combofix

[berclaw]

Bonsoir,

 

 

je suis novices aussi bien dans les forums qu 'en informatique, je suis comptable et mis à part l'utilisation de certains logiciel, la technique c pas mon fort mais je suis curieux et j'ai tenter de jouer les "grands" et me voilà dans de beaux de draps avec un rapport d'analyse de combofix sans savoir que faire et comment de décripter !!!!!!! je me suis noyé dans toutes ces données ... alors si quequ'un veut bien me venir en aide je post mon rapport

 

merci d'avance :

 

ComboFix 10-03-26.01 - Administrateur 26/03/2010 20:55:49.1.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.503.275 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\win32bit.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-26 au 2010-03-26 ))))))))))))))))))))))))))))))))))))

.

 

2010-03-26 19:52 . 2010-03-26 19:52 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Help

2010-03-26 18:44 . 2010-03-26 18:44 -------- d-----w- C:\rsit

2010-03-26 17:53 . 2010-03-26 18:07 -------- d-----w- C:\FyK

2010-03-26 17:23 . 2010-03-26 17:49 -------- d-----w- c:\windows\BDOSCAN8

2010-03-26 16:51 . 2010-03-26 16:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2010-03-26 16:50 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-26 16:50 . 2010-03-26 16:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-03-26 16:50 . 2010-03-26 16:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-03-26 16:50 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-12 18:18 . 2010-03-12 18:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Apple Computer

2010-03-12 17:21 . 2010-03-12 17:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-03-12 17:21 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-03-12 17:21 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-03-12 17:21 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-03-12 17:21 . 2010-03-12 17:21 -------- d-----w- c:\program files\Avira

2010-03-12 17:21 . 2010-03-12 17:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-26 19:53 . 2007-04-30 17:20 -------- d-----w- c:\program files\Trend Micro

2010-03-26 18:46 . 2002-08-30 12:00 83286 ----a-w- c:\windows\system32\perfc00C.dat

2010-03-26 18:46 . 2002-08-30 12:00 504910 ----a-w- c:\windows\system32\perfh00C.dat

2010-03-26 18:41 . 2006-02-17 09:33 39288 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]

"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-02-17 151597]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-02-17 155648]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-22 734872]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2008-12-1 626688]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9581:TCP"= 9581:TCP:soopxkbf

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/03/2010 18:21 108289]

S2 twpyvbpp;Security Network;c:\windows\system32\svchost.exe -k netsvcs [03/08/2004 23:55 14336]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - TM_CFW

*Deregistered* - TmFilter

*Deregistered* - VSApiNt

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

twpyvbpp

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Settings,ProxyServer = 10.33.16.3:8080

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-26 20:58

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\twpyvbpp]

"ServiceDll"="c:\windows\system32\ogmpiehz.dll"

.

Heure de fin: 2010-03-26 21:00:10

ComboFix-quarantined-files.txt 2010-03-26 20:00

 

Avant-CF: 31 354 556 416 octets libres

Après-CF: 31 731 539 968 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - 9D32F8F20511E86C2AE8A36E09B8CAA3

[pear]

Bonjour,

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Pour supprimer Combofix:

Démarrer > Exécuter ->ComboFix /uninstall

 

Supprimez C:\qoobox si vous le trouvez

 

Il ne vous servirait à rien de garder des outils de désinfection qui sont constamment mis à jours et seraient obsolètes en quelques jours.

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

 

L'outil supprimera sans que vous ayez à intervenir.