LA TOTALE rootkin.win32+trojan.pandex - Page 3

Précédent
  • 1
  • 2
  • 3
  1. jaja
     
    KELS ST LES RISQUES SI JE LE RENOME COMME CA.
    CA PEUT BLOQUER LA MACHINE,,AUQUEL CAS JE POURRAIS PLUS LA RECUPERER,,??,!!!
    est ce risqué???
    0
  2. jaja
     
    j ai fait un misc tools section

    voila le rapport

    StartupList report, 24/03/2007, 17:50:40
    StartupList version: 1.52.2
    Started from : C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX01.937\HijackThis.EXE
    Detected: Windows XP SP2 (WinNT 5.01.2600)
    Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    * Using default options
    * Including empty and uninteresting sections
    * Showing rarely important sections
    ==================================================

    Running processes:

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
    C:\WINDOWS\system32\spupdsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spnpinst.exe
    C:\WINDOWS\system32\Sysocmgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
    C:\Program Files\Winamp\winamp.exe
    C:\Program Files\Freeplayer\vlc\vlc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE
    C:\WINDOWS\system32\zstatus.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX01.937\HijackThis.exe

    --------------------------------------------------

    Listing of startup folders:

    Shell folders Startup:
    [C:\Documents and Settings\djaidi\Menu Démarrer\Programmes\Démarrage]
    *No files*

    Shell folders AltStartup:
    *Folder not found*

    User shell folders Startup:
    *Folder not found*

    User shell folders AltStartup:
    *Folder not found*

    Shell folders Common Startup:
    [C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
    *No files*

    Shell folders Common AltStartup:
    *Folder not found*

    User shell folders Common Startup:
    *Folder not found*

    User shell folders Alternate Common Startup:
    *Folder not found*

    --------------------------------------------------

    Checking Windows NT UserInit:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    UserInit = C:\WINDOWS\system32\userinit.exe,

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
    *Registry key not found*

    [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    *Registry value not found*

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
    *Registry key not found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    (Default) =
    ccApp = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    !AVG Anti-Spyware = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    AVP = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    SBCSTray = C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

    *No values found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    *No values found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

    *No values found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    *Registry key not found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    *No values found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

    *No values found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    *Registry key not found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

    *Registry key not found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    *Registry key not found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

    *Registry key not found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

    *Registry key not found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    [OptionalComponents]
    *No values found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    *No subkeys found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    *No subkeys found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    *No subkeys found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    *Registry key not found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    *No subkeys found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    *No subkeys found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    *Registry key not found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
    *Registry key not found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    *Registry key not found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
    *Registry key not found*

    --------------------------------------------------

    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
    *Registry key not found*

    --------------------------------------------------

    File association entry for .EXE:
    HKEY_CLASSES_ROOT\exefile\shell\open\command

    (Default) = "%1" %*

    --------------------------------------------------

    File association entry for .COM:
    HKEY_CLASSES_ROOT\comfile\shell\open\command

    (Default) = "%1" %*

    --------------------------------------------------

    File association entry for .BAT:
    HKEY_CLASSES_ROOT\batfile\shell\open\command

    (Default) = "%1" %*

    --------------------------------------------------

    File association entry for .PIF:
    HKEY_CLASSES_ROOT\piffile\shell\open\command

    (Default) = "%1" %*

    --------------------------------------------------

    File association entry for .SCR:
    HKEY_CLASSES_ROOT\scrfile\shell\open\command

    (Default) = "%1" /S

    --------------------------------------------------

    File association entry for .HTA:
    HKEY_CLASSES_ROOT\htafile\shell\open\command

    (Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

    --------------------------------------------------

    File association entry for .TXT:
    HKEY_CLASSES_ROOT\txtfile\shell\open\command

    (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

    --------------------------------------------------

    Enumerating Active Setup stub paths:
    HKLM\Software\Microsoft\Active Setup\Installed Components
    (* = disabled by HKCU twin)

    [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

    [>{26923b43-4d38-484f-9b9e-de460746276c}] *
    StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

    [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
    StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

    [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
    StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

    [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
    StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

    [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
    StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

    [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
    StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

    [{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
    StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

    [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
    StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub

    [{7790769C-0471-11d2-AF11-00C04FA35D02}] *
    StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

    [{89820200-ECBD-11cf-8B85-00AA005B4340}] *
    StubPath = regsvr32.exe /s /n /i:U shell32.dll

    [{89820200-ECBD-11cf-8B85-00AA005B4383}] *
    StubPath = %SystemRoot%\system32\ie4uinit.exe

    [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
    StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

    --------------------------------------------------

    Enumerating ICQ Agent Autostart apps:
    HKCU\Software\Mirabilis\ICQ\Agent\Apps

    *Registry key not found*

    --------------------------------------------------

    Load/Run keys from C:\WINDOWS\WIN.INI:

    load=*INI section not found*
    run=*INI section not found*

    Load/Run keys from Registry:

    HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
    HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
    HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
    HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
    HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
    HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
    HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
    HKCU\..\Windows NT\CurrentVersion\Windows: load=
    HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

    --------------------------------------------------

    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

    Shell=*INI section not found*
    SCRNSAVE.EXE=*INI section not found*
    drivers=*INI section not found*

    Shell & screensaver key from Registry:

    Shell=Explorer.exe
    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
    drivers=*Registry value not found*

    Policies Shell key:

    HKCU\..\Policies: Shell=*Registry value not found*
    HKLM\..\Policies: Shell=*Registry value not found*

    --------------------------------------------------

    Checking for EXPLORER.EXE instances:

    C:\WINDOWS\Explorer.exe: PRESENT!

    C:\Explorer.exe: not present
    C:\WINDOWS\Explorer\Explorer.exe: not present
    C:\WINDOWS\System\Explorer.exe: not present
    C:\WINDOWS\System32\Explorer.exe: not present
    C:\WINDOWS\Command\Explorer.exe: not present
    C:\WINDOWS\Fonts\Explorer.exe: not present

    --------------------------------------------------

    Checking for superhidden extensions:

    .lnk: HIDDEN! (arrow overlay: yes)
    .pif: HIDDEN! (arrow overlay: yes)
    .exe: not hidden
    .com: not hidden
    .bat: not hidden
    .hta: not hidden
    .scr: not hidden
    .shs: HIDDEN!
    .shb: HIDDEN!
    .vbs: not hidden
    .vbe: not hidden
    .wsh: not hidden
    .scf: HIDDEN! (arrow overlay: NO!)
    .url: HIDDEN! (arrow overlay: yes)
    .js: not hidden
    .jse: not hidden

    --------------------------------------------------

    Verifying REGEDIT.EXE integrity:

    - Regedit.exe found in C:\WINDOWS
    - .reg open command is normal (regedit.exe %1)
    - Regedit.exe has no CompanyName property! It is either missing or named something else.
    - Regedit.exe has no OriginalFilename property! It is either missing or named something else.
    - Regedit.exe has no FileDescription property! It is either missing or named something else.

    Registry check failed!

    --------------------------------------------------

    Enumerating Browser Helper Objects:

    (no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
    (no name) - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
    (no name) - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}

    --------------------------------------------------

    Enumerating Task Scheduler jobs:

    *No jobs found*

    --------------------------------------------------

    Enumerating Download Program Files:

    [Microsoft XML Parser for Java]
    CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab
    OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

    [{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
    CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

    [MSSecurityAdvisor Class]
    InProcServer32 = C:\WINDOWS\System32\mssecadv.dll
    CODEBASE = http://protect.microsoft.com/security/protect/wsa/shared/CAB/x86/msSecAdv.cab?1130796613295

    [BDSCANONLINE Control]
    InProcServer32 = C:\WINDOWS\DOWNLO~1\oscan8.ocx
    CODEBASE = http://download.bitdefender.com/resources/scan8/oscan8.cab

    [WUWebControl Class]
    InProcServer32 = C:\WINDOWS\System32\wuweb.dll
    CODEBASE = http://update.microsoft.com/...

    [MUWebControl Class]
    InProcServer32 = C:\WINDOWS\System32\muweb.dll
    CODEBASE = http://update.microsoft.com/...

    [Java Plug-in]
    InProcServer32 = C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

    [F-Secure Online Scanner 3.0]
    InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll
    CODEBASE = https://www.f-secure.com/en/home/support

    [MsnMessengerSetupDownloadControl Class]
    InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
    CODEBASE = http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

    [Java Plug-in]
    InProcServer32 = C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

    [Java Plug-in 1.5.0_06]
    InProcServer32 = C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
    CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

    [Shockwave Flash Object]
    InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash8.ocx
    CODEBASE = http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    --------------------------------------------------

    Enumerating Winsock LSP files:

    NameSpace #1: C:\WINDOWS\System32\mswsock.dll
    NameSpace #2: C:\WINDOWS\System32\winrnr.dll
    NameSpace #3: C:\WINDOWS\System32\mswsock.dll
    Protocol #1: C:\WINDOWS\system32\mswsock.dll
    Protocol #2: C:\WINDOWS\system32\mswsock.dll
    Protocol #3: C:\WINDOWS\system32\mswsock.dll
    Protocol #4: C:\WINDOWS\system32\rsvpsp.dll
    Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
    Protocol #6: C:\WINDOWS\system32\mswsock.dll
    Protocol #7: C:\WINDOWS\system32\mswsock.dll
    Protocol #8: C:\WINDOWS\system32\mswsock.dll
    Protocol #9: C:\WINDOWS\system32\mswsock.dll
    Protocol #10: C:\WINDOWS\system32\mswsock.dll
    Protocol #11: C:\WINDOWS\system32\mswsock.dll
    Protocol #12: C:\WINDOWS\system32\mswsock.dll
    Protocol #13: C:\WINDOWS\system32\mswsock.dll
    Protocol #14: C:\WINDOWS\system32\mswsock.dll
    Protocol #15: C:\WINDOWS\system32\mswsock.dll

    --------------------------------------------------

    Enumerating Windows NT/2000/XP services

    Pilote ACPI Microsoft: System32\DRIVERS\ACPI.sys (system)
    Adobe LM Service: "C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe" (manual start)
    aeaudio: system32\drivers\aeaudio.sys (manual start)
    Suppresseur d'écho acoustique (Noyau Microsoft): system32\drivers\aec.sys (manual start)
    Environnement de prise en charge de réseau AFD: \SystemRoot\System32\drivers\afd.sys (system)
    Filtre de bus AGP Intel: System32\DRIVERS\agp440.sys (system)
    Avertissement: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
    Service de la passerelle de la couche Application: %SystemRoot%\System32\alg.exe (manual start)
    Gestion d'applications: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
    ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start)
    Pilote de média asynchrone RAS: System32\DRIVERS\asyncmac.sys (manual start)
    Contrôleur de disque dur IDE/ESDI standard: System32\DRIVERS\atapi.sys (system)
    Protocole client ATM ARP: System32\DRIVERS\atmarpc.sys (manual start)
    Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Pilote audio Stub: System32\DRIVERS\audstub.sys (manual start)
    AVG Anti-Spyware Driver: \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys (system)
    AVG Anti-Spyware Guard: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (autostart)
    AVG Anti-Spyware Clean Driver: System32\DRIVERS\AvgAsCln.sys (system)
    Kaspersky Anti-Virus 6.0: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (autostart)
    basic2: System32\DRIVERS\HSF_BSC2.sys (manual start)
    ASUSTeK/Broadcom 440x 10/100 Integrated Controller XP Driver: System32\DRIVERS\bcm4sbxp.sys (manual start)
    Service de transfert intelligent en arrière-plan: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Explorateur d'ordinateur: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Symantec Event Manager: "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe" (autostart)
    Symantec Settings Manager: "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe" (autostart)
    Pilote de CD-ROM: System32\DRIVERS\cdrom.sys (system)
    Service d'indexation: C:\WINDOWS\System32\cisvc.exe (manual start)
    Gestionnaire de l'Album: %SystemRoot%\system32\clipsrv.exe (disabled)
    Symantec Lic NetConnect service: "C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (autostart)
    Application système COM+: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
    Services de cryptographie: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
    Lanceur de processus serveur DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
    Client DHCP: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Pilote de disque: System32\DRIVERS\disk.sys (system)
    Service d'administration du Gestionnaire de disque logique: %SystemRoot%\System32\dmadmin.exe /com (manual start)
    dmboot: System32\drivers\dmboot.sys (disabled)
    Pilote de Gestionnaire de disque logique: System32\drivers\dmio.sys (system)
    dmload: System32\drivers\dmload.sys (system)
    Gestionnaire de disque logique: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Synthétiseur DLS du noyau Microsoft: system32\drivers\DMusic.sys (manual start)
    Client DNS: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
    Filtre de décodeur DRM (Noyau Microsoft): system32\drivers\drmkaud.sys (manual start)
    EraserUtilRebootDrv: \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (manual start)
    Service de rapport d'erreurs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Creative AudioPCI (ES1371,ES1373) (WDM): system32\drivers\es1371mp.sys (manual start)
    Journal des événements: %SystemRoot%\system32\services.exe (autostart)
    Système d'événements de COM+: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
    EXAMPLE: \??\C:\WINDOWS\system32\main.sys (system)
    Fallback: System32\DRIVERS\HSF_FALL.sys (autostart)
    Compatibilité avec le Changement rapide d'utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Pilote de contrôleur de lecteur de disquettes: System32\DRIVERS\fdc.sys (manual start)
    Pilote de lecteur de disquettes: System32\DRIVERS\flpydisk.sys (manual start)
    FltMgr: system32\drivers\fltmgr.sys (system)
    F-Secure BlackLight Engine Driver: \??\C:\DOCUME~1\djaidi\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsbldrv.sys (manual start)
    Fsks: System32\DRIVERS\HSF_FSKS.sys (autostart)
    Pilote du Gestionnaire de volume: System32\DRIVERS\ftdisk.sys (system)
    Énumérateur de port jeu: System32\DRIVERS\gameenum.sys (manual start)
    Classificateur de paquets générique: System32\DRIVERS\msgpc.sys (manual start)
    Aide et support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Accès du périphérique d'interface utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    hsf_msft: System32\DRIVERS\HSF_MSFT.sys (manual start)
    HTTP: System32\Drivers\HTTP.sys (manual start)
    HTTP SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
    Pilote pour clavier i8042 et souris sur port PS/2: System32\DRIVERS\i8042prt.sys (system)
    Pilote de filtre de gravure CD: system32\DRIVERS\imapi.sys (system)
    Service COM de gravage de CD IMAPI: C:\WINDOWS\System32\imapi.exe (manual start)
    Pilote de processeur Intel: System32\DRIVERS\intelppm.sys (system)
    Pilote du pare-feu Windows IPv6: system32\drivers\ip6fw.sys (manual start)
    Pilote de filtre de trafic IP: System32\DRIVERS\ipfltdrv.sys (manual start)
    Pilote de tunnelage IP dans IP: System32\DRIVERS\ipinip.sys (manual start)
    Traducteur d'adresses réseau IP: System32\DRIVERS\ipnat.sys (manual start)
    Pilote IPSEC: System32\DRIVERS\ipsec.sys (system)
    Service énumérateur IR: System32\DRIVERS\irenum.sys (manual start)
    Pilote de bus Plug-and-Play ISA/EISA: System32\DRIVERS\isapnp.sys (system)
    K56: System32\DRIVERS\HSF_K56K.sys (autostart)
    Pilote de la classe Clavier: System32\DRIVERS\kbdclass.sys (system)
    Kl1: system32\drivers\kl1.sys (system)
    Klif: \??\C:\WINDOWS\system32\drivers\klif.sys (system)
    Mélangeur audio Wave de noyau Microsoft: system32\drivers\kmixer.sys (manual start)
    Serveur: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Station de travail: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Assistance TCP/IP NetBIOS: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
    Affichage des messages: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Partage de Bureau à distance NetMeeting: C:\WINDOWS\System32\mnmsrvc.exe (manual start)
    Pilote de la classe Souris: System32\DRIVERS\mouclass.sys (system)
    Redirecteur client WebDav: System32\DRIVERS\mrxdav.sys (manual start)
    MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
    Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start)
    Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start)
    Proxy de service de répartition Microsoft: system32\drivers\MSKSSRV.sys (manual start)
    Proxy d'horloge de répartition Microsoft: system32\drivers\MSPCLOCK.sys (manual start)
    Proxy de gestion de qualité de répartition Microsoft: system32\drivers\MSPQM.sys (manual start)
    Pilote BIOS de gestion de systèmes Microsoft: System32\DRIVERS\mssmbios.sys (manual start)
    Pilote TAPI NDIS d'accès distant: System32\DRIVERS\ndistapi.sys (manual start)
    NDIS mode utilisateur E/S Protocole: System32\DRIVERS\ndisuio.sys (manual start)
    Pilote réseau étendu NDIS d'accès distant: System32\DRIVERS\ndiswan.sys (manual start)
    Interface NetBIOS: System32\DRIVERS\netbios.sys (system)
    NetBIOS sur TCP/IP: System32\DRIVERS\netbt.sys (system)
    DDE réseau: %SystemRoot%\system32\netdde.exe (disabled)
    DSDM DDE réseau: %SystemRoot%\system32\netdde.exe (disabled)
    Ouverture de session réseau: %SystemRoot%\System32\lsass.exe (manual start)
    Connexions réseau: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Norton Protection Center Service: "C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE" (manual start)
    Fournisseur de la prise en charge de sécurité LM NT: %SystemRoot%\System32\lsass.exe (manual start)
    Stockage amovible: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
    nv: System32\DRIVERS\nv4_mini.sys (manual start)
    Pilote de filtre de trafic IPX: System32\DRIVERS\nwlnkflt.sys (manual start)
    Pilote de transfert de trafic IPX: System32\DRIVERS\nwlnkfwd.sys (manual start)
    Pilote de port parallèle: System32\DRIVERS\parport.sys (manual start)
    PCAMPR5 NDIS Protocol Driver: \??\C:\WINDOWS\system32\PCAMPR5.SYS (manual start)
    PCANDIS5 NDIS Protocol Driver: \??\C:\WINDOWS\system32\PCANDIS5.SYS (manual start)
    Pilote de bus PCI: System32\DRIVERS\pci.sys (system)
    PCIIde: System32\DRIVERS\pciide.sys (system)
    Plug-and-Play: %SystemRoot%\system32\services.exe (autostart)
    Services IPSEC: %SystemRoot%\System32\lsass.exe (autostart)
    Miniport réseau étendu (PPTP): System32\DRIVERS\raspptp.sys (manual start)
    Pilote processeur: System32\DRIVERS\processr.sys (system)
    Emplacement protégé: %SystemRoot%\system32\lsass.exe (autostart)
    Planificateur de paquets QoS: System32\DRIVERS\psched.sys (manual start)
    Pilote de liaison parallèle directe: System32\DRIVERS\ptilink.sys (manual start)
    PxHelp20: system32\DRIVERS\PxHelp20.sys (system)
    Pilote de connexion automatique d'accès distant: System32\DRIVERS\rasacd.sys (system)
    Gestionnaire de connexion automatique d'accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Miniport réseau étendu (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
    Gestionnaire de connexions d'accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Pilote PPPOE d'accès à distance: System32\DRIVERS\raspppoe.sys (manual start)
    Parallèle direct: System32\DRIVERS\raspti.sys (manual start)
    Rdbss: System32\DRIVERS\rdbss.sys (system)
    RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
    Pilote de redirecteur de périphérique Terminal Server: System32\DRIVERS\rdpdr.sys (manual start)
    Gestionnaire de session d'aide sur le Bureau à distance: C:\WINDOWS\system32\sessmgr.exe (manual start)
    Pilote de filtre de lecture digitale de CD audio: System32\DRIVERS\redbook.sys (system)
    Routage et accès distant: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Rksample: System32\DRIVERS\HSF_SAMP.sys (manual start)
    Localisateur d'appels de procédure distante (RPC): %SystemRoot%\System32\locator.exe (manual start)
    Appel de procédure distante (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
    QoS RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
    Runtime: \??\C:\WINDOWS\System32\drivers\runtime.sys (manual start)
    Gestionnaire de comptes de sécurité: %SystemRoot%\system32\lsass.exe (autostart)
    Sunbelt CounterSpy Antispyware: "C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe" (autostart)
    Carte à puce: %SystemRoot%\System32\SCardSvr.exe (manual start)
    Planificateur de tâches: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Secdrv: System32\DRIVERS\secdrv.sys (manual start)
    Connexion secondaire: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Notification d'événement système: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
    Pilote de filtre Serenum: System32\DRIVERS\serenum.sys (manual start)
    Pilote de port série: System32\DRIVERS\serial.sys (system)
    Pare-feu Windows / Partage de connexion Internet: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Détection matériel noyau: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    smwdm: system32\drivers\smwdm.sys (manual start)
    Symantec Network Drivers Service: "C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe" (autostart)
    SoftFax: System32\DRIVERS\HSF_FAXX.sys (autostart)
    Splitter audio du noyau Microsoft: system32\drivers\splitter.sys (manual start)
    Spouleur d'impression: %SystemRoot%\system32\spoolsv.exe (autostart)
    Windows Service Pack Installer update service: C:\WINDOWS\system32\spupdsvc.exe (autostart)
    Pilote de filtre de restauration système: System32\DRIVERS\sr.sys (system)
    Service de restauration système: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Srv: System32\DRIVERS\srv.sys (manual start)
    Service de découvertes SSDP: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
    Acquisition d'image Windows (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
    Pilote de bus logiciel: System32\DRIVERS\swenum.sys (manual start)
    Synthétiseur de table de sons GC noyau Microsoft: system32\drivers\swmidi.sys (manual start)
    MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{B7D397D7-9EF0-4F5C-81B2-6828930F579B} (manual start)
    SYMDNS: \SystemRoot\System32\Drivers\SYMDNS.SYS (manual start)
    SYMFW: \SystemRoot\System32\Drivers\SYMFW.SYS (manual start)
    SYMIDS: \SystemRoot\System32\Drivers\SYMIDS.SYS (manual start)
    SYMNDIS: \SystemRoot\System32\Drivers\SYMNDIS.SYS (manual start)
    SYMREDRV: \SystemRoot\System32\Drivers\SYMREDRV.SYS (manual start)
    SYMTDI: \SystemRoot\System32\Drivers\SYMTDI.SYS (system)
    Périphérique audio système du noyau Microsoft: system32\drivers\sysaudio.sys (manual start)
    Journaux et alertes de performance: %SystemRoot%\system32\smlogsvc.exe (manual start)
    Téléphonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Pilote du protocole TCP/IP: System32\DRIVERS\tcpip.sys (system)
    Pilote de périphérique terminal: System32\DRIVERS\termdd.sys (system)
    Services Terminal Server: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
    Thèmes: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Tones: System32\DRIVERS\HSF_TONE.sys (autostart)
    Client de suivi de lien distribué: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
    TSP: \??\C:\WINDOWS\system32\drivers\klif.sys (manual start)
    Pilote de mise à jour microcode: System32\DRIVERS\update.sys (manual start)
    Hôte de périphérique universel Plug-and-Play: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
    Onduleur: %SystemRoot%\System32\ups.exe (manual start)
    Microsoft USB 2.0 Enhanced Host Controller Miniport Driver: System32\DRIVERS\usbehci.sys (manual start)
    Pilote de concentrateur standard USB Microsoft: System32\DRIVERS\usbhub.sys (manual start)
    Classe d'imprimantes USB Microsoft: system32\DRIVERS\usbprint.sys (manual start)
    Pilote de scanneur USB: system32\DRIVERS\usbscan.sys (manual start)
    Pilote de stockage de masse USB: system32\DRIVERS\USBSTOR.SYS (manual start)
    Pilote miniport de contrôleur hôte universel USB Microsoft: System32\DRIVERS\usbuhci.sys (manual start)
    V124: System32\DRIVERS\HSF_V124.sys (autostart)
    Carte vidéo VGA.: \SystemRoot\System32\drivers\vga.sys (system)
    Cliché instantané de volume: %SystemRoot%\System32\vssvc.exe (manual start)
    Horloge Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Pilote ARP IP d'accès distant: System32\DRIVERS\wanarp.sys (manual start)
    Pilote WINMM de compatibilité audio WDM Microsoft: system32\drivers\wdmaud.sys (manual start)
    WebClient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
    Infrastructure de gestion Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
    Service de numéro de série du lecteur multimédia portable: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Carte de performance WMI: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
    Service Partage réseau du Lecteur Windows Media: "C:\Program Files\Windows Media Player\WMPNetwk.exe" (manual start)
    Centre de sécurité: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Mises à jour automatiques: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
    Windows Driver Foundation - User-mode Driver Framework Platform Driver: system32\DRIVERS\WudfPf.sys (manual start)
    Windows Driver Foundation - User-mode Driver Framework Reflector: system32\DRIVERS\wudfrd.sys (manual start)
    Windows Driver Foundation - User-mode Driver Framework: %SystemRoot%\system32\svchost.exe -k WudfServiceGroup (manual start)
    Configuration automatique sans fil: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Service d'approvisionnement réseau: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

    --------------------------------------------------

    Enumerating Windows NT logon/logoff scripts:
    *No scripts set to run*

    Windows NT checkdisk command:
    BootExecute = autocheck autochk *

    Windows NT 'Wininit.ini':
    PendingFileRenameOperations: *Registry value not found*

    --------------------------------------------------

    Enumerating ShellServiceObjectDelayLoad items:

    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
    CDBurn: C:\WINDOWS\system32\SHELL32.dll
    WebCheck: C:\WINDOWS\System32\webcheck.dll
    SysTray: C:\WINDOWS\System32\stobject.dll
    WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

    --------------------------------------------------
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

    *Registry key not found*

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

    *No values found*

    --------------------------------------------------

    End of report, 35 581 bytes
    Report generated in 1,094 seconds

    Command line options:
    /verbose - to add additional info on each section
    /complete - to include empty sections and unsuspicious data
    /full - to include several rarely-important sections
    /force9x - to include Win9x-only startups even if running on WinNT
    /forcent - to include WinNT-only startups even if running on Win9x
    /forceall - to include all Win9x and WinNT startups, regardless of platform
    /history - to list version history only

    Sinon ds xindows temp il y a :

    53812 qui est une application
    54640 une autre applcation
    NET1-2-3-4-5-6-7-8.tmp

    J'espere qu ca va aider

    MErci pour tout
    0
  3. zBr
     
    Bonjour jaja

    Un fichier système très important et essentiel à windows, winlogon.exe, a été patché (corrompu) par un malware:
    C:\Windows\System32\main.sys, fichier qui, à l'heure actuelle ne doit surement plus être présent dans ton pc.
    Possible aussi qu'un second fichier lié au pare-feu d'XP normalement clean, ip6fw.sys ait lui aussi fait les frais de ce malware...
    Tu as le CD de Windows XP ?

    Il y a dans le rapport hijackthis que tu viens de fournir, deux services plus que suspects :
    EXAMPLE: \??\C:\WINDOWS\system32\main.sys (system)
    et
    Runtime: \??\C:\WINDOWS\System32\drivers\runtime.sys (manual start)

    Pour avancer Green day et Balltrap34 en attendant qu'ils reviennent et prennent la suite, est-ce que tu peux faire ceci:

    Va dans:
    Démarrer > panneau de configuration > options des dossiers > onglet affichage
    Coche la case devant " afficher les fichiers et dossiers cachés "
    Décoche la case devant " masquer les extentions des fichiers dont le type est connu"
    Décoche la case devant " masquer les fichiers protégés du système"
    Clic sur [Appliquer] puis sur [ok] pour valider

    Une fois que c'est fait, recherche et dis nous si ces fichiers sont présent dans ton pc:
    C:\Windows\System32\wsys.dll
    C:\WINDOWS\System32\drivers\runtime.sys
    C:\WINDOWS\system32\main.sys
    C:\WINDOWS\system32\reg.sys
    Si c'est le cas, rends toi ici:
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clic sur parcourir et fais analyser celui ou ceux que tu auras trouvés.
    Poste le résultat d'analyse.
    Fais scanner aussi les fichiers qui se trouvent dans C:\Windows\temp

    Puis dernière chose, relance hijackthis, clic sur [Open the misc tools section]
    clic sur [Open ADS spy]
    Assure toi que les cases devant:
    Quick Scan
    et
    Ignore safe system infos stream soient cochées.
    Clic sur Scan, et si des fichiers sont détectés, clic sur Save log
    Dans ce cas, poste le rapport.

    a+ et bon courage.
    0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut zBr ;-))

    Merci de ta contribution :-)

    @+

    La sagesse, c'est d'avoir des rêves suffisamment grands pour ne pas les
    perdre de vue lorsqu'on les poursuit. (Oscar Wilde)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    dans ce post, page 2, une procédure de rétablissement de winlogon par Andy Manchesta :
    http://forum.piriform.com/index.php?showtopic=9041&st=0

    Bonne suite.
    0
  7. zBr
     
    Salut

    Très, très interessant le lien... merci.

    Mais Andy a oublié un ADS s'il s'agit bien du même groupe de variantes:
    http://cjoint.com/data/dyvjHauwzX.htm
    d'ailleur celle qu'il traite à l'air beaucoup plus coriace que celle de jaja et est couplée à d'autres infections en plus.

    Sdfix est sensé normalement rechercher et virer l'infection de jaja, mais après test, les résultats sont mitigés, le service est toujours présent après reboot et passage du fix et l'ADS toujours pas détecté:
    http://cjoint.com/data/dyvm5EVz73.htm
    Combofix à l'air lui aussi de s'occuper de cette infection, mais j'ai pas testé encore.

    Contrairement à ce que je pensais au départ il est possible de retrouver un winlogon clean, après localisation et repérage de la dll injecté.
    Icesword fait des miracles dans ce type d'exercice lol mais bon...je crois que je pollue le topic de jaja avec mes commentaires et le lien que tu as fournis va être très utile à green day et Balltrap34.

    a++
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut zBr

    non tu pollue rien du tous au contraire
    il est arriver que sur des coriaces ont si mettent a plusieurs et voir 200 topics pour le resoudre tous les soluces sont bonne a prendre
    et comme j ai pas beaucoup de temps
    tu est le bien venue
    ont se connait il me semble non

    en ce qui concerne winlogon qui me parait plus que suspect
    c est pour cela que je lui est demander ceci
    http://noahdfear.geekstogo.com/FindAWF.exe
    pour voir si il nous aurait montrer un autre winlogon en .bak
    avec modif de taille

    attention tu parle de combofix surtout ne pas l utiliser merci
    0
  9. jaja
     
    bonjour

    alors je ne trouve pas :
    runtime.sys
    main.sys mais plutoot main.cpl
    je ne trouve pas reg.sys mais reg.exe

    Pour wsys.dll voila le rapport :

    AhnLab-V3 2007.3.24.1 03.26.2007 no virus found
    AntiVir 7.3.1.44 03.26.2007 HEUR/Malware
    Authentium 4.93.8 03.24.2007 no virus found
    Avast 4.7.936.0 03.25.2007 no virus found
    AVG 7.5.0.447 03.25.2007 Generic3.NLG
    BitDefender 7.2 03.26.2007 no virus found
    CAT-QuickHeal 9.00 03.26.2007 no virus found
    ClamAV devel-20070312 03.26.2007 no virus found
    DrWeb 4.33 03.26.2007 no virus found
    eSafe 7.0.14.0 03.25.2007 no virus found
    eTrust-Vet 30.6.3512 03.26.2007 no virus found
    Ewido 4.0 03.25.2007 no virus found
    FileAdvisor 1 03.26.2007 no virus found
    Fortinet 2.85.0.0 03.26.2007 no virus found
    F-Prot 4.3.1.45 03.23.2007 no virus found
    F-Secure 6.70.13030.0 03.26.2007 no virus found
    Ikarus T3.1.1.3 03.26.2007 no virus found
    Kaspersky 4.0.2.24 03.26.2007 no virus found
    McAfee 4991 03.23.2007 no virus found
    Microsoft 1.2306 03.26.2007 no virus found
    NOD32v2 2145 03.26.2007 Win32/Wigon.R
    Norman 5.80.02 03.23.2007 no virus found
    Panda 9.0.0.4 03.25.2007 W32/Sdbot.KBB.worm
    Prevx1 V2 03.26.2007 no virus found
    Sophos 4.15.0 03.23.2007 no virus found
    Sunbelt 2.2.907.0 03.24.2007 no virus found
    Symantec 10 03.26.2007 Trojan.Pandex
    TheHacker 6.1.6.080 03.23.2007 no virus found
    UNA 1.83 03.16.2007 no virus found
    VBA32 3.11.2 03.26.2007 no virus found
    VirusBuster 4.3.7:9 03.25.2007 no virus found
    Webwasher-Gateway 6.0.1 03.26.2007 Heuristic.Malware

    Aditional Information
    File size: 29184 bytes
    MD5: c56f3de3006df40d7727e3a967fb164d
    SHA1: 190331d213c024083454373875ce43d850f3c9ad

    Par ailleurs j ai fait un hijackthis selon la preocedure decrite
    rien n'est detecté

    Merci pour l'aide
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir jaja,

    pourrais tu faire analyser aussi par Virustotal ce fichier :

    C:\Program Files\Internet Explorer\iexplore.exe

    Merci.
    @+
    0
  11. jaja
     
    a priori rien

    le log d'ie

    AhnLab-V3 2007.3.27.0 03.26.2007 no virus found
    AntiVir 7.3.1.44 03.26.2007 no virus found
    Authentium 4.93.8 03.24.2007 no virus found
    Avast 4.7.936.0 03.25.2007 no virus found
    AVG 7.5.0.447 03.26.2007 no virus found
    BitDefender 7.2 03.26.2007 no virus found
    CAT-QuickHeal 9.00 03.26.2007 no virus found
    ClamAV devel-20070312 03.26.2007 no virus found
    DrWeb 4.33 03.26.2007 no virus found
    eSafe 7.0.14.0 03.26.2007 no virus found
    eTrust-Vet 30.6.3512 03.26.2007 no virus found
    Ewido 4.0 03.25.2007 no virus found
    FileAdvisor 1 03.26.2007 No threat detected
    Fortinet 2.85.0.0 03.26.2007 no virus found
    F-Prot 4.3.1.45 03.26.2007 no virus found
    F-Secure 6.70.13030.0 03.26.2007 no virus found
    Ikarus T3.1.1.3 03.26.2007 no virus found
    Kaspersky 4.0.2.24 03.26.2007 no virus found
    McAfee 4992 03.26.2007 no virus found
    Microsoft 1.2306 03.26.2007 no virus found
    NOD32v2 2145 03.26.2007 no virus found
    Norman 5.80.02 03.23.2007 no virus found
    Panda 9.0.0.4 03.25.2007 no virus found
    Prevx1 V2 03.26.2007 no virus found
    Sophos 4.15.0 03.23.2007 no virus found
    Sunbelt 2.2.907.0 03.24.2007 no virus found
    Symantec 10 03.26.2007 no virus found
    TheHacker 6.1.6.080 03.23.2007 no virus found
    UNA 1.83 03.16.2007 no virus found
    VBA32 3.11.2 03.26.2007 no virus found
    VirusBuster 4.3.7:9 03.26.2007 no virus found
    Webwasher-Gateway 6.0.1 03.26.2007 no virus found

    Aditional Information
    File size: 93184 bytes
    MD5: 385d1644e676c96eb07848ada63e37fa

    merci
    0
  12. jaja
     
    y a t il quelqu'un qui pourrait me dire ce que je dois faire maintenant pleaaaaaaaaaaaaaaaase???

    car ce satané virus est encore la.

    Merci bcp
    0
  13. serduchko
     
    bonjour, je pense avoir le même problème que toi...je fais des recherches de mon coté (des amis dans l'informatique) et si j'en sais plus je reviendrais ici très vite...

    solidairement
    0
  14. jaja
     
    merci ;-)

    j attends ton retour

    il parait qu'il ya un free tres ptratique pour ce genre de cas.
    c iceword

    mais c tres complique a utiliser

    a+
    0
  15. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Bonjour !

    faire ceci stp :

    Télécharge Spyware Terminator 1.8.4.965 ici : < http://www.freewarefiles.com/program_9_206_18312.html >
    ( Effectively remove spyware, adware, trojans, keyloggers, home page hijackers and other malware threats even dangerous threats like WebRebates, Look2Me, BetterInternet, VX2, and CWS )

    Mettre à jour Update program&database file = mise à jour du programme et fichier de données de base

    Choisir un scan déterminé en cliquant (clic gauche) une fois sur le petit rond >> Full Spyware Scan = Scan complet

    Puis on clique sur "start scan now"= démarrer le scan maintenant

    Sur le dernier onglet on peut lire: Last scan report = le rapport du dernier scan, poste le ici stp !

    @+
    0
  16. jaja
     
    voila le scan.
    il n apporte rien de nouveau

    Analyse en Progression (Analyse personnalisée)
    Temps Démarré: 27/03/2007 18:18:55
    Database: 1.0.644.398

    Analyse des Processus
    PowerProfile : C:\WINDOWS\SYSTEM32\POWRPROF.DLL
    Wextract : C:\WINDOWS\SYSTEM32\ADVPACK.DLL
    Shdocvw : C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
    AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL
    AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACROBAT\ACROIEFAVCLIENT.DLL
    SSJava : C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
    Analyse des Démarrages Automatiques
    Invalid Startup Items : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    !AVG Anti-Spyware : C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE
    KAVPersonal50 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run AVP
    KAVPersonal50 : C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\AVP.EXE
    SBCSTray : C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\SBCSTRAY.EXE
    Spyware Terminator : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SpywareTerminator
    Spyware Terminator : C:\PROGRAM FILES\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE
    Explorer : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell
    Explorer : C:\WINDOWS\EXPLORER.EXE
    BootExecute : C:\WINDOWS\system32\SOPHOSBOOTTASKSR.EXE
    Analyse des barres d'Outils
    AcroIEHelper : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ {47833539-D0C5-4125-9FA8-0819E2EAAC93}
    AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACROBAT\ACROIEFAVCLIENT.DLL
    AcroIEHelper : iexplore.exe PID: 3440
    AcroIEHelper : HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\{182EC0BE-5110-49C8-A062-BEB1D02A220B}
    Shdocvw : HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
    Shdocvw : C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
    Shdocvw : iexplore.exe PID: 1440
    Shdocvw : explorer.exe PID: 376
    Shdocvw : iexplore.exe PID: 3440
    Shdocvw : AcroRd32.exe PID: 3808
    Shdocvw : SpywareTerminator.exe PID: 2280
    Shdocvw : HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
    Analyse de Browser Helper Objects
    AcroIEHelper : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
    AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL
    AcroIEHelper : explorer.exe PID: 376
    SSJava : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
    SSJava : C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
    SSJava : iexplore.exe PID: 3440
    AcroIEHelper : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}
    IE Explorer Bars
    IE Extensions
    Analyse des Services
    KAVPersonal50 : HKLM\SYSTEM\CurrentControlSet\Services\AVP
    ccEvtMgr : HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
    Spyware Terminator : HKLM\SYSTEM\CurrentControlSet\Services\sp_rssrv
    Analyse des Protocoles
    Analyse des Protocoles actifs
    Analyse du WinSock2
    Analyse des Désinstallateurs
    C:\PROGRAM FILES\3IVX\3IVX D4 4.5.1\UNINSTALL.EXE
    C:\PROGRAM FILES\AC3FILTER\UNINSTALL.EXE
    C:\WINDOWS\system32\MSIEXEC.EXE
    C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\UNINSTALL.EXE
    C:\PROGRAM FILES\AZUREUS\UNINSTALL.EXE
    C:\PROGRAM FILES\WEBTEH\BSPLAYER\UNINSTALL.EXE
    C:\PROGRAM FILES\CCLEANER\UNINST.EXE
    C:\WINDOWS\ISUN040C.EXE
    C:\PROGRAM FILES\DC++\UNINSTALL.EXE
    C:\PROGRAM FILES\DIVX3.11A\UNINST.EXE
    C:\WINDOWS\UNIN040C.EXE
    C:\PROGRAM FILES\EPSON\SMART PANEL\SPUNINST.EXE
    C:\PROGRAM FILES\FFDSHOW\UNINSTALL.EXE
    C:\PROGRAM FILES\FREE.FR\UNINSTALL.EXE
    C:\PROGRAM FILES\FREEPLAYER\UNINSTALL.EXE
    C:\PROGRAM FILES\MATROSKA PACK\HAALI\UNINSTALL.EXE
    C:\DOCUME~1\djaidi\LOCALS~1\Temp\Rar$EX00.484\HijackThis.exe \uninstall
    C:\PROGRAM FILES\HP\DIGITAL IMAGING\UNINSTALL\HPZSCR01.EXE
    C:\WINDOWS\$NTUNINSTALLKB873339$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB885250$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB885835$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB885836$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB886185$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB887472$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB887742$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB888113$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB888302$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB890046$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB890859$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB891781$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB893066$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB893756$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$MSI31UNINSTALL_KB893803V2$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB894391$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB896358$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB896422$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB896423$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB896424$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB896428$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB896688$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB898461$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB899587$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB899591$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB900485$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB900725$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB901017$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB901214$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB902400$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB904706$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB905414$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB905749$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB905915$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB908519$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB908531$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB910437$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB911280$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB911562$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB911564$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB911567$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB911927$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB912812$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB912919$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB913446$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB913580$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB914388$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB914389$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB916281$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB916595$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB917159$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB917344$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB917422$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB917734_WMP10$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB917953$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB918118$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB918439$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB918899$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB919007$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB920213$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB920214$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB920670$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB920683$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB920685$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB920872$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB921398$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB921883$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB922582$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB922616$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB922760$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB922819$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB923191$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB923414$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB923689$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB923694$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB923980$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB924191$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB924270$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB924496$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB924667$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB925398_WMP64$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB925454$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB925486$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB926239$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB926255$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB926436$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB927779$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB927802$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB928090$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB928255$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB928843$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB929338$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB929399$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB929969$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLKB931836$\SPUNINST\SPUNINST.EXE
    C:\PROGRAM FILES\MATROSKA PACK\UNINSTALL.EXE
    C:\WINDOWS\$NTUNINSTALLMSCOMPPACKV1$\SPUNINST\SPUNINST.EXE
    C:\PROGRAM FILES\MUSK CODEC PACK V5\UNINS000.EXE
    C:\WINDOWS\SYSTEM32\OGGDSUNINST.EXE
    C:\WINDOWS\system32\SETUPAPI.DLL
    C:\RKUNHOOKER\UNINSTALL.EXE
    C:\WINDOWS\INF\SWFLASH.INF
    C:\PROGRAM FILES\SIMPLE SUDOKU\UNINS000.EXE
    C:\PROGRAM FILES\SPYWARE TERMINATOR\UNINS000.EXE
    Spyware Terminator : C:\PROGRAM FILES\SPYWARE TERMINATOR\UNINS000.EXE
    Spyware Terminator : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Terminator_is1
    C:\PROGRAM FILES\VDCODECPACK1.7\UNINST.EXE
    C:\PROGRAM FILES\WINAMP\UNINSTWA.EXE
    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMSETSDK.EXE
    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\SETUP_WM.EXE
    C:\WINDOWS\$NTSERVICEPACKUNINSTALL$\SPUNINST\SPUNINST.EXE
    C:\PROGRAM FILES\WINISO\UNINS000.EXE
    C:\PROGRAM FILES\WINRAR\UNINSTALL.EXE
    C:\WINDOWS\$NTUNINSTALLWMFDIST11$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLWMP11$\SPUNINST\SPUNINST.EXE
    C:\WINDOWS\$NTUNINSTALLWUDF01000$\SPUNINST\SPUNINST.EXE
    C:\PROGRAM FILES\XVID\UNINS000.EXE
    C:\PROGRAM FILES\DIVX_2\DIVXCODECUNINSTALL.EXE
    C:\Program Files\Fichiers communs\InstallShield\Engine\6\Intel 32\ctor.dll
    C:\PROGRAM FILES\HP\DIGITAL IMAGING\{D1D09EF2-4BD7-4B27-B700-A2CA15C296AC}\SETUP\HPZSCR01.EXE
    Analyse du Menu Démarrer
    Explorer : C:\Documents and Settings\djaidi\Menu Démarrer\Programmes\Accessoires\Explorateur Windows.lnk
    SynchronizationManager : C:\Documents and Settings\djaidi\Menu Démarrer\Programmes\Accessoires\Synchroniser.lnk
    Explorer : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Communications\Connexions réseau.lnk
    Explorer : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Tâches planifiées.lnk
    KAVPersonal50 : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Kaspersky Anti-Virus 6.0\Kaspersky Anti-Virus 6.0.lnk
    Spyware Terminator : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spyware Terminator\Spyware Terminator.lnk
    Spyware Terminator : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spyware Terminator\Uninstall Spyware Terminator.lnk
    MessengerService : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Messenger.lnk
    Analyse du Bureau
    Analyse des Favoris
    Analyse des Cookies
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@2o7[1].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@atdmt[2].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@doubleclick[2].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@fastclick[2].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@mediaplex[1].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@questionmarket[2].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@serving-sys[2].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@statcounter[2].txt
    Affiliate tracking cookie : C:\Documents and Settings\djaidi\cookies\djaidi@tribalfusion[1].txt
    Analyse du Registre
    AcroIEHelper : HKCR\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
    AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL
    AcroIEHelper : explorer.exe PID: 376
    AcroIEHelper : iexplore.exe PID: 3440
    AcroIEHelper : HKCR\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}
    AcroIEHelper : C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACROBAT\ACROIEFAVCLIENT.DLL
    AcroIEHelper : HKCR\CLSID\{AE7CD045-E861-484f-8273-0445EE161910}
    MSDXM : HKCR\CLSID\{8E718888-423F-11D2-876E-00A0C9082467}
    MSDXM : C:\WINDOWS\SYSTEM32\MSDXM.OCX
    SSJava : HKCR\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
    SSJava : C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
    SSJava : iexplore.exe PID: 3440
    Analyse des Fichiers Connus
    AcroIEHelper : C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    Spyware Terminator : C:\Program Files\Spyware Terminator\Spywareterminatorshield.exe
    Spyware Terminator : C:\Program Files\Spyware Terminator\Spywareterminator.exe
    Spyware Terminator : C:\Program Files\Spyware Terminator\sptcontmenu.dll
    Spyware Terminator : C:\Program Files\Spyware Terminator\sp_rsser.exe
    Spyware Terminator : C:\Program Files\Spyware Terminator\unins000.exe
    Spyware Terminator : C:\Documents and Settings\All Users\Menu Démarrer\..\Application Data\Spyware Terminator\sp_rsdel.exe
    WinampAgent : C:\Program Files\Winamp\winampa.exe
    MessengerService : C:\Program Files\Messenger\msmsgs.exe
    Ctfmon : C:\WINDOWS\system32\ctfmon.exe
    SunJavaUpdateSched : C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    MSConfig : C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
    UpdateMgr : C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
    SynchronizationManager : C:\WINDOWS\system32\mobsync.exe
    MSDXM : C:\WINDOWS\system32\msdxm.ocx
    StillImageMonitor : C:\WINDOWS\system32\STIMON.EXE
    GrpConv : C:\WINDOWS\system32\grpconv.exe
    Wextract : C:\WINDOWS\system32\advpack.dll
    KernelFaultCheck : C:\WINDOWS\system32\dumprep.exe
    Explorer : C:\WINDOWS\explorer.exe
    PowerProfile : C:\WINDOWS\system32\powrprof.dll
    BluetoothControlPanel : C:\WINDOWS\system32\bthprops.cpl
    SSJava : C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    Shdocvw : C:\WINDOWS\system32\shdocvw.dll
    PHIME2002ASync : C:\WINDOWS\system32\dllcache\tintsetp.exe
    KAVPersonal50 : C:\Program Files\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\avp.exe
    Ccleaner : C:\Program Files\CCleaner\ccleaner.exe
    MSPY2002 : C:\WINDOWS\system32\dllcache\imscinst.exe
    Acrobat Assistant 7.0 : C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
    Verclsid : C:\WINDOWS\system32\verclsid.exe
    Systray : C:\WINDOWS\system32\systray.exe
    comctl32 : C:\WINDOWS\WinSxS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2180_X-WW_A84F1FF9\comctl32.dll
    Fait

    Résumé de l'Analyse:

    Temps Total de l'Analyse : 259,08 s
    Objets Analysés : 12 043
    Objets Identifiés : 70
    Objets Ignorés : 0

    Objets Critiques : 1
    0
  17. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    C'est la définition même d'un rootkit être "non détectable" ;-)

    fais-ceci stp :

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    ++
    0
Précédent
  • 1
  • 2
  • 3