[rapport ZHPDiag] Redirections google, gomeo

Question

Bonjour,  voici mon rapport  http://www.cijoint.fr/cj201101/cijx0iHUfW.txt 

(Avira n'a pas réussi à corriger mon problème, Malware's byte non plus)   merci ^^

verni29 · Answer

Bonjour, 

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT ) 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu ) 
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir. 

# Lance Combofix.exe et suis les invites. 
# Il te sera demandé d'installer la console de récupération. 
Important. Fais le absolument. 

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.  

# Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt. 

A+

overbest · Answer

Je n'arrive plus à poster le résultat ComboFix  sur Cijoin.fr ça me marque "vous n'avez pas choisi de fichier"  alors que j'ai bien envoyé le log...  -_- 

Et pareil ici, quand je C/C  ça marche pas, le message n'est pas posté ? Qu'est-ce qui se passe ?

overbest · Answer

ComboFix 11-01-14.01 - Géraldine 15/01/2011  17:51:20.3.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.767.208 [GMT 1:00]
Lancé depuis: c:\documents and settings\Géraldine\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Géraldine\Application Data\Microsoft\conhost.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-15 au 2011-01-15  ))))))))))))))))))))))))))))))))))))
.

2011-01-14 23:42 . 2011-01-14 23:42	184320	----a-w-	c:\documents and settings\Géraldine\Application Data\dwm.exe
2011-01-13 14:02 . 2011-01-13 14:03	--------	d-----w-	c:\program files\TuxGuitar-Jet
2011-01-05 07:55 . 2011-01-05 07:55	--------	d-----w-	c:\documents and settings\Géraldine\Application Data\DeviceDoctorSoftware
2011-01-05 07:55 . 2011-01-05 07:55	--------	d-----w-	c:\program files\Device Doctor
2011-01-05 07:35 . 2007-06-27 13:42	207488	----a-r-	c:\windows\system32\drivers\vinyl97.sys
2011-01-05 07:35 . 2011-01-05 07:36	--------	d-----w-	c:\program files\VIA
2011-01-05 07:35 . 2007-04-11 14:35	331184	------w-	c:\windows\system32\difxapi.dll
2011-01-05 06:26 . 2006-01-23 10:48	176128	----a-w-	c:\windows\system32
vuaudio.exe
2011-01-05 05:37 . 2011-01-05 05:37	--------	d-----w-	c:\program files\ma-config.com
2011-01-05 05:37 . 2011-01-05 05:37	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-12-17 03:38 . 2010-12-17 03:42	--------	d-----w-	C:\76fd60307e5009a0d7419d547c9e06

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 07:31 . 2010-11-10 16:36	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-23 11:26 . 2010-11-10 16:36	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2008-03-09 20:21	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-14 21:58 . 2010-11-14 22:00	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-11-14 21:58 . 2010-11-14 22:00	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-09 14:52 . 2006-03-02 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-09 13:12 . 2010-11-09 13:11	86	----a-w-	C:\Recherche.bat
2010-11-06 00:28 . 2006-03-02 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:28 . 2006-03-02 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-11-06 00:28 . 2006-03-02 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-11-06 00:28 . 2006-03-02 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2006-03-02 12:00	389120	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-02 12:00	40960	----a-w-	c:\windows\system32\drivers
dproxy.sys
2010-10-28 13:14 . 2006-03-02 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:07 . 2006-03-02 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2008-04-19 20:43 . 2008-04-19 20:43	4502280	-c--a-w-	c:\program files\LimeWireWin.exe
2007-10-28 01:54 . 2008-03-09 21:18	50688	-c--a-w-	c:\program files\ATF-Cleaner.exe
2009-01-27 01:34 . 2009-01-27 01:34	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-01-27 01:34	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-02-20 816368]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-12-03 14944136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-23 5537792]
"nwiz"="nwiz.exe" [2005-02-23 1495040]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 88209]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-03-02 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2006-03-02 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-03-02 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-03-02 455168]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"F5D7050v3"="c:\program files\Belkin\F5D7050v3\Belkinwcui.exe" [2007-10-30 1654784]
"FixCamera"="c:\windows\FixCamera.exe" [2008-08-21 188928]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2008-08-01 675840]
"tsnp2uvc"="c:\windows	snp2uvc.exe" [2009-06-01 320512]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\G'raldine\Menu D'marrer\Programmes\D'marrage\
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-30 333088]

c:\documents and settings\G'raldine\Menu D'marrer\Programmes\D'marrage\
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-30 333088]

c:\documents and settings\G'raldine\Menu D'marrer\Programmes\D'marrage\
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-30 333088]

c:\documents and settings\G'raldine\Menu D'marrer\Programmes\D'marrage\
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-30 333088]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "c:\progra~1\DVDREG~1\DVDShell.dll" [2004-10-09 49152]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Freeplayer\vlc\vlc.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [10/11/2010 17:36 135336]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/12/2010 11:34 136176]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [20/12/2010 15:55 251760]
.
Contenu du dossier 'Tâches planifiées'

2011-01-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-02 10:34]

2011-01-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-02 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = http=127.0.0.1:57192
FF - ProfilePath - c:\documents and settings\Géraldine\Application Data\Mozilla\Firefox\Profiles\7lz82ufx.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 57192
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-conhost - c:\documents and settings\Géraldine\Application Data\Microsoft\conhost.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-15 17:56
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1???????????????????????????????????????????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
Heure de fin: 2011-01-15  18:00:05
ComboFix-quarantined-files.txt  2011-01-15 16:59

Avant-CF: 6 736 261 120 octets libres
Après-CF: 6 913 032 192 octets libres

verni29 · Answer

overbest, 

Une question : utilises-tu un proxy pour ta connexion au net ?

------------------------------------------

je n'utilise pas cet outil ZHP.
Je le connais mais ne suis pas familiarisé à son utilisation.

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.exe  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

overbest · Answer

J'utilise pas de proxy , (je suis en wifi) mais effectivement ComboFix m'a chamboulé un peu mes paramètres de Firefox parce que j'ai dû remettre dans Outils > Options > Connexions > cocher "Adresse de configuration automatique du proxy"  sinon j'avais plus aucune page qui s'affichait.

Je vais faire l'analyse de OTL mais apparemment les redirections se sont estompées (enfin on n'est jamais trop sûr, ça peut revenir)

verni29 · Answer

overbest,  

Ce n'est pas combofix qui a changé des paramètres de connexion. 
C'est l'infection qui les avait modifié en configurant un proxy sur une adresse locale. 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:57192

A+ 
Allez jusqu'au bout de la procédure de désinfection.

verni29 · Answer

Re, 

Je vais faire l'analyse de OTL mais apparemment les redirections se sont estompées (enfin on n'est jamais trop sûr, ça peut revenir)
overbest, ton problème semble résolu.
pour autant, le PC est encore infecté.

F3 - REG:win.ini: load=C:\DOCUME~1\GRALDI~1\LOCALS~1\Temp\csrss.exe

A toi de voir.

A+

[rapport ZHPDiag] Redirections google, gomeo

7 réponses

Votre réponse

Discussions similaires

Newsletters