Est ce que mon PC et Clean ?
Mr-AmigO
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
j'ai essayé de scaner mon poste avec combofix mais a quand j'ai li le rapport j'ai remarque que des virus existe tjr .... je suis pas fort en informatique ,pour cela je vais posté le contenu de rapport pour savoir est ce que mon pc et tjr infecté ou les fichier etaient reparer a l'aide de combofix et si mon pc et infecté quel antivirus je vais utilisé :(
ComboFix 08-11-19.08 - Administrateur 2008-11-20 17:13:18.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.290 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\install\install.exe
c:\windows\jestertb.dll
c:\windows\system32\msssc.dll
c:\windows\winservice.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-20 au 2008-11-20 ))))))))))))))))))))))))))))))))))))
.
2008-11-19 09:14 . 2001-09-11 17:20 1,285,632 --a------ c:\windows\system32\SMMedia.dll
2008-11-19 09:14 . 2002-07-24 15:06 974,848 --a------ c:\windows\SynthCoreA.Dll
2008-11-19 09:14 . 2003-03-19 07:54 542,976 --a------ c:\windows\system32\drivers\smwdm.sys
2008-11-19 09:14 . 2002-08-30 12:59 380,928 --a------ c:\windows\SynCor.exe
2008-11-19 09:14 . 2002-11-06 21:23 49,152 --a------ c:\windows\system32\S11thk32.dll
2008-11-19 09:14 . 2002-07-24 14:06 45,056 --a------ c:\windows\system32\SynthCore11Resources.dll
2008-11-19 09:14 . 2002-04-17 16:05 45,056 --a------ c:\windows\system32\CleanUp.exe
2008-11-19 09:14 . 2002-11-06 19:00 40,820 --a------ c:\windows\system32\Syncor11.dll
2008-11-19 09:14 . 2001-09-11 16:20 30,208 --a------ c:\windows\system32\wdmioctl.dll
2008-11-19 09:00 . 2008-11-19 09:00 <REP> d-------- c:\program files\Net Studio
2008-11-19 08:46 . 2008-11-19 08:50 <REP> d-------- C:\!KillBox
2008-11-19 05:46 . 2008-11-19 05:47 <REP> d-------- c:\program files\Trillian
2008-11-16 17:09 . 2008-11-16 17:09 <REP> d-------- c:\program files\PrevxCSI
2008-11-16 17:09 . 2008-11-16 19:11 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PrevxCSI
2008-11-16 17:09 . 2008-11-16 17:09 26,680 --a------ c:\windows\system32\drivers\pxark.sys
2008-11-16 17:06 . 2008-11-16 17:06 <REP> d-------- c:\program files\NOS
2008-11-16 17:06 . 2008-11-16 17:06 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\NOS
2008-11-16 04:51 . 2008-11-16 17:28 <REP> d-------- c:\program files\Anti Trojan Elite
2008-11-15 16:01 . 2008-11-15 16:01 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Azureus
2008-11-15 15:59 . 2008-11-15 15:59 <REP> d-------- c:\program files\Fichiers communs\i4j_jres
2008-11-14 18:31 . 2008-11-14 18:32 <REP> d-------- c:\program files\Simple PDF
2008-11-12 16:59 . 2008-11-16 22:20 <REP> dr-hs---- C:\RESTORE
2008-11-03 03:51 . 2008-11-15 14:17 <REP> d-------- C:\pop
2008-10-27 00:34 . 2008-10-27 00:35 <REP> d-------- c:\documents and settings\Administrateur\Application Data\SecondLife
2008-10-27 00:24 . 2008-10-27 00:36 <REP> d-------- c:\program files\SecondLife
2008-10-22 00:02 . 2008-10-22 00:02 <REP> d-------- c:\program files\MySQL-Front
2008-10-22 00:02 . 2008-10-22 03:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\MySQL-Front
2008-10-21 22:41 . 2008-10-22 00:25 <REP> d-------- c:\program files\EasyPHP1-8
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-20 16:07 --------- d-----w c:\documents and settings\Administrateur\Application Data\Azureus
2008-11-20 07:53 --------- d-----w c:\program files\LogMeIn
2008-11-19 08:00 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-19 06:27 --------- d-----w c:\program files\FlashFXP
2008-11-16 20:57 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-11-16 19:43 359,040 ----a-w c:\windows\system32\drivers\tcpip.sys
2008-11-16 03:33 --------- d-----w c:\program files\Hotspot Shield
2008-11-15 23:18 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2008-11-15 23:17 --------- d-----w c:\program files\Yahoo!
2008-11-15 15:00 --------- d-----w c:\program files\Azureus
2008-11-13 21:46 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-11-11 02:09 --------- d-----w c:\program files\neuf Talk
2008-10-31 02:07 505 ----a-w c:\windows\system32\drivers\CMV3p.txt
2008-10-31 02:07 32 ----a-w c:\windows\system32\drivers\adidsl.cfg
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-13 23:21 --------- d-----w c:\program files\Fichiers communs\snpstd3
2008-10-04 22:48 --------- d-----w c:\program files\Sagem - Utilitaire pour Clé Wi-Fi USB 802.11b
2008-10-04 22:31 --------- d-----w c:\program files\SAGEM
2008-10-04 22:28 --------- d-----w c:\documents and settings\Administrateur\Application Data\WiPeer
2008-10-04 22:27 --------- d-----w c:\program files\Wipeer
2008-10-04 14:16 --------- d-----w c:\program files\SuperCopier2
2008-09-23 23:16 --------- d-----w c:\program files\HiChatter Messenger
2008-09-20 15:53 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\LogMeIn
2008-09-19 23:05 81,984 ----a-w c:\windows\system32\bdod.bin
2007-05-22 17:14 8,784 ----a-w c:\program files\mozilla firefox\plugins\ractrlkeyhook.dll
2007-05-22 17:17 245,408 ----a-w c:\program files\mozilla firefox\plugins\unicows.dll
.
------- Sigcheck -------
2008-11-16 20:43 359040 b77edc2d2592b61594aae480e4ab598e c:\windows\system32\drivers\tcpip.sys
2004-08-22 23:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
2008-11-16 04:33 200192 --a------ c:\program files\Hotspot Shield\hssie\HssIE.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-14 1057280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-12-27 57344]
"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_12\bin\jusched.exe" [2006-05-09 32881]
"VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-08-20 45056]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 69632]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2006-09-09 196608]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-28 988701]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2005-11-28 118784]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048]
"USBFW"="c:\program files\Net Studio\USB FireWall\USB FireWall.exe" [2008-09-01 1330688]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-01-31 98304]
c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-09-08 839680]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-05-28 11:32 87352 c:\windows\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.wmv3"= c:\progra~1\Combined Community Codec Pack\Filters\wmv9vcm.dll
"VIDC.SP54"= SP5X_32.DLL
[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^MagicDisc.lnk]
path=c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\MagicDisc.lnk
backup=c:\windows\pss\MagicDisc.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2008-09-03 22:41 133104 c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HiChatter]
--a------ 2008-09-06 23:36 3154944 c:\program files\HiChatter Messenger\HiChater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
-ra------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 14:57 282624 c:\program files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
--a------ 2006-09-19 09:07 827392 c:\windows\vsnpstd3.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-10-25 06:37 35328 c:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Service help]
--a------ 2008-11-13 15:55 0 c:\recycler\S-1-5-21-2494893316-7933375944-846101413-7453\winservices.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFG1400U]
--------- 2003-11-04 09:45 167936 c:\windows\cfg1400U.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CSIScanner"=2 (0x2)
"wampmysqld"=3 (0x3)
"wampapache"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=
"c:\\Program Files\\Wipeer\\wipeerd\\wipeerd.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"=
"8080:TCP"= 8080:TCP:easy FUCK
"8080:UDP"= 8080:UDP:easy FUCK
R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-11-16 26680]
R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys [2008-09-20 12856]
S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys []
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-11-16 33752]
S3 tapavpn;Steganos Anonym VPN Adapter;c:\windows\system32\DRIVERS\tapavpn.sys [2007-10-19 24320]
S3 WLAN_USB;Sagem 802.11b USB Dongle Driver;c:\windows\system32\DRIVERS\WLANUSB.sys [2008-10-04 644096]
S4 CSIScanner;CSIScanner;"c:\program files\PrevxCSI\prevxcsi.exe" /service [2008-11-16 916536]
S4 wampapache;wampapache;"c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe" -k runservice [2008-07-05 24635]
S4 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19f65f82-3d32-11dd-8b44-4d6564696130}]
\Shell\AutoRun\command - h:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
\Shell\open\command - h:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19f65f88-3d32-11dd-8b44-4d6564696130}]
\Shell\AutoRun\command - H:\w0o.com
\Shell\explore\Command - H:\w0o.com
\Shell\open\Command - H:\w0o.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c0e7921-a741-11dd-a01b-000d9dd03436}]
\Shell\AutoRun\command - H:\vmhr.bat
\Shell\explore\Command - H:\vmhr.bat
\Shell\open\Command - H:\vmhr.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c0e7955-a741-11dd-a01b-000d9dd03436}]
\Shell\AutoRun\command - k:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
\Shell\open\command - k:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{264723e8-89aa-11dd-b05d-4d6564696130}]
\Shell\AutoRun\command - H:\helper.exe
\Shell\explore\Command - H:\helper.exe
\Shell\open\Command - H:\helper.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{434d37dc-8f4a-11dd-a00e-4d6564696130}]
\Shell\AutoRun\command - K:\svch0st.exe
\Shell\explore\Command - K:\svch0st.exe
\Shell\open\Command - K:\svch0st.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{492c038b-8707-11dd-b055-4d6564696130}]
\Shell\AutoRun\command - RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52f495c7-5573-11dd-a23a-4d6564696130}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5edbde69-94b8-11dd-a011-000000000000}]
\Shell\Autoplay\Command - H:\smss.exe
\Shell\AutoRun\command - H:\smss.exe
\Shell\Explore\Command - H:\smss.exe
\Shell\Open\Command - H:\smss.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7974ad20-81ec-11dd-a24c-4d6564696130}]
\Shell\AutoRun\command - I:\r1y1.bat
\Shell\explore\Command - I:\r1y1.bat
\Shell\open\Command - I:\r1y1.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5931b73-5065-11dd-a237-4d6564696130}]
\Shell\AutoRun\command - 39lpji.com
\Shell\explore\Command - 39lpji.com
\Shell\open\Command - 39lpji.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d97965e1-b36a-11dd-a660-4d6564696130}]
\Shell\AutoRun\command - H:\helper.exe
\Shell\explore\Command - H:\helper.exe
\Shell\open\Command - H:\helper.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7398f11-4d6e-11dd-a234-4d6564696130}]
\Shell\AutoRun\command - I:\ipy.cmd
\Shell\explore\Command - I:\ipy.cmd
\Shell\open\Command - I:\ipy.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}]
c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
.
Contenu du dossier 'Tâches planifiées'
2008-11-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21]
2008-11-20 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-03 22:41]
2008-11-19 c:\windows\Tasks\Norton Security Scan.job
- c:\program files\Norton Security Scan\Nss.exe [2008-01-09 03:08]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-RunServices-raVe - (no file)
HKLM-RunServices-Driver32 - (no file)
MSConfigStartUp-Anti Trojan Elite - c:\program files\Anti Trojan Elite\TJEnder.exe
MSConfigStartUp-ares - c:\program files\Ares\Ares.exe
MSConfigStartUp-kamsoft - c:\windows\system32\kamsoft.exe
MSConfigStartUp-Messenger (Yahoo!) - c:\program files\Yahoo!\Messenger\YahooMessenger.exe
MSConfigStartUp-Windows UDP Control Center - winserv.exe
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\nuezcm5v.default\
FF -: plugin - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\nuezcm5v.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
FF -: plugin - c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJPI142_12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPOJI610.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npRACtrl.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 17:18:11
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
c:\windows\system32\Crypserv.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2008-11-20 17:21:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-20 16:21:14
Avant-CF: 16 485 515 264 octets libres
Après-CF: 16,479,752,192 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
303 --- E O F --- 2008-06-09 01:06:48
j'ai essayé de scaner mon poste avec combofix mais a quand j'ai li le rapport j'ai remarque que des virus existe tjr .... je suis pas fort en informatique ,pour cela je vais posté le contenu de rapport pour savoir est ce que mon pc et tjr infecté ou les fichier etaient reparer a l'aide de combofix et si mon pc et infecté quel antivirus je vais utilisé :(
ComboFix 08-11-19.08 - Administrateur 2008-11-20 17:13:18.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.290 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\install\install.exe
c:\windows\jestertb.dll
c:\windows\system32\msssc.dll
c:\windows\winservice.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-20 au 2008-11-20 ))))))))))))))))))))))))))))))))))))
.
2008-11-19 09:14 . 2001-09-11 17:20 1,285,632 --a------ c:\windows\system32\SMMedia.dll
2008-11-19 09:14 . 2002-07-24 15:06 974,848 --a------ c:\windows\SynthCoreA.Dll
2008-11-19 09:14 . 2003-03-19 07:54 542,976 --a------ c:\windows\system32\drivers\smwdm.sys
2008-11-19 09:14 . 2002-08-30 12:59 380,928 --a------ c:\windows\SynCor.exe
2008-11-19 09:14 . 2002-11-06 21:23 49,152 --a------ c:\windows\system32\S11thk32.dll
2008-11-19 09:14 . 2002-07-24 14:06 45,056 --a------ c:\windows\system32\SynthCore11Resources.dll
2008-11-19 09:14 . 2002-04-17 16:05 45,056 --a------ c:\windows\system32\CleanUp.exe
2008-11-19 09:14 . 2002-11-06 19:00 40,820 --a------ c:\windows\system32\Syncor11.dll
2008-11-19 09:14 . 2001-09-11 16:20 30,208 --a------ c:\windows\system32\wdmioctl.dll
2008-11-19 09:00 . 2008-11-19 09:00 <REP> d-------- c:\program files\Net Studio
2008-11-19 08:46 . 2008-11-19 08:50 <REP> d-------- C:\!KillBox
2008-11-19 05:46 . 2008-11-19 05:47 <REP> d-------- c:\program files\Trillian
2008-11-16 17:09 . 2008-11-16 17:09 <REP> d-------- c:\program files\PrevxCSI
2008-11-16 17:09 . 2008-11-16 19:11 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PrevxCSI
2008-11-16 17:09 . 2008-11-16 17:09 26,680 --a------ c:\windows\system32\drivers\pxark.sys
2008-11-16 17:06 . 2008-11-16 17:06 <REP> d-------- c:\program files\NOS
2008-11-16 17:06 . 2008-11-16 17:06 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\NOS
2008-11-16 04:51 . 2008-11-16 17:28 <REP> d-------- c:\program files\Anti Trojan Elite
2008-11-15 16:01 . 2008-11-15 16:01 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Azureus
2008-11-15 15:59 . 2008-11-15 15:59 <REP> d-------- c:\program files\Fichiers communs\i4j_jres
2008-11-14 18:31 . 2008-11-14 18:32 <REP> d-------- c:\program files\Simple PDF
2008-11-12 16:59 . 2008-11-16 22:20 <REP> dr-hs---- C:\RESTORE
2008-11-03 03:51 . 2008-11-15 14:17 <REP> d-------- C:\pop
2008-10-27 00:34 . 2008-10-27 00:35 <REP> d-------- c:\documents and settings\Administrateur\Application Data\SecondLife
2008-10-27 00:24 . 2008-10-27 00:36 <REP> d-------- c:\program files\SecondLife
2008-10-22 00:02 . 2008-10-22 00:02 <REP> d-------- c:\program files\MySQL-Front
2008-10-22 00:02 . 2008-10-22 03:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\MySQL-Front
2008-10-21 22:41 . 2008-10-22 00:25 <REP> d-------- c:\program files\EasyPHP1-8
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-20 16:07 --------- d-----w c:\documents and settings\Administrateur\Application Data\Azureus
2008-11-20 07:53 --------- d-----w c:\program files\LogMeIn
2008-11-19 08:00 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-19 06:27 --------- d-----w c:\program files\FlashFXP
2008-11-16 20:57 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-11-16 19:43 359,040 ----a-w c:\windows\system32\drivers\tcpip.sys
2008-11-16 03:33 --------- d-----w c:\program files\Hotspot Shield
2008-11-15 23:18 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2008-11-15 23:17 --------- d-----w c:\program files\Yahoo!
2008-11-15 15:00 --------- d-----w c:\program files\Azureus
2008-11-13 21:46 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-11-11 02:09 --------- d-----w c:\program files\neuf Talk
2008-10-31 02:07 505 ----a-w c:\windows\system32\drivers\CMV3p.txt
2008-10-31 02:07 32 ----a-w c:\windows\system32\drivers\adidsl.cfg
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-13 23:21 --------- d-----w c:\program files\Fichiers communs\snpstd3
2008-10-04 22:48 --------- d-----w c:\program files\Sagem - Utilitaire pour Clé Wi-Fi USB 802.11b
2008-10-04 22:31 --------- d-----w c:\program files\SAGEM
2008-10-04 22:28 --------- d-----w c:\documents and settings\Administrateur\Application Data\WiPeer
2008-10-04 22:27 --------- d-----w c:\program files\Wipeer
2008-10-04 14:16 --------- d-----w c:\program files\SuperCopier2
2008-09-23 23:16 --------- d-----w c:\program files\HiChatter Messenger
2008-09-20 15:53 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\LogMeIn
2008-09-19 23:05 81,984 ----a-w c:\windows\system32\bdod.bin
2007-05-22 17:14 8,784 ----a-w c:\program files\mozilla firefox\plugins\ractrlkeyhook.dll
2007-05-22 17:17 245,408 ----a-w c:\program files\mozilla firefox\plugins\unicows.dll
.
------- Sigcheck -------
2008-11-16 20:43 359040 b77edc2d2592b61594aae480e4ab598e c:\windows\system32\drivers\tcpip.sys
2004-08-22 23:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
2008-11-16 04:33 200192 --a------ c:\program files\Hotspot Shield\hssie\HssIE.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-14 1057280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-12-27 57344]
"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_12\bin\jusched.exe" [2006-05-09 32881]
"VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-08-20 45056]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 69632]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2006-09-09 196608]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-28 988701]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2005-11-28 118784]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048]
"USBFW"="c:\program files\Net Studio\USB FireWall\USB FireWall.exe" [2008-09-01 1330688]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-01-31 98304]
c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-22 113664]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-09-08 839680]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-05-28 11:32 87352 c:\windows\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.wmv3"= c:\progra~1\Combined Community Codec Pack\Filters\wmv9vcm.dll
"VIDC.SP54"= SP5X_32.DLL
[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^MagicDisc.lnk]
path=c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\MagicDisc.lnk
backup=c:\windows\pss\MagicDisc.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2008-09-03 22:41 133104 c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HiChatter]
--a------ 2008-09-06 23:36 3154944 c:\program files\HiChatter Messenger\HiChater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
-ra------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 14:57 282624 c:\program files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
--a------ 2006-09-19 09:07 827392 c:\windows\vsnpstd3.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-10-25 06:37 35328 c:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Service help]
--a------ 2008-11-13 15:55 0 c:\recycler\S-1-5-21-2494893316-7933375944-846101413-7453\winservices.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFG1400U]
--------- 2003-11-04 09:45 167936 c:\windows\cfg1400U.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CSIScanner"=2 (0x2)
"wampmysqld"=3 (0x3)
"wampapache"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=
"c:\\Program Files\\Wipeer\\wipeerd\\wipeerd.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"=
"8080:TCP"= 8080:TCP:easy FUCK
"8080:UDP"= 8080:UDP:easy FUCK
R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-11-16 26680]
R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys [2008-09-20 12856]
S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys []
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-11-16 33752]
S3 tapavpn;Steganos Anonym VPN Adapter;c:\windows\system32\DRIVERS\tapavpn.sys [2007-10-19 24320]
S3 WLAN_USB;Sagem 802.11b USB Dongle Driver;c:\windows\system32\DRIVERS\WLANUSB.sys [2008-10-04 644096]
S4 CSIScanner;CSIScanner;"c:\program files\PrevxCSI\prevxcsi.exe" /service [2008-11-16 916536]
S4 wampapache;wampapache;"c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe" -k runservice [2008-07-05 24635]
S4 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19f65f82-3d32-11dd-8b44-4d6564696130}]
\Shell\AutoRun\command - h:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
\Shell\open\command - h:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19f65f88-3d32-11dd-8b44-4d6564696130}]
\Shell\AutoRun\command - H:\w0o.com
\Shell\explore\Command - H:\w0o.com
\Shell\open\Command - H:\w0o.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c0e7921-a741-11dd-a01b-000d9dd03436}]
\Shell\AutoRun\command - H:\vmhr.bat
\Shell\explore\Command - H:\vmhr.bat
\Shell\open\Command - H:\vmhr.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c0e7955-a741-11dd-a01b-000d9dd03436}]
\Shell\AutoRun\command - k:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
\Shell\open\command - k:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{264723e8-89aa-11dd-b05d-4d6564696130}]
\Shell\AutoRun\command - H:\helper.exe
\Shell\explore\Command - H:\helper.exe
\Shell\open\Command - H:\helper.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{434d37dc-8f4a-11dd-a00e-4d6564696130}]
\Shell\AutoRun\command - K:\svch0st.exe
\Shell\explore\Command - K:\svch0st.exe
\Shell\open\Command - K:\svch0st.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{492c038b-8707-11dd-b055-4d6564696130}]
\Shell\AutoRun\command - RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52f495c7-5573-11dd-a23a-4d6564696130}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5edbde69-94b8-11dd-a011-000000000000}]
\Shell\Autoplay\Command - H:\smss.exe
\Shell\AutoRun\command - H:\smss.exe
\Shell\Explore\Command - H:\smss.exe
\Shell\Open\Command - H:\smss.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7974ad20-81ec-11dd-a24c-4d6564696130}]
\Shell\AutoRun\command - I:\r1y1.bat
\Shell\explore\Command - I:\r1y1.bat
\Shell\open\Command - I:\r1y1.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5931b73-5065-11dd-a237-4d6564696130}]
\Shell\AutoRun\command - 39lpji.com
\Shell\explore\Command - 39lpji.com
\Shell\open\Command - 39lpji.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d97965e1-b36a-11dd-a660-4d6564696130}]
\Shell\AutoRun\command - H:\helper.exe
\Shell\explore\Command - H:\helper.exe
\Shell\open\Command - H:\helper.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7398f11-4d6e-11dd-a234-4d6564696130}]
\Shell\AutoRun\command - I:\ipy.cmd
\Shell\explore\Command - I:\ipy.cmd
\Shell\open\Command - I:\ipy.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}]
c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
.
Contenu du dossier 'Tâches planifiées'
2008-11-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21]
2008-11-20 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-03 22:41]
2008-11-19 c:\windows\Tasks\Norton Security Scan.job
- c:\program files\Norton Security Scan\Nss.exe [2008-01-09 03:08]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-RunServices-raVe - (no file)
HKLM-RunServices-Driver32 - (no file)
MSConfigStartUp-Anti Trojan Elite - c:\program files\Anti Trojan Elite\TJEnder.exe
MSConfigStartUp-ares - c:\program files\Ares\Ares.exe
MSConfigStartUp-kamsoft - c:\windows\system32\kamsoft.exe
MSConfigStartUp-Messenger (Yahoo!) - c:\program files\Yahoo!\Messenger\YahooMessenger.exe
MSConfigStartUp-Windows UDP Control Center - winserv.exe
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\nuezcm5v.default\
FF -: plugin - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\nuezcm5v.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
FF -: plugin - c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPJPI142_12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_12\bin\NPOJI610.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npRACtrl.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 17:18:11
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
c:\windows\system32\Crypserv.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2008-11-20 17:21:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-20 16:21:14
Avant-CF: 16 485 515 264 octets libres
Après-CF: 16,479,752,192 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
303 --- E O F --- 2008-06-09 01:06:48
A voir également:
- Est ce que mon PC et Clean ?
- Mon pc est lent - Guide
- Reinitialiser pc - Guide
- Ma cle usb n'est pas reconnu par mon pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Plus de son sur mon pc - Guide
2 réponses
Bonjour,
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
--> Double-clique sur le raccourci UsbFix sur ton Bureau.
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
--> Double-clique sur le raccourci UsbFix sur ton Bureau.
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
Bonjour,
tu as plein de restes d'une infection kavo. Tu as été traité où ce sont tes protections qui ont agi ?
J'ai aussi l'impression que tu n'as pas branché tous les "disques amovibles" qui ont été branchés récemment lorsque tu as exécuté USBFix.
Certains sont probablement infectés (et peuvent infecter les Ordis où ils vont être insérés).
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\RESTORE
c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
d:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
i:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
k:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
c:\ipy.cmd
d:\ipy.cmd
h:\ipy.cmdI
i:\ipy.cmd
k:\ipy.cmd
c:\39lpji.com
d:\39lpji.com
h:\39lpji.com
i:\39lpji.com
k:\39lpji.com
c:\r1y1.bat
d:\r1y1.bat
h:\r1y1.bat
I:\r1y1.bat
k:\r1y1.bat
c:\svch0st.exe
d:\svch0st.exe
h:\svch0st.exe
i:\svch0st.exe
K:\svch0st.exe
K:\svch0st.exe
c:\vmhr.bat
d:\vmhr.bat
H:\vmhr.bat
i:\vmhr.bat
k:\vmhr.bat
c:\w0o.com
d:\w0o.com
H:\w0o.com
i:\w0o.com
k:\w0o.com
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19f65f82-3d32-11dd-8b44-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c0e7921-a741-11dd-a01b-000d9dd03436}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{434d37dc-8f4a-11dd-a00e-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{492c038b-8707-11dd-b055-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7974ad20-81ec-11dd-a24c-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5931b73-5065-11dd-a237-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7398f11-4d6e-11dd-a234-4d6564696130}]
Enregistre ce fichier sous le nom CFscript
Branche tous les disques amovibles, clés USB, ... susceptibles d'avoir été infectés
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
tu as plein de restes d'une infection kavo. Tu as été traité où ce sont tes protections qui ont agi ?
J'ai aussi l'impression que tu n'as pas branché tous les "disques amovibles" qui ont été branchés récemment lorsque tu as exécuté USBFix.
Certains sont probablement infectés (et peuvent infecter les Ordis où ils vont être insérés).
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\RESTORE
c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
d:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
i:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
k:\restore\S-1-5-21-1482476501-1644491937-682003330-1013
c:\ipy.cmd
d:\ipy.cmd
h:\ipy.cmdI
i:\ipy.cmd
k:\ipy.cmd
c:\39lpji.com
d:\39lpji.com
h:\39lpji.com
i:\39lpji.com
k:\39lpji.com
c:\r1y1.bat
d:\r1y1.bat
h:\r1y1.bat
I:\r1y1.bat
k:\r1y1.bat
c:\svch0st.exe
d:\svch0st.exe
h:\svch0st.exe
i:\svch0st.exe
K:\svch0st.exe
K:\svch0st.exe
c:\vmhr.bat
d:\vmhr.bat
H:\vmhr.bat
i:\vmhr.bat
k:\vmhr.bat
c:\w0o.com
d:\w0o.com
H:\w0o.com
i:\w0o.com
k:\w0o.com
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19f65f82-3d32-11dd-8b44-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c0e7921-a741-11dd-a01b-000d9dd03436}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{434d37dc-8f4a-11dd-a00e-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{492c038b-8707-11dd-b055-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7974ad20-81ec-11dd-a24c-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5931b73-5065-11dd-a237-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7398f11-4d6e-11dd-a234-4d6564696130}]
Enregistre ce fichier sous le nom CFscript
Branche tous les disques amovibles, clés USB, ... susceptibles d'avoir été infectés
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
* User : Administrateur - AMIGO
* Outils mis a jours le 22/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 3:50:46 le 23/11/2008
* Windows Xp - Internet Explorer 6.0.2900.2180
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
C:\Documents and Settings\Administrateur\dxo.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netsh.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Java\j2re1.4.2_12\bin\jusched.exe
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur de CD-ROM
G: - Lecteur de CD-ROM
H: - Lecteur amovible
K: - Lecteur amovible
+- Contenu de l'autorun : C:\autorun.inf
+- Contenu de l'autorun : D:\autorun.inf
+- Contenu de l'autorun : E:\autorun.inf
[autorun]
OPEN=SETUP.EXE /AUTORUN
ICON=SETUP.EXE,1
shell\configure=&Configurer...
shell\configure\command=SETUP.EXE
shell\install=&Installer...
shell\install\command=SETUP.EXE
+- Contenu de l'autorun : H:\autorun.inf
[autorun]
open=RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
shell\open\default=1
--------------- [ Lecteur C ] ----------------
C: - Lecteur fixe
+- Listing des fichiers présents :
[22/04/2007 00:33][--a------] C:\AUTOEXEC.BAT
[03/08/2004 23:38][-rahs----] C:\NTDETECT.COM
[20/11/2008 17:11][-rahs----] C:\boot.ini
[14/08/2008 11:46][d--------] C:\autorun.inf
[20/11/2008 17:21][--a------] C:\ComboFix.txt
[20/11/2008 17:21][--a------] C:\pass.txt
[20/11/2008 17:21][--a------] C:\UsbFix.txt
[22/04/2007 00:33][--a------] C:\CONFIG.SYS
[22/04/2007 00:33][--a------] C:\IO.SYS
[22/04/2007 00:33][--a------] C:\MSDOS.SYS
[22/04/2007 00:33][--a------] C:\pagefile.sys
--------------- [ Lecteur D ] ----------------
D: - Lecteur fixe
+- Listing des fichiers présents :
[14/08/2008 11:46][d--------] D:\autorun.inf
--------------- [ Lecteur E ] ----------------
E: - Lecteur de CD-ROM
+- Listing des fichiers présents :
[31/07/2003 20:07][-r-------] E:\SETUP.EXE
[18/08/2003 16:49][-r-h-----] E:\AUTORUN.INF
--------------- [ Lecteur G ] ----------------
G: - Lecteur de CD-ROM
+- Listing des fichiers présents :
--------------- [ Lecteur H ] ----------------
H: - Lecteur amovible
+- Listing des fichiers présents :
[21/11/2005 11:58][-rahs----] H:\autorun.inf
--------------- [ Lecteur K ] ----------------
K: - Lecteur amovible
+- Listing des fichiers présents :
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CloneCDTray="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
SunJavaUpdateSched=C:\Program Files\Java\j2re1.4.2_12\bin\jusched.exe
VirtualCloneDrive="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
igfxtray=C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
igfxpers=C:\WINDOWS\system32\igfxpers.exe
DrvLsnr=C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
PWRISOVM.EXE=C:\Program Files\PowerISO\PWRISOVM.EXE
TrueImageMonitor.exe=C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
Acronis Scheduler2 Service="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
LogMeIn GUI="C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
USBFW=C:\Program Files\Net Studio\USB FireWall\USB FireWall.exe
Smapp=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
DiskSuite=C:\Program Files\PC Tools Disk Suite\aDSProcMngr.exe
fiine=C:\WINDOWS\system32\fiine.exe \j
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
--------------- [ Registre / Mountpoint2 ] ----------------
-> Recherche négative.
--------------- [ Nettoyage des disques ] ----------------
H:\autorun.inf ~> fichier appelé : "H:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe" ( présent ! )
Supprimé ! - H:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe
Echec de la supression !! - [14/08/2008 11:46] C:\autorun.inf
Echec de la supression !! - [14/08/2008 11:46] C:\autorun.inf
Echec de la supression !! - [14/08/2008 11:46] C:\autorun.inf
Echec de la supression !! - [14/08/2008 11:46] D:\autorun.inf
Echec de la supression !! - [14/08/2008 11:46] D:\autorun.inf
Echec de la supression !! - [14/08/2008 11:46] D:\autorun.inf
Echec de la supression !! - [18/08/2003 16:49] E:\autorun.inf
Echec de la supression !! - [18/08/2003 16:49] E:\autorun.inf
Echec de la supression !! - [18/08/2003 16:49] E:\autorun.inf
Supprimé ! - [21/11/2005 11:58][-rahs----] H:\autorun.inf
--------------- [ Resumé ] ----------------
-> /!\ Le resultat doit etre interprété par un spécialiste /!\
[22/04/2007 00:33][--a------] C:\AUTOEXEC.BAT
[03/08/2004 23:38][-rahs----] C:\NTDETECT.COM
[20/11/2008 17:11][-rahs----] C:\boot.ini
[14/08/2008 11:46][d--------] C:\autorun.inf
[14/08/2008 11:46][d--------] D:\autorun.inf
[31/07/2003 20:07][-r-------] E:\SETUP.EXE
[18/08/2003 16:49][-r-h-----] E:\AUTORUN.INF
--------------- ! Fin du rapport ! ----------------