Débordement de la mémoire tamponRésolu/Fermé

Question

Bonjour,

Je suis avertie tous les jours par mon anti-virus McAfee d'un "débordement de la mémoire tampon", du coup j'ai lancé HIJACKThis. Et maintenant j'ai ce rapport et j'essaie de le traduire pour réparer mon ordi. Est-ce que quelqu'un peut me donner des pistes dans la démarche à suivre?




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:10:32, on 23/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
c:\PROGRA~1\mcafee\msc\mcshell.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe jyku.fjo hvttt
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://*.mcafee.com
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
O20 - Winlogon Notify: ieizegxg - C:\WINDOWS\SYSTEM32\zybussw.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service Google Update (gupdate1c9b157ce49916e) (gupdate1c9b157ce49916e) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

Spiebot · Answer

cbss.dll 
Teste le ici en passant par le poste de travail.
https://www.virustotal.com/gui/

Spiebot · Answer

zybussw.dll 
celui là aussi.

Utilisateur anonyme · Answer

C'est des infections. Pas besoin de tester... Enfin, ça ne va pas faire de mal non plus.

Débordement de la mémoire tampon appartenant à quoi ? Mémoire vive ? Virtuelle ? Pas plus d'infos ?

En tous cas y a infection. Attendons les résultats VT surtout de Zybussw.dll 
On dirait du Vundo mais c'est sans doute pas ça vu les BHO...

laet26 · Answer

Merci pour vos conseils rapides et efficaces. Je vais essayer d'être claire : Alors pour répondre sur le débordement, McAfee dit :"A propos de ce Débordement de la mémoire tampon Fichier : C:\Program Files\Internet Explorer\IEXPLORE.EXE" Je ne trouve pas cbss.dll dans C:\Documents and Settings\All Users\Documents\Settings\cbss.dll ...bizarre...\Documents n'existe pas... Pour Zybussw.dll, VT dit : TROJAN Fichier zybussw.dll reçu le 2010.01.23 13:55:19 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.01.23 Trojan-Spy.Win32.BZub!IK AhnLab-V3 5.0.0.2 2010.01.23 - AntiVir 7.9.1.146 2010.01.22 TR/Crypt.FKM.Gen Antiy-AVL 2.0.3.7 2010.01.22 - Authentium 5.2.0.5 2010.01.23 W32/Boaxxe.C.gen!Eldorado Avast 4.8.1351.0 2010.01.22 Win32:Delf-HPR AVG 9.0.0.730 2010.01.23 Win32/Cryptor BitDefender 7.2 2010.01.23 Gen:Trojan.Heur.gq8@yqK4Xyji CAT-QuickHeal 10.00 2010.01.22 Win32.Trojan.Boaxxe.F.4 ClamAV 0.94.1 2010.01.22 - Comodo 3681 2010.01.23 - DrWeb 5.0.1.12222 2010.01.23 - eSafe 7.0.17.0 2010.01.21 Suspicious File eTrust-Vet 35.2.7255 2010.01.22 - F-Prot 4.5.1.85 2010.01.22 W32/Boaxxe.C.gen!Eldorado F-Secure 9.0.15370.0 2010.01.23 Gen:Trojan.Heur.gq8@yqK4Xyji Fortinet 4.0.14.0 2010.01.23 - GData 19 2010.01.23 Gen:Trojan.Heur.gq8@yqK4Xyji Ikarus T3.1.1.80.0 2010.01.23 Trojan-Spy.Win32.BZub Jiangmin 13.0.900 2010.01.23 - K7AntiVirus 7.10.952 2010.01.22 - Kaspersky 7.0.0.125 2010.01.23 - McAfee 5869 2010.01.22 Boaxxe McAfee+Artemis 5869 2010.01.22 Boaxxe McAfee-GW-Edition 6.8.5 2010.01.23 Trojan.Crypt.FKM.Gen Microsoft 1.5405 2010.01.23 Trojan:Win32/Boaxxe.F NOD32 4799 2010.01.23 a variant of Win32/Kryptik.BDF Norman 6.04.03 2010.01.23 W32/BZub.EAX nProtect 2009.1.8.0 2010.01.23 - Panda 10.0.2.2 2010.01.23 Trj/Genetic.gen PCTools 7.0.3.5 2010.01.23 HeurEngine.Vundo Prevx 3.0 2010.01.23 - Rising 22.31.04.04 2010.01.22 Packer.Win32.Morphine.b Sophos 4.50.0 2010.01.23 Mal/Behav-321 Sunbelt 3.2.1858.2 2010.01.23 - Symantec 20091.2.0.41 2010.01.23 Suspicious.Vundo.2 TheHacker 6.5.0.9.160 2010.01.23 - TrendMicro 9.120.0.1004 2010.01.23 TROJ_BOAXXE.A VBA32 3.12.12.1 2010.01.23 - ViRobot 2010.1.23.2152 2010.01.23 - VirusBuster 5.0.21.0 2010.01.22 Trojan.Boaxxe.Gen!Pac Information additionnelle File size: 101376 bytes MD5...: 63b03ef9dacf2091edb43b8cd6797998 SHA1..: 5e967e04001230d0d96609d84290afafa3c0f5dc SHA256: 9009df310b0c79cda8b5c94f490b261f2f56ac1807a0a2f9f10a57b924f9b1da ssdeep: 1536:CRVHXA9XCE9WOwpGk0Tb1fCPDtOa1MEXiysLnt3ptZcCPhjhUBtnuJI1Mmc
aQhA:SaSEEOwpIc0a1MgsXhhpJRfa8A
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x29f1
timedatestamp.....: 0x39f35f47 (Sun Oct 22 21:42:31 2000)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.none 0x1000 0x43000 0x17e00 7.96 a182209719f4460159a4f7378461ddac
.none2 0x44000 0x182 0x200 3.31 782d0c453c62f0ccfa91efb76b83e811
.edata 0x45000 0xe0 0x200 2.58 cd168279c643b2ff5df92b1c50227c62
.mnon 0x46000 0x600 0x600 2.50 79cbbd9667c9ba4da2ce4493d8577f96

( 4 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryExA, SetConsoleOS2OemFormat, FindNextVolumeA, LCMapStringA
> advapi32.dll: FreeSid
> oleaut32.dll: SysFreeString
> user32.dll: wvsprintfA

( 7 exports )
DllCanUnloadNow, DllGetClassObject, Lamlaml, DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain
RDS...: NSRL Reference Data Set
- packers (Avast): Morphine, UPX sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.
product......: Syst_me d_exploitation Microsoft_ Windows_
description..: Utilitaires de quarantaine
original name: QUtil.DLL
internal name: QUtil.DLL
file version.: 5.1.2600.5512 (xpsp.080413-0852)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%) pdfid.: -

Utilisateur anonyme · Answer

Ouep,
apparemment c'est une variante de Vundo :

PCTools 7.0.3.5 2010.01.23 HeurEngine.Vundo
Symantec 20091.2.0.41 2010.01.23 Suspicious.Vundo.2 


Bon,
> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe puis accepte le contrat de licence.
- Si Combofix ne trouve pas de console de récupération système d'installée alors accepte son installation.
- A la fin de l'installation de la console de récupération Combofix va te proposer de lancer une recherche de nuisibles. Clique alors sur <Oui>.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
PS2 : Il peut s'avérer que le rapport soit trop long pour être publié totalement. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).


Bon courage.

A+

laet26 · Answer

Merci pour ton aide et ta réponse, combofix a l'air d'être ce qu'il me faut mais...
Impossible de le télécharger ..? "http://download.bleepingcomputer.com/sUBs/ComboFix.exe" ne fonctionne pas et tous les sites que j'ai pu faire pour trouver un lien pour le télécharger n'ont pas accès au téléchargement, ca bloque. Voilà ce que me dit Firefox :

Fichier introuvable
Firefox ne peut trouver le fichier à l'adresse http://download.bleepingcomputer.com/sUBs/ComboFix.exe.
 *   Vérifiez la syntaxe du nom de fichier (dont le respect des minuscules/majuscules) ;
*   Vérifiez si le fichier n'a pas été déplacé, renommé ou supprimé.

Tu en penses quoi?

Utilisateur anonyme · Answer

Ok,
tiens je viens de le mettre ici : http://www.cijoint.fr/cjlink.php?file=cj201001/cijAvTasQX.zip

Faut extraire l'archive avant ;-)

laet26 · Answer

Voici ce que me dit Combofix :

ComboFix 10-01-23.02 - Laëtitia 23/01/2010  18:25:28.1.2 - x86
Lancé depuis: c:\documents and settings\Laëtitia\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.\documents\settings
c:\documents and settings\All Users.\documents\settings\cbss.dll
c:\documents and settings\All Users\Application Data\MSN6
c:\documents and settings\All Users\Application Data\MSN6\au.ini
c:\documents and settings\All Users\Documents\Settings\cbss.dll
c:\windows\system32\jyku.fjo
c:\windows\system32\logs
c:\windows\system32\logs\Ad-Aware event.log
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\lowsec\user.ds.lll
c:\windows\system32\xa.tmp
c:\windows\system32\zybussw.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\atapi.sys 

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PSUJIADO
-------\Legacy_SSHNAS
-------\Service_psujiado
-------\Service_SPService
-------\Service_SSHNAS


(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-23 au 2010-01-23  ))))))))))))))))))))))))))))))))))))
.

2010-01-23 15:33 . 2010-01-23 15:37	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-23 15:33 . 2010-01-23 15:33	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-01-23 14:41 . 2010-01-23 14:41	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2010-01-23 14:35 . 2009-09-23 12:55	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2010-01-23 14:35 . 2010-01-23 14:35	862040	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update	hreatwork.exe
2010-01-23 14:35 . 2010-01-23 14:35	206944	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\lavamessage.dll
2010-01-23 14:35 . 2010-01-23 14:35	15880	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\lsdelete.exe
2010-01-23 14:35 . 2010-01-23 14:35	537576	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\aawapi.dll
2010-01-23 14:35 . 2010-01-23 14:35	390288	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\lavalicense.dll
2010-01-23 14:35 . 2010-01-23 14:35	372280	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\UpdateManager.dll
2010-01-23 14:35 . 2010-01-23 14:35	194104	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\Savapibridge.dll
2010-01-23 14:35 . 2010-01-23 14:35	163728	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\ShellExt.dll
2010-01-23 14:35 . 2010-01-23 14:35	6296864	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\Resources.dll
2010-01-23 14:35 . 2010-01-23 14:35	87496	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\PrivacyClean.dll
2010-01-23 14:35 . 2010-01-23 14:35	327000	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\RPAPI.dll
2010-01-23 14:34 . 2010-01-23 14:34	933120	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\CEAPI.dll
2010-01-23 14:34 . 2010-01-23 14:34	3803208	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AutoLaunch.exe
2010-01-23 14:34 . 2010-01-23 14:34	816272	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\Ad-AwareCommand.exe
2010-01-23 14:34 . 2010-01-23 14:34	823928	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\Ad-AwareAdmin.exe
2010-01-23 14:34 . 2010-01-23 14:34	1643272	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\Ad-Aware.exe
2010-01-23 14:34 . 2010-01-23 14:34	788880	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AAWTray.exe
2010-01-23 14:34 . 2010-01-23 14:34	1181328	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AAWService.exe
2010-01-23 14:34 . 2010-01-23 14:34	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2010-01-23 14:34 . 2009-10-03 08:15	2924848	-c--a-w-	c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
2010-01-14 20:14 . 2010-01-14 20:14	--------	d-----w-	c:\program files\Trend Micro
2010-01-13 17:29 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll
2010-01-05 19:49 . 2009-07-16 11:32	120136	----a-w-	c:\windows\system32\drivers\Mpfp.sys
2010-01-05 19:49 . 2010-01-05 19:49	--------	d-----w-	c:\program files\Fichiers communs\McAfee
2010-01-05 19:49 . 2010-01-05 19:49	--------	d-----w-	c:\program files\McAfee.com
2010-01-04 20:00 . 2010-01-08 08:17	--------	d-----w-	c:\program files\McAfee

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-23 17:29 . 2002-08-30 12:00	48856	----a-w-	c:\windows\system32\perfc00C.dat
2010-01-23 17:29 . 2002-08-30 12:00	368076	----a-w-	c:\windows\system32\perfh00C.dat
2010-01-23 14:35 . 2008-05-16 10:58	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-01-23 14:28 . 2009-12-03 20:29	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-01-23 13:22 . 2009-03-30 16:50	--------	d-----w-	c:\documents and settings\All Users\Application Data\Google Updater
2010-01-21 12:06 . 2009-11-24 16:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\SP
2010-01-05 19:51 . 2008-12-30 12:29	--------	d-----w-	c:\documents and settings\All Users\Application Data\McAfee
2010-01-05 09:56 . 2002-08-30 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-01-05 09:56 . 2004-08-19 23:09	78336	------w-	c:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2002-08-30 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2009-12-21 21:01 . 2009-03-30 16:50	--------	d-----w-	c:\program files\Google
2009-11-21 15:58 . 2002-08-30 12:00	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-04 15:54 . 2009-01-01 15:50	79816	----a-w-	c:\windows\system32\drivers\mfeavfk.sys
2009-11-04 15:54 . 2009-01-01 15:50	40552	----a-w-	c:\windows\system32\drivers\mfesmfk.sys
2009-11-04 15:54 . 2009-01-01 15:50	35272	----a-w-	c:\windows\system32\drivers\mfebopk.sys
2009-11-04 15:54 . 2008-06-27 05:08	214664	----a-w-	c:\windows\system32\drivers\mfehidk.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"nwiz"="nwiz.exe" [2007-12-04 1626112]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2007-12-04 81920]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2009-1-3 25214]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
c:\windows\system32\dumprep 0 -u [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcagent_exe]
2009-10-29 05:54	1218008	----a-w-	c:\program files\McAfee.com\Agent\mcagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Six Engine]
2008-06-25 13:13	5625344	----a-w-	c:\program files\ASUS\EPU-4 Engine\FourEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NVSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [23/01/2010 15:35 64288]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [05/01/2010 20:51 93320]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [24/02/2009 15:47 1373480]
S2 gupdate1c9b157ce49916e;Service Google Update (gupdate1c9b157ce49916e);c:\program files\Google\Update\GoogleUpdate.exe [30/03/2009 17:51 133104]
.
Contenu du dossier 'Tâches planifiées'

2010-01-23 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 14:34]

2010-01-23 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 14:34]

2010-01-23 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 14:34]

2010-01-23 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 14:34]

2010-01-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 14:34]

2010-01-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-30 16:50]

2010-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-30 16:51]

2010-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-30 16:51]

2010-01-05 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-01-05 11:22]

2010-01-05 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-01-05 11:22]
.
.
------- Examen supplémentaire -------
.
IE: Convertir en Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: internet
Trusted Zone: mcafee.com
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Laëtitia\Application Data\Mozilla\Firefox\Profiles\6nhq53jo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Fast Browser Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - plugin: c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\browser
ppdf32.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
ppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
prpjplug.dll
FF - plugin: c:\program files\McAfee\Supportability\MVT\NPMVTPlugin.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.
- - - - ORPHELINS SUPPRIMES - - - -

ShellIconOverlayIdentifiers-{96AFBE69-C3B0-4b00-8578-D933D2896EE2} - c:\documents and settings\all users\application data\sp\sp.dll
SafeBoot-Lavasoft Ad-Aware Service
MSConfigStartUp-uaouc - c:\documents and settings\laëtitia\local settings\application data\uaouc.exe
MSConfigStartUp-ZagrebLand - c:\docume~1\LATITI~1\LOCALS~1\Temp\c.exe
AddRemove-HijackThis - c:\documents and settings\Laëtitia\Bureau\HijackThis\HijackThis.exe
AddRemove-_{53A908D4-99C6-469B-BC13-F4189F260742} - c:\program files\Corel\Corel Painter Essentials 4\MSILauncher {53A908D4-99C6-469B-BC13-F4189F260742}



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 18:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-20\QK*€O*	OnEndDockÀøT**ÿ*ÿ*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"Local AppData"="c:\Documents and Settings\NetworkService\Local Settings\Application Data"
DUMPHIVE0.003 (REGF)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3900)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\progra~1\McAfee\MSC\mcmscsvc.exe
c:\progra~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\progra~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
c:\progra~1\McAfee\VIRUSS~1\mcshield.exe
c:\program files\McAfee\MPF\MPFSrv.exe
c:\windows\system32\PSIService.exe
c:\windows\system32\WTablet\Wacom_TabletUser.exe
c:\progra~1\mcafee.com\agent\mcagent.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Heure de fin: 2010-01-23  18:34:26 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-01-23 17:34

Avant-CF: 14 238 568 448 octets libres
Après-CF: 14 203 404 288 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

- - End Of File - - 18FEFDE7E9AF2E9EF0F6DF4A0CC74007

Utilisateur anonyme · Answer

Salut laet26,

Ok, Combo a fait ce qu'il fallait. Par contre tu as installée une version reconstruite de FireFox qui ne correspond pas à la vraie. Cette version est une véritable infection car elle t'oblige à passer par le moteur de recherche Xeoo.com qui ne fait qu'interroger Yahou. Des cybersquatteurs : https://www.zdnet.fr/blogs/l-esprit-libre/un-cybersquatteur-propose-un-firefox-frelate-39707787.htm?xtor=RSS-1 et http://scteam.wordpress.com/2009/09/25/mozilla-fr-nappartient-pas-a-mozilla/
Cette infection peut toucher le navigateur Internet Explorer mais dans ton cas il ne semble pas.

En fait tu as téléchargé une version non officielle de FF sur un site "squatté" (mozilla.fr).


Bon,
désinstalle ta version de Firefox puis supprime les dossiers suivants dans C:\
%programfiles%\Mozilla Firefox 
%PROGRAMFILES%\Mozilla Firefox Bonus (s'il existe).
et
C:\Documents and Settings\TonNomD'Utiisateur\Application Data\Mozilla\Firefox

Puis réinstalle la vraie version : https://www.commentcamarche.net/telecharger/web-internet/9879-securite-firefox-deux-failles-graves-corrigees-en-urgence/
Après cela,
vas dasn C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js s'il existe (pour l'ouvrir clic droit sur le fichier puis "ouvrir avec" => notepad (blocnote)
Fais moi un copier/coller de son contenu le cas échéant.



Maintenant,
> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau. 
- Double clique sur RSIT.exe 
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi mais dans un second message.


Et on fait le point ;-)

Bye.

Utilisateur anonyme · Answer

Hello Laet26 :-)

Et bien de mon coté aussi je suis satisfait : plus de véroles. Néanmoins il reste encore des mises à jour à faire, supprimer les outils utilisés...

Bien,
j'avais oublié de te dire que le répertoire C:\Documents and Settings\TonNomD'Utiisateur\Application Data\ et son contenu sont cachés.
Quand tu dis :
Et bizarrement mon dossier /Application data était en quarantaine...
- Dans tous les cas, j'ai tout jeté et la corbeille avec, tout type de dossiers ou fichiers Firefox aux endroits conseillés.
rassure-moi, tu n'as pas virer tout le contenu de %\Application data\ ?
Je ne pense pas sinon tu aurais surement des soucis avec pas mal de softs...



Bon alors,
> Télécharge ToolsCleaner : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton bureau pour supprimer les boîtes de Pandore.
- Clique sur Recherche et laisse le scan agir ...
-  Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives).
- Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)). 
- Supprime ToolsCleaner ensuite (il n'est pas installé dans Ajout/suppression de programmes. C'est un fichier directement exécutable : pas d'installation).



Puis, 
les mises à jour notamment d''IE7 à IE8,
> Rends toi sur ce site avec Internet Explorer (pas avec un autre navigateur) : http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr
- Effectue toutes les mises à jour proposées.
- relance ton PC.
- Effectue plusieurs fois la même opération (avec reboot du PC) jusqu'à ce que plus aucune mise à jour ne te soit proposée.
NB : Eventuellement MS Update peut te proposer des mises à jour facultatives. Je te conseille de les faire.



Maintenant tu peux :
- créer un nouveau point de restauration
- utiliser éventuellement des programmes comme MBAM, Ccleaner pour compléter.
- faire un scan en ligne chez Bitdender (je te le recommande) pour vérifier qu'il ne reste pas des bouts de code infectieux comme des cracks vérolés, droppers...qui n'attendent qu'à être activés pour infecter le système.
Si tu fais un scan en ligne et/ou un MBAM poste moi leurs rapports stp.



En attendant bonne journée,
je mets en résolu.

A+

laet26 · Answer

Voici ce que dit ToolsCleaner: [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ] --> Recherche: C:\Combofix.txt: trouvé ! C:\Qoobox: trouvé ! C:\Documents and Settings\Laëtitia\Bureau\ComboFix.exe: trouvé ! C:\Qoobox\Quarantine\catchme.log: trouvé ! C:\WINDOWS\mbr.exe: trouvé ! --------------------------------- --> Suppression: C:\Documents and Settings\Laëtitia\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !! C:\Combofix.txt: supprimé ! C:\Qoobox\Quarantine\catchme.log: supprimé ! C:\WINDOWS\mbr.exe: supprimé ! C:\Qoobox: supprimé ! Voici ce que dit MBAM: Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3667 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 31/01/2010 16:45:01 mbam-log-2010-01-31 (16-44-56).txt Type de recherche: Examen complet (C:\|D:\|E:\|) Eléments examinés: 178305 Temps écoulé: 33 minute(s), 37 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 7 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 10 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\uvc7jk640c (Trojan.Downloader) -> No action taken. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP294\A0080171.sys (Malware.Trace) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP294\A0080209.com (Adware.Swizzor) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP294\A0080277.com (Adware.Swizzor) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP294\A0080240.sys (Malware.Trace) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP294\A0080382.sys (Malware.Trace) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP294\A0080410.com (Adware.Swizzor) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP302\A0081871.sys (Malware.Trace) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP302\A0081908.com (Adware.Swizzor) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP302\A0082045.sys (Malware.Trace) -> No action taken. C:\System Volume Information\_restore{55C0AC63-6F8E-40AB-BC7E-A47BD5C814D4}\RP302\A0082072.com (Adware.Swizzor) -> No action taken. Voici ce que dit le Scan de Bitdefender: BitDefender QuickScan Beta 32-bit v0.9.9.0 ------------------------------------------ Date de l'analyse : Sun Jan 31 17:02:07 2010 ID de la machine : D8FBBBF2 Aucune infection détectée. ---------------------------- Processus --------- AcroTray - Adobe Acrobat Distiller helper applicat 1828 C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe Firefox 3004 C:\Program Files\Mozilla Firefox\firefox.exe Google Update 1060 C:\Program Files\Google\Update\GoogleUpdate.exe McAfee Integrated Security Platform 1312 C:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe McAfee Personal Firewall 1932 C:\Program Files\McAfee\MPF\MPFSrv.exe McAfee Proxy 1644 C:\Program Files\Fichiers communs\McAfee\McProxy\McProxy.exe McAfee SecurityCenter 2332 C:\Program Files\McAfee.com\Agent\mcagent.exe McAfee SecurityCenter 1176 C:\Program Files\McAfee\MSC\mcmscsvc.exe McAfee SiteAdvisor 1120 C:\Program Files\McAfee\SiteAdvisor\McSACore.exe Microsoft® Windows® Operating System 2712 C:\WINDOWS\System32\alg.exe Microsoft® Windows® Operating System 684 C:\WINDOWS\system32\csrss.exe Microsoft® Windows® Operating System 1924 C:\WINDOWS\system32\ctfmon.exe Microsoft® Windows® Operating System 764 C:\WINDOWS\system32\lsass.exe Microsoft® Windows® Operating System 1512 C:\WINDOWS\system32\spoolsv.exe Microsoft® Windows® Operating System 668 C:\WINDOWS\System32\svchost.exe Microsoft® Windows® Operating System 1292 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 1188 C:\WINDOWS\System32\svchost.exe Microsoft® Windows® Operating System 1100 C:\WINDOWS\System32\svchost.exe Microsoft® Windows® Operating System 1004 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 936 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 436 C:\WINDOWS\System32\svchost.exe PSIService 2032 C:\WINDOWS\system32\PSIService.exe Realtek HD Audio Sound Effect Manager 1792 C:\WINDOWS\RTHDCPL.EXE Système d'exploitation Microsoft® Windows® 1688 C:\WINDOWS\Explorer.EXE Système d'exploitation Microsoft® Windows® 2600 C:\WINDOWS\system32 otepad.exe Système d'exploitation Microsoft® Windows® 1812 C:\WINDOWS\system32\RUNDLL32.EXE Système d'exploitation Microsoft® Windows® 752 C:\WINDOWS\system32\services.exe Système d'exploitation Microsoft® Windows® 628 C:\WINDOWS\System32\smss.exe Système d'exploitation Microsoft® Windows® 708 C:\WINDOWS\system32\winlogon.exe VSCORE.14.0.0.435.x86 1628 C:\Program Files\McAfee\VirusScan\Mcshield.exe Wacom Technology, Corp. Tablet Service 1780 C:\WINDOWS\system32\Wacom_Tablet.exe Wacom Technology, Corp. Tablet Service 2104 C:\WINDOWS\system32\Wacom_Tablet.exe Wacom Technology, Corp. User Module 2080 C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe Activité du réseau ------------------ Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - wy-in-f155.1e100.net Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - square.bitdefender.com Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - a195-167-195-49.deploy.akamaitechnologies.com Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - *.122.2o7.net Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - a92-123-144-20.deploy.akamaitechnologies.com Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - ew-in-f100.1e100.net Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - a195-167-195-48.deploy.akamaitechnologies.com Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - a195-167-195-50.deploy.akamaitechnologies.com Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - 91.103.140.2 Processus firefox.exe (3004) connecté sur le port 80 (HTTP) - a195-167-195-49.deploy.akamaitechnologies.com Processus svchost.exe (1004) écoute sur les ports: 135 (RPC) Processus McNASvc.exe (1312) écoute sur les ports: 6646 Fichiers critiques et Autorun ----------------------------- AcroTray - Adobe Acrobat Distiller helper applicat C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe Adobe Systems, Inc. Adobe Gamma Loader C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe Ahead Software Gmbh NeroCheck C:\WINDOWS\system32\NeroCheck.exe BJPSMAIN.EXE C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE nwiz.exe C:\WINDOWS\system32 wiz.exe Ad-Aware Admin Application C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Google Update C:\Program Files\Google\Update\GoogleUpdate.exe Google Updater C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe McAfee QuickClean c:\Program Files\McAfee\MQC\QcConsol.exe Microsoft Office XP C:\Program Files\Microsoft Office\Office10\OSA.EXE Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll NVIDIA Media Center Library C:\WINDOWS\system32 vmctray.dll Realtek HD Audio Sound Effect Manager C:\WINDOWS\RTHDCPL.EXE Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\browseui.dll Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\logonui.exe Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\shell32.dll Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\stobject.dll Système d'exploitation Microsoft® Windows® c:\windows\system32\userinit.exe Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll Plugins du navigateur --------------------- Adobe IE plugin c:\program files\adobe\adobe acrobat 7.0\acrobat\acroiefavclient.dll DivX Web Player C:\Program Files\DivX\DivX Web Player pdivx32.dll FFAlert.dll C:\Documents and Settings\Laëtitia\Application Data\Mozilla\Firefox\Profiles/6nhq53jo.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}\components\FFAlert.dll Google Earth Plugin C:\Program Files\Google\Google Earth\plugin pgeplugin.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\Uploader.exe Mozilla ActiveX control and plugin support C:\Documents and Settings\Laëtitia\Application Data\Mozilla\Firefox\Profiles/6nhq53jo.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}\components pmozax.dll RealPlayer Version Plugin C:\Program Files\K-Lite Codec Pack\Real\browser\plugins prpjplug.dll AcroIEHelper Library C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll Adobe® Flash® Player ActiveX C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe BitDefender QuickScan C:\Documents and Settings\Laëtitia\Application Data\Mozilla\Firefox\Profiles/6nhq53jo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll BitDefender QuickScan C:\Documents and Settings\Laëtitia\Application Data\Mozilla\Firefox\Profiles/6nhq53jo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins pqscan.dll Google Update C:\Program Files\Google\Update\1.2.183.13 pGoogleOneClick8.dll Google Updater C:\Program Files\Google\Google Updater\2.4.1536.6592 pCIDetect13.dll GoogleToolbarNotifier c:\program files\google\googletoolbarnotifier\5.1.1309.3572\swg.dll McAfee SiteAdvisor c:\program files\mcafee\siteadvisor\mcieplg.dll McAfee Virtual Technician C:\Program Files\McAfee\Supportability\MVT\NPMVTPlugin.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McContentMgr.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McHealthCheck.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McLogMgr.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McPlugins.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McProdMgr.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\MVT.dll Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Microsoft® Windows® Operating System C:\WINDOWS\system32 svpsp.dll Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll Mozilla Default Plug-in C:\Program Files\Mozilla Firefox\plugins pnul32.dll NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32- C:\Program Files\K-Lite Codec Pack\Real\browser\plugins ppl3260.dll Système d'exploitation Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll VSCORE.14.0.0.435.x86 C:\Program Files\McAfee\VirusScan\scriptsn.dll Windows® Internet Explorer C:\WINDOWS\system32\ieframe.dll Analyse ------- Le(s) fichier(s) suivant(s) doit/doivent être téléchargé(s) pour une analyse côté serveur: C:\WINDOWS\system32\hhctrl.ocx Le téléchargement vers le serveur a démarré - 1 fichier(s) téléchargement vers le serveur : C:\WINDOWS\system32\hhctrl.ocx - 545280 octets, hash : d324dba4cc070573a9caf7a0e9121a8b Vitesse de téléchargement vers le serveur - 58 KB/s Téléchargement vers le serveur terminé - 1 téléchargés vers le serveur, 0 ont échoué Le(s) fichier(s) téléchargé(s) vers le serveur est/sont sain(s) Analyse terminée - la communication a duré 10 secondes Trafic total - 0.57 Mo envoyés, 2.91 Ko reçus 999 fichiers et modules analysés - 48 seconds Voilà je viens de faire un point de restauration... En attendant de te lire pour le verdict final, Bon weekend, Laet26

Débordement de la mémoire tampon

11 réponses

Discussions similaires

Newsletters