ComboFix 09-06-24.04 - KUITCHE 25/06/2009 11:48.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.778 [GMT 1:00]
Lancé depuis: c:\documents and settings\KUITCHE\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\KUITCHE\Bureau\CFscript.txt
* Un nouveau point de restauration a été créé
FILE ::
"c:\windows\system32\00.scr"
"c:\windows\system32\01.scr"
"c:\windows\system32\02.scr"
"c:\windows\system32\03.scr"
"c:\windows\system32\04.scr"
"c:\windows\system32\05.scr"
"c:\windows\system32\06.scr"
"c:\windows\system32\07.scr"
"c:\windows\system32\08.scr"
"c:\windows\system32\11.scr"
"c:\windows\system32\12.scr"
"c:\windows\system32\14.scr"
"c:\windows\system32\15.scr"
"c:\windows\system32\16.scr"
"c:\windows\system32\18.scr"
"c:\windows\system32\20.scr"
"c:\windows\system32\21.scr"
"c:\windows\system32\22.scr"
"c:\windows\system32\23.scr"
"c:\windows\system32\24.scr"
"c:\windows\system32\25.scr"
"c:\windows\system32\26.scr"
"c:\windows\system32\27.scr"
"c:\windows\system32\28.scr"
"c:\windows\system32\30.scr"
"c:\windows\system32\31.scr"
"c:\windows\system32\32.scr"
"c:\windows\system32\33.scr"
"c:\windows\system32\34.scr"
"c:\windows\system32\35.scr"
"c:\windows\system32\36.scr"
"c:\windows\system32\37.scr"
"c:\windows\system32\38.scr"
"c:\windows\system32\40.scr"
"c:\windows\system32\41.scr"
"c:\windows\system32\42.scr"
"c:\windows\system32\43.scr"
"c:\windows\system32\44.scr"
"c:\windows\system32\45.scr"
"c:\windows\system32\46.scr"
"c:\windows\system32\48.scr"
"c:\windows\system32\50.scr"
"c:\windows\system32\51.scr"
"c:\windows\system32\52.scr"
"c:\windows\system32\53.scr"
"c:\windows\system32\54.scr"
"c:\windows\system32\55.scr"
"c:\windows\system32\56.scr"
"c:\windows\system32\57.scr"
"c:\windows\system32\58.scr"
"c:\windows\system32\60.scr"
"c:\windows\system32\61.scr"
"c:\windows\system32\62.scr"
"c:\windows\system32\63.scr"
"c:\windows\system32\64.scr"
"c:\windows\system32\67.scr"
"c:\windows\system32\68.scr"
"c:\windows\system32\70.scr"
"c:\windows\system32\71.scr"
"c:\windows\system32\72.scr"
"c:\windows\system32\73.scr"
"c:\windows\system32\74.scr"
"c:\windows\system32\75.scr"
"c:\windows\system32\76.scr"
"c:\windows\system32\77.scr"
"c:\windows\system32\80.scr"
"c:\windows\system32\81.scr"
"c:\windows\system32\82.scr"
"c:\windows\system32\83.scr"
"c:\windows\system32\84.scr"
"c:\windows\system32\85.scr"
"c:\windows\system32\86.scr"
"c:\windows\system32\87.scr"
"c:\windows\system32\88.scr"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\lowsec
c:\windows\system32\sdra64.exe
c:\windows\msmacro64.exe
c:\windows\system32\00.scr
c:\windows\system32\01.scr
c:\windows\system32\02.scr
c:\windows\system32\03.scr
c:\windows\system32\04.scr
c:\windows\system32\05.scr
c:\windows\system32\06.scr
c:\windows\system32\07.scr
c:\windows\system32\08.scr
c:\windows\system32\11.scr
c:\windows\system32\12.scr
c:\windows\system32\14.scr
c:\windows\system32\15.scr
c:\windows\system32\16.scr
c:\windows\system32\18.scr
c:\windows\system32\20.scr
c:\windows\system32\21.scr
c:\windows\system32\22.scr
c:\windows\system32\23.scr
c:\windows\system32\24.scr
c:\windows\system32\25.scr
c:\windows\system32\26.scr
c:\windows\system32\27.scr
c:\windows\system32\28.scr
c:\windows\system32\30.scr
c:\windows\system32\31.scr
c:\windows\system32\32.scr
c:\windows\system32\33.scr
c:\windows\system32\34.scr
c:\windows\system32\35.scr
c:\windows\system32\36.scr
c:\windows\system32\37.scr
c:\windows\system32\38.scr
c:\windows\system32\40.scr
c:\windows\system32\41.scr
c:\windows\system32\42.scr
c:\windows\system32\43.scr
c:\windows\system32\44.scr
c:\windows\system32\45.scr
c:\windows\system32\46.scr
c:\windows\system32\48.scr
c:\windows\system32\50.scr
c:\windows\system32\51.scr
c:\windows\system32\52.scr
c:\windows\system32\53.scr
c:\windows\system32\54.scr
c:\windows\system32\55.scr
c:\windows\system32\56.scr
c:\windows\system32\57.scr
c:\windows\system32\58.scr
c:\windows\system32\60.scr
c:\windows\system32\61.scr
c:\windows\system32\62.scr
c:\windows\system32\63.scr
c:\windows\system32\64.scr
c:\windows\system32\67.scr
c:\windows\system32\68.scr
c:\windows\system32\70.scr
c:\windows\system32\71.scr
c:\windows\system32\72.scr
c:\windows\system32\73.scr
c:\windows\system32\74.scr
c:\windows\system32\75.scr
c:\windows\system32\76.scr
c:\windows\system32\77.scr
c:\windows\system32\80.scr
c:\windows\system32\81.scr
c:\windows\system32\82.scr
c:\windows\system32\83.scr
c:\windows\system32\84.scr
c:\windows\system32\85.scr
c:\windows\system32\86.scr
c:\windows\system32\87.scr
c:\windows\system32\88.scr
c:\windows\system32\drivers\sysdrv32.sys
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\msvcrt2.dll
c:\windows\system32\sdra64.exe
c:\windows\system32\sysmgr.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SYSDRV32
-------\Service_sysdrv32
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-25 au 2009-06-25 ))))))))))))))))))))))))))))))))))))
.
2009-06-25 10:05 . 2009-06-25 10:05 104960 ----a-w- c:\windows\system32\65.scr
2009-06-25 09:50 . 2009-06-25 09:50 104960 ----a-w- c:\windows\system32\66.scr
2009-06-25 09:46 . 2009-06-25 10:08 104960 ----a-w- c:\windows\system32\13.scr
2009-06-25 09:38 . 2009-06-25 09:38 -------- dc----w- c:\windows\system32\dllcache\cache
2009-06-25 07:12 . 2009-06-25 07:12 -------- d-----w- c:\documents and settings\KUITCHE\Application Data\Malwarebytes
2009-06-25 07:12 . 2009-06-17 10:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-25 07:12 . 2009-06-25 07:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-25 07:12 . 2009-06-25 07:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-25 07:12 . 2009-06-17 10:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-23 12:54 . 2009-06-23 12:54 -------- d-----w- c:\windows\system32\LogFiles
2009-06-22 15:54 . 2003-03-18 20:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-06-22 15:54 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system32\MSVCR71.dll
2009-06-22 15:54 . 2009-06-22 15:54 -------- d-----w- c:\program files\Alwil Software
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 10:53 . 2009-06-25 10:53 13140 ----a-w- c:\windows\system32\81.scr
2009-06-25 10:52 . 2009-05-18 10:55 -------- d-----w- c:\documents and settings\KUITCHE\Application Data\Skype
2009-06-25 10:50 . 2001-10-02 18:18 49692 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-25 10:50 . 2001-10-02 18:18 370652 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-25 09:53 . 2009-05-18 11:51 -------- d-----w- c:\documents and settings\KUITCHE\Application Data\HPAppData
2009-06-25 08:43 . 2009-05-18 11:11 -------- d-----w- c:\documents and settings\KUITCHE\Application Data\skypePM
2009-05-22 17:24 . 2009-05-15 14:42 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-18 12:13 . 2009-05-18 10:45 42168 ----a-w- c:\documents and settings\KUITCHE\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-18 12:13 . 2009-05-18 12:13 -------- d-----w- c:\documents and settings\KUITCHE\Application Data\HP
2009-05-18 12:12 . 2009-05-18 11:25 206314 ----a-w- c:\windows\hpwins14.dat
2009-05-18 12:12 . 2009-05-18 11:27 -------- d-----w- c:\program files\HP
2009-05-18 12:10 . 2009-05-18 12:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2009-05-18 11:30 . 2009-05-18 11:30 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-05-18 11:30 . 2009-05-18 11:29 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2009-05-18 11:28 . 2009-05-18 11:28 -------- d-----w- c:\program files\Fichiers communs\HP
2009-05-18 11:28 . 2009-05-18 11:28 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2009-05-18 11:28 . 2009-05-18 11:28 -------- d-----w- c:\program files\Hewlett-Packard
2009-05-18 11:19 . 2009-05-18 11:00 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-05-18 11:11 . 2009-05-18 11:11 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-05-18 11:01 . 2009-05-18 11:01 -------- d-----w- c:\program files\SuperCopier2
2009-05-18 11:00 . 2009-05-18 11:00 -------- d-----w- c:\documents and settings\KUITCHE\Application Data\InterTrust
2009-05-18 10:51 . 2009-05-18 10:51 -------- d-----w- c:\program files\Skype
2009-05-18 10:51 . 2009-05-18 10:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-05-18 10:51 . 2009-05-18 10:51 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-05-18 10:48 . 2009-05-18 10:48 -------- d-----w- c:\program files\Microsoft.NET
2009-05-18 10:48 . 2009-05-18 10:48 -------- d-----w- c:\program files\Avira
2009-05-15 15:07 . 2009-05-15 15:07 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2009-05-15 15:07 . 2009-05-15 15:07 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-05-15 15:07 . 2009-05-15 15:07 -------- d-----w- c:\program files\DellTPad
2009-05-15 15:06 . 2009-05-15 15:06 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-15 15:06 . 2009-05-15 15:06 -------- d-----w- c:\program files\Realtek
2009-05-15 15:06 . 2009-05-15 15:06 -------- d-----w- c:\documents and settings\KUITCHE\Application Data\InstallShield
2009-05-15 15:05 . 2009-05-15 15:04 -------- d-----w- c:\program files\CONEXANT
2009-05-15 15:01 . 2009-05-15 15:01 45056 ----a-r- c:\documents and settings\KUITCHE\Application Data\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}\NewShortcut1_42929F0FCE1447AF9FC7FF297A603021_1.exe
2009-05-15 15:01 . 2009-05-15 15:01 10134 ----a-r- c:\documents and settings\KUITCHE\Application Data\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}\ARPPRODUCTICON.exe
2009-05-15 15:01 . 2009-05-15 15:01 -------- d-----w- c:\program files\Dell
2009-05-15 14:44 . 2009-05-15 14:44 -------- d-----w- c:\program files\microsoft frontpage
2009-05-15 14:42 . 2009-05-15 14:42 -------- d-----w- c:\program files\Services en ligne
2009-05-15 14:39 . 2009-05-15 14:39 21892 ----a-w- c:\windows\system32\emptyregdb.dat
.
------- Sigcheck -------
[-] 2008-11-07 22:00 1571840 A295B80A3E2F1466D14990B6E1247F3A c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-06-25_09.37.37 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-10-02 18:18 . 2009-06-25 08:47 41034 c:\windows\system32\perfc009.dat
+ 2001-10-02 18:18 . 2009-06-25 10:50 41034 c:\windows\system32\perfc009.dat
+ 2009-06-25 09:38 . 2008-04-13 18:33 82432 c:\windows\system32\dllcache\cache\ws2_32.dll
+ 2009-06-25 09:38 . 2008-04-13 18:34 26624 c:\windows\system32\dllcache\cache\userinit.exe
+ 2009-06-25 09:38 . 2008-04-13 18:34 14336 c:\windows\system32\dllcache\cache\svchost.exe
+ 2009-06-25 09:38 . 2008-04-13 18:34 57856 c:\windows\system32\dllcache\cache\spoolsv.exe
+ 2009-06-25 09:38 . 2008-04-13 18:33 17408 c:\windows\system32\dllcache\cache\powrprof.dll
+ 2009-06-25 09:38 . 2008-04-13 18:34 13312 c:\windows\system32\dllcache\cache\lsass.exe
+ 2009-06-25 09:38 . 2008-04-13 18:05 25216 c:\windows\system32\dllcache\cache\kbdclass.sys
+ 2009-06-25 09:38 . 2008-04-13 10:53 36608 c:\windows\system32\dllcache\cache\ip6fw.sys
+ 2009-06-25 09:38 . 2008-04-13 18:34 15360 c:\windows\system32\dllcache\cache\ctfmon.exe
- 2009-05-15 14:47 . 2009-05-15 14:47 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-05-15 14:47 . 2009-06-25 10:01 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-05-15 14:47 . 2009-05-15 14:47 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-05-15 14:47 . 2009-06-25 10:01 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-05-15 14:47 . 2009-06-25 10:01 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-05-15 14:47 . 2009-05-15 14:47 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-10-02 18:18 . 2009-06-25 10:50 314706 c:\windows\system32\perfh009.dat
- 2001-10-02 18:18 . 2009-06-25 08:47 314706 c:\windows\system32\perfh009.dat
+ 2009-06-25 09:38 . 2008-04-13 18:34 112640 c:\windows\system32\dllcache\cache\wuauclt.exe
+ 2009-06-25 09:38 . 2008-04-13 18:34 512000 c:\windows\system32\dllcache\cache\winlogon.exe
+ 2009-06-25 09:38 . 2008-04-13 18:33 670208 c:\windows\system32\dllcache\cache\wininet.dll
+ 2009-06-25 09:38 . 2008-04-13 18:33 579584 c:\windows\system32\dllcache\cache\user32.dll
+ 2009-06-25 09:38 . 2008-04-13 18:33 297984 c:\windows\system32\dllcache\cache\termsrv.dll
+ 2009-06-25 09:38 . 2008-04-13 11:20 361344 c:\windows\system32\dllcache\cache\tcpip.sys
+ 2009-06-25 09:38 . 2008-04-13 18:34 109056 c:\windows\system32\dllcache\cache\services.exe
+ 2009-06-25 09:38 . 2008-04-13 11:20 182656 c:\windows\system32\dllcache\cache\ndis.sys
+ 2009-06-25 09:38 . 2008-04-13 18:33 110080 c:\windows\system32\dllcache\cache\imm32.dll
+ 2009-06-25 09:38 . 2008-04-13 18:33 176640 c:\windows\system32\dllcache\cache\appmgmts.dll
+ 2009-06-25 09:38 . 2008-04-13 18:07 2147328 c:\windows\system32\dllcache\cache\ntoskrnl.exe
+ 2009-06-25 09:38 . 2008-04-13 18:47 2025984 c:\windows\system32\dllcache\cache\ntkrnlpa.exe
+ 2009-06-25 09:38 . 2008-04-13 18:33 1054720 c:\windows\system32\dllcache\cache\kernel32.dll
+ 2009-06-25 09:38 . 2008-04-13 18:34 1037824 c:\windows\system32\dllcache\cache\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-10-11 163840]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-04-17 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-04-17 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-04-17 141848]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"Microsoft(R) System Manager"="c:\windows\system32\sysmgr.exe" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
"msmacro32"="c:\windows\msmacro64.exe" [2009-06-25 104960]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - mchInjDrv
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page =
hxxp://www.yahoo.fr/IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {972FB35E-93E1-414B-8E8C-290386D6A4C0} = 217.77.71.33,81.199.0.36
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.netRootkit scan 2009-06-25 11:53
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\windows\system32\81.scr 104960 bytes executable
c:\windows\system32\32.scr 104960 bytes executable
c:\windows\system32\53.scr 104960 bytes executable
Scan terminé avec succès
Fichiers cachés: 3
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\KUITCHE\LOCALS~1\Temp\mc21.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(2276)
c:\program files\SuperCopier2\SC2Hook.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\igfxsrvc.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\hidfind.exe
c:\program files\DellTPad\ApntEx.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\windows\system32\81.scr
c:\windows\system32\32.scr
c:\windows\system32\53.scr
c:\windows\system32\10.scr
c:\windows\system32\50.scr
.
**************************************************************************
.
Heure de fin: 2009-06-25 11:54 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-25 10:54
ComboFix2.txt 2009-06-25 09:39
Avant-CF: 34 688 466 944 octets libres
Après-CF: 34 671 005 696 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
362