Mon PC est-il infecté?

Claudel · le 14 février 2008

Bonsoir, Charles

Voici le rapport de combofix

ComboFix 08-02-15.1 - Claude 2008-02-14 20:36:46.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.93 [GMT 1:00]

Endroit: C:\Documents and Settings\Claude\Local Settings\Temporary Internet Files\Content.IE5\HXRNIDHH\ComboFix[1].exe

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\uninstall.exe

.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-15 to 2008-02-15 ))))))))))))))))))))))))))))))))))))

.

2008-02-14 14:14 . 2008-02-14 14:19 <REP> d-------- C:\Program Files\Spyware Doctor

2008-02-14 14:14 . 2008-02-14 14:14 <REP> d-------- C:\Documents and Settings\Claude\Application Data\PC Tools

2008-02-14 14:14 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-02-14 14:14 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-02-14 14:14 . 2007-12-10 14:53 41,864 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-02-14 14:14 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-02-14 09:00 . 2008-02-14 09:03 <REP> d-------- C:\WINDOWS\LastGood

2008-02-12 18:49 . 2008-02-12 18:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-12 14:56 . 2008-02-12 15:51 <REP> d-------- C:\Program Files\a-squared Free

2008-02-12 14:19 . 2008-02-14 20:34 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-02-11 21:13 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe

2008-02-11 21:13 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys

2008-02-11 21:13 . 2008-02-11 21:13 3,120 --a------ C:\WINDOWS\system32\118290.54

2008-02-11 21:13 . 2008-02-11 21:13 3,120 --a------ C:\WINDOWS\118294.78

2008-02-11 21:13 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys

2008-01-23 14:16 . 2008-01-23 14:16 <REP> d-------- C:\Program Files\TELE2

2008-01-17 17:11 . 2008-02-15 20:41 4,278,304 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-17 17:11 . 2008-02-14 00:58 49,640 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-17 17:07 . 2008-01-17 17:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-01-17 17:07 . 2008-01-17 17:09 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat

2008-01-17 17:06 . 2008-01-17 17:06 <REP> d-------- C:\Program Files\Zone Labs

2008-01-17 15:13 . 2008-02-15 20:37 <REP> d-------- C:\WINDOWS\Internet Logs

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-14 13:26 63,488 ----a-w C:\WINDOWS\system32\directx.exe

2008-02-13 23:57 --------- d-----w C:\Program Files\Eraser

2008-02-13 13:27 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-02-12 15:31 --------- d-----w C:\Program Files\Google

2008-02-12 13:46 --------- d-----w C:\Program Files\Lavasoft

2008-02-11 20:13 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-09 18:56 --------- d-----w C:\Program Files\GRIB.US

2008-01-09 15:53 --------- d-----w C:\Program Files\VideoLAN

2007-12-27 23:49 --------- d-----w C:\Program Files\Micro Application

2007-12-26 15:41 --------- d-----w C:\Program Files\FinePixViewer

2007-12-26 12:50 --------- d-----w C:\Program Files\MediaMonkey

2007-12-24 18:31 --------- d-----w C:\Program Files\Astase

2007-12-24 18:13 --------- d-----w C:\Program Files\MP3 To Wave Maker Plus

2007-12-22 16:27 --------- d-----w C:\Program Files\Dicto anglais

2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe

2007-12-13 18:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll

2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll

2007-12-13 18:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll

2007-12-13 18:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll

2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr

2007-11-27 15:10 315,392 ----a-w C:\WINDOWS\HideWin.exe

2002-10-29 14:44 40,960 ----a-w C:\Program Files\owcsetup.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

"Eraser"="C:\Program Files\Eraser\eraser.exe" [2003-07-25 11:15 536576]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-21 15:36 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-04 16:47 32768]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-12-15 19:21 180269]

"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]

"OPSE reminder"="C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" [2003-07-07 10:30 729088]

"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 12:00 49152]

"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 01:50 204800]

"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2006-03-23 17:06 1398272]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" []

"gcasServ"="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" [ ]

"ISUSPM"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [ ]

"VTTimer"="VTTimer.exe" [2006-09-21 09:36 53248 C:\WINDOWS\system32\VTTimer.exe]

"S3Trayp"="S3trayp.exe" [2007-02-06 00:30 176128 C:\WINDOWS\system32\S3Trayp.exe]

"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 08:03 16125440 C:\WINDOWS\RTHDCPL.EXE]

"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2006-03-02 13:00 160768]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2007-12-10 14:53 1103752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 08:26]

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 04:36]

R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 08:26]

R2 ScFBPNT;CanoScan FBP Port Driver;C:\WINDOWS\system32\drivers\ScFBPNT.SYS [2000-02-08 10:33]

R2 sentemul;sentemul;C:\WINDOWS\system32\drivers\sentemul.sys [2003-03-24 17:06]

R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-02-27 09:14]

R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2007-03-05 02:54]

S2 Hizek;DirectX Service;C:\WINDOWS\system32\directx.exe [2008-02-14 14:26]

S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\system32\Drivers\Mkemusb.sys [2001-08-08 18:52]

S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\system32\Drivers\Mkeusbi.sys [2002-09-02 11:10]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##192.168.0.4#data]

\Shell\AutoRun\command - D:\launch.exe

*Newly Created Service* - SDAUXSERVICE

*Newly Created Service* - SDCORESERVICE

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-15 20:42:15

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

Temps d'accomplissement: 2008-02-15 20:45:33

ComboFix-quarantined-files.txt 2008-02-15 19:45:27

.

2008-02-14 19:00:32 --- E O F ---

Bonne lecture. Pour moi c'est de l'hébreux et encore c'est peu dire!

@+Claudel

Thanos · le 14 février 2008

re!

la suite des manipulations >

1°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/40tm79

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

2°) Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

Il faut choisir Full Scan (et pas QuickScan) >
Poste le rapport qu'il t'affichera à la fin.
Note 1: Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast avant de commencer ce scan > tu le réactiveras à la fin après avoir sauvegardé le rapport.
Pour cela, clique sur le bouton "Pause" avant de commencer le scan >
Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .
Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

@++

Modifié le 14 février 2008 par charles ingals

Claudel · le 14 février 2008

Bonsoir

Je ne suis pas sûr d'avoir tout bien fait.

Après le glisser/déposer, une fenêtre est apparue : exécuter ou annuler et non la bleue que tu m'avais "promise" . J'ai exécuté; C'est ce que j'avais déjà fait lors de la manip précédente.

Je crois que le scan avec Panda a réussi, mais il n'a duré que qques minutes (j'avais bien sélectionné Full scan). Un virus a été détecté. Je l'ai mis en quarantaine.

Voici le message de Total Scan

"Après l'analyse complète de votre PC, aucun logiciel malveillant ACTIF ou LATENT n'a été détecté."

Voici ComboFix.txt

ComboFix 08-02-15.1 - Claude 2008-02-15 22:05:48.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.116 [GMT 1:00]

Endroit: C:\Documents and Settings\Claude\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Claude\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE

C:\WINDOWS\Downloaded Installations\explorer.exe

C:\WINDOWS\system32\directx.exe