Votre question

Rapport combofix

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Septembre 2011 23:13:42

Bonjour,
pourriez me dire comment utiliser le rapport de combofix sur mon ordi, il est infecté par un rootkit d'avance merci

Autres pages sur : rapport combofix

a c 628 8 Sécurité
2 Septembre 2011 12:03:13

Bonjour,

@ mozii : merci de réaliser ce que tu dis, et de lire les règles de cette section !!!
http://www.infos-du-net.com/forum/272538-11-rappels-sec...

Combofix est un outil extrêmement dangereux, et il est interdit de l'utiliser dans cette section si tu ne fait pas parti du groupe "helper" !!!

Merci donc d'éviter de donner ce genre de conseil !


@ baba80 : comme dis précédemment Combofix est un outil dangereux si utilisé sans connaissance.

Quel sont tes symptômes pour dire que tu es infecté par un rootkit ?
Contenus similaires
2 Septembre 2011 12:13:44

Et bien il viens ici pour avoir des infos sur Combofix, dans le lien que j'ai fournit il est bien indiqué que sa peut faire des dégâts.

Maintenant je suis la pour aider, j'ai donné aucun conseil juste un lien pour aider.


Cdt
2 Septembre 2011 17:01:45

hyunkel30 a dit :
Bonjour,

@ mozii : merci de réaliser ce que tu dis, et de lire les règles de cette section !!!
http://www.infos-du-net.com/forum/272538-11-rappels-sec...

Combofix est un outil extrêmement dangereux, et il est interdit de l'utiliser dans cette section si tu ne fait pas parti du groupe "helper" !!!

Merci donc d'éviter de donner ce genre de conseil !


@ baba80 : comme dis précédemment Combofix est un outil dangereux si utilisé sans connaissance.

Quel sont tes symptômes pour dire que tu es infecté par un rootkit ?


bonjour,
d’abord merci de répondre si vite
visiblement problème résolu avec le logitiel combofix j'ai testé sur un ordi secondaire qui ne risquait rien et ou avast avait trouvé le rootkit caché dans system32/ drivers et changeant de nom aussitôt que je voulais l'éradiquer, je scanne régulièrement et pour l’instant tout va bien.
bonne journée à tous
a c 628 8 Sécurité
2 Septembre 2011 19:35:38

Re,

On peut avoir le rapport ComboFix pour voir ?

Note : il se trouve ici C:\Combofix.txt
2 Septembre 2011 19:58:52

hyunkel30 a dit :
Re,

On peut avoir le rapport ComboFix pour voir ?

Note : il se trouve ici C:\Combofix.txt


Oui le voici
ComboFix 11-09-01.03 - Babeth 01/09/2011 21:36:55.1.2 - x86
Microsoft Windows 7 Édition Intégrale 6.1.7601.1.1252.33.1036.18.1536.416 [GMT 1:00]
Lancé depuis: c:\users\Babeth\Downloads\ComboFix.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\MyWebSearch
c:\program files\MyWebSearch\bar\Settings\s_pid.dat
c:\programdata\5F3
c:\programdata\5F3\{98AF6BE4-8580-4920-ABE7-399A0EFAF6EF}.swf
c:\users\Babeth\xobglu32.dll
c:\windows\system\Ctl3d32.dll
c:\windows\system32\bg.jpg
c:\windows\System32\MsMAsk32.ocx
c:\windows\system32\Thumbs.db
c:\windows\Zipdll.dll
I:\uninstall.exe
.
c:\windows\system32\userinit.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-08-01 au 2011-09-01 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-01 20:50 . 2011-09-01 20:50 -------- d-----w- c:\users\Babeth\AppData\Local\{8CF05500-2472-4E84-9A38-DD6F00EA26C1}
2011-09-01 20:46 . 2011-09-01 20:50 -------- d-----w- c:\users\Babeth\AppData\Local\temp
2011-09-01 18:02 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2011-08-07 01:39 . 2011-07-20 08:44 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A3E83644-9941-4F92-8B39-51D78BED1458}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-23 06:13 . 2011-05-14 08:32 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-30 12:43 . 2011-07-30 12:43 0 ---ha-w- c:\users\Babeth\AppData\Local\BITE29B.tmp
2011-07-28 13:23 . 2003-06-04 17:37 77463 ----a-w- c:\windows\system32\el90xbc5.sys
2011-06-09 17:34 . 2011-06-09 17:34 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2011-06-09 17:34 . 2011-06-09 17:34 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2011-06-16 04:38 . 2011-06-22 09:44 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"Software Informer"="c:\program files\Software Informer\softinfo.exe" [2010-06-28 2322501]
"TViXNetShare"="c:\program files\DVICO\TViXNetShare\TViXNetShare.exe" [2008-02-14 858624]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-07-29 17361032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 577536]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-11-22 107112]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2007-01-04 135216]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2010-05-31 63048]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe"
"DATAMNGR"=c:\progra~1\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-16 135664]
R3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [2007-08-29 96384]
R3 dc3d;Pilote de détection des périphériques Microsoft Hardware;c:\windows\system32\DRIVERS\dc3d.sys [2010-07-01 44432]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-16 135664]
R3 ovt530;Hercules Deluxe Webcam;c:\windows\system32\Drivers\ov530vid.sys [2007-02-02 167464]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
R3 SavRoam;SavRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [2007-01-04 124976]
R3 SkyNetBDA;TechniSat DVB-PC TV Star PCI (BDA);c:\windows\system32\DRIVERS\SkyNetBDA.sys [2010-11-14 622040]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-12-09 691696]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 LMIGuardianSvc;LMIGuardianSvc;c:\program files\LogMeIn\x86\LMIGuardianSvc.exe [2010-12-16 374152]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [2010-05-31 12856]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2011-07-29 105592]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-16 15:20]
.
2011-09-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-16 15:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mystart.incredimail.com?a=13T2Pr8lyNq
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
Handler: mcataloguer - {FECF9894-CCCF-4DE3-B994-AEE32E70B341} - c:\program files\MCataloguer\MCatProt.dll
FF - ProfilePath - c:\users\Babeth\AppData\Roaming\Mozilla\Firefox\Profiles\3qpm4pi0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.imesh.com/web?src=ffb&systemid=1&q=
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.chrome.favicons - false
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: browser.xul.error_pages.enabled - true
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 3000000
FF - user.js: content.maxtextrun - 8191
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: network.http.max-connections - 32
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 0
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - (no file)
WebBrowser-{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-2926250678-3682428885-1467267343-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Symantec Shared\ccSvcHst.exe
c:\windows\system32\taskhost.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\MagicTune Premium\MagicTuneEngine.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\conhost.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Symantec AntiVirus\VPTray.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\DllHost.exe
.
**************************************************************************
.
Heure de fin: 2011-09-01 21:55:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-09-01 20:55
.
Avant-CF: 308 344 934 400 octets libres
Après-CF: 308 154 032 128 octets libres
.
- - End Of File - - 7D9D8BFAC76458DBA6DC94477CA6054F
a c 628 8 Sécurité
2 Septembre 2011 23:06:49

Re,

Tu as encore des processus infectieux, un adware notamment ...


A faire :

1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    14 Décembre 2011 15:45:54

    bonjour,
    comment vous soumettre un rapport combofix ?
    en copier-collé ?
    en envoi en pièces jointes ?
    merci.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS