Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport Combatfix

tisouit

Par tisouit
dans Analyses et éradication malwares

 Partager

Messages recommandés

tisouit Member

tisouit

Posté(e)
Posté(e)

Hello, suite a un malware recu via msn, j'ai utiliser Combofix qui m'a donné un Rapport, le voici :

 

ComboFix 10-05-26.01 - B3Lz3buTh 26/05/2010 23:28:22.1.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.1022.301 [GMT 2:00]

Lancé depuis: c:\users\B3Lz3buTh\Desktop\ComboFix.exe

AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\users\B3LZ3B~1\AppData\Local\Temp\sshnas21.dll

c:\users\B3Lz3buTh\AppData\Local\Temp\sshnas21.dll

c:\users\Public\msng.exe

c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-26 au 2010-05-26 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-26 21:38 . 2010-05-26 21:38 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-05-01 01:03 . 2010-02-12 10:49 293376 ----a-w- c:\windows\system32\browserchoice.exe

2010-05-01 01:02 . 2010-02-20 23:54 24064 ----a-w- c:\windows\system32\nshhttp.dll

2010-05-01 01:02 . 2010-02-20 23:51 31232 ----a-w- c:\windows\system32\httpapi.dll

2010-05-01 01:02 . 2010-02-20 21:30 396800 ----a-w- c:\windows\system32\drivers\http.sys

2010-04-30 11:45 . 2010-04-30 11:45 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb92F1.tmp.exe

2010-04-30 11:41 . 2009-10-19 14:42 156672 ----a-w- c:\windows\system32\t2embed.dll

2010-04-30 11:41 . 2009-10-19 14:39 24064 ----a-w- c:\windows\system32\lpk.dll

2010-04-30 11:41 . 2009-10-19 14:37 72704 ----a-w- c:\windows\system32\fontsub.dll

2010-04-30 11:41 . 2009-10-19 14:37 10240 ----a-w- c:\windows\system32\dciman32.dll

2010-04-30 11:41 . 2009-10-19 14:36 34304 ----a-w- c:\windows\system32\atmlib.dll

2010-04-30 11:41 . 2009-10-19 11:45 289792 ----a-w- c:\windows\system32\atmfd.dll

2010-04-30 11:41 . 2009-12-11 12:15 306688 ----a-w- c:\windows\system32\drivers\srv.sys

2010-04-30 11:41 . 2009-12-11 12:15 84992 ----a-w- c:\windows\system32\drivers\srvnet.sys

2010-04-30 11:39 . 2010-02-18 14:22 167424 ----a-w- c:\windows\system32\tcpipcfg.dll

2010-04-30 11:39 . 2010-02-18 14:19 179712 ----a-w- c:\windows\system32\iphlpsvc.dll

2010-04-30 11:39 . 2010-02-18 12:05 815104 ----a-w- c:\windows\system32\drivers\tcpip.sys

2010-04-30 11:39 . 2010-02-18 12:04 22016 ----a-w- c:\windows\system32\netiougc.exe

2010-04-30 11:39 . 2010-02-18 12:04 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys

2010-04-30 11:39 . 2010-02-18 12:04 15360 ----a-w- c:\windows\system32\drivers\TUNMP.SYS

2010-04-30 11:32 . 2009-12-23 12:45 171520 ----a-w- c:\windows\system32\wintrust.dll

2010-04-30 11:31 . 2010-01-13 18:23 97792 ----a-w- c:\windows\system32\cabview.dll

2010-04-29 18:26 . 2010-04-29 18:26 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2010-04-29 15:06 . 2010-02-01 12:24 71960 ----a-w- c:\users\B3Lz3buTh\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1002010-0-npoctoshape.dll

2010-04-29 15:06 . 2010-02-01 12:24 417280 ----a-w- c:\users\B3Lz3buTh\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1002010-0-libOctoshapeClient.dll

2010-04-29 15:06 . 2010-02-01 12:24 124184 ----a-w- c:\users\B3Lz3buTh\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1002010-0-apoctoshape.dll

2010-04-29 14:49 . 2010-04-29 15:07 -------- d-----w- c:\users\B3Lz3buTh\AppData\Local\Orange

2010-04-29 14:45 . 2010-04-29 15:00 -------- d-----w- c:\program files\Orange

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-26 21:04 . 2007-01-27 00:57 699984 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-26 21:04 . 2007-01-27 00:57 121814 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-12 09:21 . 2009-10-02 22:38 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-04 20:15 . 2008-08-27 11:00 -------- d-----w- c:\program files\Windows Live

2010-05-01 13:02 . 2008-07-11 14:14 206528 ----a-w- c:\users\B3Lz3buTh\AppData\Local\GDIPFONTCACHEV1.DAT

2010-05-01 01:15 . 2009-05-25 13:21 -------- d-----w- c:\program files\Microsoft Silverlight

2010-05-01 01:13 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2010-04-30 11:56 . 2007-01-26 16:21 -------- d-----w- c:\program files\Google

2010-04-30 11:43 . 2009-08-30 00:56 71960 ----a-w- c:\users\B3Lz3buTh\AppData\Roaming\Mozilla\Plugins\npoctoshape.dll

2010-04-29 14:57 . 2008-08-25 11:03 -------- d-----w- c:\program files\OrangeHSS

2010-04-23 18:47 . 2010-04-23 18:47 -------- d-----w- c:\program files\CardDetector

2010-04-23 16:58 . 2009-03-04 22:39 -------- d-----w- c:\users\B3Lz3buTh\AppData\Roaming\dvdcss

2010-04-21 18:33 . 2008-08-25 11:02 -------- d-----w- c:\program files\Common Files\France Telecom

2010-04-06 18:29 . 2008-07-28 19:03 -------- d-----w- c:\users\B3Lz3buTh\AppData\Roaming\OFFICEOne7

2010-03-05 14:01 . 2010-04-30 11:40 420352 ----a-w- c:\windows\system32\vbscript.dll

2009-11-18 18:12 . 2009-11-18 18:12 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

2007-01-27 00:59 . 2007-01-27 00:59 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-08-28 1232896]

"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]

"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2006-10-23 1092152]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-14 39408]

"Octoshape Streaming Services"="c:\users\B3Lz3buTh\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]

"MailNotifier"="c:\program files\Orange\MailNotifier\MailNotifier.exe" [2009-08-04 684032]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-08-28 1006264]

"RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 3784704]

"HostManager"="c:\program files\Common Files\AOL\1169828225\ee\AOLSoftware.exe" [2006-11-14 50736]

"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-20 228088]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-18 30192]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-10-24 107112]

"IS CfgWiz"="c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" [2006-10-24 46728]

"osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-10-26 22696]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2006-12-07 90191]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-12-07 7766016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-12-07 81920]

"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-01-10 18944]

"ACTIVBOARD"="c:\program files\Packard Bell\FIJI\aboard.exe" [2007-01-15 54840]

"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2009-08-24 135920]

"CardDetectorHUAWEI1752_1552"="c:\program files\CardDetector\HUAWEI1752_1552\CardDetector.exe" [2009-08-25 282624]

 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

OFFICE One Startup v7.lnk - c:\program files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-1-26 713728]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-30 135664]

R3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-11-18 30192]

R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-06-15 103040]

R3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20061025.029\IDSvix86.sys [2006-10-20 202872]

R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]

S2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [2009-01-28 185640]

 

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - COMHOST

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-26 c:\windows\Tasks\Extension de garantie.job

- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-01-26 16:38]

 

2010-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-30 11:56]

 

2010-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-30 11:56]

 

2010-05-26 c:\windows\Tasks\Recovery DVD Creator.job

- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-01-26 16:34]

 

2010-05-26 c:\windows\Tasks\User_Feed_Synchronization-{A83DBC11-B6A7-475C-80B2-F855972B224A}.job

- c:\windows\system32\msfeedssync.exe [2010-04-30 04:54]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: ajouter cette page à vos favoris Orange - c:\users\B3LZ3B~1\AppData\Local\Temp\cceE935.html

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

IE: traduire la page - c:\users\B3LZ3B~1\AppData\Local\Temp\cceE924.html

IE: traduire le texte sélectionné - c:\users\B3LZ3B~1\AppData\Local\Temp\cceE934.html

FF - ProfilePath - c:\users\B3Lz3buTh\AppData\Roaming\Mozilla\Firefox\Profiles\k1u5w2jh.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - prefs.js: browser.search.selectedEngine - Orange

FF - prefs.js: browser.startup.homepage - hxxp://r.orange.fr/r/Ohome_accueil?ref=O_toolbar32_hook_defaultPage

FF - prefs.js: keyword.URL - hxxp://r.orange.fr/r?ref=O_toolbar32_hook_syntaxError&url=http%3A//rws.search.ke.voila.fr/RW/A/O_toolbar31?errorigin=noturl&kw=

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - component: c:\program files\Orange\ToolbarFR\FirefoxContainer\components\CCLCXPCOMBridge.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

FF - plugin: c:\users\B3Lz3buTh\AppData\Roaming\Mozilla\plugins\npoctoshape.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-Windows System Guard - c:\users\Public\msng.exe

HKLM-Run-Lexmark X1100 Series - c:\program files\Lexmark X1100 Series\lxbkbmgr.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-26 23:38

Windows 6.0.6000 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Heure de fin: 2010-05-26 23:44:41

ComboFix-quarantined-files.txt 2010-05-26 21:44

 

Avant-CF: 35 413 278 720 octets libres

Après-CF: 36 393 390 080 octets libres

 

- - End Of File - - 079BF403FB9E69798828F065763C8232

 

 

 

Donc maintenant que dois-je faire ? Merci de m'avoir lu.

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

Pour finir, on verra utiliser ComboFix pour supprimer des cookies...

 

N'utilisez jamais ComboFix ou Avenger sans qu'il soit prescrit par un membre qualifié et formé à ces outils, qui supervise les opérations. ComboFix n'est en aucun cas un outil de diagnostic ou à tout faire et ne doit pas être utilisé en aveugle.

Voir ici.

 

----------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

  • Double-clique sur RSIT.exe afin de lancer RSIT.
     
    Important :
    * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
     
    * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
    Valide par Appliquer.
     
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

 

+++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...