Analyse par combofix
zouzoua
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
je suis entrain de faire l'analyse pour une machine infecté qui tourne sous windows xp sp3. j'ai utilisé pour la première fois le combofix comme il m'a dit mon directeur. le problème est que j'ai rien compris le resultat de rapport genrer par ce dernier :(
j'espère bien que je puisse trouver quelqu'un entre vous peut me l'expliquer.
je vous représente ici donc le rapport:
ComboFix 11-01-02.04 - JACOT 03/01/2011 14:19:54.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2037.1414 [GMT 1:00]
Lancé depuis: c:\documents and settings\JACOT\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-03 au 2011-01-03 ))))))))))))))))))))))))))))))))))))
.
2011-01-03 11:57 . 2011-01-03 11:57 110080 ----a-r- c:\documents and settings\JACOT\Application Data\Microsoft\Installer\{41EBC322-660F-4D16-A0DF-53147210CBDB}\IconF7A21AF7.exe
2011-01-03 11:57 . 2011-01-03 11:57 110080 ----a-r- c:\documents and settings\JACOT\Application Data\Microsoft\Installer\{41EBC322-660F-4D16-A0DF-53147210CBDB}\IconD7F16134.exe
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- C:\sh4ldr
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- c:\program files\Enigma Software Group
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- c:\windows\41EBC322660F4D16A0DF53147210CBDB.TMP
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-12-31 08:56 . 2010-12-31 08:56 -------- d-----w- C:\8750d3207f1fce26d3fdf75daca7d4a2
2010-12-31 08:55 . 2010-12-31 12:30 -------- d-----w- c:\windows\SxsCaPendDel
2010-12-30 15:55 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-12-30 15:55 . 2010-09-18 06:53 954368 -c----w- c:\windows\system32\dllcache\mfc40.dll
2010-12-30 15:55 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-12-30 15:54 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-12-30 15:54 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-12-30 15:54 . 2010-08-27 08:02 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-12-30 15:54 . 2009-10-15 16:32 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-12-30 15:54 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-12-30 15:54 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-12-30 15:54 . 2009-06-21 21:47 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2010-12-30 15:53 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-30 15:52 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2010-12-30 15:52 . 2009-03-06 14:20 286720 -c----w- c:\windows\system32\dllcache\pdh.dll
2010-12-30 15:52 . 2009-02-09 11:23 111104 -c----w- c:\windows\system32\dllcache\services.exe
2010-12-30 15:52 . 2009-02-09 10:53 685568 -c----w- c:\windows\system32\dllcache\advapi32.dll
2010-12-30 15:52 . 2009-02-09 10:53 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2010-12-30 15:52 . 2009-02-09 10:53 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2010-12-30 15:52 . 2009-02-06 10:39 35328 -c----w- c:\windows\system32\dllcache\sc.exe
2010-12-30 15:52 . 2009-02-09 10:53 739840 -c----w- c:\windows\system32\dllcache\ntdll.dll
2010-12-30 15:52 . 2009-02-09 10:53 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2010-12-30 15:50 . 2010-06-18 13:36 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-12-30 15:50 . 2009-08-25 09:18 354816 -c----w- c:\windows\system32\dllcache\winhttp.dll
2010-12-30 15:49 . 2010-07-16 12:04 221696 -c----w- c:\windows\system32\dllcache\wordpad.exe
2010-12-30 15:49 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-30 15:48 . 2010-08-16 08:44 590848 -c----w- c:\windows\system32\dllcache\rpcrt4.dll
2010-12-30 15:34 . 2010-12-30 15:34 -------- d-----w- c:\program files\CCleaner
2010-12-30 15:08 . 2010-12-30 15:08 -------- d-----w- c:\documents and settings\JACOT\Application Data\Uniblue
2010-12-30 15:07 . 2010-12-30 15:07 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}
2010-12-30 15:07 . 2010-12-30 15:07 -------- d-----w- c:\program files\Uniblue
2010-12-30 15:07 . 2010-12-30 15:07 -------- d-----w- c:\documents and settings\JACOT\Local Settings\Application Data\PackageAware
2010-12-30 14:40 . 2010-12-30 14:40 -------- d-----w- c:\documents and settings\JACOT\Application Data\Malwarebytes
2010-12-30 14:40 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-30 14:39 . 2010-12-30 14:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-12-30 14:39 . 2010-12-30 14:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-12-30 14:39 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-16 09:43 . 2008-12-03 23:14 53632 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\LMIproc.dll
2010-12-16 09:43 . 2008-12-03 23:14 29568 ----a-w- c:\windows\system32\LMIport.dll
2010-12-16 09:43 . 2008-12-03 23:14 83360 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-12-16 09:43 . 2008-12-03 23:14 87424 ----a-w- c:\windows\system32\LMIinit.dll
2010-11-18 18:12 . 2008-04-25 17:59 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-12 17:53 . 2010-07-10 10:07 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2008-11-27 22:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-06 00:28 . 2008-04-25 12:46 832512 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:28 . 2008-04-25 12:46 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2010-11-06 00:28 . 2008-04-25 12:46 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-11-06 00:28 . 2008-04-25 12:46 17408 ----a-w- c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2008-04-25 12:46 389120 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-25 12:46 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:14 . 2008-04-25 12:46 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:07 . 2008-04-25 12:46 1853440 ----a-w- c:\windows\system32\win32k.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-13 3913000]
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-13 20:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
2010-11-13 20:58 3913000 ----a-w- c:\program files\Softonic_France\tbSoft.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-13 3913000]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-13 3913000]
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-27 39408]
"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2010-12-30 67456]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-07-16 1044480]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-23 30192]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-02-26 128296]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Cobian Backup 9 interface"="c:\program files\Cobian Backup 9\cbInterface.exe" [2008-09-21 2748928]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"SpyHunter Security Suite"="c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe" [2010-11-05 4098904]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSN2Lite\Psn2Lite.exe [2001-10-22 507904]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2010-12-16 09:43 87424 ----a-w- c:\windows\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-07-16 04:00 170520 ----a-w- c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-07-16 04:00 150040 ----a-w- c:\windows\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
2007-08-30 09:50 205480 ----a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-07-16 04:00 141848 ----a-w- c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryBooster]
2010-12-30 15:08 67456 ----a-w- c:\program files\Uniblue\RegistryBooster\Launcher.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"stllssvr"=3 (0x3)
"gusvc"=3 (0x3)
"LMIGuardianSvc"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/11/2008 07:25 24064]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10/07/2010 11:00 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/07/2010 11:00 17744]
R2 CobianBackupAmanita;Cobian Backup 9 service;c:\program files\Cobian Backup 9\cbService.exe [03/08/2009 11:07 583168]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 18:46 12856]
R2 SpyHunter 4 Service;SpyHunter 4 Service;c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [05/11/2010 17:53 327000]
R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [01/12/2010 13:32 245760]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [27/01/2010 17:10 5248]
R3 k57w2k;Broadcom NetLink (TM) Gigabit Ethernet;c:\windows\system32\drivers\k57xp32.sys [28/11/2008 07:25 176640]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29/01/2010 10:26 135664]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [27/11/2008 23:45 30192]
S4 LMIGuardianSvc;LMIGuardianSvc;c:\program files\LogMeIn\x86\LMIGuardianSvc.exe [30/12/2010 15:21 374152]
.
Contenu du dossier 'Tâches planifiées'
2011-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 09:26]
2011-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 09:26]
2011-01-03 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-12-27 15:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=5081128
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -
MSConfigStartUp-RGSC - c:\documents and settings\JACOT\Bureau\Rockstar Games Social Club\RGSCLauncher.exe
AddRemove-SearchAssist - c:\dell\SearchAssist\UninstSA.bat
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-03 14:24
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
- - - - - - - > 'explorer.exe'(3912)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Uniblue\RegistryBooster\registrybooster.exe
c:\progra~1\3M\PSN2Lite\PSNGive.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\LogMeIn\x86\RaMaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-03 14:27:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-03 13:27
Avant-CF: 131 497 668 608 octets libres
Après-CF: 132 286 205 952 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
voila c un peu long :(
merci d'avance
cordialement
je suis entrain de faire l'analyse pour une machine infecté qui tourne sous windows xp sp3. j'ai utilisé pour la première fois le combofix comme il m'a dit mon directeur. le problème est que j'ai rien compris le resultat de rapport genrer par ce dernier :(
j'espère bien que je puisse trouver quelqu'un entre vous peut me l'expliquer.
je vous représente ici donc le rapport:
ComboFix 11-01-02.04 - JACOT 03/01/2011 14:19:54.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2037.1414 [GMT 1:00]
Lancé depuis: c:\documents and settings\JACOT\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-03 au 2011-01-03 ))))))))))))))))))))))))))))))))))))
.
2011-01-03 11:57 . 2011-01-03 11:57 110080 ----a-r- c:\documents and settings\JACOT\Application Data\Microsoft\Installer\{41EBC322-660F-4D16-A0DF-53147210CBDB}\IconF7A21AF7.exe
2011-01-03 11:57 . 2011-01-03 11:57 110080 ----a-r- c:\documents and settings\JACOT\Application Data\Microsoft\Installer\{41EBC322-660F-4D16-A0DF-53147210CBDB}\IconD7F16134.exe
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- C:\sh4ldr
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- c:\program files\Enigma Software Group
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- c:\windows\41EBC322660F4D16A0DF53147210CBDB.TMP
2011-01-03 11:57 . 2011-01-03 11:57 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-12-31 08:56 . 2010-12-31 08:56 -------- d-----w- C:\8750d3207f1fce26d3fdf75daca7d4a2
2010-12-31 08:55 . 2010-12-31 12:30 -------- d-----w- c:\windows\SxsCaPendDel
2010-12-30 15:55 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-12-30 15:55 . 2010-09-18 06:53 954368 -c----w- c:\windows\system32\dllcache\mfc40.dll
2010-12-30 15:55 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-12-30 15:54 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-12-30 15:54 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-12-30 15:54 . 2010-08-27 08:02 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-12-30 15:54 . 2009-10-15 16:32 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-12-30 15:54 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-12-30 15:54 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-12-30 15:54 . 2009-06-21 21:47 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2010-12-30 15:53 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-30 15:52 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2010-12-30 15:52 . 2009-03-06 14:20 286720 -c----w- c:\windows\system32\dllcache\pdh.dll
2010-12-30 15:52 . 2009-02-09 11:23 111104 -c----w- c:\windows\system32\dllcache\services.exe
2010-12-30 15:52 . 2009-02-09 10:53 685568 -c----w- c:\windows\system32\dllcache\advapi32.dll
2010-12-30 15:52 . 2009-02-09 10:53 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2010-12-30 15:52 . 2009-02-09 10:53 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2010-12-30 15:52 . 2009-02-06 10:39 35328 -c----w- c:\windows\system32\dllcache\sc.exe
2010-12-30 15:52 . 2009-02-09 10:53 739840 -c----w- c:\windows\system32\dllcache\ntdll.dll
2010-12-30 15:52 . 2009-02-09 10:53 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2010-12-30 15:50 . 2010-06-18 13:36 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-12-30 15:50 . 2009-08-25 09:18 354816 -c----w- c:\windows\system32\dllcache\winhttp.dll
2010-12-30 15:49 . 2010-07-16 12:04 221696 -c----w- c:\windows\system32\dllcache\wordpad.exe
2010-12-30 15:49 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-30 15:48 . 2010-08-16 08:44 590848 -c----w- c:\windows\system32\dllcache\rpcrt4.dll
2010-12-30 15:34 . 2010-12-30 15:34 -------- d-----w- c:\program files\CCleaner
2010-12-30 15:08 . 2010-12-30 15:08 -------- d-----w- c:\documents and settings\JACOT\Application Data\Uniblue
2010-12-30 15:07 . 2010-12-30 15:07 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}
2010-12-30 15:07 . 2010-12-30 15:07 -------- d-----w- c:\program files\Uniblue
2010-12-30 15:07 . 2010-12-30 15:07 -------- d-----w- c:\documents and settings\JACOT\Local Settings\Application Data\PackageAware
2010-12-30 14:40 . 2010-12-30 14:40 -------- d-----w- c:\documents and settings\JACOT\Application Data\Malwarebytes
2010-12-30 14:40 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-30 14:39 . 2010-12-30 14:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-12-30 14:39 . 2010-12-30 14:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-12-30 14:39 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-16 09:43 . 2008-12-03 23:14 53632 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\LMIproc.dll
2010-12-16 09:43 . 2008-12-03 23:14 29568 ----a-w- c:\windows\system32\LMIport.dll
2010-12-16 09:43 . 2008-12-03 23:14 83360 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-12-16 09:43 . 2008-12-03 23:14 87424 ----a-w- c:\windows\system32\LMIinit.dll
2010-11-18 18:12 . 2008-04-25 17:59 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-12 17:53 . 2010-07-10 10:07 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2008-11-27 22:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-06 00:28 . 2008-04-25 12:46 832512 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:28 . 2008-04-25 12:46 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2010-11-06 00:28 . 2008-04-25 12:46 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-11-06 00:28 . 2008-04-25 12:46 17408 ----a-w- c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2008-04-25 12:46 389120 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-25 12:46 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:14 . 2008-04-25 12:46 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:07 . 2008-04-25 12:46 1853440 ----a-w- c:\windows\system32\win32k.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-13 3913000]
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-13 20:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
2010-11-13 20:58 3913000 ----a-w- c:\program files\Softonic_France\tbSoft.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-13 3913000]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-13 3913000]
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-27 39408]
"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2010-12-30 67456]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-07-16 1044480]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-23 30192]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-02-26 128296]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Cobian Backup 9 interface"="c:\program files\Cobian Backup 9\cbInterface.exe" [2008-09-21 2748928]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"SpyHunter Security Suite"="c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe" [2010-11-05 4098904]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSN2Lite\Psn2Lite.exe [2001-10-22 507904]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2010-12-16 09:43 87424 ----a-w- c:\windows\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-07-16 04:00 170520 ----a-w- c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-07-16 04:00 150040 ----a-w- c:\windows\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
2007-08-30 09:50 205480 ----a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-07-16 04:00 141848 ----a-w- c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryBooster]
2010-12-30 15:08 67456 ----a-w- c:\program files\Uniblue\RegistryBooster\Launcher.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"stllssvr"=3 (0x3)
"gusvc"=3 (0x3)
"LMIGuardianSvc"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/11/2008 07:25 24064]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10/07/2010 11:00 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/07/2010 11:00 17744]
R2 CobianBackupAmanita;Cobian Backup 9 service;c:\program files\Cobian Backup 9\cbService.exe [03/08/2009 11:07 583168]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 18:46 12856]
R2 SpyHunter 4 Service;SpyHunter 4 Service;c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [05/11/2010 17:53 327000]
R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [01/12/2010 13:32 245760]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [27/01/2010 17:10 5248]
R3 k57w2k;Broadcom NetLink (TM) Gigabit Ethernet;c:\windows\system32\drivers\k57xp32.sys [28/11/2008 07:25 176640]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29/01/2010 10:26 135664]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [27/11/2008 23:45 30192]
S4 LMIGuardianSvc;LMIGuardianSvc;c:\program files\LogMeIn\x86\LMIGuardianSvc.exe [30/12/2010 15:21 374152]
.
Contenu du dossier 'Tâches planifiées'
2011-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 09:26]
2011-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 09:26]
2011-01-03 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-12-27 15:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=5081128
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -
MSConfigStartUp-RGSC - c:\documents and settings\JACOT\Bureau\Rockstar Games Social Club\RGSCLauncher.exe
AddRemove-SearchAssist - c:\dell\SearchAssist\UninstSA.bat
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-03 14:24
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
- - - - - - - > 'explorer.exe'(3912)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Uniblue\RegistryBooster\registrybooster.exe
c:\progra~1\3M\PSN2Lite\PSNGive.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\LogMeIn\x86\RaMaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-03 14:27:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-03 13:27
Avant-CF: 131 497 668 608 octets libres
Après-CF: 132 286 205 952 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
voila c un peu long :(
merci d'avance
cordialement
A voir également:
- Analyse par combofix
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Échec de l'analyse antivirus. ✓ - Forum Antivirus
- Analyse et réparation disque dur externe - Guide
1 réponse
Bonjour
Pourquoi avoir exécuté combofix?
Ce logiciel est très puissant il aurait pu figer ton pc.
Rien n'a été supprimé en plus...
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
@+
Pourquoi avoir exécuté combofix?
Ce logiciel est très puissant il aurait pu figer ton pc.
Rien n'a été supprimé en plus...
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
@+
je vous remercie pour votre réponse. j'ai installé combofix sous la demande de mon directeur en plus j'ai l'installé sur un poste client a partir de logmein et maintenant je me suis déconnecté. donc je vais tester ce que vous m'avez dit demain et je vous tiens au courant.
merci autre fois pour votre aide.
cordialement
par contre y'a du conduit et du softonic.
à voir demain après ZHPDiag donc.
@+