Bonjour,
je suis administrateur de systeme et mon serveur et infecté par un rootkit qui verouille mon session admùinistration et bloquele reseau et affice des message avec un titre 444.scr-erreur d'application puis 45.scr-erreur d'application puis 46 et ainsi de suite jusqu'a un nombre indeterminé j'ai trouve l'executablke dans c:\windows\system\1sasse.exe et il est fichier cahé et en lecture seul puiis j'ai scanné avec hijackthis et voila le rapport et voila le rapport malgré que j'ai utiliser sophos qui le trouve et il me dis eliminer mais quand je redemmare il revient , j'ai utiliser avg et la meme chose et malgré tt ca j'ai symantec 9 mais il n'est pas eliminer qcq je dois faire svp et voila le rapport de hijachthis et une autre remarque ce rootkit et il a le comportement d'une verre qui se deplace dans tt les hotes de reseaux local voila le rapport du mon serveur

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:47, on 29/04/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\FlushServ.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\CBA\pds.exe
C:\WINNT\System32\llssrv.exe
E:\backup\MaxBackServiceInt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\Megaserv.exe
C:\Program Files\MegaRAID\rpc\Portserv.exe
C:\WINNT\system32\ntfrs.exe
E:\backup\Utils\SyncServices.exe
C:\Program Files\MegaRAID\regserv\Reg_serv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\snmptrap.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\MsgSys.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\ams_ii\iao.exe
C:\WINNT\system32\cba\xfr.exe
C:\Program Files\MegaRAID\rserver\Raidserv.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\wspsrv.exe
C:\Program Files\Microsoft ISA Server\w3proxy.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\35.scr
C:\WINNT\system32\44.scr
C:\WINNT\system\1sass.exe
C:\WINNT\system32\44.scr
C:\WINNT\system32\73.scr
C:\WINNT\system32\46.scr
C:\WINNT\system32\26.scr
C:\WINNT\system32\27.scr
C:\WINNT\system32\00.scr
C:\WINNT\system32\36.scr
C:\WINNT\system32\37.scr
C:\WINNT\system32\06.scr
C:\WINNT\system32\52.scr
C:\WINNT\system32\46.scr
C:\WINNT\system32\84.scr
C:\WINNT\system32\77.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\30.scr
C:\WINNT\system32\54.scr
C:\WINNT\system32\54.scr
C:\WINNT\system32\55.scr
C:\WINNT\system32\48.scr
C:\WINNT\system32\83.scr
C:\WINNT\system32\32.scr
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\01.scr
C:\WINNT\system32\03.scr
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\85.scr
C:\WINNT\system32\37.scr
C:\WINNT\system32\67.scr
C:\WINNT\system32\75.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\84.scr
C:\WINNT\system32\42.scr
C:\WINNT\system32\72.scr
C:\WINNT\system32\07.scr
C:\WINNT\system32\55.scr
C:\WINNT\system32\86.scr
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\81.scr
C:\WINNT\system32\60.scr
C:\WINNT\system32\72.scr
C:\WINNT\system32\17.scr
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10164&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10164&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.30:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [mxomssmenu] "C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [MRT] "C:\WINNT\system32\MRT.exe" /R
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - HKUS\.DEFAULT\..\Run: [Win Security] msw32.pif (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Visual Debuger] C:\WINNT\system32\mdm.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Win Security] msw32.pif (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: Nls - C:\WINNT\system32\wR2time.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Synchronize Cache Utility (FlushService) - American Megatrends Inc. - C:\WINNT\system32\FlushServ.exe
O23 - Service: Opérateur de contrôle d'appels Microsoft H.323 (GKSVC) - Unknown owner - svchost.exe (file missing)
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\CBA\pds.exe
O23 - Service: MaxBackServiceInt - Unknown owner - E:\backup\MaxBackServiceInt.exe
O23 - Service: MegaServ - Unknown owner - C:\WINNT\system32\Megaserv.exe
O23 - Service: MGE Service module - Unknown owner - C:\WINNT\system32\MGE\RunSC.exe (file missing)
O23 - Service: NobleNet Portmapper for TCP - Unknown owner - C:\Program Files\MegaRAID\rpc\Portserv.exe
O23 - Service: MaxSyncService (NTService1) - - E:\backup\Utils\SyncServices.exe
O23 - Service: RAID_SERVER - Unknown owner - C:\Program Files\MegaRAID\rserver\Raidserv.exe
O23 - Service: REG_SERVER - Unknown owner - C:\Program Files\MegaRAID\regserv\Reg_serv.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINNT\System32\ups2.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
End of file - 9139 bytes

Configuration: Windows 2000
Internet Explorer 6.0