Combofix demande d'analyse Résolu

Question

Bonjour,
Pourriez vous prendre le relai jusqu'ici on m'a gentillement guidée mais lçà je pense qu'il est un peu tard et je n'ai plus de réponse. Ce post vient en surplus de mon post précédent de kessya2002 Demande aide Hijack

J'ai fait un combo fix, quelqu'un pourrait il m'apporter un peu plus d'aide merci mille fois
Karine

Voici le résultat

Super dur problème de connexion internet mais voila c'est fait :-)

ComboFix 07-10-23.2 - magali 2007-10-27 20:37:07.3 - NTFSx86
Le temps d'exécution du script a été dépassé pour le script "C:\ComboFix\osid.vbs".
L'exécution du script a pris fin.
Running from: C:\DOCUME~1\magali\Bureau\combofix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\hosts
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\awtuutq.dll
C:\WINDOWS\system32\byxusro.dll
C:\WINDOWS\system32\efcbbax.dll
C:\WINDOWS\system32\fccabxx.dll
C:\WINDOWS\system32\gebawtu.dll
C:\WINDOWS\system32\gebbyyw.dll
C:\WINDOWS\system32\khffdcd.dll
C:\WINDOWS\system32\ljjgfed.dll
C:\WINDOWS\system32\ljjhhij.dll
C:\WINDOWS\system32\ljjjjkh.dll
C:\WINDOWS\system32\ljjkhef.dll
C:\WINDOWS\system32\nnnkkhi.dll
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\opnnkig.dll
C:\WINDOWS\system32\qomljii.dll
C:\WINDOWS\system32\rqrpppn.dll
C:\WINDOWS\system32\ssqpqrr.dll
C:\WINDOWS\system32\tqlqyjtdh.dat
c:\windows\system32\tqlqyjtdh.exe
C:\WINDOWS\system32\tqlqyjtdh_nav.dat
c:\WINDOWS\system32\tqlqyjtdh_navps.dat
C:\WINDOWS\system32\xxywwxy.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE

((((((((((((((((((((((((((((( Fichiers créés 2007-09-27 to 2007-10-27 ))))))))))))))))))))))))))))))))))))
.

2007-10-27 18:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 17:21 <REP> d-------- C:\VundoFix Backups
2007-10-27 16:49 <REP> d-------- C:\Program Files\Panda Security
2007-10-27 15:43 <REP> d-------- C:\Program Files\Hijackthis Version Française
2007-10-27 13:15 <REP> d-------- C:\Program Files\Trend Micro
2007-10-24 16:36 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-24 10:23 <REP> d-------- C:\Documents and Settings\Administrateur.PRUVOT\Modèles
2007-10-20 16:18 <REP> d-------- C:\Program Files\MSECache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-27 18:36 --------- d-----w C:\Program Files\Wanadoo
2007-10-17 18:36 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-09-16 17:51 --------- d-----w C:\Documents and Settings\magali.PRUVOT\Application Data\Hewlett-Packard
2007-09-12 19:03 --------- d-----w C:\Program Files\SAGEM
2007-09-12 17:59 --------- d-----w C:\Program Files\Securitoo
2007-09-12 17:41 --------- d-----w C:\Program Files\Kaspersky Lab
2007-09-12 15:30 --------- d-----w C:\Documents and Settings\philippe\Application Data\vlc
2007-09-12 15:28 --------- d-----w C:\Program Files\VideoLAN
2007-09-12 15:26 --------- d-----w C:\Program Files\Alcohol Soft
2007-09-12 15:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-30 15:17 705,315 ----a-w C:\winbash.exe
2007-07-27 07:11 705,315 ----a-w C:\wincrt.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71}]
C:\WINDOWS\system32\ddcdc.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F3F18668-6B32-4CCA-BC65-C5DBC224B072}]
C:\WINDOWS\system32\uupnovqs.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2002-08-28 11:17 C:\WINDOWS\system32\Ati2mdxx.exe]
"CARPService"="carpserv.exe" [2003-03-06 10:50 C:\WINDOWS\system32\carpserv.exe]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-05-15 21:10]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2003-01-09 12:46]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2003-01-09 12:45]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-08-28 11:47]
"OfficeGuard RegChecker"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" [2001-09-12 15:33]
"AVPCC"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" [2003-09-08 13:53]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-05-23 09:15]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 01:03]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 21:58]
"Spyware-Secure"="C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware Cleaner"="C:\Program Files\Spyware Cleaner\SpywareCleaner.exe" []
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]

R1 SSHDRV76;SSHDRV76;\??\C:\WINDOWS\System32\drivers\SSHDRV76.sys
S2 AVPCC;AVP Control Centre Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service
S2 KAVMonitorService;KAV Monitor Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service
S3 AMDMSRIO;AMDMSRIO;\??\C:\DOCUME~1\magali\LOCALS~1\Temp\Safe To Delete 3_0_3_5\AMDMSRIO.sys
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2004-11-30 21:07:38 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1084390208.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-27 20:53:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-27 20:56:17 - machine was rebooted
.
--- E O F ---

Afficher la suite

!^^![ME] · Answer

saluut,

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

@++

philae83 · Answer

bonsoir

si tu as déjà posté un sujet, il faut continuer sur le sujet en question et non en créer un nouveau, sinon on n'arrive à rien.

^^![ME], 
on ne parle d'analyser combo et toi tu demande un rapport navilog, je n'ai pas compris.....le pourquoi de la chose

!^^![ME] · Answer

salut,

peut etre je me suis trompé dans mon raisonnement mais toi au moins tu pourras m'expliquer car je n'ai pas l'habitude de combo...

il y a cette ligne dans combo:

C:\WINDOWS\pack.epk

et cette ligne en général on la retrouve dans les rapports infecté navifix...

eclaire moi stp...

@++

philae83 · Answer

ton raisonnement est bon, mais il faudrait analyser entièrement le rapport de combo et voir où elle a commencé la première fois puisqu'elle dit

Bonjour,
Pourriez vous prendre le relai jusqu'ici on m'a gentillement guidée mais lçà je pense qu'il est un peu tard et je n'ai plus de réponse. Ce post vient en surplus de mon post précédent de kessya2002 Demande aide Hijack

J'ai fait un combo fix, quelqu'un pourrait il m'apporter un peu plus d'aide merci mille fois
Karine

!^^![ME] · Answer

ok...merci beaucoup pour ta réponse... :-))

ha oui j'avais oublié qu'elle venait d'un autre post...

je vais me coucher je reviens demain

bonne nuit.

did71 · Answer

Bonsoir kessya, ^^![ME], Philae,

Philae, si tu me permets, je réponds!

C:\WINDOWS\pack.epk, tu les retrouves dans navifix, tu pourras ajouter ceci aussi lié à navipromo et visible dans le log:

C:\WINDOWS\system32	qlqyjtdh.dat
c:\windows\system32	qlqyjtdh.exe
C:\WINDOWS\system32	qlqyjtdh_nav.dat
c:\WINDOWS\system32	qlqyjtdh_navps.dat 

mais étant marqué dans le log combo comme supprimé!

Combofix ne traite pas qu'une infection, c'est un outil puissant pouvant virer de nombreuses bébétes, le reste étant une infection vundo!

Faire un fix pour ces lignes aussi:

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D74BF9B-F4D3-420B-B27A-9E7DCBA5CF71}]
C:\WINDOWS\system32\ddcdc.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F3F18668-6B32-4CCA-BC65-C5DBC224B072}]
C:\WINDOWS\system32\uupnovqs.dll

Ensuite, je demanderai un rapport hijackthis, un rapport vundofix et un rapport catchme!

a+

!^^![ME] · Answer

C:\WINDOWS\system32	qlqyjtdh.dat
c:\windows\system32	qlqyjtdh.exe
C:\WINDOWS\system32	qlqyjtdh_nav.dat
c:\WINDOWS\system32	qlqyjtdh_navps.dat

mais étant marqué dans le log combo comme supprimé! 


mieux vaut prevenir que guerir..; =))

philae83 · Answer

re

merci did d'être passé pour des explications. notre ami IME s'instruit, et c'est très bien :)

en tout état de cause il faut continuer là où tu as commencé kessya, c'est à dire ici

http://www.commentcamarche.net/forum/affich 3880394 hijack demande d aide#0

pour ne pas refaire 50 000 x les mêmes manips.

merci

Combofix demande d'analyse

8 réponses

Votre réponse

Discussions similaires

Newsletters