Alerte virus scan ; Buffer Overflow

baboor Messages postés 161 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
J'ai McAfee Enterprise Version 8.7. Il ya environ une semaine, j'ai commencé à avoir 4 à 5 avertissements par jour de McAfee sur toute les poste du reseau local de l'entreprise disant qu'il avait bloqué buffer overflow. "Bloqué par la protection contre le Buffer Overflow"

ce qui necessite un redemarrage du serveur windows server 2003 pour que je puisse acceder au fichier partagé .

Nom : C:\WINDOWS\System32\svchost.exe:KERNEL32.LoadLibraryA
Détecté en tant que BO : accès en écriture BO : pile
etat : Bloqué par la protection contre le Buffer Overflow

une idée pour se debarrasser du ce message ?
merci

2 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    y a pas une nouvelle application qui a été installée juste avant ?

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan
    [*] donne le rapport de scan.

    Ne pas faire suppression.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. baboor Messages postés 161 Date d'inscription   Statut Membre Dernière intervention  
       
      Rapport de scan :



      RogueKiller V8.6.2 [Jul 2 2013] par Tigzy
      mail : tigzyRK<at>gmail<dot>com
      Remontees : hxxp://www.adlice.com/forum/
      Site Web : https://www.luanagames.com/index.fr.html
      Blog : http://tigzyrk.blogspot.com/

      Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur : SuperUser [Droits d'admin]
      Mode : Recherche -- Date : 07/05/2013 11:18:18
      | ARK || FAK || MBR |

      ¤¤¤ Processus malicieux : 0 ¤¤¤

      ¤¤¤ Entrees de registre : 7 ¤¤¤
      [DNS] HKLM\[...]\CCSet\[...]\{28BD8525-9FF4-4CA2-8EE0-F993699AEA89} : NameServer (172.20.150.2) -> TROUVÉ
      [DNS] HKLM\[...]\CS001\[...]\{28BD8525-9FF4-4CA2-8EE0-F993699AEA89} : NameServer (172.20.150.2) -> TROUVÉ
      [DNS] HKLM\[...]\CS002\[...]\{28BD8525-9FF4-4CA2-8EE0-F993699AEA89} : NameServer (172.20.150.2) -> TROUVÉ
      [HJ POL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
      [HJ POL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
      [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
      [APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs ( C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Wincert\WIN32C~1.DLL [-]) -> TROUVÉ

      ¤¤¤ Tâches planifiées : 0 ¤¤¤

      ¤¤¤ Entrées Startup : 0 ¤¤¤

      ¤¤¤ Navigateurs web : 0 ¤¤¤

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver : [CHARGE] ¤¤¤

      ¤¤¤ Ruches Externes: ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      --> %SystemRoot%\System32\drivers\etc\hosts


      127.0.0.1 localhost
      10.254.100.40 VWWE400


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: WDC WD3200AAJS-60M0A1 +++++
      --- User ---
      [MBR] 3bd39fb5aafd90c827ce8529171be5b4
      [BSP] 8ba8c304cbad0516cbec4035ab8707a5 : Windows XP MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 80003 Mo
      1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 163846935 | Size: 225231 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[0]_S_07052013_111818.txt >>
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    services.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

    0