Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

autorun.inf + Cache-20194029

lucetflo

Par lucetflo
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

  • Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Double-clique ComboFix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

sshot-1-9.jpg

 

@++

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir à vous deux ;

 

Je suis curieux, c'est vrai, mais c'est dans ma nature alors je plaide non coupable à toutes les accusations :P

 

lucetflo : avant de lancer ComboFix, on doit regarder un truc ;

 

Est-ce toi qui bidouille avec la date de ton système ? Je m'explique... USBFix se croyait le 24 Juillet 2548. L'outil RSIT, pour sa part, dit avoir été lancé le 27 Juillet 2005 ; lorsqu'il énumère les fichiers créés récemment, il ne voit pas plus récent que le 16 Janvier 2009.

 

Merci, et bonne continuation.

lucetflo Junior Member

lucetflo

Posté(e)
  • Auteur
Posté(e)

Oui j'ai remarqué aussi.

L'année 2547.... c'est en fait l'année boudhique (je suis au Laos ).

COncernant le changement 2007 puis 2005.... j''avoue c'est un mystère... qui m'a intrigué moi aussi en lisant le log.

....

En tout cas vous lisez attentivement....

Bravo, pour le temps que vous passez à m'aider;

lucetflo Junior Member

lucetflo

Posté(e)
  • Auteur
Posté(e)

ComboFix 09-09-24.01 - SFE 28/09/2009 22:17.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.874.33.1033.18.511.346 [GMT 2:00]

Running from: c:\documents and settings\SFE\Desktop\ComboFix.exe

AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\secupdat.dat

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_Passthru

 

 

((((((((((((((((((((((((( Files Created from 2009-08-28 to 2009-09-28 )))))))))))))))))))))))))))))))

.

 

No new files created in this timespan

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-05 05:45 . 2005-07-23 17:56 580096 --sh--r- c:\windows\system32\wbem\wmisrsv.exe

2009-07-13 06:36 . 2005-07-24 00:25 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-13 06:36 . 2005-07-24 00:25 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

.

 

------- Sigcheck -------

 

[-] 2009-01-15 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2009-01-15 . D3E6E733F4CE1449EB09E5351AF36607 . 2352256 . . [5.1.2600.5657] . . c:\windows\system32\ntoskrnl.exe

 

[-] 2009-01-15 . 0FB0036ACEA470CC670C4919FE53007F . 78360 . . [7.2.6001.788] . . c:\windows\system32\wuauclt.exe

 

[-] 2009-01-15 . 58B388EA22C89493F96CEDD39D91FF09 . 1524736 . . [6.00.2900.5634] . . c:\windows\explorer.exe

 

[-] 2009-01-15 . 362BC5AF8EAF712832C58CC13AE05750 . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

 

[-] 2009-01-15 . 90F970A51E503B2931CED98E5BCDF375 . 2229120 . . [5.1.2600.5657] . . c:\windows\system32\ntkrnlpa.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2009-01-15 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2009-01-15 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2009-01-15 455168]

"laokey.exe"="c:\program files\LSWin\LaoKey.exe" [2000-12-05 155144]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2009-01-15 110592]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-15 15360]

"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"_nltide_2"="shell32" [X]

 

c:\documents and settings\SFE\Start Menu\Programs\Startup\

Anti-Autorun.lnk - c:\program files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe [2005-7-17 251904]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\wbem\\wmisrsv.exe"=

"e:\\CACHE-20194029\\data.sys"=

 

R2 WMISRSV;WMI Security Service;c:\windows\system32\wbem\wmisrsv.exe [23/07/2005 19:56 580096]

R3 minidrv32;MiniPort Driver Hub;c:\windows\system32\drivers\minidrv32.sys [24/07/2005 03:47 11656]

S3 dnapdjch;dnapdjch;\??\c:\windows\System32\Drivers\dnapdjch.sys --> c:\windows\System32\Drivers\dnapdjch.sys [?]

.

.

------- Supplementary Scan -------

.

IE: E&xport to Microsoft Excel - c:\progra~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\SFE\Application Data\Mozilla\Firefox\Profiles\amgs5lr4.default\

FF - prefs.js: browser.search.selectedEngine - Google

.

- - - - ORPHANS REMOVED - - - -

 

SafeBoot-ytaxzqkk.sys

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-28 22:21

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

c:\windows\system32\wbem\wmisrsv.exe [1324] 0x820EA658

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(3324)

c:\windows\system32\SHDOCVW.dll

c:\program files\LSWin\KMap.dll

c:\windows\system32\MSVCRT40.dll

c:\windows\system32\msi.dll

c:\program files\LClock\LC.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Completion time: 2009-09-28 22:22 - machine was rebooted

ComboFix-quarantined-files.txt 2009-09-28 20:22

 

Pre-Run: 36 508 438 528 bytes free

Post-Run: 36 454 539 264 bytes free

 

111

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir à vous deux ;

 

Merci pour les infos, lucetflo :P

 

C'est la première fois que je vois une machine avec des dates de ce genre, avec l'année boudhique. Ça explique, en partie. Pour le reste (2005), on verra. Chose certaine, ComboFix ne nous montre pas plusieurs fichiers à cause de ces incohérences de date. Dommage, mais on se débrouillera.

 

Là le rapport nous dit que la Console de Récupération n'a pas été installée par ComboFix, et elle est nécessaire dans ton cas, alors il faut la mettre. Ton Windows est une version anglo, alors je te pointe vers le guide officiel d'utilisation de ComboFix, en anglais, où tu trouveras les informations nécessaires pour installer cette Console (méthode manuelle - pas trop complexe) :

http://www.bleepingcomputer.com/combofix/h...manual_recovery

 

Lorsque la Console sera installée, clique "YES" pour continuer et lancer ComboFix. Poste son rapport ici, dans ta prochaine réponse.

 

@+

lucetflo Junior Member

lucetflo

Posté(e)
  • Auteur
Posté(e)

Voily voila.... les pros. Encore du boulot. :P

Ca à bien marché.

 

 

 

 

ComboFix 09-09-24.01 - SFE 26/09/2009 10:28.2.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.874.33.1033.18.511.357 [GMT 2:00]

Running from: c:\documents and settings\SFE\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\SFE\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

.

 

((((((((((((((((((((((((( Files Created from 2009-08-26 to 2009-09-26 )))))))))))))))))))))))))))))))

.

 

No new files created in this timespan

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-26 08:18 . 2005-07-24 01:47 11656 ----a-w- c:\windows\system32\drivers\minidrv32.sys

2009-09-05 05:45 . 2005-07-23 17:56 580096 --sh--r- c:\windows\system32\wbem\wmisrsv.exe

2009-07-13 06:36 . 2005-07-24 00:25 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-13 06:36 . 2005-07-24 00:25 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

.

 

------- Sigcheck -------

 

[-] 2009-01-15 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2009-01-15 . D3E6E733F4CE1449EB09E5351AF36607 . 2352256 . . [5.1.2600.5657] . . c:\windows\system32\ntoskrnl.exe

 

[-] 2009-01-15 . 0FB0036ACEA470CC670C4919FE53007F . 78360 . . [7.2.6001.788] . . c:\windows\system32\wuauclt.exe

 

[-] 2009-01-15 . 58B388EA22C89493F96CEDD39D91FF09 . 1524736 . . [6.00.2900.5634] . . c:\windows\explorer.exe

 

[-] 2009-01-15 . 362BC5AF8EAF712832C58CC13AE05750 . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

 

[-] 2009-01-15 . 90F970A51E503B2931CED98E5BCDF375 . 2229120 . . [5.1.2600.5657] . . c:\windows\system32\ntkrnlpa.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2009-01-15 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2009-01-15 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2009-01-15 455168]

"laokey.exe"="c:\program files\LSWin\LaoKey.exe" [2000-12-05 155144]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2009-01-15 110592]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-15 15360]

"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"_nltide_2"="shell32" [X]

 

c:\documents and settings\SFE\Start Menu\Programs\Startup\

Anti-Autorun.lnk - c:\program files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe [2005-7-17 251904]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ytaxzqkk.sys]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\wbem\\wmisrsv.exe"=

"e:\\CACHE-20194029\\data.sys"=

 

R2 WMISRSV;WMI Security Service;c:\windows\system32\wbem\wmisrsv.exe [23/07/2005 19:56 580096]

R3 minidrv32;MiniPort Driver Hub;c:\windows\system32\drivers\minidrv32.sys [24/07/2005 03:47 11656]

S3 dnapdjch;dnapdjch;\??\c:\windows\System32\Drivers\dnapdjch.sys --> c:\windows\System32\Drivers\dnapdjch.sys [?]

.

.

------- Supplementary Scan -------

.

IE: E&xport to Microsoft Excel - c:\progra~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\SFE\Application Data\Mozilla\Firefox\Profiles\amgs5lr4.default\

FF - prefs.js: browser.search.selectedEngine - Google

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-RunOnce-<NO NAME> - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-26 10:30

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

c:\windows\system32\wbem\wmisrsv.exe [1444] 0x81A0C020

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(2528)

c:\windows\system32\SHDOCVW.dll

c:\program files\LSWin\KMap.dll

c:\windows\system32\MSVCRT40.dll

c:\windows\system32\msi.dll

c:\program files\LClock\LC.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

Completion time: 2009-09-26 10:32

ComboFix-quarantined-files.txt 2009-09-26 08:31

ComboFix2.txt 2009-09-26 07:48

 

Pre-Run: 36 419 584 000 bytes free

Post-Run: 36 400 734 208 bytes free

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

108

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Désolé pour le petit délai, et merci pour le rapport (et installation de la Console) :P

 

Il reste quelques trucs à virer, y compris un fichier à soumettre pour examen plus approfondi ; ceci sera fait automatiquement en suivant bien les instructions qui suivent :

===============

 

Prière de désactiver ton antivirus avant de lancer ComboFix.

 

**Le script prescrit ci-bas a été préparé pour la machine de lucetflo seulement et ne dois pas être exécuté sur une autre machine**

 

Ouvre un nouveau fichier du Bloc-notes , puis "Copie/Colle" tout le contenu de la boîte Code ci-bas dans le fichier (incluant l'URL mais pas le mot "Code"):

 

http://forum.zebulon.fr/autoruninf-cache-20194029-t168081.html

Collect::
c:\windows\system32\wbem\wmisrsv.exe

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\wbem\\wmisrsv.exe"=-
"e:\\CACHE-20194029\\data.sys"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ytaxzqkk.sys]

Driver::
dnapdjch

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Tu auras une invite t'indiquant que ComboFix va expédier un fichier pour analyse : accepte.
  • Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

Dis-nous également comment se comporte la machine.

 

À bientôt,

 

Mark

  • 2 semaines après...
lucetflo Junior Member

lucetflo

Posté(e)
  • Auteur
Posté(e)

J'arrive plus à avoir Internet sur l'ordi infecté, je passe donc par un autre ordi.

A priori, j'ai un combofix périmé ?

Pendant l'opération, il a redémarré une fois

Mais ca a semblé marché... le fichier cache ne revient plus sur la clé !!!!

Finit ?

En tout cas bravo les gars .... vous travaillez comme des pros.... (et je referai appel avec vous.... l'Asie c'est bourré de virus ).

 

 

ComboFix 09-09-24.01 - SFE 07/10/2009 20:22.3.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.874.33.1033.18.511.344 [GMT 2:00]

Running from: c:\documents and settings\SFE\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\SFE\Desktop\CFScript.txt

AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

* Created a new restore point

.

- REDUCED FUNCTIONALITY MODE -

 

file zipped: c:\windows\system32\wbem\wmisrsv.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\wbem\wmisrsv.exe

 

.

((((((((((((((((((((((((( Files Created from 2009-09-07 to 2009-10-07 )))))))))))))))))))))))))))))))

.

 

No new files created in this timespan

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-07 18:07 . 2005-07-24 01:47 11656 ----a-w- c:\windows\system32\drivers\minidrv32.sys

2009-07-13 06:36 . 2005-07-24 00:25 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-13 06:36 . 2005-07-24 00:25 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

.

 

------- Sigcheck -------

 

[-] 2009-01-15 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2009-01-15 . D3E6E733F4CE1449EB09E5351AF36607 . 2352256 . . [5.1.2600.5657] . . c:\windows\system32\ntoskrnl.exe

 

[-] 2009-01-15 . 0FB0036ACEA470CC670C4919FE53007F . 78360 . . [7.2.6001.788] . . c:\windows\system32\wuauclt.exe

 

[-] 2009-01-15 . 58B388EA22C89493F96CEDD39D91FF09 . 1524736 . . [6.00.2900.5634] . . c:\windows\explorer.exe

 

[-] 2009-01-15 . 362BC5AF8EAF712832C58CC13AE05750 . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

 

[-] 2009-01-15 . 90F970A51E503B2931CED98E5BCDF375 . 2229120 . . [5.1.2600.5657] . . c:\windows\system32\ntkrnlpa.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2009-01-15 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2009-01-15 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2009-01-15 455168]

"laokey.exe"="c:\program files\LSWin\LaoKey.exe" [2000-12-05 155144]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2009-01-15 110592]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-15 15360]

"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]

 

c:\documents and settings\SFE\Start Menu\Programs\Startup\

Anti-Autorun.lnk - c:\program files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe [2005-7-17 251904]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

S2 WMISRSV;WMI Security Service;"c:\windows\system32\wbem\wmisrsv.exe" --> c:\windows\system32\wbem\wmisrsv.exe [?]

S3 dnapdjch;dnapdjch;\??\c:\windows\System32\Drivers\dnapdjch.sys --> c:\windows\System32\Drivers\dnapdjch.sys [?]

S3 minidrv32;MiniPort Driver Hub;c:\windows\system32\drivers\minidrv32.sys [24/07/2005 03:47 11656]

.

.

------- Supplementary Scan -------

.

IE: E&xport to Microsoft Excel - c:\progra~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\SFE\Application Data\Mozilla\Firefox\Profiles\amgs5lr4.default\

FF - prefs.js: browser.search.selectedEngine - Google

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-07 20:23

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(1908)

c:\windows\system32\SHDOCVW.dll

c:\program files\LSWin\KMap.dll

c:\windows\system32\MSVCRT40.dll

c:\windows\system32\msi.dll

c:\program files\LClock\LC.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Completion time: 2009-10-07 20:24 - machine was rebooted

ComboFix-quarantined-files.txt 2009-10-07 18:24

ComboFix2.txt 2009-09-26 08:32

ComboFix3.txt 2009-09-26 07:48

 

Pre-Run: 36 382 269 440 bytes free

Post-Run: 36 359 819 264 bytes free

 

101

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...