rapport hijaltis, suite a desinfection virale

[divine31]

bonsoir.

Je croyai etre bien protegée, et j'avais mis en place , lors de mon reformat, il y a quelques mois:

antivirus bit defender 8 professionel qui fait aussi firewall

ad aware

spybot-cherch and destroy

et aussi zeb protect avec tous les port critiques fermés, y compris le 135.

il a du se deregler, car je ne l'avais pas controle depuis pas mal de temps, parceq ue le 135 était plus coché...

Bref, Hier , j'ai eu une attaque avec le virus sasser.

j'ai donc suivi la procedure pour desinfecter (je l'avais deja fait avant ).

puis un petit coup de tous les logiciels cites plus haut.

Je vous dit pas ce que j'ai trouvé ! Ca faisait un petit moment que j'avais pas controlé !!

En principe, là, ce devrait etre clean !

Mais depuis, ca marche pas comme avant.

impossible d'afficher le gestionnaire des taches, j'ai du utiliser une clef reg, maintenant,c'est ok.

Par contre, je me suis rendue compte que je pouvais pas defragmenter mes disques C, D, E.

Je clique sur le bouton, rien ne se passe.

J'ai essayé en mode sans echec, nada !!

Par ailleurs, je trouve que j'ai des difficultes avec ma souris.

il faut que je clique plusieurs fois, parfois sans effet, pour ouvrir un document ou le fermer, ou cliquer le curseur quelque part..ou un clic sur un lien hypertexte...et je m'ennerve sur la souris !

Voivi mon hikaktis.

Merci pour vos conseils et diagnostics avisés, parce que là, je suis dans la panade.

 

Logfile of HijackThis v1.99.1

Scan saved at 23:13:47, on 08/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Casc'ADSL\CascADSL.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Softwin\BitDefender8\bdswitch.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\JCA2000\Rclock\RCLOCK.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\System32\CascSvc.exe

C:\Program Files\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\eMule 0.45a - Next Evolution 4.0b-09-02-2005\ne4.0.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

c:\program files\softwin\bitdefender8\bdmcon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geogle.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [bDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe

O4 - HKLM\..\Run: [Casc'ADSL] C:\Program Files\Casc'ADSL\CascADSL.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: Rclock.lnk = C:\Program Files\JCA2000\Rclock\RCLOCK.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180solut...Bridge-c139.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterex...artload185a.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119088308359

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O20 - AppInit_DLLs: sockspy.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Casc'ADSL (CascSvc) - Unknown owner - C:\WINDOWS\System32\CascSvc.exe

O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINDOWS\System32\dhcpclient.exe (file missing)

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton Ghost 2003\GhostStartService.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Modifié le 8 février 2006 par divine31

[regis56]

bONJOUR divine31 !

 

peut tu telecharger ewido

 

http://www.01net.com/telecharger/windows/U...ches/31851.html

 

installe le et supprime les deux options lors de l'install

 

met a jour et fait un scan complet

 

post ton rapport ici stp

 

a plus !

 

PS

C:\Program Files\eMule 0.45a - Next Evolution 4.0b-09-02-2005\ne4.0.exe

 

contraire a la charte !!

[divine31]

Voici le rapport:

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 07:26:19, 09/02/2006

+ Somme de contrôle: 9A4BDD68

 

+ Résultats du scan:

 

HKLM\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38\\HardwareID -> Adware.HyperBar : Erreur durant le nettoyage

C:\Documents and Settings\DIVINE\Cookies\divine@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@wreport.weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Local Settings\Temporary Internet Files\Content.IE5\7N9BZ9KW\drsmartload_js[1].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\Program Files\Media Gateway\MediaGateway.exe -> Adware.WinAD : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\HDPlugin1101.dll -> Adware.Gator : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll -> Adware.WinAD : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_N57M1412NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\system32\msupdate33e.exe -> Backdoor.Rbot.aie : Nettoyer et sauvegarder

E:\Softs\mots de passe messagrie-pspv.exe -> Not-A-Virus.PSWTool.Win32.PassView.120 : Nettoyer et sauvegarder

 

 

::Fin du rapport

[regis56]

Bonjour divine31 !

 

Tu a ete infecté par Winfixer va voir la procédure ici

 

http://forum.zebulon.fr/index.php?showtopic=85626

 

puis refait un rapport Hijackthis

 

A plus !

[divine31]

Voici le rapport hijaktis, apres desinfection virale, comme indiqué sur le lien (utilisation du fichier reg)

Par contre, je ne peux toujours pas defragmenter mes DD.

J'ai un DD partitionne en C (systeme) et D (Dossiers)

puis un autre disque dur E.

la semaine derniere, j'ai redimensionné la partition C pour avoir un peu plus d'espace pour mon systeme, j'ai agrandi de 1 giga....

est ce que cela peut etre lié a mon probleme de pas pouvoir defragmenter ?

 

 

[Logfile of HijackThis v1.99.1

Scan saved at 21:27:48, on 13/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Softwin\BitDefender8\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Casc'ADSL\CascADSL.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Softwin\BitDefender8\bdswitch.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\System32\msupdate33e.exe

C:\Program Files\JCA2000\Rclock\RCLOCK.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMIndexStoreSvr.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\System32\CascSvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\ctfmon.exe

D:\Nbin Pro-fr\nbpro-fr.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\Program Files\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geogle.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [bDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe

O4 - HKLM\..\Run: [Casc'ADSL] C:\Program Files\Casc'ADSL\CascADSL.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [intec Services Drivers] msupdate33e.exe

O4 - HKLM\..\RunServices: [intec Services Drivers] msupdate33e.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: Rclock.lnk = C:\Program Files\JCA2000\Rclock\RCLOCK.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180solut...Bridge-c139.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119088308359

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Casc'ADSL (CascSvc) - Unknown owner - C:\WINDOWS\System32\CascSvc.exe

O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINDOWS\System32\dhcpclient.exe (file missing)

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton Ghost 2003\GhostStartService.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

 

A koi servent ces programmes ?

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

 

merci a vous

[bruce lee]

bonsoir tout le monde,

analyse en cours retour dans 20 minutes

[Thanos]

salut divine31,regis56

 

Je lis ton rapport, et vois encore des infections.

 

A koi servent ces programmes ?

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

Ce sont des infections !=> celle ci par exemple:

 

C:\WINDOWS\System32\netddeclnt.exe =>virus W32/Codbot-M

 

Normalement elles ne sont plus actives car les fichiers associés ont disparus! on va s'en assurer!

je lance une analyse , à tout de suite!

 

EDIT: Désolé bruce lee LOL, je te laisse continuer!!!

Modifié le 13 février 2006 par charles ingals

[Thanos]

J'avais commencé un analyse ,mais j'ai un petit soucis par rapport aux services nommés plus haut!

Il se trouve qu'il est possible que ce soit:

 

- des services légitimes de windows, auquel cas j'espère que les fichiers associés ne sont pas effacés!!

 

Il s'agit de NetDDE (DDE réseau) et NetDDEdsdm (DSDM DDE réseau).

 

Celui ci par contre comme je t'ai dit est un reste d'infection=>

 

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

 

Et ce fichier n'a pas été éliminé définitivement par Ewido on dirait!! => msupdate33e.exe

 

Voilà ce que tu peux faire dans un premier temps:

 

ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

Désolé pour la lenteur de ma réponse, je fais plusieurs choses en même temps...!

[divine31]

Voici la stratup list:

 

StartupList report, 14/02/2006, 10:50:53

StartupList version: 1.52.2

Started from : C:\Program

 

Files\HijackThis\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1

 

(6.00.2800.1106)

* Using default options

* Including empty and uninteresting sections

* Showing rarely important sections

============================================

 

======

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers

 

communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CascSvc.exe

C:\Program Files\ewido

 

anti-malware\ewidoctrl.exe

C:\Program Files\Norton Ghost

 

2003\GhostStartService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers

 

communs\Softwin\BitDefender

 

Communicator\xcommsvr.exe

C:\Program Files\Fichiers

 

communs\Softwin\BitDefender Scan

 

Server\bdss.exe

C:\Program

 

Files\Softwin\BitDefender8\bdmcon.exe

C:\Program

 

Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program

 

Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Casc'ADSL\CascADSL.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program

 

Files\Softwin\BitDefender8\bdswitch.exe

C:\Program

 

Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Fichiers

 

communs\Ahead\lib\NMBgMonitor.exe

C:\Program

 

Files\Softwin\BitDefender8\vsserv.exe

C:\Program Files\JCA2000\Rclock\RCLOCK.exe

 

 

C:\Program Files\Maxthon\Maxthon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

--------------------------------------------

 

------

 

Listing of startup folders:

 

Shell folders Startup:

[C:\Documents and Settings\DIVINE\Menu

 

Démarrer\Programmes\Démarrage]

Rclock.lnk = C:\Program

 

Files\JCA2000\Rclock\RCLOCK.exe

 

Shell folders AltStartup:

*Folder not found*

 

User shell folders Startup:

*Folder not found*

 

User shell folders AltStartup:

*Folder not found*

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menu

 

Démarrer\Programmes\Démarrage]

EPSON Status Monitor 3 Environment Check.lnk

 

=

 

C:\WINDOWS\system32\spool\drivers\w32x86\3\E

 

_SRCV03.EXE

 

Shell folders Common AltStartup:

*Folder not found*

 

User shell folders Common Startup:

*Folder not found*

 

User shell folders Alternate Common Startup:

*Folder not found*

 

--------------------------------------------

 

------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows

 

NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

[HKLM\Software\Microsoft\Windows\CurrentVers

 

ion\Winlogon]

*Registry key not found*

 

[HKCU\Software\Microsoft\Windows

 

NT\CurrentVersion\Winlogon]

*Registry value not found*

 

[HKCU\Software\Microsoft\Windows\CurrentVers

 

ion\Winlogon]

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\Run

 

BDMCon = C:\Program

 

Files\Softwin\BitDefender8\\bdmcon.exe

BDOESRV = C:\Program

 

Files\Softwin\BitDefender8\\bdoesrv.exe

BDNewsAgent = C:\Program

 

Files\Softwin\BitDefender8\\bdnagent.exe

Casc'ADSL = C:\Program

 

Files\Casc'ADSL\CascADSL.exe

SoundMan = SOUNDMAN.EXE

NeroFilterCheck =

 

C:\WINDOWS\System32\NeroCheck.exe

BDSwitchAgent = C:\Program

 

Files\Softwin\BitDefender8\\bdswitch.exe

SunJavaUpdateSched = C:\Program

 

Files\Java\jre1.5.0_04\bin\jusched.exe

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnce

 

*No values found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnceEx

 

*No values found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunServices

 

*No values found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunServicesOnce

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\Run

 

BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B1

 

0AA} = "C:\Program Files\Fichiers

 

communs\Ahead\lib\NMBgMonitor.exe"

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnce

 

*No values found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnceEx

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunServices

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunServicesOnce

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows

 

NT\CurrentVersion\Run

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows

 

NT\CurrentVersion\Run

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\Run

 

[OptionalComponents]

*No values found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnce

*No subkeys found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnceEx

*No subkeys found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunServices

*No subkeys found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\RunServicesOnce

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\Run

*No subkeys found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnce

*No subkeys found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunOnceEx

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunServices

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\RunServicesOnce

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows

 

NT\CurrentVersion\Run

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows

 

NT\CurrentVersion\Run

*Registry key not found*

 

--------------------------------------------

 

------

 

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------

 

------

 

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------

 

------

 

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------

 

------

 

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------

 

------

 

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

 

(Default) = "%1" /S

 

--------------------------------------------

 

------

 

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

 

(Default) = C:\WINDOWS\System32\mshta.exe

 

"%1" %*

 

--------------------------------------------

 

------

 

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

 

(Default) =

 

%SystemRoot%\system32\NOTEPAD.EXE %1

 

--------------------------------------------

 

------

 

Enumerating Active Setup stub paths:

HKLM\Software\Microsoft\Active

 

Setup\Installed Components

(* = disabled by HKCU twin)

 

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

StubPath = C:\WINDOWS\inf\unregmp2.exe

 

/ShowWMP

 

[>{26923b43-4d38-484f-9b9e-de460746276c}] *

StubPath =

 

%systemroot%\system32\shmgrate.exe

 

OCInstallUserConfigIE

 

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICR

 

OS] *

StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4

 

SIGNUP

 

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *

StubPath =

 

%systemroot%\system32\shmgrate.exe

 

OCInstallUserConfigOE

 

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *

StubPath =

 

%SystemRoot%\system32\regsvr32.exe /s /n

 

/i:/UserInstall

 

%SystemRoot%\system32\themeui.dll

 

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *

StubPath = "%ProgramFiles%\Outlook

 

Express\setup50.exe" /APP:OE /CALLER:WINNT

 

/user /install

 

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *

StubPath = rundll32.exe

 

advpack.dll,LaunchINFSection

 

C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.P

 

erUser.NT

 

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *

StubPath = rundll32.exe

 

advpack.dll,LaunchINFSection

 

C:\WINDOWS\INF\msmsgs.inf,BLC.Install.PerUse

 

r

 

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *

StubPath = rundll32.exe

 

advpack.dll,LaunchINFSection

 

C:\WINDOWS\INF\wmp.inf,PerUserStub

 

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *

StubPath = "%ProgramFiles%\Outlook

 

Express\setup50.exe" /APP:WAB /CALLER:WINNT

 

/user /install

 

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *

StubPath = regsvr32.exe /s /n /i:U

 

shell32.dll

 

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *

StubPath =

 

%SystemRoot%\system32\ie4uinit.exe

 

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *

StubPath = C:\WINDOWS\System32\Rundll32.exe

 

C:\WINDOWS\System32\mscories.dll,Install

 

--------------------------------------------

 

------

 

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Load/Run keys from C:\WINDOWS\WIN.INI:

 

load=*INI section not found*

run=*INI section not found*

 

Load/Run keys from Registry:

 

HKLM\..\Windows NT\CurrentVersion\WinLogon:

 

load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon:

 

run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon:

 

load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon:

 

run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon:

 

load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon:

 

run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon:

 

load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon:

 

run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows:

 

load=

HKCU\..\Windows NT\CurrentVersion\Windows:

 

run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows:

 

load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows:

 

run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows:

 

AppInit_DLLs= sockspy.dll sockspy.dll

 

sockspy.dll sockspy.dll

 

--------------------------------------------

 

------

 

Shell & screensaver key from

 

C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not

 

found*

HKLM\..\Policies: Shell=*Registry value not

 

found*

 

--------------------------------------------

 

------

 

Checking for EXPLORER.EXE instances:

 

C:\WINDOWS\Explorer.exe: PRESENT!

 

C:\Explorer.exe: not present

C:\WINDOWS\Explorer\Explorer.exe: not

 

present

C:\WINDOWS\System\Explorer.exe: not present

C:\WINDOWS\System32\Explorer.exe: not

 

present

C:\WINDOWS\Command\Explorer.exe: not present

C:\WINDOWS\Fonts\Explorer.exe: not present

 

--------------------------------------------

 

------

 

Checking for superhidden extensions:

 

.lnk: HIDDEN! (arrow overlay: yes)

.pif: HIDDEN! (arrow overlay: yes)

.exe: not hidden

.com: not hidden

.bat: not hidden

.hta: not hidden

.scr: not hidden

.shs: HIDDEN!

.shb: HIDDEN!

.vbs: not hidden

.vbe: not hidden

.wsh: not hidden

.scf: HIDDEN! (arrow overlay: NO!)

.url: HIDDEN! (arrow overlay: yes)

.js: not hidden

.jse: not hidden

 

--------------------------------------------

 

------

 

Verifying REGEDIT.EXE integrity:

 

- Regedit.exe found in C:\WINDOWS

- .reg open command is normal (regedit.exe

 

%1)

- Regedit.exe has no CompanyName property!

 

It is either missing or named something

 

else.

- Regedit.exe has no OriginalFilename

 

property! It is either missing or named

 

something else.

- Regedit.exe has no FileDescription

 

property! It is either missing or named

 

something else.

 

Registry check failed!

 

--------------------------------------------

 

------

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Adobe\Acrobat

 

5.0\Acrobat\ActiveX\AcroIEHelper.ocx -

 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

 

--------------------------------------------

 

------

 

Enumerating Task Scheduler jobs:

 

Maintenance en 1 clic.job

 

--------------------------------------------

 

------

 

Enumerating Download Program Files:

 

[{15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6}]

CODEBASE =

 

http://static.windupdates.com/cab/180solutio

 

ns/ie/Bridge-c139.cab

 

[WUWebControl Class]

InProcServer32 =

 

C:\WINDOWS\System32\wuweb.dll

CODEBASE =

 

http://v5.windowsupdate.microsoft.com/v5cons

 

umer/V5Controls/en/x86/client/wuweb_site.cab

 

?1119088308359

 

[HouseCall Control]

InProcServer32 =

 

C:\WINDOWS\DOWNLO~1\xscan53.ocx

CODEBASE =

 

http://a840.g.akamai.net/7/840/537/200406100

 

1/housecall.trendmicro.com/housecall/xscan53

 

.cab

 

[AvxScanOnline Control]

InProcServer32 =

 

C:\WINDOWS\DOWNLO~1\BITDEF~1.OCX

CODEBASE =

 

http://www.inoculer.com/antivirus/Msie/bitde

 

fender.cab

 

[Java Plug-in 1.5.0_04]

InProcServer32 = C:\Program

 

Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

CODEBASE =

 

http://java.sun.com/update/1.5.0/jinstall-1_

 

5_0_04-windows-i586.cab

 

[update Class]

InProcServer32 =

 

C:\WINDOWS\System32\iuctl.dll

CODEBASE =

 

http://v4.windowsupdate.microsoft.com/CAB/x8

 

6/unicode/iuctl.CAB?38521.1293287037

 

[Java Plug-in 1.5.0_04]

InProcServer32 = C:\Program

 

Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

CODEBASE =

 

http://java.sun.com/update/1.5.0/jinstall-1_

 

5_0_04-windows-i586.cab

 

[shockwave Flash Object]

InProcServer32 =

 

C:\WINDOWS\System32\Macromed\Flash\Flash8.oc

 

x

CODEBASE =

 

http://fpdownload.macromedia.com/pub/shockwa

 

ve/cabs/flash/swflash.cab

 

--------------------------------------------

 

------

 

Enumerating Winsock LSP files:

 

NameSpace #1:

 

C:\WINDOWS\System32\mswsock.dll

NameSpace #2: C:\WINDOWS\System32\winrnr.dll

NameSpace #3:

 

C:\WINDOWS\System32\mswsock.dll

Protocol #1: C:\WINDOWS\system32\mswsock.dll

Protocol #2: C:\WINDOWS\system32\mswsock.dll

Protocol #3: C:\WINDOWS\system32\mswsock.dll

Protocol #4: C:\WINDOWS\system32\rsvpsp.dll

Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

Protocol #6: C:\WINDOWS\system32\mswsock.dll

Protocol #7: C:\WINDOWS\system32\mswsock.dll

Protocol #8: C:\WINDOWS\system32\mswsock.dll

Protocol #9: C:\WINDOWS\system32\mswsock.dll

Protocol #10:

 

C:\WINDOWS\system32\mswsock.dll

Protocol #11:

 

C:\WINDOWS\system32\mswsock.dll

Protocol #12:

 

C:\WINDOWS\system32\mswsock.dll

Protocol #13:

 

C:\WINDOWS\system32\mswsock.dll

Protocol #14:

 

C:\WINDOWS\system32\mswsock.dll

Protocol #15:

 

C:\WINDOWS\system32\mswsock.dll

 

--------------------------------------------

 

------

 

Enumerating Windows NT/2000/XP services

 

Pilote ACPI Microsoft:

 

System32\DRIVERS\ACPI.sys (system)

Suppresseur d'écho acoustique (Noyau

 

Microsoft): system32\drivers\aec.sys (manual

 

start)

Environnement de prise en charge de réseau

 

AFD: \SystemRoot\System32\drivers\afd.sys

 

(autostart)

Service for Realtek AC97 Audio (WDM):

 

system32\drivers\ALCXWDM.SYS (manual start)

Avertissement:

 

%SystemRoot%\System32\svchost.exe -k

 

LocalService (autostart)

Service de la passerelle de la couche

 

Application: %SystemRoot%\System32\alg.exe

 

(manual start)

Gestion d'applications:

 

%SystemRoot%\system32\svchost.exe -k netsvcs

 

(manual start)

ASP.NET State Service:

 

%SystemRoot%\Microsoft.NET\Framework\v2.0.50

 

727\aspnet_state.exe (manual start)

Pilote de média asynchrone RAS:

 

System32\DRIVERS\asyncmac.sys (manual start)

Contrôleur de disque dur IDE/ESDI standard:

 

System32\DRIVERS\atapi.sys (system)

Protocole client ATM ARP:

 

System32\DRIVERS\atmarpc.sys (manual start)

Audio Windows:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Pilote audio Stub:

 

System32\DRIVERS\audstub.sys (manual start)

BitDefender Scan Server: C:\Program

 

Files\Fichiers communs\Softwin\BitDefender

 

Scan Server\bdss.exe /service (autostart)

Service de transfert intelligent en

 

arrière-plan:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Explorateur d'ordinateur:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Casc'ADSL: C:\WINDOWS\System32\CascSvc.exe

 

(autostart)

Closed Caption Decoder:

 

System32\DRIVERS\CCDECODE.sys (manual start)

Pilote de CD-ROM: System32\DRIVERS\cdrom.sys

 

(system)

Service d'indexation:

 

%SystemRoot%\system32\cisvc.exe (manual

 

start)

Gestionnaire de l'Album:

 

%SystemRoot%\system32\clipsrv.exe (manual

 

start)

.NET Runtime Optimization Service

 

v2.0.50727_X86:

 

C:\WINDOWS\Microsoft.NET\Framework\v2.0.5072

 

7\mscorsvw.exe (manual start)

Application système COM+:

 

C:\WINDOWS\System32\dllhost.exe

 

/Processid:{02D4B3F1-FD88-11D1-960D-00805FC7

 

9235} (manual start)

Services de cryptographie:

 

%SystemRoot%\system32\svchost.exe -k netsvcs

 

(autostart)

Client DHCP:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Handling the DHCP requests:

 

C:\WINDOWS\System32\dhcpclient.exe

 

(autostart)

Pilote de disque: System32\DRIVERS\disk.sys

 

(system)

Service d'administration du Gestionnaire de

 

disque logique:

 

%SystemRoot%\System32\dmadmin.exe /com

 

(manual start)

dmboot: System32\drivers\dmboot.sys

 

(disabled)

Pilote de Gestionnaire de disque logique:

 

System32\drivers\dmio.sys (system)

dmload: System32\drivers\dmload.sys (system)

Gestionnaire de disque logique:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Synthétiseur DLS du noyau Microsoft:

 

system32\drivers\DMusic.sys (manual start)

Client DNS:

 

%SystemRoot%\System32\svchost.exe -k

 

NetworkService (disabled)

Filtre de décodeur DRM (Noyau Microsoft):

 

system32\drivers\drmkaud.sys (manual start)

ElbyCDFL: System32\Drivers\ElbyCDFL.sys

 

(manual start)

ElbyCDIO Driver:

 

System32\Drivers\ElbyCDIO.sys (autostart)

EpsonBidirectionalService: C:\Program

 

Files\Fichiers

 

communs\EPSON\EBAPI\eEBSVC.exe (autostart)

Service de rapport d'erreurs:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(disabled)

Journal des événements:

 

%SystemRoot%\system32\services.exe

 

(autostart)

Système d'événements de COM+:

 

C:\WINDOWS\System32\svchost.exe -k netsvcs

 

(manual start)

ewido security suite control: C:\Program

 

Files\ewido anti-malware\ewidoctrl.exe

 

(autostart)

Compatibilité avec le Changement rapide

 

d'utilisateur:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Pilote de contrôleur de lecteur de

 

disquettes: System32\DRIVERS\fdc.sys (manual

 

start)

Pilote NT de carte VIA PCI 10/100Mo Fast

 

Ethernet: System32\DRIVERS\fetnd5.sys

 

(manual start)

VIA Rhine Family Fast Ethernet Adapter

 

Driver Service: System32\DRIVERS\fetnd5b.sys

 

(manual start)

FILESpy: \??\C:\Program

 

Files\Softwin\BitDefender8\filespy.sys

 

(autostart)

Pilote de lecteur de disquettes:

 

System32\DRIVERS\flpydisk.sys (manual start)

Pilote du Gestionnaire de volume:

 

System32\DRIVERS\ftdisk.sys (system)

GhostStartService: C:\Program Files\Norton

 

Ghost 2003\GhostStartService.exe (autostart)

GhostPciScanner: \??\C:\Program Files\Norton

 

Ghost 2003\ghpciscan.sys (system)

GMSIPCI: \??\D:\INSTALL\GMSIPCI.SYS (manual

 

start)

Classificateur de paquets générique:

 

System32\DRIVERS\msgpc.sys (manual start)

Aide et support:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Accès du périphérique d'interface

 

utilisateur:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(disabled)

Pilote de classe HID Microsoft:

 

System32\DRIVERS\hidusb.sys (manual start)

Pilote pour clavier i8042 et souris sur port

 

PS/2: System32\DRIVERS\i8042prt.sys (system)

Pilote de filtre de gravure CD:

 

System32\DRIVERS\imapi.sys (system)

Service COM de gravage de CD IMAPI:

 

C:\WINDOWS\System32\imapi.exe (manual start)

InCD File System:

 

system32\drivers\InCDFs.sys (disabled)

InCDPass: system32\drivers\InCDPass.sys

 

(system)

InCD Reader: system32\drivers\InCDRm.sys

 

(system)

Pilote de filtre de trafic IP:

 

System32\DRIVERS\ipfltdrv.sys (manual start)

Pilote de tunnelage IP dans IP:

 

System32\DRIVERS\ipinip.sys (manual start)

Traducteur d'adresses réseau IP:

 

System32\DRIVERS\ipnat.sys (manual start)

Pilote IPSEC: System32\DRIVERS\ipsec.sys

 

(system)

Service énumérateur IR:

 

System32\DRIVERS\irenum.sys (manual start)

Pilote de bus Plug-and-Play ISA/EISA:

 

System32\DRIVERS\isapnp.sys (system)

Pilote de la classe Clavier:

 

System32\DRIVERS\kbdclass.sys (system)

Mélangeur audio Wave de noyau Microsoft:

 

system32\drivers\kmixer.sys (manual start)

Serveur: %SystemRoot%\System32\svchost.exe

 

-k netsvcs (autostart)

Station de travail:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Assistance TCP/IP NetBIOS:

 

%SystemRoot%\System32\svchost.exe -k

 

LocalService (disabled)

Logitech USB Monitor Filter:

 

System32\DRIVERS\LVUSBSta.sys (manual start)

Affichage des messages:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(disabled)

Partage de Bureau à distance NetMeeting:

 

C:\WINDOWS\System32\mnmsrvc.exe (manual

 

start)

Pilote de la classe Souris:

 

System32\DRIVERS\mouclass.sys (system)

Pilote HID de souris:

 

System32\DRIVERS\mouhid.sys (manual start)

Redirecteur client WebDav:

 

System32\DRIVERS\mrxdav.sys (manual start)

MRXSMB: System32\DRIVERS\mrxsmb.sys (system)

Distributed Transaction Coordinator:

 

C:\WINDOWS\System32\msdtc.exe (disabled)

MSICPL: \??\D:\install4\MSICPL.sys (manual

 

start)

Windows Installer:

 

C:\WINDOWS\System32\msiexec.exe /V (manual

 

start)

Proxy de service de répartition Microsoft:

 

system32\drivers\MSKSSRV.sys (manual start)

Proxy d'horloge de répartition Microsoft:

 

system32\drivers\MSPCLOCK.sys (manual start)

Proxy de gestion de qualité de répartition

 

Microsoft: system32\drivers\MSPQM.sys

 

(manual start)

NABTS/FEC VBI Codec:

 

System32\DRIVERS\NABTSFEC.sys (manual start)

Microsoft TV/Video Connection:

 

System32\DRIVERS\NdisIP.sys (manual start)

Pilote TAPI NDIS d'accès distant:

 

System32\DRIVERS\ndistapi.sys (manual start)

NDIS mode utilisateur E/S Protocole:

 

System32\DRIVERS\ndisuio.sys (manual start)

Pilote réseau étendu NDIS d'accès distant:

 

System32\DRIVERS\ndiswan.sys (manual start)

Interface NetBIOS:

 

System32\DRIVERS\netbios.sys (system)

NetBIOS sur TCP/IP:

 

System32\DRIVERS\netbt.sys (system)

DDE réseau: %SystemRoot%\system32\netdde.exe

 

(manual start)

Network DDE Client:

 

C:\WINDOWS\System32\netddeclnt.exe

 

(autostart)

DSDM DDE réseau:

 

%SystemRoot%\system32\netdde.exe (manual

 

start)

Ouverture de session réseau:

 

%SystemRoot%\System32\lsass.exe (manual

 

start)

Connexions réseau:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

NLA (Network Location Awareness):

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

NTACCESS: \??\D:\NTACCESS.sys (manual start)

Fournisseur de la prise en charge de

 

sécurité LM NT:

 

%SystemRoot%\System32\lsass.exe (manual

 

start)

Stockage amovible:

 

%SystemRoot%\system32\svchost.exe -k netsvcs

 

(manual start)

nv: System32\DRIVERS\nv4_mini.sys (manual

 

start)

Pilote de filtre de trafic IPX:

 

System32\DRIVERS\nwlnkflt.sys (manual start)

Pilote de transfert de trafic IPX:

 

System32\DRIVERS\nwlnkfwd.sys (manual start)

Pilote de port parallèle:

 

System32\DRIVERS\parport.sys (manual start)

PCI Bus Driver: System32\DRIVERS\pci.sys

 

(system)

Plug-and-Play:

 

%SystemRoot%\system32\services.exe

 

(autostart)

Services IPSEC:

 

%SystemRoot%\System32\lsass.exe (disabled)

Miniport réseau étendu (PPTP):

 

System32\DRIVERS\raspptp.sys (manual start)

Pilote processeur:

 

System32\DRIVERS\processr.sys (system)

Emplacement protégé:

 

%SystemRoot%\system32\lsass.exe (autostart)

Planificateur de paquets QoS:

 

System32\DRIVERS\psched.sys (manual start)

Pilote de liaison parallèle directe:

 

System32\DRIVERS\ptilink.sys (manual start)

Logitech QuickCam Communicate:

 

System32\DRIVERS\LVCM.sys (manual start)

Pilote de connexion automatique d'accès

 

distant: System32\DRIVERS\rasacd.sys

 

(system)

Gestionnaire de connexion automatique

 

d'accès distant:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Miniport réseau étendu (L2TP):

 

System32\DRIVERS\rasl2tp.sys (manual start)

Gestionnaire de connexions d'accès distant:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Pilote PPPOE d'accès à distance:

 

System32\DRIVERS\raspppoe.sys (manual start)

Parallèle direct:

 

System32\DRIVERS\raspti.sys (manual start)

Rdbss: System32\DRIVERS\rdbss.sys (system)

RDPCDD: System32\DRIVERS\RDPCDD.sys (system)

Pilote de redirecteur de périphérique

 

Terminal Server: System32\DRIVERS\rdpdr.sys

 

(manual start)

Gestionnaire de session d'aide sur le Bureau

 

à distance: C:\WINDOWS\system32\sessmgr.exe

 

(manual start)

Pilote de filtre de lecture digitale de CD

 

audio: System32\DRIVERS\redbook.sys (system)

REGSpy: \??\C:\Program

 

Files\Softwin\BitDefender8\regspy.sys

 

(autostart)

Routage et accès distant:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(disabled)

Accès à distance au Registre:

 

%SystemRoot%\system32\svchost.exe -k

 

LocalService (autostart)

Localisateur d'appels de procédure distante

 

(RPC): %SystemRoot%\System32\locator.exe

 

(manual start)

Appel de procédure distante (RPC):

 

%SystemRoot%\system32\svchost -k rpcss

 

(autostart)

QoS RSVP: %SystemRoot%\System32\rsvp.exe

 

(manual start)

Gestionnaire de comptes de sécurité:

 

%SystemRoot%\system32\lsass.exe (autostart)

Prise en charge des cartes à puces:

 

%SystemRoot%\System32\SCardSvr.exe (manual

 

start)

Carte à puce:

 

%SystemRoot%\System32\SCardSvr.exe (manual

 

start)

Planificateur de tâches:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(disabled)

Secdrv: System32\DRIVERS\secdrv.sys (manual

 

start)

Connexion secondaire:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Notification d'événement système:

 

%SystemRoot%\system32\svchost.exe -k netsvcs

 

(autostart)

Pilote de filtre Serenum:

 

System32\DRIVERS\serenum.sys (manual start)

Pilote de port série:

 

System32\DRIVERS\serial.sys (system)

SetupNTGLM7X: \??\D:\NTGLM7X.sys (manual

 

start)

Pare-feu de connexion Internet (ICF) /

 

Partage de connexion Internet (ICS):

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Détection matériel noyau:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

TechniSat DVB-PC TV Star PCI:

 

System32\DRIVERS\SkyNET.SYS (manual start)

BDA Slip De-Framer:

 

System32\DRIVERS\SLIP.sys (manual start)

Splitter audio du noyau Microsoft:

 

system32\drivers\splitter.sys (manual start)

Spouleur d'impression:

 

%SystemRoot%\system32\spoolsv.exe

 

(autostart)

Pilote de filtre de restauration système:

 

\SystemRoot\System32\DRIVERS\sr.sys

 

(disabled)

Service de restauration système:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Srv: System32\DRIVERS\srv.sys (manual start)

Service de découvertes SSDP:

 

%SystemRoot%\System32\svchost.exe -k

 

LocalService (disabled)

Acquisition d'image Windows (WIA):

 

%SystemRoot%\System32\svchost.exe -k imgsvc

 

(autostart)

BDA IPSink: System32\DRIVERS\StreamIP.sys

 

(manual start)

SVKP: \??\C:\WINDOWS\System32\SVKP.sys

 

(autostart)

Pilote de bus logiciel:

 

System32\DRIVERS\swenum.sys (manual start)

Synthétiseur de table de sons GC noyau

 

Microsoft: system32\drivers\swmidi.sys

 

(manual start)

MS Software Shadow Copy Provider:

 

C:\WINDOWS\System32\dllhost.exe

 

/Processid:{78566E94-0841-4031-9086-66537E96

 

CCE2} (manual start)

Périphérique audio système du noyau

 

Microsoft: system32\drivers\sysaudio.sys

 

(manual start)

Journaux et alertes de performance:

 

%SystemRoot%\system32\smlogsvc.exe (manual

 

start)

Téléphonie:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Pilote du protocole TCP/IP:

 

System32\DRIVERS\tcpip.sys (system)

Pilote de périphérique terminal:

 

System32\DRIVERS\termdd.sys (system)

Services Terminal Server:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Thèmes: %SystemRoot%\System32\svchost.exe -k

 

netsvcs (autostart)

Telnet: C:\WINDOWS\System32\tlntsvr.exe

 

(disabled)

Client de suivi de lien distribué:

 

%SystemRoot%\system32\svchost.exe -k netsvcs

 

(autostart)

TuneUp WinStyler Theme Service: "C:\Program

 

Files\TuneUp Utilities

 

2006\WinStylerThemeSvc.exe" (manual start)

Pilote de mise à jour microcode:

 

System32\DRIVERS\update.sys (manual start)

Gestionnaire de téléchargement:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

Hôte de périphérique universel

 

Plug-and-Play:

 

%SystemRoot%\System32\svchost.exe -k

 

LocalService (disabled)

Onduleur: %SystemRoot%\System32\ups.exe

 

(manual start)

Pilote USB audio (WDM):

 

system32\drivers\usbaudio.sys (manual start)

Pilote parent générique USB Microsoft:

 

System32\DRIVERS\usbccgp.sys (manual start)

Pilote miniport de contrôleur hôte amélioré

 

USB 2.0 Microsoft:

 

System32\DRIVERS\usbehci.sys (manual start)

Concentrateur USB2:

 

System32\DRIVERS\usbhub.sys (manual start)

Classe d'imprimantes USB Microsoft:

 

System32\DRIVERS\usbprint.sys (manual start)

Pilote de scanneur USB:

 

System32\DRIVERS\usbscan.sys (manual start)

Pilote de stockage de masse USB:

 

System32\DRIVERS\USBSTOR.SYS (manual start)

Pilote miniport de contrôleur hôte universel

 

USB Microsoft: System32\DRIVERS\usbuhci.sys

 

(manual start)

VgaSave:

 

\SystemRoot\System32\drivers\vga.sys

 

(system)

VIA AGP Filter: System32\DRIVERS\viaagp1.sys

 

(system)

ViaIde: System32\DRIVERS\viaide.sys (system)

viamraid: System32\DRIVERS\viamraid.sys

 

(system)

Cliché instantané de volume:

 

%SystemRoot%\System32\vssvc.exe (manual

 

start)

BitDefender Virus Shield: C:\Program

 

Files\Softwin\BitDefender8\vsserv.exe

 

/service (autostart)

Horloge Windows:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(disabled)

Pilote ARP IP d'accès distant:

 

System32\DRIVERS\wanarp.sys (manual start)

Pilote WINMM de compatibilité audio WDM

 

Microsoft: system32\drivers\wdmaud.sys

 

(manual start)

WebClient: %SystemRoot%\System32\svchost.exe

 

-k LocalService (autostart)

Infrastructure de gestion Windows:

 

%systemroot%\system32\svchost.exe -k netsvcs

 

(autostart)

Service de numéro de série du lecteur

 

multimédia portable:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Extensions du pilote WMI:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(manual start)

Carte de performance WMI:

 

C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

(manual start)

World Standard Teletext Codec:

 

System32\DRIVERS\WSTCODEC.SYS (manual start)

Mises à jour automatiques:

 

%systemroot%\system32\svchost.exe -k netsvcs

 

(disabled)

Configuration automatique sans fil:

 

%SystemRoot%\System32\svchost.exe -k netsvcs

 

(autostart)

BitDefender Communicator: C:\Program

 

Files\Fichiers communs\Softwin\BitDefender

 

Communicator\xcommsvr.exe /service

 

(autostart)

 

 

--------------------------------------------

 

------

 

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

 

Windows NT checkdisk command:

BootExecute = autocheck autochk *

 

Windows NT 'Wininit.ini':

PendingFileRenameOperations:

 

c:\windows\system32\__delete_on_reboot__upda

 

tem.exe|||e

 

--------------------------------------------

 

------

 

Enumerating ShellServiceObjectDelayLoad

 

items:

 

PostBootReminder:

 

C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

 

--------------------------------------------

 

------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersi

 

on\policies\Explorer\Run

 

*Registry key not found*

 

--------------------------------------------

 

------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersi

 

on\policies\Explorer\Run

 

*Registry key not found*

 

--------------------------------------------

 

------

 

End of report, 34 404 bytes

Report generated in 0,094 seconds

 

Command line options:

/verbose - to add additional info on

 

each section

/complete - to include empty sections and

 

unsuspicious data

/full - to include several

 

rarely-important sections

/force9x - to include Win9x-only

 

startups even if running on WinNT

/forcent - to include WinNT-only

 

startups even if running on Win9x

/forceall - to include all Win9x and

 

WinNT startups, regardless of platform

/history - to list version history only

 

Voici le sacnn hijaktis:

 

Logfile of HijackThis v1.99.1

Scan saved at 10:50:19, on 14/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CascSvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Casc'ADSL\CascADSL.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Softwin\BitDefender8\bdswitch.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\Program Files\JCA2000\Rclock\RCLOCK.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geogle.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [bDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe

O4 - HKLM\..\Run: [Casc'ADSL] C:\Program Files\Casc'ADSL\CascADSL.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: Rclock.lnk = C:\Program Files\JCA2000\Rclock\RCLOCK.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180solut...Bridge-c139.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119088308359

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Casc'ADSL (CascSvc) - Unknown owner - C:\WINDOWS\System32\CascSvc.exe

O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINDOWS\System32\dhcpclient.exe (file missing)

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton Ghost 2003\GhostStartService.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

 

 

Rapport Ewido de ce matin, encore 21 malware trouves, je crois...c'est infernal :

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 10:41:20, 14/02/2006

+ Somme de contrôle: 5403D52F

 

+ Résultats du scan:

 

HKLM\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38\\HardwareID -> Adware.HyperBar : Erreur durant le nettoyage

[748] C:\WINDOWS\System32\updatem.exe -> Backdoor.Rbot.aie : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@advertising[2].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@as1.falkag[2].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@com[2].txt -> TrackingCookie.Com : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Cookies\divine@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\DIVINE\Local Settings\Temporary Internet Files\Content.IE5\HYMPSFIX\msupdate322[1].exe -> Backdoor.Rbot.aie : Nettoyer et sauvegarder

C:\lolishas.exe -> Backdoor.Rbot.aie : Nettoyer et sauvegarder

C:\WINDOWS\system32\msupdate33e.exe -> Backdoor.Rbot.aie : Nettoyer et sauvegarder

 

 

::Fin du rapport

Modifié le 14 février 2006 par divine31

[Thanos]

salut divine31

 

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

 

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:

-180 solutions=> si tu trouves!

 

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geogle.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180solut...Bridge-c139.cab

 

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\System32\netddeclnt.exe=> le fichier

 

-Vide la corbeille.

 

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant: Network DDE Client (NetDDEclnt)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Quitte les services.

 

-vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc delete NetDDEclnt

 

Un message t'avertis du succès de l'opération

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

 

-Vas voir si ce fichier existe encore, il est légitime ,et dans la ligne 023 je vois qu'il est peut être manquant:

 

C:\WINDOWS\system32\netdde.exe => ne l'élimine pas!! dis moi si il est là.

 

-Pour ce qui est du rapport d'Ewido, n'ai pas peur !! ce ne sont pour la plupart que des cookies, donc rien du tout! De plus je vois que Ewido a éliminé msupdate33e.exe ce coup ci!

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial