[LOGICIEL] PC rame (surment une infection)

nyum · le 27 avril 2009

voila pour le rapport

ComboFix 09-04-27.01 - Julien 27/04/2009 18:43.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1590 [GMT 2:00]

Lancé depuis: c:\documents and settings\Julien\Bureau\CCM.exe.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-27 au 2009-4-27 ))))))))))))))))))))))))))))))))))))

.

2009-04-24 08:56 . 2002-08-30 12:00 19456 -c--a-w c:\windows\system32\dllcache\cprofile.exe

2009-04-24 08:56 . 2002-08-30 12:00 19456 ----a-w c:\windows\system32\cprofile.exe

2009-04-24 08:38 . 2008-12-02 10:35 254604 ----a-w c:\windows\clean.cmd

2009-04-23 18:43 . 2009-04-23 18:43 -------- d-----w c:\program files\Avira

2009-04-23 18:43 . 2009-04-23 18:43 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-04-18 22:30 . 2009-04-18 22:30 694144 ----a-w c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-04-18 21:46 . 2009-04-20 09:37 4212 ---ha-w c:\windows\system32\zllictbl.dat

2009-04-18 21:45 . 2009-04-23 18:09 -------- d-----w c:\windows\system32\ZoneLabs

2009-04-18 21:44 . 2009-04-18 21:44 -------- d-----w c:\program files\Zone Labs

2009-04-18 21:44 . 2009-04-23 18:09 -------- d-----w c:\windows\Internet Logs

2009-04-18 20:33 . 2009-04-18 20:34 -------- dc-h--w c:\documents and settings\All Users\Application Data\{D5ABFFAD-D592-4F98-B02B-587125B4801F}

2009-04-18 20:27 . 2009-04-18 20:35 -------- d-----w c:\documents and settings\All Users\Application Data\DriverScanner

2009-04-18 20:15 . 2009-04-18 20:27 -------- d-----w c:\documents and settings\Julien\Application Data\uniblue

2009-04-18 19:29 . 2009-04-18 19:38 -------- d-----w c:\windows\SxsCaPendDel

2009-04-18 19:21 . 2009-04-18 19:21 -------- d--h--r C:\AHCache

2009-04-17 06:46 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe

2009-04-17 06:46 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll

2009-04-17 06:46 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe

2009-04-17 06:46 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll

2009-04-17 06:46 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll

2009-04-17 06:46 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll

2009-04-17 06:46 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll

2009-04-17 06:46 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-17 06:46 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll

2009-04-17 06:45 . 2008-12-16 12:31 354304 -c----w c:\windows\system32\dllcache\winhttp.dll

2009-04-17 06:45 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe

2009-04-05 17:25 . 2009-04-05 17:25 -------- d-----w c:\program files\Trend Micro

2009-03-31 18:59 . 2009-03-31 18:59 -------- d-----w c:\documents and settings\Julien\Application Data\Malwarebytes

2009-03-31 18:59 . 2009-03-26 14:49 15504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-31 18:59 . 2009-03-26 14:49 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-31 18:59 . 2009-03-31 18:59 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-31 11:25 . 2009-03-31 11:26 -------- d-----w C:\ComboFix

2009-03-30 20:57 . 2009-04-20 11:24 -------- d-----w C:\FindyKill

2009-03-30 19:32 . 2009-03-30 19:32 -------- d-----w c:\documents and settings\All Users\Application Data\Babylon

2009-03-30 19:32 . 2009-03-30 19:32 -------- d-----w c:\documents and settings\Julien\Application Data\Babylon

2009-03-30 19:28 . 2009-03-30 19:28 21840 ----a-w c:\windows\system32\SIntfNT.dll

2009-03-30 19:28 . 2009-03-30 19:28 17212 ----a-w c:\windows\system32\SIntf32.dll

2009-03-30 19:28 . 2009-03-30 19:28 12067 ----a-w c:\windows\system32\SIntf16.dll

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-27 16:33 . 2008-03-29 15:02 -------- d-----w c:\program files\Wanadoo

2009-04-23 18:19 . 2009-01-11 16:37 -------- d-----w c:\program files\Packard Bell External HDD

2009-04-23 18:09 . 2008-03-29 20:53 -------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-18 20:42 . 2008-03-29 14:42 -------- d--h--w c:\program files\InstallShield Installation Information

2009-04-18 20:24 . 2009-02-20 16:26 664 ----a-w c:\windows\system32\d3d9caps.dat

2009-04-18 20:14 . 2008-03-29 14:53 48488 ----a-w c:\documents and settings\Julien\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-03-06 14:20 . 2002-08-30 12:00 286720 ----a-w c:\windows\system32\pdh.dll

2009-03-04 07:58 . 2008-06-30 17:50 -------- d-----w c:\program files\Microsoft Silverlight

2009-03-03 00:13 . 2006-06-23 12:28 826368 ----a-w c:\windows\system32\wininet.dll

2009-02-20 17:10 . 2008-03-29 18:22 78336 ----a-w c:\windows\system32\ieencode.dll

2009-02-20 17:00 . 2008-09-27 11:50 107888 ----a-w c:\windows\system32\CmdLineExt.dll

2009-02-09 14:05 . 2002-08-30 12:00 1846912 ----a-w c:\windows\system32\win32k.sys

2009-02-09 11:23 . 2002-08-29 11:42 2025984 ----a-w c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:23 . 2002-08-30 12:00 2147328 ----a-w c:\windows\system32\ntoskrnl.exe

2009-02-09 11:23 . 2002-08-30 12:00 111104 ----a-w c:\windows\system32\services.exe

2009-02-09 10:53 . 2002-08-30 12:00 735744 ----a-w c:\windows\system32\lsasrv.dll

2009-02-09 10:53 . 2005-07-26 04:38 401408 ----a-w c:\windows\system32\rpcss.dll

2009-02-09 10:53 . 2002-08-30 12:00 739840 ----a-w c:\windows\system32\ntdll.dll

2009-02-09 10:53 . 2002-08-30 12:00 685568 ----a-w c:\windows\system32\advapi32.dll

2009-02-06 10:39 . 2002-08-30 12:00 35328 ----a-w c:\windows\system32\sc.exe

2009-02-03 19:58 . 2002-08-30 12:00 56832 ----a-w c:\windows\system32\secur32.dll

2005-09-09 18:55 . 2008-03-29 15:49 7155864 ----a-w c:\program files\NGhost10.msi

2005-09-09 18:55 . 2008-03-29 15:49 35 ----a-w c:\program files\SCSSDist.ini

2005-09-09 18:55 . 2008-03-29 15:49 37766164 ----a-w c:\program files\Data1.cab

2008-09-17 13:14 . 2008-09-17 13:15 32768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091720080918\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Outil de mise … jour Google.lnk.disabled [2008-4-23 946]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]

[bU]

[HKLM\~\startupfolder\C:^Documents and Settings^Julien^Menu Démarrer^Programmes^Démarrage^PulsRadio.lnk]

path=c:\documents and settings\Julien\Menu Démarrer\Programmes\Démarrage\PulsRadio.lnk

backup=c:\windows\pss\PulsRadio.lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"swg"=c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe"

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" /hide

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Jeux\\Far Cry\\Bin32\\FarCry.exe"=

"d:\\Jeux\\Wolfenstein enemy territory\\ET.exe"=

"d:\\Jeux\\H-L génération\\Half-Life\\Half-Life\\Half-Life\\hlds.exe"=

"c:\\Program Files\\GigaTribe\\gigatribe.exe"=

"d:\\Jeux\\Battlfield 2142\\BF2142.exe"=

"d:\\Jeux\\Medal of honnor bataille du pacifique\\mohpa.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"d:\\Jeux\\SNT\\ioUrbanTerror.exe"=

"c:\\Documents and Settings\\Julien\\Mes documents\\Document\\Guillaume\\Half-Life 2\\Half-Life 2\\HL2\\hl2.exe"=

"d:\\Jeux\\metin 2\\metin2.bin"=

"d:\\Jeux\\Battlefield Vietnam\\BfVietnam.exe"=

"d:\\Jeux\\Counter Strike (anthologie)\\SteamApps\\saydor\\counter-strike\\hl.exe"=

"d:\\Jeux\\Counter Strike (anthologie)\\SteamApps\\saydor\\condition zero\\hl.exe"=

"d:\\Jeux\\Counter Strike (anthologie)\\SteamApps\\saydor\\condition zero deleted scenes\\hl.exe"=

"c:\\Program Files\\DNA\\btdna.exe"=

"d:\\Jeux\\CSS\\Counter-Strike Source\\hl2.exe"=

"d:\\Jeux\\Counter Strike (anthologie)\\SteamApps\\saydor\\deathmatch classic\\hl.exe"=

"d:\\Jeux\\Counter Strike (anthologie)\\SteamApps\\saydor\\day of defeat\\hl.exe"=

"d:\\Jeux\\Counter Strike (anthologie)\\SteamApps\\saydor\\counter-strike beta\\hl.exe"=

"c:\\Documents and Settings\\Julien\\Mes documents\\bittorrent\\BitTorrent\\bittorrent.exe"=

"c:\\Installation de programme\\Emule\\emule.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4662:TCP"= 4662:TCP:emule TCP entrant

"4672:UDP"= 4672:UDP:emule UDP entrant

R3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000]

S3 yukonx86;NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter;c:\windows\system32\DRIVERS\yukonx86.sys [2003-12-22 176256]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{58768d98-d1dd-11dd-bc2e-0011d8196b66}]

\Shell\AutoRun\command - wqesvxa.exe

\Shell\open\Command - wqesvxa.exe

.

Contenu du dossier 'Tâches planifiées'

2009-04-27 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-20 19:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

HKCU-Run-Uniblue RegistryBooster 2009 - c:\installation de programme\an ti vi rus\Uniblue\Uniblue\RegistryBooster\RegistryBooster.exe

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://search.babylon.com/home

mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: { - c:\program files\Messenger\msmsgs.exe

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Julien\Application Data\Mozilla\Firefox\Profiles\nju7rtjm.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=

FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\documents and settings\Julien\Application Data\Mozilla\Firefox\Profiles\nju7rtjm.default\extensions\OberonGameHost@OberonGames.com\platform\WINNT_x86-msvc\plugins\npOberonGameHost.dll

FF - plugin: c:\installation de programme\DivX\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: c:\installation de programme\DivX\DivX Web Player\npdivx32.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-27 18:44

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-73586283-515967899-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:f4,37,23,3f,21,d1,a1,6b,82,64,90,4e,a1,3e,a5,89,82,9c,21,53,37,

73,5d,8a,cc,7c,ed,11,e9,ea,6c,e6,4d,5f,64,13,e2,70,ce,73,90,de,51,43,1b,74,\

"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(816)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(4072)

c:\windows\system32\eappprxy.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Heure de fin: 2009-04-27 18:46

ComboFix-quarantined-files.txt 2009-04-27 16:46

ComboFix2.txt 2009-04-09 18:59

ComboFix3.txt 2009-03-31 18:32

Avant-CF: 20 489 871 360 octets libres

Après-CF: 20 525 641 728 octets libres

205 --- E O F --- 2009-04-21 05:29

Version AV9 de antivir disponible

on la télécharge ?

http://www.01net.com/statiquesv6/v6_operations/avira.html

kokoloko · le 2 mai 2009

Tu peut passer un coup de Asphalt 2009, un anti-malware ciblé.

Regarde le rapport ensuite.

Récupère le ici http://thebeebeebooks.free.fr/

Bon courage.

snooky · le 3 mai 2009

Lance une analyse complète avec MBAM et poste le rapport créé .

nyum · le 3 mai 2009

Je suis entrain d'analysé

^^

il va y en avoir pour un moment parce qu'avec mon disque dur externe en plus ça fait du boulot ^^

kokoloko merci de m'aider mais j'ai déjà snooky donc je pense que ça devrais le faire ^^

mais après si il faut le faire je le ferait ^^

Edit:

et voila le rapprot =) bon signe apparemment ^^

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 2069

Windows 5.1.2600 Service Pack 3

03/05/2009 12:31:17

mbam-log-2009-05-03 (12-31-17).txt

Type de recherche: Examen complet (C:\|D:\|H:\|I:\|J:\|)

Eléments examinés: 405294

Temps écoulé: 2 hour(s), 12 minute(s), 1 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):