Analyse de Combofix

Résolu
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,

Je viens de faire un scan avec Combofix dont le log ainsi que le rapport des fichiers quarantinés ci-dessous. Qq'un remarque une signe de défaillance ou la nécessité de faire un autre ajustements?

Voici le log:

ComboFix 11-12-03.01 - oem 03.12.2011 14:52:38.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1254.90.1055.18.1502.1111 [GMT 2:00]
Running from: c:\documents and settings\oem\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active
.
.
[i] ADS - WINDOWS: deleted 192 bytes in 1 streams. /i
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\oem\Application Data\PriceGong
c:\documents and settings\oem\Application Data\PriceGong\Data\1.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\2229.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\2350.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\450.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\a.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\b.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\c.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\d.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\e.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\f.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\g.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\h.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\i.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\j.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\k.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\l.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\m.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\mru.xml
c:\documents and settings\oem\Application Data\PriceGong\Data\n.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\o.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\p.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\q.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\r.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\s.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\t.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\u.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\v.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\w.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\wlu.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\x.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\y.txt
c:\documents and settings\oem\Application Data\PriceGong\Data\z.txt
C:\install.exe
.
Infected copy of c:\windows\system32\userinit.exe was found and disinfected
Restored copy from - c:\system volume information\_restore{0F03B43F-DBEA-4821-AD2C-2BFE90BD1805}\RP55\A0056267.exe
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
.
.
((((((((((((((((((((((((( Files Created from 2011-11-03 to 2011-12-03 )))))))))))))))))))))))))))))))
.
.
2011-12-03 12:19 . 2011-12-03 12:27 -------- d-----w- C:\UsbFix
2011-11-30 23:00 . 2011-12-02 19:59 -------- d-----w- c:\documents and settings\oem\Application Data\DMCache
2011-11-30 23:00 . 2011-12-02 15:16 -------- d-----w- c:\documents and settings\oem\Application Data\IDM
2011-11-30 23:00 . 2011-11-30 23:00 -------- d-----w- c:\program files\Internet Download Manager
2011-11-30 22:48 . 2011-11-30 22:48 -------- d-----w- c:\documents and settings\oem\Application Data\ProgSense
2011-11-30 22:48 . 2011-11-30 22:52 -------- d-----w- C:\downloads
2011-11-30 22:48 . 2011-11-30 22:48 -------- d-----w- c:\documents and settings\oem\Application Data\GrabPro
2011-11-30 22:47 . 2011-11-30 22:58 -------- d-----w- c:\documents and settings\oem\Application Data\Orbit
2011-11-29 01:05 . 2011-11-29 01:05 -------- d-----w- c:\documents and settings\oem\Application Data\Tiffen
2011-11-29 01:03 . 2011-11-29 01:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Tiffen
2011-11-29 01:03 . 2011-11-29 01:03 -------- d-----w- c:\program files\Tiffen
2011-11-28 21:53 . 2011-11-28 21:53 -------- d-----w- c:\documents and settings\oem\Application Data\onOne Software
2011-11-28 21:44 . 2011-05-17 08:40 66560 ----a-w- c:\windows\system32\nlssrv32.exe
2011-11-28 21:44 . 2011-05-17 08:40 227840 ----a-w- c:\windows\system32\Deco_32.dll
2011-11-28 21:21 . 2011-11-28 21:21 -------- d-----w- c:\documents and settings\oem\Application Data\Alien Skin
2011-11-28 21:20 . 2011-11-28 21:20 -------- d-----w- c:\documents and settings\oem\Local Settings\Application Data\Alien Skin
2011-11-28 21:20 . 2011-11-28 22:12 -------- d-----w- c:\documents and settings\All Users\Application Data\boost_interprocess
2011-11-28 21:15 . 2011-11-28 21:15 -------- d-----w- c:\program files\Alien Skin
2011-11-28 21:15 . 2011-11-28 21:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Alien Skin
2011-11-28 19:54 . 2011-11-28 19:54 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{36C464EA-C47D-4366-99A3-E7F497E996C9}
2011-11-28 19:53 . 2011-11-28 19:54 -------- d-----w- c:\program files\Common Files\Topaz Labs
2011-11-28 19:53 . 2011-11-28 19:53 -------- d-----w- c:\program files\Topaz Labs
2011-11-28 19:50 . 2011-11-28 19:50 -------- d-----w- c:\documents and settings\oem\Local Settings\Application Data\PackageAware
2011-11-28 18:45 . 2011-11-28 18:45 -------- d-----w- c:\documents and settings\oem\Local Settings\Application Data\realtech_VR
2011-11-28 18:40 . 2011-11-28 18:40 -------- d-----w- c:\documents and settings\All Users\Application Data\realtech VR
2011-11-28 18:28 . 2011-11-28 18:28 -------- d-----w- c:\program files\realtech VR
2011-11-28 15:24 . 2011-11-28 15:25 -------- d-----w- c:\windows\system32\Adobe
2011-11-20 18:16 . 2001-11-21 17:12 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2011-11-20 18:16 . 2001-11-21 17:12 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2011-11-20 18:16 . 2008-04-13 09:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2011-11-20 18:16 . 2008-04-13 09:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2011-11-20 18:05 . 2011-11-20 18:11 -------- d-----w- c:\program files\Counter-Strike 1.6
2011-11-19 21:14 . 2011-11-19 21:14 -------- d-----w- c:\documents and settings\oem\Application Data\OpenCandy
2011-11-19 21:12 . 2011-11-20 13:00 -------- d-----w- c:\documents and settings\oem\Application Data\DAEMON Tools Lite
2011-11-19 21:12 . 2011-11-19 21:12 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2011-11-19 20:31 . 2011-11-19 20:31 -------- d-----w- c:\program files\Lavalys
2011-11-14 13:39 . 2011-07-06 13:14 101616 ----a-w- c:\windows\system32\drivers\idmtdi.sys
2011-11-13 21:25 . 2011-11-13 21:25 -------- d-----w- c:\program files\Common Files\Spigot
2011-11-13 21:23 . 2011-11-27 18:10 -------- d-----w- c:\documents and settings\All Users\Application Data\YouTube Downloader
2011-11-13 21:23 . 2011-11-13 21:23 -------- d-----w- c:\program files\YouTube Downloader
2011-11-13 21:15 . 2011-11-13 21:15 -------- d-----w- c:\windows\Sun
2011-11-13 21:02 . 2011-11-13 21:02 -------- d-----w- c:\program files\Common Files\Java
2011-11-13 21:01 . 2011-11-13 21:00 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-11-13 21:01 . 2011-11-13 21:00 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-11-13 21:00 . 2011-11-13 21:00 -------- d-----w- c:\program files\Java
2011-11-12 12:19 . 2011-11-14 21:17 -------- d-----w- c:\documents and settings\oem\Application Data\Skype
2011-11-12 12:19 . 2011-11-12 12:20 -------- d-----r- c:\program files\Skype
2011-11-12 12:19 . 2011-11-12 12:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2011-11-03 21:19 . 2011-11-09 20:50 -------- d-----w- c:\documents and settings\oem\Application Data\Intelli-studio
2011-11-03 16:01 . 2011-11-11 23:12 -------- d-----w- c:\documents and settings\oem\Application Data\Adobe Mini Bridge CS5
2011-11-03 16:01 . 2011-11-03 16:01 -------- d-----w- c:\documents and settings\oem\Application Data\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
2011-11-03 15:58 . 2011-11-03 15:58 -------- d-----w- c:\documents and settings\All Users\Application Data\regid.1986-12.com.adobe
2011-11-03 15:44 . 2011-11-03 15:44 -------- d-----w- c:\program files\Adobe Media Player
2011-11-03 15:40 . 2011-11-03 15:40 -------- d-----w- c:\program files\Common Files\Adobe AIR
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-03 12:26 . 2011-12-03 12:26 7826942 ----a-w- C:\UsbFix_Upload_Me_XX-3Q9NHVVP84FC.zip
2011-10-06 18:49 . 2011-07-01 19:40 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-11 14:44 . 2011-07-01 18:00 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2011-05-30 14:50 21864 ----a-w- c:\program files\Internet Download Manager\IDMShellExt.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-05-09 1443072]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59 937920 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-09-07 22:58 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 01:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-02-22 02:57 406992 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2008-04-14 06:00 110592 ----a-w- c:\windows\system32\bthprops.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2004-12-16 08:27 126976 ----a-w- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2004-12-16 08:27 155648 ----a-w- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:00 1695232 ------w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 07:27 17351304 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 11:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 11:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Counter-Strike 1.6\\hl.exe"=
.
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [09.05.2008 06:42 33800]
R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [14.11.2011 15:39 101616]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [15.05.2008 23:53 472320]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [03.07.2011 23:19 36608]
S3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
.
Contents of the 'Scheduled Tasks' folder
.
2011-12-03 c:\windows\Tasks\AdobeAAMUpdater-1.0-XX-3Q9NHVVP84FC-oem.job
- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-11-03 01:44]
.
.
------- Supplementary Scan -------
.
IE: Bütün linkleri IDM ile indir - c:\program files\Internet Download Manager\IEGetAll.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: IDM ile indir - c:\program files\Internet Download Manager\IEExt.htm
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{91401DA5-BB67-400D-B42F-55D20E27FBEA}: NameServer = 8.8.8.8,8.8.4.4
FF - ProfilePath - c:\documents and settings\oem\Application Data\Mozilla\Firefox\Profiles\gc33k189.default\
.
- - - - ORPHANS REMOVED - - - -
.
HKCU-Run-AdobeBridge - (no file)
HKLM-Run-NPSStartup - (no file)
MSConfigStartUp-AutoStartNPSAgent - c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe
MSConfigStartUp-TkBellExe - c:\program files\Real\RealPlayer\update\realsched.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-03 15:01
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(3216)
c:\program files\Internet Download Manager\IDMShellExt.dll
c:\program files\Internet Download Manager\IDMNetMon.DLL
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2011-12-03 15:04:49 - machine was rebooted
ComboFix-quarantined-files.txt 2011-12-03 13:04
.
Pre-Run: 8.092.020.736 bayt bo?
Post-Run: 8.000.774.144 bayt bo?
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 08F702A6102647120A592EC5BCC73CF6

Le rapport des fichiers quarantinés:

2011-12-03 13:03:52 . 2011-12-03 13:03:52 648 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-TkBellExe.reg.dat
2011-12-03 13:03:51 . 2011-12-03 13:03:51 664 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-AutoStartNPSAgent.reg.dat
2011-12-03 13:03:33 . 2011-12-03 13:03:34 97 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NPSStartup.reg.dat
2011-12-03 13:03:32 . 2011-12-03 13:03:32 97 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-AdobeBridge.reg.dat
2011-12-03 12:56:14 . 2011-12-03 12:56:14 276 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_NPF.reg.dat
2011-12-03 12:56:07 . 2011-12-03 12:56:07 7,457 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-12-03 12:31:44 . 2011-12-03 12:46:26 102 ----a-w- C:\Qoobox\Quarantine\catchme.log
2011-07-20 14:06:48 . 2011-08-25 15:27:49 2,440 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\mru.xml.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 2,227 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\1.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 10,157 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\a.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 10,630 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\b.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 12,106 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\c.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 7,067 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\d.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 7,675 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\e.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 4,707 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\f.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 5,267 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\g.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 3,928 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\h.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 3,922 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\i.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 2,102 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\j.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 2,656 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\k.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 5,737 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\l.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 8,433 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\m.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 2,824 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\n.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 3,269 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\o.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 7,699 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\p.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 421 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\q.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 3,142 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\r.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 14,364 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\s.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 8,036 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\t.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 1,414 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\u.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 2,247 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\v.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 2,868 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\w.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 298 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\x.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 763 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\y.txt.vir
2011-07-17 22:16:10 . 2011-07-17 22:16:10 907 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\z.txt.vir
2011-07-04 20:20:57 . 2011-07-04 20:20:57 2,076 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\2229.txt.vir
2011-07-04 19:23:51 . 2011-07-04 19:23:51 520 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\2350.txt.vir
2011-07-04 19:23:45 . 2011-07-15 18:20:24 1,844 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\450.txt.vir
2011-06-29 07:25:58 . 2011-07-20 13:47:54 0 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\oem\Application Data\PriceGong\Data\wlu.txt.vir
2008-04-14 06:00:56 . 2008-04-14 06:00:56 26,112 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir
2007-11-07 06:03:18 . 2007-11-07 06:03:18 562,688 ----a-w- C:\Qoobox\Quarantine\C\install.exe.vir

Merci


A voir également:

55 réponses

Réponse 1 / 55
Utilisateur anonyme
 
oui ou http://pjjoint.malekal.com
1
Réponse 2 / 55
Utilisateur anonyme
 
salut tu sais qu'en utilisant combofix sans assistance tu aurais pu planter ta machine et ne plus pouvoir la demarrer ?
0
Réponse 3 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,

Malhereusement non, merci pour la consideration.

alors, t'as d'autre idées constructive pour la prochaine etape??
0
Réponse 4 / 55
Utilisateur anonyme
 
hello donne les symptômes qui t'ont poussé à utiliser combofix
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Qq'un qui sait analyser mon log de Combofix please??
0
Réponse 6 / 55
Utilisateur anonyme
 
Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.
0
Réponse 7 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Donc, y'a rien de précis dans mon log de Combofix?

Je posterais une fois que j'ai installé et lancé le logiciel.
0
Réponse 8 / 55
Utilisateur anonyme
 
si

il a estropié un adware et désinfecté un fichier systeme
0
Réponse 9 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Est-ce qu'il faut restoré le fichier de systeme supprimé de combofix?

Il me semble que adwcleaner en a aussi supprimé un.

Mais, mon ordi fait tjrs un clin d'oeuil d'ecran et lent par rapport il a 3 jours. Je crois qu'il faudrait que je restrore le systeme a 3 jours avant.

Voici Le log de logiciel AdwCleaner :

# AdwCleaner v1.320 - Logfile created 12/04/2011 at 19:01:23
# Updated 12/01/11 at 9:00p.m by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : oem - XX-3Q9NHVVP84FC (Administrator)
# Running from : C:\Documents and Settings\oem\Belgelerim\Kar??dan Yüklenenler\adwcleaner0.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Documents and Settings\oem\Application Data\OpenCandy
Folder Deleted : C:\Documents and Settings\oem\Local Settings\Application Data\Conduit
Folder Deleted : C:\Program Files\Conduit
Folder Deleted : C:\Program Files\Common Files\spigot
File Deleted : C:\WINDOWS\system32\conduitEngine.tmp

***** [Registry] *****

Key Deleted : HKCU\Software\Conduit
Key Deleted : HKLM\SOFTWARE\Conduit
Key Deleted : HKLM\SOFTWARE\Classes\Conduit.Engine
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

Registry is OK.

-\\ Mozilla Firefox v8.0 (tr)

Profile : gc33k189.default
File : C:\Documents and Settings\oem\Application Data\Mozilla\Firefox\Profiles\gc33k189.default\prefs.js

File is OK.

*************************

AdwCleaner[S1].txt - [1490 octets] - [04/12/2011 19:01:23]

*************************

Temporary folder : : 1 folder(s)et 4 file(s) deleted

########## EOF - C:\AdwCleaner[S1].txt - [1704 octets] ##########
0
Réponse 10 / 55
Utilisateur anonyme
 
laisse moi faire :)

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
0
Réponse 11 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Le rapport de pre-scan est généré parcontre cijoint.fr ça bugg.
Je le posterait une que ceci est disponible.
0
Xathor Messages postés 836 Date d'inscription   Statut Contributeur sécurité Dernière intervention   149
 
Salut. ;)
Utilise cjoint.com.
0
Réponse 12 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
le lien:

http://cjoint.com/11dc/ALesZUhJhhD.htm
0
Réponse 13 / 55
Utilisateur anonyme
 
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\ciaunwdm.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

==================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-

clean::

Reboot::
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
0
Réponse 14 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Le lien vers virus total------:

http://www.virustotal.com/file-scan/report.html?id=acb58801ef96fa807ecc520bd86b820c9c062749decac6109e93def217f96ad7-1323021407

Par contre, j'arrive pas a faire ouvrir le prescript avec pre-scan.
0
Réponse 15 / 55
Utilisateur anonyme
 
pas grave prends-le ici :

http://dl.dropbox.com/u/21363431/Pre_Script.exe

ou relance pre_scan et selectionne script
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 16 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Le Pre-script:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.121 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 04/11/2011 | 15.30 Par g3n-h@ckm@n
Utilisateur : oem (Administrateurs)
Ordinateur : XX-3Q9NHVVP84FC
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 8.0 (tr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::

Script : 20:27:48

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Modification du registre effectuée

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 20:28:29

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Réponse 17 / 55
Utilisateur anonyme
 
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 18 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Voila le rapport généré de malwarebytes:

Apparemment tout va bien.

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8309

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.12.2011 22:09:36
mbam-log-2011-12-04 (22-09-36).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 208682
Temps écoulé: 23 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 19 / 55
Utilisateur anonyme
 
▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.
0
Réponse 20 / 55
dejavu3419 Messages postés 87 Date d'inscription   Statut Membre Dernière intervention  
 
Pas de rapport généré a la fin du scan. L'?nformation passée dessus:

Message généré par le logiciel : No threads found

182 objets analysés
0

Discussions similaires

" Échec de l'analyse antivirus " la solution.
bazfile -
bazfile -

0 réponse
Google Chrome "  Échec de l'analyse antivirus "
jmpower -
RBmoon -

18 réponses
Échec de l'analyse anti virus.
alice1414 -
bazfile -

3 réponses
Huawei P8 Lite "nouveau tag ajouté"
ArianeKathleen -
Mn -

25 réponses
Nouveau tag ajouté - Utilité
Eerfers -
madmyke -

1 réponse