Redirections firefoxgoogle security threat

seneblue -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,

j'ai fréquemment des redirections lorsque je clique sur des liens google. je me retrouve sur des adresses fantaisistes et un pseudo scan se lance prétendant trouver des virus sur mon pc et proposant de télécharger security threat analysis.

comme j'ai lu les posts de personnes ayant eu le même souci, j'ai déjà utilisé malware bytes, spybot, smitfaudfix, ccleaner, etc. le pc paraît clean et pourtant les redirections reprennent.

autres symptômes :

- mode sans echec impossible (écran bleu). déjà essayé : chkdsk /f, console de récupération, fixboot, sfc/scannow (mais je n'ai pas de cd xp)

- avec AD-R : le scan ne se termine pas, le pc s'éteint tout seul

merci d'avance pour vos conseils !

11 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut seneblue

    Télécharge combofix.exe (de sUBs) sur le bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp
    https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

    ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

    Double clique sur combofix.exe, clique sur OUI et valide par Entrée

    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    @++ :)
    0
  2. seneblue
     
    salut dédé !

    merci de m'aider. j'ai exécuté combofix mais pour l'instant je n'arrive pas à poster le rapport dans ce formulaire, il ne s'affiche pas dans la discussion :(
    0
  3. seneblue
     
    ComboFix 10-05-22.03 - utilisateur 23/05/2010 9:36.3.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1014.592 [GMT 2:00]
    Lancé depuis: c:\documents and settings\utilisateur\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\utilisateur\Application Data\Microsoft\HTML Help\hh.dat
    c:\windows\system\Color
    c:\windows\system\msconfig.exe
    c:\windows\system32\404Fix.exe
    c:\windows\system32\Agent.OMZ.Fix.exe
    c:\windows\system32\dumphive.exe
    c:\windows\system32\IEDFix.C.exe
    c:\windows\system32\IEDFix.exe
    c:\windows\system32\o4Patch.exe
    c:\windows\system32\Process.exe
    c:\windows\system32\SrchSTS.exe
    c:\windows\system32\Thumbs.db
    c:\windows\system32\tmp.reg
    c:\windows\system32\VACFix.exe
    c:\windows\system32\VCCLSID.exe
    c:\windows\system32\WS2Fix.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SROSA

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-23 au 2010-05-23 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-22 13:13 . 2010-05-22 13:20 -------- d-----w- C:\Ad-Remover
    2010-05-22 07:13 . 2010-05-22 07:13 34870 ----a-w- C:\cc_20100522_091308.reg
    2010-05-19 17:08 . 2010-05-19 17:08 -------- d-----w- c:\documents and settings\All Users\Application Data\F-Secure
    2010-05-19 16:51 . 2010-05-19 16:54 -------- d---a-w- C:\Navilog1
    2010-05-17 16:29 . 2010-05-18 18:41 -------- d-----w- c:\documents and settings\utilisateur\Application Data\QuickScan
    2010-05-17 16:28 . 2010-05-17 14:48 702120 ----a-w- c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\btsdigqx.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    2010-05-17 16:28 . 2010-05-17 14:48 868456 ----a-w- c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\btsdigqx.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    2010-05-16 20:07 . 2010-05-16 20:07 -------- d-----w- C:\!KillBox
    2010-05-13 16:14 . 2010-05-13 16:24 170712 ----a-w- C:\cc_20100513_181410.reg
    2010-05-09 21:21 . 2010-05-09 21:21 74752 ------w- c:\windows\system32\edff.sys
    2010-05-06 16:31 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-28 18:47 . 2010-04-29 15:52 1 ----a-w- c:\documents and settings\utilisateur\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-04-28 18:45 . 2010-04-28 18:45 -------- d-----w- c:\documents and settings\utilisateur\Application Data\OpenOffice.org

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-23 07:45 . 2009-11-03 20:32 550288 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2010-05-23 01:05 . 2009-08-31 19:29 -------- d-----w- c:\program files\RegistryBooster 2009
    2010-05-23 00:52 . 2007-10-09 08:35 -------- d-----w- c:\documents and settings\utilisateur\Application Data\Uniblue
    2010-05-23 00:51 . 2007-10-10 23:04 -------- d-----w- c:\program files\Uniblue
    2010-05-23 00:51 . 2009-08-31 19:29 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{79E12D99-B429-40C9-BA08-BABF52C4A398}
    2010-05-22 07:10 . 2007-10-10 22:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-05-20 18:05 . 2006-08-02 23:21 -------- d-----w- c:\program files\Norton Utilities
    2010-05-19 22:37 . 2008-01-20 20:54 -------- d-----w- c:\program files\DVD Identifier
    2010-05-18 18:52 . 2006-08-09 12:15 -------- d-----w- c:\program files\EasyPHP
    2010-05-17 23:53 . 2006-12-29 16:13 -------- d-----w- c:\program files\RIAM
    2010-05-17 19:08 . 2006-08-03 20:41 -------- d-----w- c:\program files\Ad-aware 6
    2010-05-16 01:05 . 2007-10-10 22:27 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-15 21:52 . 2007-08-26 22:43 -------- d-----w- c:\documents and settings\utilisateur\Application Data\Orbit
    2010-05-13 15:37 . 2009-07-08 22:48 -------- d-----w- c:\documents and settings\utilisateur\Application Data\vlc
    2010-05-12 15:30 . 2008-08-31 12:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-05-09 22:25 . 2010-01-10 21:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-05-09 21:19 . 2010-05-09 21:19 16 ----a-w- c:\documents and settings\utilisateur\Application Data\qvjsge.dat
    2010-05-06 16:31 . 2006-08-02 13:29 -------- d-----w- c:\program files\Java
    2010-05-06 16:31 . 2004-08-05 12:00 86190 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-06 16:31 . 2004-08-05 12:00 514068 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-29 13:39 . 2010-01-10 21:56 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-29 13:39 . 2010-01-10 21:55 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-28 20:35 . 2006-08-02 20:35 130256 ----a-w- c:\documents and settings\utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-03-30 16:31 . 2006-08-02 13:29 -------- d-----w- c:\program files\Fichiers communs\Java
    2010-03-30 16:31 . 2010-03-30 16:31 503808 ----a-w- c:\documents and settings\utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2aa6207b-n\msvcp71.dll
    2010-03-30 16:31 . 2010-03-30 16:31 499712 ----a-w- c:\documents and settings\utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2aa6207b-n\jmc.dll
    2010-03-30 16:31 . 2010-03-30 16:31 348160 ----a-w- c:\documents and settings\utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2aa6207b-n\msvcr71.dll
    2010-03-30 16:31 . 2010-03-30 16:31 61440 ----a-w- c:\documents and settings\utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3636bb5c-n\decora-sse.dll
    2010-03-30 16:31 . 2010-03-30 16:31 12800 ----a-w- c:\documents and settings\utilisateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3636bb5c-n\decora-d3d.dll
    2010-03-30 15:55 . 2010-03-30 15:55 -------- d-----w- c:\program files\microsoft frontpage
    2010-03-24 00:06 . 2010-03-24 00:06 75340 ----a-w- C:\cc_20100324_010610.reg
    2010-03-18 17:17 . 2010-03-15 18:06 66 ----a-w- c:\documents and settings\utilisateur\Application Data\isc4_0.tmp
    2010-03-12 13:36 . 2010-03-12 13:36 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
    2010-03-12 13:36 . 2010-03-12 13:36 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
    2010-03-12 13:36 . 2010-03-12 13:36 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
    2010-03-12 13:36 . 2010-03-12 13:36 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
    2010-03-12 13:36 . 2010-03-12 13:36 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
    2010-03-12 13:36 . 2010-03-12 13:36 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    2010-03-12 13:36 . 2010-03-12 13:36 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
    2010-03-12 13:36 . 2010-03-12 13:36 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
    2010-03-10 06:16 . 2004-08-05 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-25 06:17 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 13:11 . 2004-08-05 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2008-04-01 18:42 . 2008-04-01 18:42 1695130 ----a-w- c:\program files\VirtualDub-MPEG2_1.6.19_b24587_Fr.exe
    2007-09-11 17:06 . 2007-09-11 17:06 19 ----a-w- c:\program files\Answer.txt
    2006-09-28 22:57 . 2006-09-28 23:37 409600 ----a-w- c:\program files\VirtualDub_148_AC3.exe
    2007-09-29 22:52 . 2007-09-26 23:57 80 --sh--r- c:\windows\system32\F740130123.dll
    .

    ------- Sigcheck -------

    [-] 2002-08-29 . A0EE5C06390357FEE7B7949DBCA156D3 . 165376 . . [5.1.2600.1106] . . c:\windows\system32\appmgmts.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2010-05-10 46456]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2005-02-08 159744]
    "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-05-04 794624]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Auto EPSON Stylus DX3800 Series sur W7-PC"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-03-12 202256]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    c:\documents and settings\admin\Programmes\D'marrage\
    antivir.lnk - c:\program files\Avira\AntiVir Desktop\avgnt.exe [2009-8-7 209153]
    PandaUSBVaccine.lnk - d:\program files\Panda USB Vaccine\USBVaccine.exe [2010-1-24 412928]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2009-9-1 25214]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2006-8-2 106560]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "disableregistrytoosl"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk /r \??\k:\0autocheck autochk *

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
    2004-12-14 00:12 483328 ----a-w- d:\program files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    2007-01-13 08:47 163840 ----a-w- c:\windows\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2010-03-12 13:14 202256 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
    "c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\DNA\\btdna.exe"=
    "c:\\Program Files\\eMule\\eMule.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "d:\\Program Files\\VLC\\vlc.exe"=
    "d:\\Program Files\\VLC099\\vlc.exe"=
    "d:\\Program Files\\MyPoi Manager\\MyPoiManager.exe"=
    "d:\\BitTorrent\\bittorrent.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "30805:UDP"= 30805:UDP:emule

    R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [25/02/2004 13:19 138118]
    R1 edff;edff;c:\windows\system32\edff.sys [09/05/2010 23:21 74752]
    R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [25/02/2004 13:19 46773]
    R2 a2free;a-squared Free Service;d:\program files\a-squared Free\a2service.exe [20/05/2010 20:07 1872320]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [07/08/2009 09:37 108289]
    R2 CommonUsersFolderService;KutinSoft Common Users Folder;c:\program files\Fichiers communs\KutinSoft\CoordinationService\KutinSoftCoordinationService.exe [17/09/2007 18:49 695808]
    R2 TomTomHOMEService;TomTomHOMEService;d:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
    S0 yyxmqpwg;yyxmqpwg; [x]
    S2 gupdate;Service Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
    S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\docume~1\UTILIS~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\docume~1\UTILIS~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]
    S4 NProtectService;Norton Unerase Protection;c:\program files\Norton Utilities\NPROTECT.EXE [03/08/2006 01:21 135168]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-23 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-602162358-448539723-725345543-1004.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

    2010-05-21 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-602162358-448539723-725345543-1004.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

    2010-05-19 c:\windows\Tasks\Uniblue SpeedUpMyPC Nag.job
    - c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2007-10-21 09:43]

    2007-10-21 c:\windows\Tasks\Uniblue SpeedUpMyPC.job
    - c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2007-10-21 09:43]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Connection Wizard,ShellNext = hxxp://home.free.fr/
    IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
    IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
    IE: &Télécharger avec NetTransport - c:\program files\NetTransport 2\NTAddLink.html
    IE: Convert link target to Adobe PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convert link target to existing PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert selected links to Adobe PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convert selected links to existing PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Convert selection to Adobe PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convert selection to existing PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert to Adobe PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convert to existing PDF - d:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
    IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
    IE: E&xporter vers Microsoft Excel - d:\micros~1\Office12\EXCEL.EXE/3000
    IE: Open Picture in &Microsoft PhotoDraw - c:\progra~1\MICROS~2\Office\1033\phdintl.dll/phdContext.htm
    IE: Sothink SWF Catcher - c:\program files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
    IE: Tout t&élécharger avec NetTransport - c:\program files\NetTransport 2\NTAddList.html
    Trusted Zone: secuser.com\www
    FF - ProfilePath - c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\btsdigqx.default\
    FF - prefs.js: browser.search.selectedEngine - Ask.com
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
    FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
    FF - component: c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\btsdigqx.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    FF - component: c:\program files\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabXpcom.dll
    FF - plugin: c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\btsdigqx.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: d:\program files\Adobe\Acrobat 7.0\Acrobat\browser\nppdf32.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    SafeBoot-sglfb.sys
    SafeBoot-tga.sys
    SafeBoot-wd.sys
    SafeBoot-sacsvr
    MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe
    AddRemove-WinFax - c:\program files\Symantec\WinFax\WFXUNIST.ISU
    AddRemove-{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA} - c:\program files\InstallShield Installation Information\{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA}\Setup.exeUNINSTALL
    AddRemove-PRORECUP - f:\proclasse\PRORECUP\WDUNINST.EXE
    AddRemove-WS_FTP Pro - c:\program files\WS_FTP Pro\uninst.isu

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-23 09:47
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1A68D668-6DF3-702D-2A0852A803C1488D}\{D6F2E9CD-48BA-CDDC-BEA31B576464FCAF}\{421B9E29-5D23-2966-C9D7C1E976BC0884}*]
    "1D1OWFM6WKF6TLM3S2BGKKUUDG1"=hex:01,00,01,00,00,00,00,00,71,4a,e0,45,b7,4f,44,
    fb,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3C314B03-F43E-BA89-952BA1DFD2D5EFE8}\{7539A87C-0FED-33C5-609B84E8BF01550C}\{B9902A55-37BA-35DE-AA3E0A7380F9249D}*]
    "{3EE4C831-B7E0-4ed1-B9FC-EDC523C9612F}1"=hex:01,00,01,00,0c,00,00,00,90,cd,0a,
    53,31,f0,44,44,6b,4c,bc,e6,ab,81,16,0c,bf,d4,9d,38,e0,e1,32,28,a9,bb,94,0c,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4233ADD3-CD31-D295-804BA870321FDEF4}\{F4A8E5F3-7E68-2DD0-FA9D328203A7D1A7}\{07380252-9142-5EC5-94F639FC4AE64832}*]
    "{3EE4C831-B7E0-4ed1-B9FC-EDC523C9612F}1"=hex:01,00,01,00,0c,00,00,00,90,cd,0a,
    53,31,f0,44,44,6b,4c,bc,e6,ab,81,16,0c,bf,d4,9d,38,e0,e1,32,28,a9,bb,94,0c,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A356E26F-F64B-8F5D-7C18E49D604F2F76}\{6A54AA76-7D92-69B0-4B2831BB70973615}\{981C58D8-528B-1766-742A6B252CC7665F}*]
    "1D1OWFM6WKF6TLM3S2BGKKUUDG1"=hex:01,00,01,00,00,00,00,00,71,4a,e0,45,b7,4f,44,
    fb,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B9046776-195D-89EA-3E66F9BC5DAE5B9B}\{E7989E73-D3F8-C437-CB8470F59A56421D}\{FFD68A1F-1364-19C2-ECF1A15A7898EBE6}*]
    "1D1OWFM6WKF6TLM3S2BGKKUUDG1"=hex:01,00,01,00,00,00,00,00,71,4a,e0,45,b7,4f,44,
    fb,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
    "Version"=hex:81,4d,96,34,a8,4b,c7,39,6b,b6,71,09,c8,ff,1c,70,69,fd,0c,1c,5f,
    ca,d8,3d,31,12,33,38,48,34,49,1d,20,ab,31,88,8c,a1,33,d8,fd,c9,32,26,3e,13,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C925DBC2-2F83-42AD-B0CBB854A5BF695B}\{7C26F213-28FC-ED62-CBDE7EE0F1CEF59B}\{619A38BB-0D53-1157-F7C7CBB2EE20607F}*]
    "1D1OWFM6WKF6TLM3S2BGKKUUDG1"=hex:01,00,01,00,00,00,00,00,71,4a,e0,45,b7,4f,44,
    fb,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EE6F7F74-172B-2FB0-AEA279A1BF4D862C}\{E8F7F584-6580-7444-5DDA05E0F08E204D}\{B782894F-9CE8-F53C-F71000A030EC5F4C}*]
    "1D1OWFM6WKF6TLM3S2BGKKUUDG1"=hex:01,00,01,00,00,00,00,00,71,4a,e0,45,b7,4f,44,
    fb,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

    [HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
    "Version"=hex:81,4d,96,34,a8,4b,c7,39,6b,b6,71,09,c8,ff,1c,70,69,fd,0c,1c,5f,
    ca,d8,3d,31,12,33,38,48,34,49,1d,20,ab,31,88,8c,a1,33,d8,fd,c9,32,26,3e,13,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(660)
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\program files\WS_FTP Pro\nsftpch.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    d:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    c:\progra~1\SPYBOT~1\SDHelper.dll
    c:\program files\NetTransport 2\NTIEHelper.dll
    d:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\windows\System32\GEARSec.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\program files\Speed Disk\nopdb.exe
    c:\program files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    c:\program files\Canon\CAL\CALMAIN.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\program files\Apoint2K\Apntex.exe
    c:\program files\HPQ\shared\hpqwmi.exe
    c:\windows\system32\taskmgr.exe
    c:\program files\Uniblue\RegistryBooster\registrybooster.exe
    c:\windows\system32\NOTEPAD.EXE
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-23 09:58:26 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-23 07:57

    Avant-CF: 1 795 276 800 octets libres
    Après-CF: 2 022 600 704 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

    Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
    - - End Of File - - 1F38520A8F42333C174F6F3A02F86EDA
    0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut seneblue

    Faire un scan de ce fichier edff.sys ici :

    https://www.virustotal.com/gui/

    Clique sur Parcourir et copie/colle ceci :
    c:\windows\system32\edff.sys
    Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

    Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
    Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

    Poste le résultat au complet

    Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

    @++ :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. seneblue
     
    salut dédé :)

    je viens de suivre ta manip, mais le résultat est le suivant :
    0 byte received

    je refais un scan avec combo...
    0
  7. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut seneblue

    Télécharge SystemLook sur ton Bureau :
    http://jpshortstuff.247fixes.com/SystemLook.exe

    - Double-clique sur SystemLook.exe pour le lancer.

    - Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

    :file
    c:\windows\system32\edff.sys


    - Clique sur le bouton Look pour démarrer l'examen.
    - A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

    @++ :)
    0
  8. seneblue
     
    salut dédé :)

    voici le résultat :
    SystemLook v1.0 by jpshortstuff (11.01.10)
    Log created at 01:00 on 24/05/2010 by utilisateur (Administrator - Elevation successful)

    ========== file ==========

    c:\windows\system32\edff.sys - Unable to find/read file.

    -=End Of File=-

    j'ai refait un scan avec combo je le poste ?
    @+
    0
  9. seneblue
     
    re-salut dédé !

    à tout hasard, j'ai vérifié,le fichier est bien présent dans system32 il pèse 73ko

    @+
    0
  10. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut seneblue

    Oui, oui le fichier existe bien, poste le fichier ici :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le fichier:
    c:\windows\system32\edff.sys
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    @++ :)
    0
  11. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut seneblue

    - Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

    - Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

    KillAll::

    Driver::
    edff
    yyxmqpwg

    File::
    c:\windows\system32\edff.sys
    c:\documents and settings\utilisateur\Application Data\qvjsge.dat
    c:\documents and settings\utilisateur\Application Data\isc4_0.tmp


    - Enregistre ce fichier sur le bureau (Impératif)

    -Nom du fichier : CFScript.txt
    -Type du fichier : tous les fichiers

    - Clique sur Enregistrer et quitte le Bloc Notes

    Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

    - Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

    http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    @++ :)
    0