Infection
Résolu
Xbrain
-
Xbrain -
Xbrain -
Bonjour,
j'ai eu une grosse infection et je souhaiterais savoir s'il reste des traces sur mon poste de travail.
voici le log.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:03, on 04/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\WINDOWS\system32\iprntlgn.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\ACDAgent.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\...\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\kdfgj83ke.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iPrint Event Monitor] C:\WINDOWS\system32\iprntlgn.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alcatel OmniTouch Call Center Office.lnk = C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
O4 - Startup: Killjob.bat.lnk = C:\Killjob.bat
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{662CE244-95A3-47B6-B89F-C308FBA665A8}: NameServer = 10.196.2.1,172.19.5.51,172.19.5.52
O20 - AppInit_DLLs: svbwbr.dll
O20 - Winlogon Notify: awtsRkKe - awtsRkKe.dll (file missing)
O22 - SharedTaskScheduler: werkjdnfi8wnkjmdfdfkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
j'ai eu une grosse infection et je souhaiterais savoir s'il reste des traces sur mon poste de travail.
voici le log.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:03, on 04/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\WINDOWS\system32\iprntlgn.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\ACDAgent.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\...\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\kdfgj83ke.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iPrint Event Monitor] C:\WINDOWS\system32\iprntlgn.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alcatel OmniTouch Call Center Office.lnk = C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
O4 - Startup: Killjob.bat.lnk = C:\Killjob.bat
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{662CE244-95A3-47B6-B89F-C308FBA665A8}: NameServer = 10.196.2.1,172.19.5.51,172.19.5.52
O20 - AppInit_DLLs: svbwbr.dll
O20 - Winlogon Notify: awtsRkKe - awtsRkKe.dll (file missing)
O22 - SharedTaskScheduler: werkjdnfi8wnkjmdfdfkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
37 réponses
Petite parenthèse, je viens de réinstaller Norton Antivirus 10.1.6.6000 et quand je demande une analyse j'ai l'erreur "Impossible de lancer l'analyse. Erreur 0x20000058 renvoyée par le moteur d'analyse".
Même après désinstallation totale (avec l'outil de suppression Symantec) j'ai le même problème et quelque soit la version, 10.1.5 idem.
Une idée ?
Même après désinstallation totale (avec l'outil de suppression Symantec) j'ai le même problème et quelque soit la version, 10.1.5 idem.
Une idée ?
J'ai trouvé et article qui parle de cette erreur.
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005030314150448?Open&seg=ent
Il parle d'un patch à appliquer.
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005030314150448?Open&seg=ent
Il parle d'un patch à appliquer.
Salut à tous,
j'ai la meme mer..
Bon manifestement, c'est le *h4bdha7, habxxsiz.exe qui ne se supprime jamais..
ll est présent windows\system32.....
il revient tout le temps.
Il casse Symantec et rends impossible son analyse, effectivement j'ai le même bug que cité précédemment.
Symantec s'excite sur une possible envoie mutliple et infinie de mail (une analyse infinie, c'est tres relou)
Je suis allé en mode sans échec, Symantec fonctionne et ne trouve rien.
MalWare ne trouve rien, SpyBot non plus.
J'ai choppé AVG, qui le trouve BackDoor etc... Bref, il arrive à le mettre en quarantaine et tout semble réglé... Par contre au redémarrage de la bécane, c'est reparti. Faut relance AVG pour le mettre en quarantaine
j'ai essayé de le supprimer via pas mal d'outils, rien n'y fait.. il revient tout le temps.
Je suis allé en mode sans échec, aller dans la base de registre, viré partout où il apparait, (dossier run et RunONe dans lequel il revient tout le temps, quasiment instantanément....HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce)
Je me demande ce qu'il provoque d'ailleurs sur les réseaux locals ainsi que les VPN... ca fait un peu peur
help help, je vous remercie déjà de vos réponse..
Est ce un super virus? En avez vous deja entendu parlé?
Merci
j'ai la meme mer..
Bon manifestement, c'est le *h4bdha7, habxxsiz.exe qui ne se supprime jamais..
ll est présent windows\system32.....
il revient tout le temps.
Il casse Symantec et rends impossible son analyse, effectivement j'ai le même bug que cité précédemment.
Symantec s'excite sur une possible envoie mutliple et infinie de mail (une analyse infinie, c'est tres relou)
Je suis allé en mode sans échec, Symantec fonctionne et ne trouve rien.
MalWare ne trouve rien, SpyBot non plus.
J'ai choppé AVG, qui le trouve BackDoor etc... Bref, il arrive à le mettre en quarantaine et tout semble réglé... Par contre au redémarrage de la bécane, c'est reparti. Faut relance AVG pour le mettre en quarantaine
j'ai essayé de le supprimer via pas mal d'outils, rien n'y fait.. il revient tout le temps.
Je suis allé en mode sans échec, aller dans la base de registre, viré partout où il apparait, (dossier run et RunONe dans lequel il revient tout le temps, quasiment instantanément....HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce)
Je me demande ce qu'il provoque d'ailleurs sur les réseaux locals ainsi que les VPN... ca fait un peu peur
help help, je vous remercie déjà de vos réponse..
Est ce un super virus? En avez vous deja entendu parlé?
Merci
On reviendra si on trouve sur .exe récalcitrant
1) Tu n'as pas de parefeu sur ton PC ( à moins que Symantec ne le fasse ).
Installe en un.
Quelques pare-feu gratuits :
Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/
-Online Armor :( anglais )
https://www.malekal.com/tutorial-online-armor-free/
2) J'aimerais que tu analyses le fichier suivant : glaide32.sys
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Tu cliques sur parcourir pour sélectionner ce fichier sur ton disque dur.
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
Chemin :
C:\WINDOWS\system32\drivers\glaide32.sys
A+
1) Tu n'as pas de parefeu sur ton PC ( à moins que Symantec ne le fasse ).
Installe en un.
Quelques pare-feu gratuits :
Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/
-Online Armor :( anglais )
https://www.malekal.com/tutorial-online-armor-free/
2) J'aimerais que tu analyses le fichier suivant : glaide32.sys
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Tu cliques sur parcourir pour sélectionner ce fichier sur ton disque dur.
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
Chemin :
C:\WINDOWS\system32\drivers\glaide32.sys
A+
Bonjour Verni29,
j'étais un peu perdu dans tes réponses si c'était pour moi ou non.
Voilà ce que me retourne VirusTotal :
0 bytes size received / Se ha recibido un archivo vacio
J'ai toujours le même problème d'erreur avec Norton et le patch que j'avais trouvé par ton lien ne fonctionne pas car destiné à une autre version. Je vais continuer mes recherches.
j'étais un peu perdu dans tes réponses si c'était pour moi ou non.
Voilà ce que me retourne VirusTotal :
0 bytes size received / Se ha recibido un archivo vacio
J'ai toujours le même problème d'erreur avec Norton et le patch que j'avais trouvé par ton lien ne fonctionne pas car destiné à une autre version. Je vais continuer mes recherches.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Analyse de habxxiz.exe
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.08.01 -
AntiVir 7.8.1.15 2008.08.01 TR/ATRAPS.Gen
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.08.01 -
AVG 8.0.0.156 2008.08.01 BackDoor.Generic9.AZWI
BitDefender 7.2 2008.08.01 -
CAT-QuickHeal 9.50 2008.08.01 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.01 Trojan.Banload
DrWeb 4.44.0.09170 2008.08.01 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.6001 2008.08.01 -
Ewido 4.0 2008.08.01 -
F-Prot 4.4.4.56 2008.08.01 -
F-Secure 7.60.13501.0 2008.08.01 -
Fortinet 3.14.0.0 2008.08.01 -
GData 2.0.7306.1023 2008.08.01 -
Ikarus T3.1.1.34.0 2008.08.01 Backdoor.Win32.HacDef.gy
K7AntiVirus 7.10.402 2008.08.01 -
Kaspersky 7.0.0.125 2008.08.01 -
McAfee 5352 2008.08.01 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3317 2008.08.01 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.01 Suspicious file
PCTools 4.4.2.0 2008.08.01 -
Prevx1 V2 2008.08.01 Suspicious
Rising 20.55.42.00 2008.08.01 -
Sophos 4.31.0 2008.08.01 Sus/UnkPacker
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.01 -
TheHacker 6.2.96.391 2008.07.31 -
TrendMicro 8.700.0.1004 2008.08.01 PAK_Generic.001
VBA32 3.12.8.2 2008.08.01 Backdoor.Win32.IRCBot.edk
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.01 -
Webwasher-Gateway 6.6.2 2008.08.01 Trojan.ATRAPS.Gen
Information additionnelle
File size: 63488 bytes
MD5...: 6d409e7cff31f08364a6512199a2c8e1
SHA1..: 9e253151a8aa3dd0aa2aad1ac7d1f2f3a4ce4423
SHA256: e8988e4cabd73b44ccfca603e884d927c1c5b3c6b7967a962f637c28fe275727
SHA512: d8db00366d6aedb1bcc763b52df001f8ae883f1428f8c3865b5ab18a8e2bc693
592c1b377156ba007d3b3390445349f7f1e7b3b7940a374235b0b79cdb5e6bee
PEiD..: tElock v0.99 Special Build -> heXer & forgot
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2809d
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
PELOCKnt 0x1000 0x4000 0x1c00 7.97 a4baae271a4247a13c4e0644caac6fc9
PELOCKnt 0x5000 0x1000 0x600 7.86 648aa0437af14f9681960eebca99df89
PELOCKnt 0x6000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
PELOCKnt 0x7000 0x1000 0x200 7.60 3056e1fba73d4f8956010c0f3afb6cc6
PELOCKnt 0x8000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
PELOCKnt 0x9000 0x2000 0x200 7.59 743aded80bc0eb5b5b1e953bf3400b52
.rsrc 0xb000 0xb000 0xa800 7.92 e6b49ddb8053a4253a44e9090fabe4a1
PELOCKnt 0x16000 0x3000 0x2600 7.83 076df561016a996116c8a78627b70ea5
( 2 imports )
> kernel32.dll: GetModuleHandleA
> user32.dll: MessageBoxA
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DCD0F9C300133B29F86400273621A800114C8553
packers (F-Prot): TeLock
packers (Kaspersky): PE_Patch, TeLock
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.08.01 -
AntiVir 7.8.1.15 2008.08.01 TR/ATRAPS.Gen
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.08.01 -
AVG 8.0.0.156 2008.08.01 BackDoor.Generic9.AZWI
BitDefender 7.2 2008.08.01 -
CAT-QuickHeal 9.50 2008.08.01 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.01 Trojan.Banload
DrWeb 4.44.0.09170 2008.08.01 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.6001 2008.08.01 -
Ewido 4.0 2008.08.01 -
F-Prot 4.4.4.56 2008.08.01 -
F-Secure 7.60.13501.0 2008.08.01 -
Fortinet 3.14.0.0 2008.08.01 -
GData 2.0.7306.1023 2008.08.01 -
Ikarus T3.1.1.34.0 2008.08.01 Backdoor.Win32.HacDef.gy
K7AntiVirus 7.10.402 2008.08.01 -
Kaspersky 7.0.0.125 2008.08.01 -
McAfee 5352 2008.08.01 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3317 2008.08.01 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.01 Suspicious file
PCTools 4.4.2.0 2008.08.01 -
Prevx1 V2 2008.08.01 Suspicious
Rising 20.55.42.00 2008.08.01 -
Sophos 4.31.0 2008.08.01 Sus/UnkPacker
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.01 -
TheHacker 6.2.96.391 2008.07.31 -
TrendMicro 8.700.0.1004 2008.08.01 PAK_Generic.001
VBA32 3.12.8.2 2008.08.01 Backdoor.Win32.IRCBot.edk
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.01 -
Webwasher-Gateway 6.6.2 2008.08.01 Trojan.ATRAPS.Gen
Information additionnelle
File size: 63488 bytes
MD5...: 6d409e7cff31f08364a6512199a2c8e1
SHA1..: 9e253151a8aa3dd0aa2aad1ac7d1f2f3a4ce4423
SHA256: e8988e4cabd73b44ccfca603e884d927c1c5b3c6b7967a962f637c28fe275727
SHA512: d8db00366d6aedb1bcc763b52df001f8ae883f1428f8c3865b5ab18a8e2bc693
592c1b377156ba007d3b3390445349f7f1e7b3b7940a374235b0b79cdb5e6bee
PEiD..: tElock v0.99 Special Build -> heXer & forgot
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2809d
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
PELOCKnt 0x1000 0x4000 0x1c00 7.97 a4baae271a4247a13c4e0644caac6fc9
PELOCKnt 0x5000 0x1000 0x600 7.86 648aa0437af14f9681960eebca99df89
PELOCKnt 0x6000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
PELOCKnt 0x7000 0x1000 0x200 7.60 3056e1fba73d4f8956010c0f3afb6cc6
PELOCKnt 0x8000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
PELOCKnt 0x9000 0x2000 0x200 7.59 743aded80bc0eb5b5b1e953bf3400b52
.rsrc 0xb000 0xb000 0xa800 7.92 e6b49ddb8053a4253a44e9090fabe4a1
PELOCKnt 0x16000 0x3000 0x2600 7.83 076df561016a996116c8a78627b70ea5
( 2 imports )
> kernel32.dll: GetModuleHandleA
> user32.dll: MessageBoxA
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DCD0F9C300133B29F86400273621A800114C8553
packers (F-Prot): TeLock
packers (Kaspersky): PE_Patch, TeLock
Ricci,
Le message précédent ne s'adressait pas à toi.
Merci en tout cas pour l'info sur l'exécutable.
Si tu le veux, on continue la discussion par messagerie du forum.
Il faut que tu t'inscrives et tu pourras m'envoyer des MP ( clicque sur mon nom et tu pourras le faire.
XBrain, tu pourrais faire ce qui est demandé sur le lien suivant :
http://www.commentcamarche.net/forum/affich 7736745 infection?page=2#36
A+
Ricci, si tu veux m'envoyer ton rapport Hijackthis ( par MP ).
Le message précédent ne s'adressait pas à toi.
Merci en tout cas pour l'info sur l'exécutable.
Si tu le veux, on continue la discussion par messagerie du forum.
Il faut que tu t'inscrives et tu pourras m'envoyer des MP ( clicque sur mon nom et tu pourras le faire.
XBrain, tu pourrais faire ce qui est demandé sur le lien suivant :
http://www.commentcamarche.net/forum/affich 7736745 infection?page=2#36
A+
Ricci, si tu veux m'envoyer ton rapport Hijackthis ( par MP ).
j'ai pris contact avec mon service info, a priori je suis bon pour une réinstalle..j'en peux plus
Il faut que tu installes absolument le parefeu pour bloquer l'intrusion par IRCBot.
On va reessayer. Si on supprime le rootkit qui est associé à l'éxecutable, le tour sera gagné.
1) Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
C:\WINDOWS\system32\habxxiz.exe
C:\WINDOWS\system32\glaide32.sys
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
2) Supprime les deux lignes dans le rapport Hijackthis ( même manip que précedemment ).
Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
Tu choisis l'option " Fixchecked" en bas de la page.
Redémarre. Poste un nouveau rapport Hijackthis.
A+
On va reessayer. Si on supprime le rootkit qui est associé à l'éxecutable, le tour sera gagné.
1) Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
C:\WINDOWS\system32\habxxiz.exe
C:\WINDOWS\system32\glaide32.sys
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
2) Supprime les deux lignes dans le rapport Hijackthis ( même manip que précedemment ).
Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
Tu choisis l'option " Fixchecked" en bas de la page.
Redémarre. Poste un nouveau rapport Hijackthis.
A+
Voici le rapport MoveIt :
C:\WINDOWS\system32\habxxiz.exe moved successfully.
File/Folder C:\WINDOWS\system32\glaide32.sys not found.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08072008_110142
Après redémarrage les lignes sont revenues :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:10, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\WINDOWS\system32\iprntlgn.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\...\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iPrint Event Monitor] C:\WINDOWS\system32\iprntlgn.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alcatel OmniTouch Call Center Office.lnk = C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {0eb0e74a-2a76-4ab3-a7fb-9bd8c29f7f75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{662CE244-95A3-47B6-B89F-C308FBA665A8}: NameServer = 10.196.2.1,172.19.5.51,172.19.5.52
O20 - AppInit_DLLs: svbwbr.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccevtmgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccsetmgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (defwatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate (liveupdate) - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: SAVRoam (savroam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (sndsrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (spbbcsvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus (symantec antivirus) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe (file missing)
C:\WINDOWS\system32\habxxiz.exe moved successfully.
File/Folder C:\WINDOWS\system32\glaide32.sys not found.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08072008_110142
Après redémarrage les lignes sont revenues :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:10, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nslsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\WINDOWS\system32\iprntlgn.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\...\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iPrint Event Monitor] C:\WINDOWS\system32\iprntlgn.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alcatel OmniTouch Call Center Office.lnk = C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {0eb0e74a-2a76-4ab3-a7fb-9bd8c29f7f75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{662CE244-95A3-47B6-B89F-C308FBA665A8}: NameServer = 10.196.2.1,172.19.5.51,172.19.5.52
O20 - AppInit_DLLs: svbwbr.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccevtmgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccsetmgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (defwatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate (liveupdate) - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: SAVRoam (savroam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (sndsrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (spbbcsvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus (symantec antivirus) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe (file missing)
Télécharge Blacklight de F-Secure
ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe
-enregistre le sur ton Bureau.
- Double-clique sur fsbl.exe et accepte la licence ; clique Scan puis Next.
- Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
- Copie et colle le contenu de ce rapport dans ta prochaine réponse.
ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe
-enregistre le sur ton Bureau.
- Double-clique sur fsbl.exe et accepte la licence ; clique Scan puis Next.
- Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
- Copie et colle le contenu de ce rapport dans ta prochaine réponse.
Le voici :
08/07/08 11:34:43 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 11:34:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 11:34:43 [Note]: 7019 4
08/07/08 11:34:43 [Note]: 7005 0
08/07/08 11:34:46 [Note]: 7006 0
08/07/08 11:34:46 [Note]: 7011 1984
08/07/08 11:34:46 [Note]: 7035 0
08/07/08 11:34:46 [Note]: 7026 0
08/07/08 11:34:46 [Note]: 7026 0
08/07/08 11:34:46 [Note]: 7015 3760
08/07/08 11:34:46 [Note]: 7015 2
08/07/08 11:34:49 [Note]: FSRAW library version 1.7.1024
08/07/08 11:41:34 [Note]: 2000 1012
08/07/08 11:41:34 [Note]: 2000 1012
08/07/08 11:41:34 [Note]: 2000 1012
08/07/08 11:41:56 [Note]: 7006 0
08/07/08 11:41:56 [Note]: 7011 1984
08/07/08 11:41:56 [Note]: 7035 0
08/07/08 11:41:57 [Note]: 7026 0
08/07/08 11:41:57 [Note]: 7026 0
08/07/08 11:42:00 [Note]: FSRAW library version 1.7.1024
08/07/08 12:07:14 [Note]: 2000 1012
08/07/08 12:07:15 [Note]: 2000 1012
08/07/08 12:07:15 [Note]: 2000 1012
08/07/08 12:07:33 [Note]: 7007 0
08/07/08 11:34:43 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 11:34:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 11:34:43 [Note]: 7019 4
08/07/08 11:34:43 [Note]: 7005 0
08/07/08 11:34:46 [Note]: 7006 0
08/07/08 11:34:46 [Note]: 7011 1984
08/07/08 11:34:46 [Note]: 7035 0
08/07/08 11:34:46 [Note]: 7026 0
08/07/08 11:34:46 [Note]: 7026 0
08/07/08 11:34:46 [Note]: 7015 3760
08/07/08 11:34:46 [Note]: 7015 2
08/07/08 11:34:49 [Note]: FSRAW library version 1.7.1024
08/07/08 11:41:34 [Note]: 2000 1012
08/07/08 11:41:34 [Note]: 2000 1012
08/07/08 11:41:34 [Note]: 2000 1012
08/07/08 11:41:56 [Note]: 7006 0
08/07/08 11:41:56 [Note]: 7011 1984
08/07/08 11:41:56 [Note]: 7035 0
08/07/08 11:41:57 [Note]: 7026 0
08/07/08 11:41:57 [Note]: 7026 0
08/07/08 11:42:00 [Note]: FSRAW library version 1.7.1024
08/07/08 12:07:14 [Note]: 2000 1012
08/07/08 12:07:15 [Note]: 2000 1012
08/07/08 12:07:15 [Note]: 2000 1012
08/07/08 12:07:33 [Note]: 7007 0
On va vérifier la présence d'un rootkit avec un autre outil.
Télécharge gmer
http://www2.gmer.net/gmer.zip
dézippe-le (clic droit et extraire sur le bureau )
Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton save.
cela devrait te sauvegarder un fichier .log
Enregistre-le sur le bureau.
* Édite ce rapport dans ta prochaine réponse.
A+
Télécharge gmer
http://www2.gmer.net/gmer.zip
dézippe-le (clic droit et extraire sur le bureau )
Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton save.
cela devrait te sauvegarder un fichier .log
Enregistre-le sur le bureau.
* Édite ce rapport dans ta prochaine réponse.
A+
voili :
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-07 13:58:46
Windows 5.1.2600 Service Pack 2
---- Kernel code sections - GMER 1.0.14 ----
? nwfilter.sys Le fichier spécifié est introuvable. !
? C:\WINDOWS\system32\drivers\glaide32.sys Le fichier spécifié est introuvable.
---- Kernel IAT/EAT - GMER 1.0.14 ----
IAT \SystemRoot\system32\DRIVERS\rdpdr.sys[ntoskrnl.exe!FsRtlRegisterUncProvider] [F8C9863E] nwfilter.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!FsRtlRegisterUncProvider] [F8C9863E] nwfilter.sys
IAT \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!FsRtlRegisterUncProvider] [F8C9863E] nwfilter.sys
---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs glaide32.sys
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip glaide32.sys
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp glaide32.sys
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp glaide32.sys
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp glaide32.sys
Device \Driver\symtdi \Device\SymTDI glaide32.sys
---- Services - GMER 1.0.14 ----
Service C:\WINDOWS\system32\drivers\glaide32.sys (*** hidden *** ) [SYSTEM] glaide32 <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@ImagePath \??\C:\WINDOWS\system32\drivers\glaide32.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@ImagePath \??\C:\WINDOWS\system32\drivers\glaide32.sys
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32\Security
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32\Security@Security 0x01 0x00 0x14 0x80 ...
---- EOF - GMER 1.0.14 ----
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-07 13:58:46
Windows 5.1.2600 Service Pack 2
---- Kernel code sections - GMER 1.0.14 ----
? nwfilter.sys Le fichier spécifié est introuvable. !
? C:\WINDOWS\system32\drivers\glaide32.sys Le fichier spécifié est introuvable.
---- Kernel IAT/EAT - GMER 1.0.14 ----
IAT \SystemRoot\system32\DRIVERS\rdpdr.sys[ntoskrnl.exe!FsRtlRegisterUncProvider] [F8C9863E] nwfilter.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!FsRtlRegisterUncProvider] [F8C9863E] nwfilter.sys
IAT \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!FsRtlRegisterUncProvider] [F8C9863E] nwfilter.sys
---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs glaide32.sys
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip glaide32.sys
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp glaide32.sys
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp glaide32.sys
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp glaide32.sys
Device \Driver\symtdi \Device\SymTDI glaide32.sys
---- Services - GMER 1.0.14 ----
Service C:\WINDOWS\system32\drivers\glaide32.sys (*** hidden *** ) [SYSTEM] glaide32 <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32@ImagePath \??\C:\WINDOWS\system32\drivers\glaide32.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32@ImagePath \??\C:\WINDOWS\system32\drivers\glaide32.sys
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32\Security
Reg HKLM\SYSTEM\ControlSet002\Services\glaide32\Security@Security 0x01 0x00 0x14 0x80 ...
---- EOF - GMER 1.0.14 ----
1) le rootkit est attaché à tous les protocoles de connexion internet ( TCP/IP, UDP ).
Comme je te le dis, il faut absolument installé un parefeu pour pouvoir le neutraliser.
Tu l'installes avant de passer à la suite.
Les manips suivantes sont à faire dans la foulée.
2) Menu Démarrer --> exécuter et tape : cmd puis clique sur OK.
Tape chacune de ces lignes en appuyant sur la touche entrée à chaque fois pour valider la commande :
Tu peux faire du copier coller. Il faut que tu recopies chaque ligne précisemment.
Copie une ligne --> dans la fenêtre cmd, click droit --> Coller la ligne puis valide en tapant sur Entrèe
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Type 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Start 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@ErrorControl 0"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Imagepath"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security@Security"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@Type 1"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@Start 1"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@ErrorControl 0"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@ImagePath"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@"
gmer -del service glaide32
gmer -del file "C:\WINDOWS\system32\drivers\glaide32.sys"
gmer -del file "C:\WINDOWS\system32\habxxiz.exe"
gmer -reboot
3) Ouvre le bloc-notes et copie le texte en citation.
Enregistre le sur le bureau et nomme le fix.txt
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"h4bdha7"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*h4bdha7"=-
Renomme le en fix.reg ( click droit --> renommer )
Click droit sur ce fichier --> choisis Fusionner.
4) Supprime les deux lignes ( s'il le faut ) dans le rapport Hijackthis ( même manip que précedemment ).
Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
Tu choisis l'option " Fixchecked" en bas de la page.
Redémarre. Poste un nouveau rapport Hijackthis.
Comme je te le dis, il faut absolument installé un parefeu pour pouvoir le neutraliser.
Tu l'installes avant de passer à la suite.
Les manips suivantes sont à faire dans la foulée.
2) Menu Démarrer --> exécuter et tape : cmd puis clique sur OK.
Tape chacune de ces lignes en appuyant sur la touche entrée à chaque fois pour valider la commande :
Tu peux faire du copier coller. Il faut que tu recopies chaque ligne précisemment.
Copie une ligne --> dans la fenêtre cmd, click droit --> Coller la ligne puis valide en tapant sur Entrèe
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Type 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Start 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@ErrorControl 0"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Imagepath"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security@Security"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@Type 1"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@Start 1"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@ErrorControl 0"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@ImagePath"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@"
gmer -del service glaide32
gmer -del file "C:\WINDOWS\system32\drivers\glaide32.sys"
gmer -del file "C:\WINDOWS\system32\habxxiz.exe"
gmer -reboot
3) Ouvre le bloc-notes et copie le texte en citation.
Enregistre le sur le bureau et nomme le fix.txt
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"h4bdha7"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*h4bdha7"=-
Renomme le en fix.reg ( click droit --> renommer )
Click droit sur ce fichier --> choisis Fusionner.
4) Supprime les deux lignes ( s'il le faut ) dans le rapport Hijackthis ( même manip que précedemment ).
Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
Tu choisis l'option " Fixchecked" en bas de la page.
Redémarre. Poste un nouveau rapport Hijackthis.
Bonjour,
Voilà le nouveau log après suppression par regcleaner et réinstallation de windows (par responsable informatique)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:47, on 08/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS.0\system32\NWTRAY.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\WINDOWS.0\system32\SearchIndexer.exe
C:\Documents and Settings\zerty\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [CWBSREG] "C:\Program Files\IBM\Client Access\CWBSREG.EXE"
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS.0\system32\cusrvc.exe
O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS.0\CWBRXD.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
Voilà le nouveau log après suppression par regcleaner et réinstallation de windows (par responsable informatique)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:47, on 08/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS.0\system32\NWTRAY.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\WINDOWS.0\system32\SearchIndexer.exe
C:\Documents and Settings\zerty\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [CWBSREG] "C:\Program Files\IBM\Client Access\CWBSREG.EXE"
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS.0\system32\cusrvc.exe
O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS.0\CWBRXD.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
