aide combofix

[steph.paca]

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
KJMQRFRC
File::
c:\windows\system32\drivers\fntjsiih.sys
c:\windows\Internet Logs\xDB8.tmp
c:\windows\Internet Logs\xDB9.tmp
c:\windows\Internet Logs\xDB7.tmp
c:\windows\Internet Logs\xDB6.tmp
c:\windows\Internet Logs\xDB4.tmp
c:\windows\Internet Logs\xDB5.tmp
c:\windows\Internet Logs\xDB3.tmp
Collect::
c:\windows\system32\tnvcyftpiyhfmcgu.exe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000000

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

» - Un fichier zippé sera créé c:\qoobox\quarantine > [4]-Submit_Date_Time.zip que tu enverras\upload à cette adresse:

http://upload.malekal.com/

tuto:: http://www.malekal.com/tuto_upload_fichiers.php

 

• tu fais un scan de ton systeme avec antivir et tu postes le rapport en fin d'analyse , tu ignores bien sur la détection sur ComboFix

 

 

 

 

voici le nouveau rapport combofix, mais j'ai besoin que tu m'explique mieux comment trouver et envoyer le zip qoobox stp. merci d'avance:

 

ComboFix 09-04-25.A1 - Administrateur 25/04/2009 15:40.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1024.686 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)

FW: ZoneAlarm Firewall *disabled*

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\Internet Logs\xDB3.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB8.tmp

c:\windows\Internet Logs\xDB9.tmp

c:\windows\system32\drivers\fntjsiih.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Internet Logs\xDB3.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB8.tmp

c:\windows\Internet Logs\xDB9.tmp

c:\windows\system32\drivers\fntjsiih.sys

c:\windows\system32\tnvcyftpiyhfmcgu.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_KJMQRFRC

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-25 au 2009-4-25 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-08 21:25 . 2009-04-08 21:25 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf

2009-04-08 21:25 . 2009-04-08 21:25 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf

2009-04-08 21:25 . 2008-03-21 11:57 14640 ------w c:\windows\system32\spmsgXP_2k3.dll

2009-04-08 21:16 . 2009-04-08 21:16 -------- d-----w c:\program files\Fichiers communs\PCSuite

2009-04-08 21:16 . 2009-04-08 21:16 -------- d-----w c:\program files\Fichiers communs\Nokia

2009-04-08 21:15 . 2009-04-08 21:15 -------- d-----w c:\program files\PC Connectivity Solution

2009-04-08 21:14 . 2008-09-15 05:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerfltj.sys

2009-04-08 21:14 . 2008-09-15 05:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerflt.sys

2009-04-08 21:14 . 2008-09-15 05:56 22016 ----a-w c:\windows\system32\drivers\ccdcmbo.sys

2009-04-08 21:14 . 2008-09-15 05:56 659968 ----a-w c:\windows\system32\nmwcdcocls.dll

2009-04-08 21:14 . 2008-09-15 05:56 17664 ----a-w c:\windows\system32\drivers\ccdcmb.sys

2009-04-08 21:14 . 2008-09-15 05:29 1112288 ----a-w c:\windows\system32\wdfcoinstaller01007.dll

2009-04-08 21:14 . 2009-04-08 21:16 -------- d-----w c:\program files\Nokia

2009-04-07 13:53 . 2009-04-07 13:53 -------- d-----w C:\_OTMoveIt

2009-03-26 14:59 . 2009-03-26 14:59 -------- d-----w C:\COlaF

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-25 13:48 . 2009-03-24 15:07 19095584 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-04-25 13:45 . 2009-03-24 15:07 224804 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-04-24 23:40 . 2008-11-02 11:52 -------- d-----w c:\documents and settings\Administrateur\Application Data\dvdcss

2009-04-24 15:17 . 2008-05-02 20:55 -------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2009-04-24 01:15 . 2009-04-24 07:53 299008 ----a-w c:\windows\Internet Logs\xDBA.tmp

2009-04-23 23:38 . 2008-05-01 09:07 -------- d-----w c:\program files\RamBoost XP

2009-04-22 10:14 . 2008-04-30 15:35 20416 -c--a-w c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-04-09 22:38 . 2008-03-01 09:36 -------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2

2009-04-08 21:26 . 2001-10-02 16:17 63854 ----a-w c:\windows\system32\perfc00C.dat

2009-04-08 21:26 . 2001-10-02 16:17 445434 ----a-w c:\windows\system32\perfh00C.dat

2009-04-08 21:19 . 2009-04-08 21:19 1939786 ----a-w c:\windows\Internet Logs\tvDebug.zip

2009-04-08 21:13 . 2008-09-04 20:21 -------- d-----w c:\documents and settings\All Users\Application Data\Installations

2009-04-08 09:50 . 2008-04-30 20:22 -------- d-----w c:\program files\Java

2009-04-05 19:26 . 2008-05-21 19:09 -------- d-----w c:\program files\Shareaza

2009-03-17 13:23 . 2009-03-17 13:23 -------- d-----r c:\documents and settings\Administrateur\Application Data\Brother

2009-03-17 13:14 . 2008-05-08 23:04 -------- d-----w c:\program files\Spybot - Search & Destroy

2009-03-17 13:14 . 2009-03-17 13:14 196608 ----a-w c:\windows\Internet Logs\xDB1.tmp

2009-03-17 13:14 . 2009-03-17 13:14 1391616 ----a-w c:\windows\Internet Logs\xDB2.tmp

2009-03-17 11:24 . 2009-03-17 10:18 -------- d-----w c:\documents and settings\Administrateur\Application Data\HouseCall 6.6

2009-03-09 03:19 . 2008-12-12 09:58 410984 -c--a-w c:\windows\system32\deploytk.dll

2009-03-02 13:55 . 2009-03-02 13:55 -------- d-----w c:\documents and settings\Administrateur\Application Data\Blender Foundation

2009-02-20 10:35 . 2009-02-20 10:32 4212 ---h--w c:\windows\system32\zllictbl.dat

2008-09-22 15:27 . 2008-09-22 15:27 137 -c--a-w c:\documents and settings\Administrateur\Local Settings\Application Data\fusioncache.dat

2008-08-27 23:03 . 2008-05-04 10:37 47360 -c--a-w c:\documents and settings\Administrateur\Application Data\pcouffin.sys

2008-05-05 11:15 . 2008-05-05 11:15 774144 -c--a-w c:\program files\RngInterstitial.dll

2008-07-11 09:19 . 2008-07-11 09:19 32768 -csha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008071120080712\index.dat

.

 

((((((((((((((((((((((((((((( SnapShot@2009-04-22_10.08.17 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-04-25 13:48 . 2009-04-25 13:48 16384 c:\windows\Temp\Perflib_Perfdata_88.dat

+ 2008-02-29 15:40 . 2001-10-02 16:16 19429 c:\windows\system32\MsDtc\Trace\msdtcvtr.bat

+ 2008-01-18 15:13 . 2008-01-18 15:13 2247 c:\windows\ServicePackFiles\i386\tscdsbl.bat

+ 2008-01-18 15:13 . 2008-01-18 15:13 2247 c:\windows\Installer\tsclientmsitrans\tscdsbl.bat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-02 68856]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]

"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-17 133104]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"SetDefPrt"="c:\program files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]

"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2005-07-22 933888]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Contr“leur d'‚tat.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2008-7-30 802816]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32

"aux2"= sysaudio.sys

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"54926:UDP"= 54926:UDP:brother scanner

 

R3 k310bus;Sony Ericsson K310 Driver driver (WDM);c:\windows\system32\DRIVERS\k310bus.sys [2006-03-10 60800]

R3 k310mdfl;Sony Ericsson K310 USB WMC Modem Filter;c:\windows\system32\DRIVERS\k310mdfl.sys [2006-03-10 9264]

R3 k310mdm;Sony Ericsson K310 USB WMC Modem Driver;c:\windows\system32\DRIVERS\k310mdm.sys [2006-03-10 96352]

R3 k310mgmt;Sony Ericsson K310 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\k310mgmt.sys [2006-03-10 87824]

R3 k310obex;Sony Ericsson K310 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\k310obex.sys [2006-03-10 85696]

R3 NPF;WinPcap Packet Driver (NPF);c:\windows\system32\drivers\NPF.sys [2007-11-15 34064]

 

.

Contenu du dossier 'Tâches planifiées'

 

2009-04-18 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-04-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-2111687655-842925246-500.job

- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-17 21:35]

 

2009-04-25 c:\windows\Tasks\User_Feed_Synchronization-{8BB608C8-000D-49F1-BA8A-63A8EB074385}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 17:36]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = iexplore

Trusted Zone: secuser.com\www

TCP: {16C951AC-F4C8-412E-AD7A-02CECD27A94F} = 208.67.220.220,208.67.222.222

FF - ProfilePath -

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-25 15:49

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2348)

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\WgaTray.exe

c:\windows\system32\brss01a.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\wdfmgr.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\windows\system32\wscntfy.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

.

**************************************************************************

.

Heure de fin: 2009-04-25 15:54 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-25 13:54

ComboFix2.txt 2009-04-22 10:13

ComboFix3.txt 2009-03-24 15:32

 

Avant-CF: 8 712 130 560 octets libres

Après-CF: 8 703 086 592 octets libres

 

203 --- E O F --- 2008-12-13 02:04

[angelique]

mais j'ai besoin que tu m'explique mieux comment trouver et envoyer le zip qoobox stp. merci d'avance

 

bah y'a le tutoriel avec , avec "browse", tu navigues jusqu'à c:\qoobox\quarantine > [4]-Submit_Date_Time.zip , et tu clic envoyer le fichier.Faut le faire avant de desinstaller ComboFix comme expliqué apres sinon on perd le zip.Merci ;o)

 

• sinon c'est ok

 

Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

• naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html

 

http://imagesup.org/images/1237009714-jsff.jpg

 

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

 

http://imagesup.org/images/1237009855-clrff.jpg

 

• Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

• desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

 

ComboFix /u

 

supprime ensuite c:\combofix

[steph.paca]

je tenais à revenir sur ce forum, après un black out de plusieurs mois lié à un décès dans ma famille, pour remercier tous les membres qui m'ont donnés leurs conseils afin d'éliminer le virus présent sur mon ordi. votre aide, gratuite et dénuée d'intérêt, m'a été très précieuse et la moindre des chose était de vous remercier, en particulier angélique, qui s'est véritablement investie afin de me dépanner. ne pouvant partir comme un voleur, je souhaite donc exprimer toute ma reconnaissance à angélique pour son aide très efficace.