdsvc.exe (autostart)
Pilote de filtre de restauration système: System32\DRIVERS\sr.sys (system)
Service de restauration système: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
Service de découvertes SSDP: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Acquisition d'image Windows (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
Pilote de bus logiciel: System32\DRIVERS\swenum.sys (manual start)
Synthétiseur de table de sons GC noyau Microsoft: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{B7D397D7-9EF0-4F5C-81B2-6828930F579B} (manual start)
SYMDNS: \SystemRoot\System32\Drivers\SYMDNS.SYS (manual start)
SYMFW: \SystemRoot\System32\Drivers\SYMFW.SYS (manual start)
SYMIDS: \SystemRoot\System32\Drivers\SYMIDS.SYS (manual start)
SYMNDIS: \SystemRoot\System32\Drivers\SYMNDIS.SYS (manual start)
SYMREDRV: \SystemRoot\System32\Drivers\SYMREDRV.SYS (manual start)
SYMTDI: \SystemRoot\System32\Drivers\SYMTDI.SYS (system)
Périphérique audio système du noyau Microsoft: system32\drivers\sysaudio.sys (manual start)
Journaux et alertes de performance: %SystemRoot%\system32\smlogsvc.exe (manual start)
Téléphonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Pilote du protocole TCP/IP: System32\DRIVERS	cpip.sys (system)
Pilote de périphérique terminal: System32\DRIVERS	ermdd.sys (system)
Services Terminal Server: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
Thèmes: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Tones: System32\DRIVERS\HSF_TONE.sys (autostart)
Client de suivi de lien distribué: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TSP: \??\C:\WINDOWS\system32\drivers\klif.sys (manual start)
Pilote de mise à jour microcode: System32\DRIVERS\update.sys (manual start)
Hôte de périphérique universel Plug-and-Play: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Onduleur: %SystemRoot%\System32\ups.exe (manual start)
Microsoft USB 2.0 Enhanced Host Controller Miniport Driver: System32\DRIVERS\usbehci.sys (manual start)
Pilote de concentrateur standard USB Microsoft: System32\DRIVERS\usbhub.sys (manual start)
Classe d'imprimantes USB Microsoft: system32\DRIVERS\usbprint.sys (manual start)
Pilote de scanneur USB: system32\DRIVERS\usbscan.sys (manual start)
Pilote de stockage de masse USB: system32\DRIVERS\USBSTOR.SYS (manual start)
Pilote miniport de contrôleur hôte universel USB Microsoft: System32\DRIVERS\usbuhci.sys (manual start)
V124: System32\DRIVERS\HSF_V124.sys (autostart)
Carte vidéo VGA.: \SystemRoot\System32\drivers\vga.sys (system)
Cliché instantané de volume: %SystemRoot%\System32\vssvc.exe (manual start)
Horloge Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Pilote ARP IP d'accès distant: System32\DRIVERS\wanarp.sys (manual start)
Pilote WINMM de compatibilité audio WDM Microsoft: system32\drivers\wdmaud.sys (manual start)
WebClient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Infrastructure de gestion Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Service de numéro de série du lecteur multimédia portable: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Carte de performance WMI: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Service Partage réseau du Lecteur Windows Media: "C:\Program Files\Windows Media Player\WMPNetwk.exe" (manual start)
Centre de sécurité: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Mises à jour automatiques: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Windows Driver Foundation - User-mode Driver Framework Platform Driver: system32\DRIVERS\WudfPf.sys (manual start)
Windows Driver Foundation - User-mode Driver Framework Reflector: system32\DRIVERS\wudfrd.sys (manual start)
Windows Driver Foundation - User-mode Driver Framework: %SystemRoot%\system32\svchost.exe -k WudfServiceGroup (manual start)
Configuration automatique sans fil: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Service d'approvisionnement réseau: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*No values found*

--------------------------------------------------

End of report, 35 581 bytes
Report generated in 1,094 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only


Sinon ds xindows temp il y a :

53812 qui est une application
54640 une autre applcation
NET1-2-3-4-5-6-7-8.tmp


J'espere qu ca va aider

MErci pour tout

zBr · Answer

Bonjour jaja


Un fichier système très important et essentiel à windows, winlogon.exe, a été patché (corrompu) par un malware:
C:\Windows\System32\main.sys, fichier qui, à l'heure actuelle ne doit surement plus être présent dans ton pc.
Possible aussi qu'un second fichier lié au pare-feu d'XP normalement clean, ip6fw.sys ait lui aussi fait les frais de ce malware...
Tu as le CD de Windows XP ?

Il y a dans le rapport hijackthis que tu viens de fournir, deux services plus que suspects :
EXAMPLE: \??\C:\WINDOWS\system32\main.sys (system) 
et 
Runtime: \??\C:\WINDOWS\System32\driversuntime.sys (manual start) 

Pour avancer Green day et Balltrap34 en attendant qu'ils reviennent et prennent la suite, est-ce que tu peux faire ceci:

Va dans:
Démarrer > panneau de configuration > options des dossiers > onglet affichage 
Coche la case devant " afficher les fichiers et dossiers cachés "
Décoche la case devant " masquer les extentions des fichiers dont le type est connu" 
Décoche la case devant " masquer les fichiers protégés du système"
Clic sur [Appliquer] puis sur [ok] pour valider

Une fois que c'est fait, recherche et dis nous si ces fichiers sont présent dans ton pc:
C:\Windows\System32\wsys.dll
C:\WINDOWS\System32\driversuntime.sys
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32eg.sys
Si c'est le cas, rends toi ici:
http://www.virustotal.com/xhtml/virustotal_en.html
Clic sur parcourir et fais analyser celui ou ceux que tu auras trouvés.
Poste le résultat d'analyse.
Fais scanner aussi les fichiers qui se trouvent dans C:\Windows	emp

Puis dernière chose, relance hijackthis, clic sur [Open the misc tools section]
clic sur [Open ADS spy]
Assure toi que les cases devant:
Quick Scan
et
Ignore safe system infos stream soient cochées.
Clic sur Scan, et si des fichiers sont détectés, clic sur Save log
Dans ce cas, poste le rapport.

a+ et bon courage.

green day · Answer

Salut zBr ;-))

Merci de ta contribution :-)


@+


La sagesse, c'est d'avoir des rêves suffisamment grands pour ne pas les
perdre de vue lorsqu'on les poursuit. (Oscar Wilde)

Lyonnais92 · Answer

Bonsoir,

dans ce post, page 2, une procédure de rétablissement de winlogon par Andy Manchesta :
http://forum.piriform.com/index.php?showtopic=9041&st=0

Bonne suite.

zBr · Answer

Salut

Très, très interessant le lien... merci.

Mais Andy a oublié un ADS s'il s'agit bien du même groupe de variantes:
http://cjoint.com/data/dyvjHauwzX.htm
d'ailleur celle qu'il traite à l'air beaucoup plus coriace que celle de jaja et est couplée à d'autres infections en plus.

Sdfix est sensé normalement rechercher et virer l'infection de jaja, mais après test, les résultats sont mitigés, le service est toujours présent après reboot et passage du fix et l'ADS toujours pas détecté:
http://cjoint.com/data/dyvm5EVz73.htm
Combofix à l'air lui aussi de s'occuper de cette infection, mais j'ai pas testé encore.

Contrairement à ce que je pensais au départ il est possible de retrouver un winlogon clean, après localisation et repérage de la dll injecté.
Icesword fait des miracles dans ce type d'exercice lol mais bon...je crois que je pollue le topic de jaja avec mes commentaires et le lien que tu as fournis va être très utile à green day et Balltrap34.

a++

balltrap34 · Answer

salut  zBr

non tu pollue rien du tous au contraire
il est arriver que sur des coriaces ont si mettent a plusieurs et voir 200 topics pour le resoudre tous les soluces sont bonne a prendre
et comme j ai pas beaucoup de temps
tu est le bien venue
ont se connait il me semble non

en ce qui concerne winlogon qui me parait plus que suspect
c est pour cela que je lui est demander ceci
http://noahdfear.geekstogo.com/FindAWF.exe
pour voir si il nous aurait montrer un autre winlogon en .bak
avec modif de taille

attention tu parle de combofix surtout ne pas l utiliser merci

jaja · Answer

bonjour

alors je ne trouve pas :
runtime.sys
main.sys mais plutoot main.cpl
je ne trouve pas reg.sys mais reg.exe

Pour wsys.dll voila le rapport :

AhnLab-V3 2007.3.24.1 03.26.2007  no virus found 
AntiVir 7.3.1.44 03.26.2007 HEUR/Malware 
Authentium 4.93.8 03.24.2007  no virus found 
Avast 4.7.936.0 03.25.2007  no virus found 
AVG 7.5.0.447 03.25.2007 Generic3.NLG 
BitDefender 7.2 03.26.2007  no virus found 
CAT-QuickHeal 9.00 03.26.2007  no virus found 
ClamAV devel-20070312 03.26.2007  no virus found 
DrWeb 4.33 03.26.2007  no virus found 
eSafe 7.0.14.0 03.25.2007  no virus found 
eTrust-Vet 30.6.3512 03.26.2007  no virus found 
Ewido 4.0 03.25.2007  no virus found 
FileAdvisor 1 03.26.2007  no virus found 
Fortinet 2.85.0.0 03.26.2007  no virus found 
F-Prot 4.3.1.45 03.23.2007  no virus found 
F-Secure 6.70.13030.0 03.26.2007  no virus found 
Ikarus T3.1.1.3 03.26.2007  no virus found 
Kaspersky 4.0.2.24 03.26.2007  no virus found 
McAfee 4991 03.23.2007  no virus found 
Microsoft 1.2306 03.26.2007  no virus found 
NOD32v2 2145 03.26.2007 Win32/Wigon.R 
Norman 5.80.02 03.23.2007  no virus found 
Panda 9.0.0.4 03.25.2007 W32/Sdbot.KBB.worm 
Prevx1 V2 03.26.2007  no virus found 
Sophos 4.15.0 03.23.2007  no virus found 
Sunbelt 2.2.907.0 03.24.2007  no virus found 
Symantec 10 03.26.2007 Trojan.Pandex 
TheHacker 6.1.6.080 03.23.2007  no virus found 
UNA 1.83 03.16.2007  no virus found 
VBA32 3.11.2 03.26.2007  no virus found 
VirusBuster 4.3.7:9 03.25.2007  no virus found 
Webwasher-Gateway 6.0.1 03.26.2007 Heuristic.Malware 


Aditional Information 
File size: 29184 bytes 
MD5: c56f3de3006df40d7727e3a967fb164d 
SHA1: 190331d213c024083454373875ce43d850f3c9ad 


Par ailleurs j ai fait un hijackthis selon la preocedure decrite
rien n'est detecté

Merci pour l'aide

jaja · Answer

de plus rien de detceté avec noahdfead

Lyonnais92 · Answer

Bonsoir jaja,

pourrais tu faire analyser aussi par Virustotal ce fichier :

C:\Program Files\Internet Explorer\iexplore.exe 

Merci.
@+

jaja · Answer

a priori rien 

le log d'ie

AhnLab-V3 2007.3.27.0 03.26.2007  no virus found 
AntiVir 7.3.1.44 03.26.2007  no virus found 
Authentium 4.93.8 03.24.2007  no virus found 
Avast 4.7.936.0 03.25.2007  no virus found 
AVG 7.5.0.447 03.26.2007  no virus found 
BitDefender 7.2 03.26.2007  no virus found 
CAT-QuickHeal 9.00 03.26.2007  no virus found 
ClamAV devel-20070312 03.26.2007  no virus found 
DrWeb 4.33 03.26.2007  no virus found 
eSafe 7.0.14.0 03.26.2007  no virus found 
eTrust-Vet 30.6.3512 03.26.2007  no virus found 
Ewido 4.0 03.25.2007  no virus found 
FileAdvisor 1 03.26.2007  No threat detected 
Fortinet 2.85.0.0 03.26.2007  no virus found 
F-Prot 4.3.1.45 03.26.2007  no virus found 
F-Secure 6.70.13030.0 03.26.2007  no virus found 
Ikarus T3.1.1.3 03.26.2007  no virus found 
Kaspersky 4.0.2.24 03.26.2007  no virus found 
McAfee 4992 03.26.2007  no virus found 
Microsoft 1.2306 03.26.2007  no virus found 
NOD32v2 2145 03.26.2007  no virus found 
Norman 5.80.02 03.23.2007  no virus found 
Panda 9.0.0.4 03.25.2007  no virus found 
Prevx1 V2 03.26.2007  no virus found 
Sophos 4.15.0 03.23.2007  no virus found 
Sunbelt 2.2.907.0 03.24.2007  no virus found 
Symantec 10 03.26.2007  no virus found 
TheHacker 6.1.6.080 03.23.2007  no virus found 
UNA 1.83 03.16.2007  no virus found 
VBA32 3.11.2 03.26.2007  no virus found 
VirusBuster 4.3.7:9 03.26.2007  no virus found 
Webwasher-Gateway 6.0.1 03.26.2007 no virus found 


Aditional Information 
File size: 93184 bytes 
MD5: 385d1644e676c96eb07848ada63e37fa 


merci

jaja · Answer

y a t il quelqu'un qui pourrait me dire ce que je dois faire maintenant pleaaaaaaaaaaaaaaaase???

car ce satané virus est encore la.

Merci bcp

serduchko · Answer

bonjour, je pense avoir le même problème que toi...je fais des recherches de mon coté (des amis dans l'informatique) et si j'en sais plus je reviendrais ici très vite...

solidairement

jaja · Answer

merci ;-)

j attends ton retour

il parait qu'il ya un free tres ptratique pour ce genre de cas.
c iceword

mais c tres complique a utiliser

a+

green day · Answer

Bonjour !

 faire ceci stp :

Télécharge Spyware Terminator 1.8.4.965 ici : < http://www.freewarefiles.com/program_9_206_18312.html >
( Effectively remove spyware, adware, trojans, keyloggers, home page hijackers and other malware threats even dangerous threats like WebRebates, Look2Me, BetterInternet, VX2, and CWS )

Mettre à jour Update program&database file = mise à jour du programme et fichier de données de base

Choisir un scan déterminé en cliquant (clic gauche) une fois sur le petit rond >> Full Spyware Scan = Scan complet

Puis on clique sur "start scan now"= démarrer le scan maintenant


Sur le dernier onglet on peut lire: Last scan report = le rapport du dernier scan, poste le ici stp !

@+

jaja · Answer

voila le scan.
il n apporte rien de nouveau

Analyse en Progression (Analyse personnalisée)  
  Temps Démarré: 27/03/2007 18:18:55
  Database: 1.0.644.398
  
  Analyse des Processus  
  PowerProfile : C:\WINDOWS\SYSTEM32\POWRPROF.DLL
  Wextract : C:\WINDOWS\SYSTEM32\ADVPACK.DLL
  Shdocvw : C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
  AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL
  AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACROBAT\ACROIEFAVCLIENT.DLL
  SSJava : C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
  Analyse des Démarrages Automatiques  
  Invalid Startup Items : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
  !AVG Anti-Spyware : C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE
  KAVPersonal50 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run AVP
  KAVPersonal50 : C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\AVP.EXE
  SBCSTray : C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\SBCSTRAY.EXE
  Spyware Terminator : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SpywareTerminator
  Spyware Terminator : C:\PROGRAM FILES\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE
  Explorer : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell
  Explorer : C:\WINDOWS\EXPLORER.EXE
  BootExecute : C:\WINDOWS\system32\SOPHOSBOOTTASKSR.EXE
  Analyse des barres d'Outils  
  AcroIEHelper : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ {47833539-D0C5-4125-9FA8-0819E2EAAC93}
  AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACROBAT\ACROIEFAVCLIENT.DLL
  AcroIEHelper : iexplore.exe PID: 3440
  AcroIEHelper : HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\{182EC0BE-5110-49C8-A062-BEB1D02A220B} 
  Shdocvw : HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} 
  Shdocvw : C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
  Shdocvw : iexplore.exe PID: 1440
  Shdocvw : explorer.exe PID: 376
  Shdocvw : iexplore.exe PID: 3440
  Shdocvw : AcroRd32.exe PID: 3808
  Shdocvw : SpywareTerminator.exe PID: 2280
  Shdocvw : HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} 
  Analyse de Browser Helper Objects  
  AcroIEHelper : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} 
  AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL
  AcroIEHelper : explorer.exe PID: 376
  SSJava : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} 
  SSJava : C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
  SSJava : iexplore.exe PID: 3440
  AcroIEHelper : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910} 
  IE Explorer Bars 
  IE Extensions 
  Analyse des Services  
  KAVPersonal50 : HKLM\SYSTEM\CurrentControlSet\Services\AVP 
  ccEvtMgr : HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr 
  Spyware Terminator : HKLM\SYSTEM\CurrentControlSet\Services\sp_rssrv 
  Analyse des Protocoles  
  Analyse des Protocoles actifs  
  Analyse du WinSock2  
  Analyse des Désinstallateurs  
  C:\PROGRAM FILES\3IVX\3IVX D4 4.5.1\UNINSTALL.EXE
  C:\PROGRAM FILES\AC3FILTER\UNINSTALL.EXE
  C:\WINDOWS\system32\MSIEXEC.EXE
  C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\UNINSTALL.EXE
  C:\PROGRAM FILES\AZUREUS\UNINSTALL.EXE
  C:\PROGRAM FILES\WEBTEH\BSPLAYER\UNINSTALL.EXE
  C:\PROGRAM FILES\CCLEANER\UNINST.EXE
  C:\WINDOWS\ISUN040C.EXE
  C:\PROGRAM FILES\DC++\UNINSTALL.EXE
  C:\PROGRAM FILES\DIVX3.11A\UNINST.EXE
  C:\WINDOWS\UNIN040C.EXE
  C:\PROGRAM FILES\EPSON\SMART PANEL\SPUNINST.EXE
  C:\PROGRAM FILES\FFDSHOW\UNINSTALL.EXE
  C:\PROGRAM FILES\FREE.FR\UNINSTALL.EXE
  C:\PROGRAM FILES\FREEPLAYER\UNINSTALL.EXE
  C:\PROGRAM FILES\MATROSKA PACK\HAALI\UNINSTALL.EXE
  C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX00.484\HijackThis.exe \uninstall
  C:\PROGRAM FILES\HP\DIGITAL IMAGING\UNINSTALL\HPZSCR01.EXE
  C:\WINDOWS\$NTUNINSTALLKB873339$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB885250$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB885835$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB885836$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB886185$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB887472$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB887742$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB888113$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB888302$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB890046$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB890859$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB891781$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB893066$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB893756$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$MSI31UNINSTALL_KB893803V2$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB894391$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB896358$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB896422$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB896423$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB896424$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB896428$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB896688$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB898461$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB899587$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB899591$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB900485$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB900725$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB901017$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB901214$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB902400$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB904706$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB905414$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB905749$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB905915$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB908519$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB908531$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB910437$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB911280$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB911562$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB911564$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB911567$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB911927$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB912812$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB912919$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB913446$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB913580$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB914388$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB914389$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB916281$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB916595$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB917159$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB917344$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB917422$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB917734_WMP10$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB917953$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB918118$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB918439$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB918899$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB919007$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB920213$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB920214$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB920670$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB920683$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB920685$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB920872$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB921398$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB921883$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB922582$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB922616$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB922760$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB922819$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB923191$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB923414$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB923689$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB923694$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB923980$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB924191$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB924270$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB924496$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB924667$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB925398_WMP64$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB925454$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB925486$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB926239$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB926255$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB926436$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB927779$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB927802$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB928090$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB928255$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB928843$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB929338$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB929399$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB929969$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLKB931836$\SPUNINST\SPUNINST.EXE
  C:\PROGRAM FILES\MATROSKA PACK\UNINSTALL.EXE
  C:\WINDOWS\$NTUNINSTALLMSCOMPPACKV1$\SPUNINST\SPUNINST.EXE
  C:\PROGRAM FILES\MUSK CODEC PACK V5\UNINS000.EXE
  C:\WINDOWS\SYSTEM32\OGGDSUNINST.EXE
  C:\WINDOWS\system32\SETUPAPI.DLL
  C:\RKUNHOOKER\UNINSTALL.EXE
  C:\WINDOWS\INF\SWFLASH.INF
  C:\PROGRAM FILES\SIMPLE SUDOKU\UNINS000.EXE
  C:\PROGRAM FILES\SPYWARE TERMINATOR\UNINS000.EXE
  Spyware Terminator : C:\PROGRAM FILES\SPYWARE TERMINATOR\UNINS000.EXE
  Spyware Terminator : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Terminator_is1 
  C:\PROGRAM FILES\VDCODECPACK1.7\UNINST.EXE
  C:\PROGRAM FILES\WINAMP\UNINSTWA.EXE
  C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMSETSDK.EXE
  C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\SETUP_WM.EXE
  C:\WINDOWS\$NTSERVICEPACKUNINSTALL$\SPUNINST\SPUNINST.EXE
  C:\PROGRAM FILES\WINISO\UNINS000.EXE
  C:\PROGRAM FILES\WINRAR\UNINSTALL.EXE
  C:\WINDOWS\$NTUNINSTALLWMFDIST11$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLWMP11$\SPUNINST\SPUNINST.EXE
  C:\WINDOWS\$NTUNINSTALLWUDF01000$\SPUNINST\SPUNINST.EXE
  C:\PROGRAM FILES\XVID\UNINS000.EXE
  C:\PROGRAM FILES\DIVX_2\DIVXCODECUNINSTALL.EXE
  C:\Program Files\Fichiers communs\InstallShield\Engine\6\Intel 32\ctor.dll
  C:\PROGRAM FILES\HP\DIGITAL IMAGING\{D1D09EF2-4BD7-4B27-B700-A2CA15C296AC}\SETUP\HPZSCR01.EXE
  Analyse du Menu Démarrer  
  Explorer : C:\Documents and Settings\djaidi\Menu Démarrer\Programmes\Accessoires\Explorateur Windows.lnk
  SynchronizationManager : C:\Documents and Settings\djaidi\Menu Démarrer\Programmes\Accessoires\Synchroniser.lnk
  Explorer : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Communications\Connexions réseau.lnk
  Explorer : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Tâches planifiées.lnk
  KAVPersonal50 : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Kaspersky Anti-Virus 6.0\Kaspersky Anti-Virus 6.0.lnk
  Spyware Terminator : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spyware Terminator\Spyware Terminator.lnk
  Spyware Terminator : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spyware Terminator\Uninstall Spyware Terminator.lnk
  MessengerService : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Messenger.lnk
  Analyse du Bureau  
  Analyse des Favoris  
  Analyse des Cookies  
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@2o7[1].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@atdmt[2].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@doubleclick[2].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@fastclick[2].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@mediaplex[1].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@questionmarket[2].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@serving-sys[2].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@statcounter[2].txt
  Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@tribalfusion[1].txt
  Analyse du Registre  
  AcroIEHelper : HKCR\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} 
  AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL
  AcroIEHelper : explorer.exe PID: 376
  AcroIEHelper : iexplore.exe PID: 3440
  AcroIEHelper : HKCR\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93} 
  AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACROBAT\ACROIEFAVCLIENT.DLL
  AcroIEHelper : HKCR\CLSID\{AE7CD045-E861-484f-8273-0445EE161910} 
  MSDXM : HKCR\CLSID\{8E718888-423F-11D2-876E-00A0C9082467} 
  MSDXM : C:\WINDOWS\SYSTEM32\MSDXM.OCX
  SSJava : HKCR\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} 
  SSJava : C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
  SSJava : iexplore.exe PID: 3440
  Analyse des Fichiers Connus 
  AcroIEHelper : C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
  Spyware Terminator : C:\Program Files\Spyware Terminator\Spywareterminatorshield.exe
  Spyware Terminator : C:\Program Files\Spyware Terminator\Spywareterminator.exe
  Spyware Terminator : C:\Program Files\Spyware Terminator\sptcontmenu.dll
  Spyware Terminator : C:\Program Files\Spyware Terminator\sp_rsser.exe
  Spyware Terminator : C:\Program Files\Spyware Terminator\unins000.exe
  Spyware Terminator : C:\Documents and Settings\All Users\Menu Démarrer\..\Application Data\Spyware Terminator\sp_rsdel.exe
  WinampAgent : C:\Program Files\Winamp\winampa.exe
  MessengerService : C:\Program Files\Messenger\msmsgs.exe
  Ctfmon : C:\WINDOWS\system32\ctfmon.exe
  SunJavaUpdateSched : C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
  MSConfig : C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
  UpdateMgr : C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
  SynchronizationManager : C:\WINDOWS\system32\mobsync.exe
  MSDXM : C:\WINDOWS\system32\msdxm.ocx
  StillImageMonitor : C:\WINDOWS\system32\STIMON.EXE
  GrpConv : C:\WINDOWS\system32\grpconv.exe
  Wextract : C:\WINDOWS\system32\advpack.dll
  KernelFaultCheck : C:\WINDOWS\system32\dumprep.exe
  Explorer : C:\WINDOWS\explorer.exe
  PowerProfile : C:\WINDOWS\system32\powrprof.dll
  BluetoothControlPanel : C:\WINDOWS\system32\bthprops.cpl
  SSJava : C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
  Shdocvw : C:\WINDOWS\system32\shdocvw.dll
  PHIME2002ASync : C:\WINDOWS\system32\dllcache	intsetp.exe
  KAVPersonal50 : C:\Program Files\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\avp.exe
  Ccleaner : C:\Program Files\CCleaner\ccleaner.exe
  MSPY2002 : C:\WINDOWS\system32\dllcache\imscinst.exe
  Acrobat Assistant 7.0 : C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
  Verclsid : C:\WINDOWS\system32\verclsid.exe
  Systray : C:\WINDOWS\system32\systray.exe
  comctl32 : C:\WINDOWS\WinSxS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2180_X-WW_A84F1FF9\comctl32.dll
  Fait 
  
     Résumé de l'Analyse: 
  
  Temps Total de l'Analyse : 259,08 s
  Objets Analysés : 12 043
  Objets Identifiés : 70
  Objets Ignorés : 0
  
  Objets Critiques : 1

green day · Answer

C'est la définition même d'un rootkit être "non détectable" ;-)

fais-ceci stp :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

++

LA TOTALE rootkin.win32+trojan.pandex

57 réponses

Discussions similaires