trojan horse BHO Windows 32 jjbajjb.dll

Invité

bonjour
mon antivirus AVG detecte le virus suivant
trojan horse BHO , C/Windows/system32/jjbajjb.dll
J ai fait Hi-jack this, qui ne le detruit pas .
Mon antivirus AVG7.5 ne le detruit pas non plus
comment faire pour m en defaire ?
merci d avnce

Invité

Salut gillech,

Pour avancer un peu les chasseurs de virus ,rends toi sur cette page :

https://kerio.probb.fr/Besoin-d-un-coup-de-pouce-f10/Besoin-d-aide-pour-analyse-de-votre-PC-hijackthis-t62.htm

et applique la procédure.

Bon courage $clin d\\'oeil$

Invité

Bonjour axlgrs,
merci de ton aide,
j ai deja fait l analyse par hi jack this, mais Hijack this n arrive pas a supprimer les fichiers de ce virus, car ce virus HBO est installe immediatement au redemarrage de windows.
J ai donc essaye par la procedure speciale de hijack This, qui permet de programmer la suppression du fichier virus au moment du demarrage de windows...mais sans succes.
connaitrais tu une autre methode ( par exemple, dois je aller faire cela en safe mode ? ) ou autre ..
merci d avance

Invité

salut!

Hijackthis n'est PAS un utilitaire de désinfection,c'est un outil dont se servent les helpeurs pour scruter l'intérieur de ton pc et savoir de quels outils il vont se servir pour nettoyer.
Je te conseilles donc une fois de plus de poster ici même un log hijackthis ,Boulepate (ou d'autres) se feront un plaisir de traquer tes cochoncetés....

Personnellement,étant sous linux 90% de mon temps,je ne suis guére intéressé par ces joyeusetés..... lol!

Sujet: Re: trojan horse BHO Windows 32 jjbajjb.dll Mar 04 Sep 2007, 00:49

En effet, je confirme ce que dit Axlgrs, hijackthis n'est pas un anti-spywares comme j'ai pu le lire sur CCM il y a quelque semaines de cela trojan horse BHO Windows 32 jjbajjb.dll 463615

trojan horse BHO Windows 32 jjbajjb.dll 463615

) et encore moins un outil magique pour supprimer les "virus".
De plus si tu as touché et que tu n'as pas fais de sauvegarden va falloir fouiller pour trouver où été la, les bestiole(s)

bye

Invité

voici mon rapport hijack this, merci de vos bons conseils
je pense avoir un probleme lignes 02 et 020
merci d avance

Logfile of HijackThis v1.99.1
Scan saved at 13:21:36, on 04/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\Tmasy\Tmasy.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Documents and Settings\Christian\Local Settings\Temp\Temporary Directory 1 for abcde.exe.zip\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6DE8FD7F-0F11-4FA1-A407-56189967D5EA} - c:\windows\system32\jjbajjb.dll
O2 - BHO: (no name) - {882C06C1-5A6D-4AE8-AF2B-16FC94D52CC8} - c:\windows\system32\jsegmmbv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmasy\Tmasy.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F0277EC-8C8A-43EC-8EA6-F106351C0EF8}: NameServer = 62.151.2.8,62.151.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{179A9B69-AA7C-473D-B96B-FDC63942DCFC}: NameServer = 194.179.1.100,192.168.1.1
O20 - Winlogon Notify: yozyahnn - C:\WINDOWS\SYSTEM32\jjbajjb.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Sujet: Re: trojan horse BHO Windows 32 jjbajjb.dll Mar 04 Sep 2007, 15:36

Hello Gillech

En effet tu es infecté, on voit encore les bestioles, si tu as "fixé" les lignes via hijackthis ça n'a eu aucun effet et tant mieux ! $clin d\\'oeil$

¤ Ton Windows n'est pas à jour, c'est normal (version piratée) ou autre ? Tu n'as même pas le SP2 .. siffle

¤
1..
¤ Télécharge Process Explorer
---> http://download.sysinternals.com/Files/ProcessExplorer.zip

¤ Télécharge OTMoveIt sur ton bureau
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

2.. Déconnecte d'internet.
Ferme tous les programmes en cours (anti-virus, pare-feu, anti-spywares, navigateur, etc.)
----------------------------------------------

Dézippe Process Explorer et double-clic sur processxp.exe

* Dans la fenêtre principale de processxp double-clicsur winlogon.exe (sur la gauche)
Dans la nouvelle fenêtre qui s'ouvre clic sur l'onglet "Threads"
sélectionne seulement les lignes qui contiennent la dll infectée: jjbajjb.dll et jsegmmbv.dll
Tu selectionnes la ligne infectée puis tu cliques sur "kill" pour chacune des lignes infectées trouvées.
une fois fait, valide avec "ok"

* Dans la fenêtre principale de processxp double clique sur "explorer.exe"
Dans la nouvelle fenêtre qui s'ouvre cliques sur l'onglet "threads"
sélectionnes seulement les lignes qui contiennent la dll infectée: jjbajjb.dll et jsegmmbv.dll
Selectionne la ligne puis clic sur "kill" pour chacune des lignes infectées trouvées.
une fois fait, valide par "Ok"

3...Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

O2 - BHO: (no name) - {6DE8FD7F-0F11-4FA1-A407-56189967D5EA} - c:\windows\system32\jjbajjb.dll
O2 - BHO: (no name) - {882C06C1-5A6D-4AE8-AF2B-16FC94D52CC8} - c:\windows\system32\jsegmmbv.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O20 - Winlogon Notify: yozyahnn - C:\WINDOWS\SYSTEM32\jjbajjb.dll

4...Double clic OTMoveIt
Sélectionne et copie les lignes ci-dessous

C:\windows\system32\jjbajjb.dll
C:\windows\system32\jsegmmbv.dll

Retourne dans OTMoveit, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
Clic sur le boutton rouge Moveit et ferme OTMoveIt
Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir l'exécution, si c'est le cas, clic sur "Yes"
Copie et colle le rapport qu'il va te générer ici stp. Le rapport d'OTMoveit se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles

¤ Clic sur démarrer, exécuter, tape : cmd
Une fenêtre va s'ouvrir, tape exactement ceci, puis valide par la touche entrée de ton clavier:

ipconfig /flushdns

¤ Si tu pouvais faire une copie d'écran de Kerio là où il y a tous tes programmes pour vérifier ça ne sera pas de refus, pour vérification.
Vas dans ajouter/supprimer des programmes et désinstalle Java jre1.5.0_10 si présent.
Dès que tu as fais tout ça remet un rapport hijackthis $clin d\\'oeil$

Invité

Bonjour , et merci du plan d intervention!
je l ai suivi a la lettre, mais ai eu quelques difficultes a l executer.

Process explorer ne trouve pas mes fichiers virus , ni dans winlogon, ni dans explorer. Je n ai donc pas pu les detruire.

OTMoveit ne les detruit pas non plus, ci dessous le rapport :

LoadLibrary failed for C:\windows\system32\jjbajjb.dll
C:\windows\system32\jjbajjb.dll NOT unregistered.
File move failed. C:\windows\system32\jjbajjb.dll scheduled to be moved on reboot.
File/Folder C:\windows\system32\jsegmmbv.dll not found.

Created on 09/07/2007 22:41:52

Voici le rapport HijakThis, apres avoir complete le programme :
Logfile of HijackThis v1.99.1
Scan saved at 22:40:00, on 07/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\keyhook.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\Tmasy\Tmasy.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Christian\Local Settings\Temp\Temporary Directory 1 for abcde.exe.zip\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6DE8FD7F-0F11-4FA1-A407-56189967D5EA} - c:\windows\system32\jjbajjb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmasy\Tmasy.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F0277EC-8C8A-43EC-8EA6-F106351C0EF8}: NameServer = 62.151.2.8,62.151.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{179A9B69-AA7C-473D-B96B-FDC63942DCFC}: NameServer = 194.179.1.100,192.168.1.1
O20 - Winlogon Notify: yozyahnn - C:\WINDOWS\SYSTEM32\jjbajjb.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

merci de tes conseils

Invité

Je n'y connais pas grand chose dans le domaine, mais parfois, quand je n'arrive pas à suprimer un fichier je désactive la restauration du système et cela fonctionne.

Sujet: Re: trojan horse BHO Windows 32 jjbajjb.dll Dim 09 Sep 2007, 16:41

Hello tous trojan horse BHO Windows 32 jjbajjb.dll 952224

As-tu bien regardé car il se peut qu'a côté du nom du fichier il soit écrit autre chose des lettres et chiffres n'ayant rien a voir avec le nom de base indiqué.

Puis fais ceci, pour voir un peu plus clair

¤ Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/

* Coche uniquement ces cases, décoche tout le reste :

- Recent Files, 60 days
- Registry Run Key

Puis clic sur scan now, soit patient.
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages.

bye

Invité

voici la seconde partie du rapport de system scan
merci d avance

-----Comparing registry keys CCS1 vs CCS2 -----
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\AvgClean __delete REG_MULTI_SZ \??\D:\JJSMBXX\fzxcrn81\koknkok.equ\0\0
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\BITS\Parameters ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\qmgr.dll
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\BITS\Parameters ServiceDll REG_EXPAND_SZ C:\WINDOWS\System32\qmgr.dll
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Eventlog\Application\ESENT EventMessageFile REG_EXPAND_SZ C:\WINDOWS\System32\ESENT.dll
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Application\ESENT EventMessageFile REG_EXPAND_SZ c:\windows\system32\ESENT.dll
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Eventlog\Application\ESENT CategoryMessageFile REG_EXPAND_SZ C:\WINDOWS\System32\ESENT.dll
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Application\ESENT CategoryMessageFile REG_EXPAND_SZ c:\windows\system32\ESENT.dll
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Security\DS
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Security\LSA
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Security\NetDDE Object
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Security\SC Manager
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Security\Security
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Security\Security Account Manager
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\Security\Spooler
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Eventlog\System Sources REG_MULTI_SZ WZCSVC\0Workstation\0WindowsMedia\0Windows Update Agent\0Windows Script Host\0Windows Installer 3.1\0Windows File Protection\0Win32k\0WGA\0W32Time\0VolSnap\0viaide\0VgaSave\0USER32\0UPS\0ultra\0udfs\0toside\0TermServSessDir\0TermService\0TermServDevices\0TermDD\0tdi\0TCPMon\0Tcpip\0System Error\0sym_u3\0sym_hi\0symc8xx\0symc810\0StillImage\0SSDPSRV\0Srv\0srservice\0sr\0sparrow\0Software Restriction Policy\0sndblst\0SISNIC\0SiS315\0Simbad\0SideBySide\0sfloppy\0Setup\0Service Control Manager\0Server\0serial\0scsiport\0Schedule\0Schannel\0SCardSvr\0Save Dump\0SAM\0RT73\0RT61\0RSVP\0Removable Storage Service\0RemoteAccess\0Remote Desktop Help Session Manager\0redbook\0Rdbss\0RasMan\0RasAuto\0ql1280\0ql1240\0ql12160\0ql10wnt\0ql1080\0PSched\0Processor\0Print\0PptpMiniport\0PolicyAgent\0PlugPlayManager\0perc2\0pcmcia\0pciide\0pci\0parvdm\0partmgr\0parport\0OSPFMib\0OSPF\0NVENET\0nv\0null\0NtServicePack\0ntfs\0npfs\0Nla\0Netlogon\0NetDDE\0NetBT\0NetBIOS\0NdisWan\0ndis\0Mup\0msfs\0msadlib\0MrxSmb\0MRxDAV\0mraid35x\0mouhid\0mouclass\0Modem\0LsaSrv\0LmHosts\0LDMS\0LDM\0lbrtfdc\0Kerberos\0kbdclass\0isapnp\0irsir\0irevents\0IPXSAP\0IPXRouterManager\0IPXRIP\0IPXCP\0IPSec\0IPRouterManager\0IPRIP2\0IPNATHLP\0IPMGM\0IPBOOTP\0Ip6FwHlp\0Internet Explorer 6\0intelide\0ini910u\0IGMPv2\0i8042prt\0i2omp\0i2omgmt\0hpn\0ftdisk\0fs_rec\0flpydisk\0Fips\0fdc\0fastfat\0eventlog\0efs\0dpti2o\0Dnscache\0Dnsapi\0dmio\0dmboot\0Distributed Link Tracking Client\0disk\0DirectX\0Dhcp\0DfsSvc\0DfsDriver\0DCOM\0dac960nt\0dac2w2k\0cpqarray\0cmdide\0changer\0cdrom\0Cdm\0cdfs\0cdaudio\0cd20xrnt\0cbidf2k\0Browser\0BITS\0beep\0Atmarpc\0atdisk\0atapi\0AsyncMac\0asc3550\0asc3350p\0asc\0Application Popup\0apphelp\0amsint\0ami0nt\0AmdK7\0aliide\0Alerter\0aic78xx\0aic78u2\0aha154x\0adpu160m\0acpiec\0acpi\0abp480n5\0abiosdsk\0System\0\0
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Eventlog\System Sources REG_MULTI_SZ WZCSVC\0Workstation\0WindowsMedia\0Windows Update Agent\0Windows Script Host\0Windows Installer 3.1\0Windows File Protection\0Win32k\0WGA\0W32Time\0VolSnap\0viaide\0VgaSave\0USER32\0UPS\0ultra\0udfs\0toside\0TermServSessDir\0TermService\0TermServDevices\0TermDD\0tdi\0TCPMon\0Tcpip\0System Error\0sym_u3\0sym_hi\0symc8xx\0symc810\0StillImage\0SSDPSRV\0Srv\0srservice\0sr\0sparrow\0Software Restriction Policy\0sndblst\0SISNIC\0Simbad\0SideBySide\0sfloppy\0Setup\0Service Control Manager\0Server\0serial\0scsiport\0Schedule\0Schannel\0SCardSvr\0Save Dump\0SAM\0RT73\0RT61\0RSVP\0Removable Storage Service\0RemoteAccess\0Remote Desktop Help Session Manager\0redbook\0Rdbss\0RasMan\0RasAuto\0ql1280\0ql1240\0ql12160\0ql10wnt\0ql1080\0PSched\0Processor\0Print\0PptpMiniport\0PolicyAgent\0PlugPlayManager\0perc2\0pcmcia\0pciide\0pci\0parvdm\0partmgr\0parport\0OSPFMib\0OSPF\0NVENET\0nv\0null\0NtServicePack\0ntfs\0npfs\0Nla\0Netlogon\0NetDDE\0NetBT\0NetBIOS\0NdisWan\0ndis\0Mup\0msfs\0msadlib\0MrxSmb\0MRxDAV\0mraid35x\0mouhid\0mouclass\0Modem\0LsaSrv\0LmHosts\0LDMS\0LDM\0lbrtfdc\0Kerberos\0kbdclass\0isapnp\0irsir\0irevents\0IPXSAP\0IPXRouterManager\0IPXRIP\0IPXCP\0IPSec\0IPRouterManager\0IPRIP2\0IPNATHLP\0IPMGM\0IPBOOTP\0Ip6FwHlp\0Internet Explorer 6\0intelide\0ini910u\0IGMPv2\0i8042prt\0i2omp\0i2omgmt\0hpn\0ftdisk\0fs_rec\0flpydisk\0Fips\0fdc\0fastfat\0eventlog\0efs\0dpti2o\0Dnscache\0Dnsapi\0dmio\0dmboot\0Distributed Link Tracking Client\0disk\0DirectX\0Dhcp\0DfsSvc\0DfsDriver\0DCOM\0dac960nt\0dac2w2k\0cpqarray\0cmdide\0changer\0cdrom\0Cdm\0cdfs\0cdaudio\0cd20xrnt\0cbidf2k\0Browser\0BITS\0beep\0Atmarpc\0atdisk\0atapi\0AsyncMac\0asc3550\0asc3350p\0asc\0Application Popup\0apphelp\0amsint\0ami0nt\0AmdK7\0aliide\0Alerter\0aic78xx\0aic78u2\0aha154x\0adpu160m\0acpiec\0acpi\0abp480n5\0abiosdsk\0System\0\0
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\MRxDAV\EncryptedDirectories
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\NetBT\Parameters\Interfaces\Tcpip_{24161A97-6123-49AC-9D89-E4DFD126BE49} NameServerList REG_MULTI_SZ \0\0
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\NetBT\Parameters\Interfaces\Tcpip_{24161A97-6123-49AC-9D89-E4DFD126BE49} NameServerList REG_MULTI_SZ \0
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\semadgos
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Adapters\NdisWanIp IpConfig REG_MULTI_SZ Tcpip\Parameters\Interfaces\{17411D10-3DB4-4FB4-890C-4DEAA719D41B}\0Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49}\0Tcpip\Parameters\Interfaces\{4C523FCD-B309-44E0-8E7E-7C7D686F2CA7}\0Tcpip\Parameters\Interfaces\{032AF5AB-B8D8-4787-AA5D-24687770CD04}\0\0
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Tcpip\Parameters\Adapters\NdisWanIp IpConfig REG_MULTI_SZ Tcpip\Parameters\Interfaces\{17411D10-3DB4-4FB4-890C-4DEAA719D41B}\0Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49}\0\0
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Adapters\NdisWanIp NumInterfaces REG_DWORD 4 (0x4)
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Tcpip\Parameters\Adapters\NdisWanIp NumInterfaces REG_DWORD 2 (0x2)
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Adapters\NdisWanIp IpInterfaces REG_BINARY 101D4117B43DB44F890C4DEAA719D41B971A16242361AC499D89E4DFD126BE49CD3F524C09B3E0448E7E7C7D686F2CA7ABF52A03D8B88747AA5D24687770CD04
> Value: HKEY_LOCAL_MACHINE\system\controlset002\services\Tcpip\Parameters\Adapters\NdisWanIp IpInterfaces REG_BINARY 101D4117B43DB44F890C4DEAA719D41B971A16242361AC499D89E4DFD126BE49
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} NTEContextList REG_MULTI_SZ 0x00000003\0\0
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} DhcpClassIdBin REG_BINARY
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} DhcpIPAddress REG_SZ 0.0.0.0
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} DhcpSubnetMask REG_SZ 0.0.0.0
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} Domain REG_SZ
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} NameServer REG_SZ
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} RegistrationEnabled REG_DWORD 0 (0x0)
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services\Tcpip\Parameters\Interfaces\{24161A97-6123-49AC-9D89-E4DFD126BE49} RegisterAdapterName REG_DWORD 0 (0x0)

Result compared: Different

-----Comparing registry keys CCS1 vs CCS3 -----
< Value: HKEY_LOCAL_MACHINE\system\controlset001\services

Result compared: Identical

==========================================
Scan completed in 2 minutes
End of report

» Trojan horse killAV.co et dropper
» Help ! SVP ! Trojan W32Supermegadestroy !
» Win32.Obfuscated.en
» Trojan wopla
» Trojan persistant !