Se connecter / S'enregistrer
Votre question
Fermé

Rapport ComboFix

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Mars 2010 11:55:36

Mon PC est hyper lent et l'UC utilisée est toujours de 100%. j'ai fais un hijackthis et on m'a proposé de faire de faire aussi un combofix.


Voici le contenu du rapport ComboFix:



ComboFix 10-03-07.05 - Nane Moulay 08/03/2010 16:39:38.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.255.40 [GMT 0:00]
Lancé depuis: c:\documents and settings\Nane Moulay\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Nane Moulay\Application Data\avdrn.dat
c:\program files\SpeedBit Toolbar\Toolbar\tbhelper.dll
c:\program files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
c:\program files\SpeedBit Video Downloader\Toolbar\tbhelper.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KAVSYS


((((((((((((((((((((((((((((( Fichiers créés du 2010-02-08 au 2010-03-08 ))))))))))))))))))))))))))))))))))))
.

2010-03-08 14:51 . 2010-03-08 14:52 -------- d-----w- C:\rsit
2010-03-08 14:28 . 2010-03-08 14:28 -------- d-----w- c:\program files\Trend Micro
2010-03-07 18:43 . 2010-03-07 18:43 148 ----a-w- c:\windows\system32\fjhdyfhsn.bat
2010-03-07 18:43 . 2010-03-08 17:33 792064 ----a-w- c:\windows\system32\drivers\pqlzttm.sy­s

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-08 17:33 . 2009-03-18 12:30 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-03-08 00:46 . 2008-11-04 08:16 -------- d-----w- c:\documents and settings\Nane Moulay\Application Data\Skype
2010-03-08 00:04 . 2009-11-11 20:26 -------- d-----w- c:\documents and settings\Nane Moulay\Application Data\skypePM
2010-03-07 18:41 . 2010-03-07 18:41 16 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat
2010-02-18 16:55 . 2009-11-11 17:41 -------- d-----w- c:\program files\SpeedBit Video Accelerator
2010-01-31 17:30 . 2010-01-31 17:30 -------- d-----w- c:\documents and settings\Nane Moulay\Application Data\Toolbar4
2010-01-31 17:30 . 2009-11-11 17:41 -------- d-----w- c:\program files\SpeedBit Video Downloader
2010-01-08 00:52 . 2010-01-07 23:51 -------- d-----w- c:\documents and settings\Nane Moulay\Application Data\SWiSH miniMax3
2010-01-07 23:45 . 2010-01-07 23:44 -------- d-----w- c:\program files\SWiSH miniMax3
2010-01-07 23:45 . 2010-01-07 23:45 -------- d-----w- c:\program files\Fichiers communs\SWiSHzone.com
2009-12-31 16:50 . 2004-08-05 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 11:43 . 2008-11-12 13:04 64456 ----a-w- c:\documents and settings\Nane Moulay\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-22 05:09 . 2004-08-05 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
2009-12-22 05:08 . 2004-08-05 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 07:41 . 2008-11-01 14:41 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2004-08-05 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 08:03 . 2004-08-05 12:00 85842 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 08:03 . 2004-08-05 12:00 513736 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-09 10:09 . 2004-08-04 00:48 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:09 . 2004-08-05 12:00 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{F4F10C1D-87C7-404A-B4B3-000000000000}"= "c:\progra~1\DAP\SBSearch.dll" [2009-04-17 38384]

[HKEY_CLASSES_ROOT\clsid\{f4f10c1d-87c7-404a-b4b3-000000000000}]
[HKEY_CLASSES_ROOT\SearchHook.SrchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}]
[HKEY_CLASSES_ROOT\SearchHook.SrchHook]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBFCD017-BCAD-42C3-9ED5-89DBDFC59171}"= "c:\program files\SpeedBit Toolbar\Toolbar\SpeedBit.dll" [2009-04-17 2598896]

[HKEY_CLASSES_ROOT\clsid\{ebfcd017-bcad-42c3-9ed5-89dbdfc59171}]
[HKEY_CLASSES_ROOT\SPEEDBIT1.SPEEDBIT1.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\SPEEDBIT1.SPEEDBIT1]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EBFCD017-BCAD-42C3-9ED5-89DBDFC59171}"= "c:\program files\SpeedBit Toolbar\Toolbar\SpeedBit.dll" [2009-04-17 2598896]

[HKEY_CLASSES_ROOT\clsid\{ebfcd017-bcad-42c3-9ed5-89dbdfc59171}]
[HKEY_CLASSES_ROOT\SPEEDBIT1.SPEEDBIT1.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\SPEEDBIT1.SPEEDBIT1]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Nane Moulay\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-11-02 133104]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-30 68856]
"DownloadAccelerator"="c:\program files\DAP\DAP.EXE" [2009-04-17 2811392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]
"AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 88363]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-08 4730880]
"nwiz"="nwiz.exe" [2004-04-08 323584]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPHmon05"="c:\windows\system32\hphmon05.exe" [2003-05-22 483328]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-10-13 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-01 98304]

c:\documents and settings\Nane Moulay\Menu D‚marrer\Programmes\D‚marrage\
winesm32.exe [2008-4-14 55296]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2003-9-16 237568]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eabconfg.cpl]
2004-07-30 08:33 286720 ----a-w- c:\program files\HPQ\Quick Launch Buttons\eabservr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2004-05-10 17:48 286720 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-11-01 15:45 98304 ----a-w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
2003-08-19 01:01 110592 ----a-w- c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)
"aswUpdSv"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"ose"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"idsvc"=3 (0x3)
"hpqwmi"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\WinSCP\\WinSCP.exe"=
"c:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DAP\\DAP.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 VideoAcceleratorService;VideoAcceleratorService;c:\progra~1\SPEEDB~3\VideoAcceleratorService.exe -start -scm --> c:\progra~1\SPEEDB~3\VideoAcceleratorService.exe -start -scm [?]
S3 sshpmdfl;SAMSUNG HSP Plus Modem Filter Driver;c:\windows\system32\drivers\SHPACMFilter.sys [21/11/2008 19:13 107152]
S3 sshpmdm;SAMSUNG HSP Plus Modem Driver;c:\windows\system32\drivers\SHPACM.sys [21/11/2008 19:13 435140]
S3 sshpusb;SAMSUNG HSP Plus USB Driver;c:\windows\system32\drivers\SHPUSB.sys [21/11/2008 19:14 159216]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - pqlzttm
.
Contenu du dossier 'Tâches planifiées'

2010-03-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-688789844-1801674531-1004Core.job
- c:\documents and settings\Nane Moulay\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-02 08:47]

2010-03-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1417001333-688789844-1801674531-1004UA.job
- c:\documents and settings\Nane Moulay\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-02 08:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.fbaconseils.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=pavilion&pf=laptop
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\progra~1\SPEEDB~3\sblsp.dll
TCP: {68343727-1BF1-43E8-94BA-C8F105D4FA41} = 82.151.90.1,82.151.65.66
FF - ProfilePath - c:\documents and settings\Nane Moulay\Application Data\Mozilla\Firefox\Profiles\k1neou0o.default\
FF - prefs.js: browser.startup.homepage - hxxp://127.0.0.1
FF - prefs.js: keyword.URL - hxxp://search.speedbit.com/searchresults.asp?site=tb&q=
FF - component: c:\program files\DAP\DAPFireFox\components\DAPFireFox.dll
FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - component: c:\program files\SpeedBit Video Downloader\SPFireFox\components\Engine.dll
FF - plugin: c:\documents and settings\Nane Moulay\Local Settings\Application Data\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{3017FB3E-9A77-4396-88C5-0EC9548FB42F} - c:\program files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
BHO-{31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - c:\program files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
HKLM-Run-DXDllRegExe - dxdllreg.exe
HKLM-Run-HPHUPD05 - c:\program files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-08 17:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????8?9?8?4??`???? ???B???????????????B? ??????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pqlzttm]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(760)
c:\progra~1\SPEEDB~3\sblsp.dll
c:\program files\SpeedBit Video Accelerator\Accelerator.dll
c:\program files\SpeedBit Video Accelerator\Collector.dll

- - - - - - - > 'explorer.exe'(3296)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\progra~1\SPEEDB~3\VideoAcceleratorService.exe
c:\windows\system32\wscntfy.exe
c:\windows\AGRSMMSG.exe
c:\program files\Apoint2K\Apntex.exe
c:\documents and settings\Nane Moulay\Local Settings\Application Data\Google\Update\1.2.183.17\GoogleCrashHandler.exe
c:\program files\HP\hpcoretech\comp\hptskmgr.exe
c:\progra~1\SPEEDB~3\VideoAcceleratorEngine.exe
.
**************************************************************************
.
Heure de fin: 2010-03-08 17:54:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-08 17:54

Avant-CF: 1 562 271 744 octets libres
Après-CF: 1 597 689 856 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - AF4792936970621A7E5173291D63ABA5

Autres pages sur : rapport combofix

a c 268 8 Sécurité
9 Mars 2010 12:47:43

Bonjour,

/!\ Seul nane_nana peut suivre cette procédure /!\

Désactive toute protection résidente (Antivirus...) !

---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

KillAll::

File::
c:\documents and settings\Nane Moulay\Menu Démarrer\Programmes\Démarrage\winesm32.exe
c:\documents and settings\NetworkService\Application Data\rbuwzv.dat
c:\windows\system32\drivers\pqlzttm.sy­s
c:\windows\system32\fjhdyfhsn.bat

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pqlzttm]

---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

- Colle (CTRL+V) le texte dans le Bloc-notes.
- Enregistre ce fichier dans : Bureau
- Nom du fichier : CFScript
- Type du fichier : tous les fichiers !!
- Clique sur Enregistrer.
- Quitte le Bloc-notes.

---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    a c 268 8 Sécurité
    9 Mars 2010 13:53:08

    Salut sKe69,

    Cela arrive souvent :D 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS