[Resolu] trojan dans un plugin firefox???

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Resolu] trojan dans un plugin firefox???

Messagepar letal » 10 Fév 2010 18:50

Bonjour,

J'ai écouté l'émission "pointbarre" sur couleur3 samedi matin (le 6 février) et Xavier Studer disait au sujet de Firefox, que mozilla ne vérifiait pas forcément les modules mis à disposition etc., et par exemple que le plugin video download de firefox contiendrait un trojan!!!

Plugin que j'ai installé!!!

J'ai passé un coup de scan avec ClamAv et il n'a rien trouvé qui était lié avec ça (pas dans system32 ou programFile\mozilla\etc. En revanche, il m'a trouvé cela:

C:\WINDOWS\$NtServicePackUninstall$\rsaenh.dll: Win32.Zhelatin.Variants.siggen-1 FOUND

Il s'agit d'un trojan qui s'installe via un spam infecté (promo pour des carte de vœux comique si mon info est bonne).
Je suis étonné de trouvé un virus dans cette partie de windows.

A votre avis cela veut dire quoi? Est-ce qu'il était actif ou non?

Bizzare bizzare :|
Dernière édition par letal le 22 Fév 2010 14:23, édité 1 fois.
letal
Libellulien Junior
Libellulien Junior
 
Messages: 315
Inscription: 02 Sep 2005 13:40

Re: trojan dans un plugin firefox???

Messagepar Falkra » 10 Fév 2010 22:16

Bonsoir,


ClamAV n'est pas une référence, teste le fichier sans l'effacer sur VirusTotal, et poste le rapport, cela donnera sans doute plus d'indications.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: trojan dans un plugin firefox???

Messagepar Burma » 11 Fév 2010 19:07

Salut,

Il semble en effet que 2 extensions soient vérolées

http://www.geckozone.org/forum/viewtopic.php?f=5&t=81586
W 10-Ankermann PC- Ryzen 3 3200 G-16 GO- SSD 500 GO-HD 1000 GO-Bitdefender-Firefox
Avatar de l’utilisateur
Burma
Maître Libellulien
Maître Libellulien
 
Messages: 976
Inscription: 16 Juil 2009 18:48
Localisation: 75011

Re: trojan dans un plugin firefox???

Messagepar Dell » 11 Fév 2010 19:46

@ Burma

Image

Merci de ne pas intervenir dans cette section du forum


Falkra, Ogu, Loup Blanc, Nardino, Ispa et Florinator

Sont les seules personnes autorisées à intervenir dans Désinfections et demandes d'analyse.

[Infos] Fonctionnement particulier de cette section

_DELL_
Windows 10/ 64 Bits, FireFox, F-Secure,
Internet InOne M , SwisscomTv InOne M, Téléphonie IP InOne M, mobile inOne go
Avatar de l’utilisateur
Dell
Modérateur
Modérateur
 
Messages: 11481
Inscription: 16 Oct 2002 16:57
Localisation: Aigle (Suisse)

Re: trojan dans un plugin firefox???

Messagepar letal » 20 Fév 2010 19:15

hello,

Désolé pour le retard, je ne pouvais pas m'en occuper avant!!!

Voilà le résultat du scan, visiblement c'est pas un virus (si j'ai bien compris)
Vous en pensez quoi?



Fichier rsaenh.dll.infected reçu le 2010.02.20 18:04:46 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.20 -
AhnLab-V3 5.0.0.2 2010.02.20 -
AntiVir 8.2.1.170 2010.02.19 -
Antiy-AVL 2.0.3.7 2010.02.19 -
Authentium 5.2.0.5 2010.02.20 -
Avast 4.8.1351.0 2010.02.20 -
AVG 9.0.0.730 2010.02.20 -
BitDefender 7.2 2010.02.20 -
CAT-QuickHeal 10.00 2010.02.19 -
ClamAV 0.96.0.0-git 2010.02.20 -
Comodo 4002 2010.02.20 -
DrWeb 5.0.1.12222 2010.02.20 -
eSafe 7.0.17.0 2010.02.18 -
eTrust-Vet 35.2.7315 2010.02.20 -
F-Prot 4.5.1.85 2010.02.19 -
F-Secure 9.0.15370.0 2010.02.19 -
Fortinet 4.0.14.0 2010.02.20 -
GData 19 2010.02.20 -
Ikarus T3.1.1.80.0 2010.02.20 -
Jiangmin 13.0.900 2010.02.20 -
K7AntiVirus 7.10.977 2010.02.18 -
Kaspersky 7.0.0.125 2010.02.17 -
McAfee 5897 2010.02.19 -
McAfee+Artemis 5897 2010.02.19 -
McAfee-GW-Edition 6.8.5 2010.02.19 -
Microsoft 1.5406 2010.02.20 -
NOD32 4882 2010.02.20 -
Norman 6.04.08 2010.02.20 -
nProtect 2009.1.8.0 2010.02.20 -
Panda 10.0.2.2 2010.02.20 -
PCTools 7.0.3.5 2010.02.19 -
Prevx 3.0 2010.02.20 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.20 -
Sunbelt 5689 2010.02.20 -
Symantec 20091.2.0.41 2010.02.20 -
TheHacker 6.5.1.5.202 2010.02.20 -
TrendMicro 9.120.0.1004 2010.02.20 -
VBA32 3.12.12.2 2010.02.19 -
ViRobot 2010.2.19.2194 2010.02.19 -
VirusBuster 5.0.27.0 2010.02.20 -
Information additionnelle
File size: 152576 bytes
MD5...: 26acbd865f8cff730f1791c4d0854352
SHA1..: 6793775b0c8fcceee9d6ceec09336571526a327f
SHA256: 66fa5845ed397538f92b30cb06202470071b6f45698647e1f86e784942f6c4c4
ssdeep: 3072:JMqqDLy/YRKig3A3V7ny/NL3ny07/OY9WUgm3RiYel:CqqDLuILg3UV8ly0<br>zOY9WK3RiY0<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x134e1<br>timedatestamp.....: 0x40eb5d28 (Wed Jul 07 02:17:12 2004)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x20b3b 0x20c00 6.88 c8966e72fa03c4409bf5a7bfa6a569dc<br>.data 0x22000 0x2588 0x2400 3.79 c76955472af464b50f0ebdf17a0e07fa<br>.rsrc 0x25000 0xc50 0xe00 3.39 6dcad0dd3dd23a97cb6d205b3de7ff7a<br>.reloc 0x26000 0x1072 0x1200 6.10 6255703d8439791e565d0d2c64349ff8<br><br>( 5 imports ) <br>&gt; msvcrt.dll: _strlwr, free, _initterm, malloc, _adjust_fdiv, _resetstkoflw, wcslen, wcscmp, wcscpy, wcscat, _except_handler3<br>&gt; KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, DelayLoadFailureHook, RtlMoveMemory, LocalAlloc, CloseHandle, GetCurrentThread, HeapAlloc, GetProcessHeap, HeapReAlloc, HeapFree, Sleep, MultiByteToWideChar, GetVersionExA, GetSystemDirectoryW, CreateFileW, FindFirstFileExW, WriteFile, GetFileSize, DeleteFileW, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, WideCharToMultiByte, FindNextFileW, LoadLibraryExA, SizeofResource, LoadResource, FindResourceA, ReadFile, _lclose, SetFilePointer, OpenFile, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, InterlockedCompareExchange, lstrcpyW, DisableThreadLibraryCalls, GetModuleFileNameA, DeleteCriticalSection, IsBadWritePtr, lstrcmpiA, lstrcmpA, InitializeCriticalSection, LoadLibraryA, GetProcAddress, lstrcpyA, FreeLibrary, LocalFree, lstrlenW, RaiseException, EnterCriticalSection, LeaveCriticalSection, lstrlenA, FindClose, SetLastError, GetLastError<br>&gt; ADVAPI32.dll: GetFileSecurityW, SetFileSecurityW, GetSecurityDescriptorControl, GetSecurityDescriptorLength, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, MakeSelfRelativeSD, GetAclInformation, GetAce, InitializeAcl, AddAccessAllowedAce, FreeSid, SystemFunction041, SystemFunction040, OpenThreadToken, OpenProcessToken, GetTokenInformation, AllocateAndInitializeSid, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, EqualSid, SetThreadToken, RevertToSelf, GetSidSubAuthority, GetSidSubAuthorityCount, GetSidIdentifierAuthority, IsValidSid, PrivilegeCheck, LookupPrivilegeValueA, RegOpenKeyExW, RegDeleteKeyW, RegEnumKeyA, AdjustTokenPrivileges, ImpersonateSelf, RegCreateKeyExA, RegSetValueExA, GetUserNameA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumKeyExA, MD5Final, MD5Update, MD5Init, A_SHAFinal, A_SHAUpdate, A_SHAInit, RegDeleteValueA, SystemFunction036, RegQueryValueExA, RegCloseKey, RegGetKeySecurity, GetLengthSid<br>&gt; ntdll.dll: NtClose, RtlFreeHeap, NtCreateFile, RtlDosPathNameToNtPathName_U, RtlAllocateHeap, RtlImageNtHeader, RtlNtStatusToDosError<br>&gt; USER32.dll: LoadStringW, wsprintfA, wsprintfW<br><br>( 27 exports ) <br>CPAcquireContext, CPCreateHash, CPDecrypt, CPDeriveKey, CPDestroyHash, CPDestroyKey, CPDuplicateHash, CPDuplicateKey, CPEncrypt, CPExportKey, CPGenKey, CPGenRandom, CPGetHashParam, CPGetKeyParam, CPGetProvParam, CPGetUserKey, CPHashData, CPHashSessionKey, CPImportKey, CPReleaseContext, CPSetHashParam, CPSetKeyParam, CPSetProvParam, CPSignHash, CPVerifySignature, DllRegisterServer, DllUnregisterServer<br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
sigcheck:<br>publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Microsoft Enhanced Cryptographic Provider<br>original name: rsaenh.dll<br>internal name: rsaenh.dll<br>file version.: 5.1.2600.2161 (xpsp.040706-1629)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
trid..: Win64 Executable Generic (80.9%)<br>Win32 Executable Generic (8.0%)<br>Win32 Dynamic Link Library (generic) (7.1%)<br>Generic Win/DOS Executable (1.8%)<br>DOS Executable Generic (1.8%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.20 -
AhnLab-V3 5.0.0.2 2010.02.20 -
AntiVir 8.2.1.170 2010.02.19 -
Antiy-AVL 2.0.3.7 2010.02.19 -
Authentium 5.2.0.5 2010.02.20 -
Avast 4.8.1351.0 2010.02.20 -
AVG 9.0.0.730 2010.02.20 -
BitDefender 7.2 2010.02.20 -
CAT-QuickHeal 10.00 2010.02.19 -
ClamAV 0.96.0.0-git 2010.02.20 -
Comodo 4002 2010.02.20 -
DrWeb 5.0.1.12222 2010.02.20 -
eSafe 7.0.17.0 2010.02.18 -
eTrust-Vet 35.2.7315 2010.02.20 -
F-Prot 4.5.1.85 2010.02.19 -
F-Secure 9.0.15370.0 2010.02.19 -
Fortinet 4.0.14.0 2010.02.20 -
GData 19 2010.02.20 -
Ikarus T3.1.1.80.0 2010.02.20 -
Jiangmin 13.0.900 2010.02.20 -
K7AntiVirus 7.10.977 2010.02.18 -
Kaspersky 7.0.0.125 2010.02.17 -
McAfee 5897 2010.02.19 -
McAfee+Artemis 5897 2010.02.19 -
McAfee-GW-Edition 6.8.5 2010.02.19 -
Microsoft 1.5406 2010.02.20 -
NOD32 4882 2010.02.20 -
Norman 6.04.08 2010.02.20 -
nProtect 2009.1.8.0 2010.02.20 -
Panda 10.0.2.2 2010.02.20 -
PCTools 7.0.3.5 2010.02.19 -
Prevx 3.0 2010.02.20 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.20 -
Sunbelt 5689 2010.02.20 -
Symantec 20091.2.0.41 2010.02.20 -
TheHacker 6.5.1.5.202 2010.02.20 -
TrendMicro 9.120.0.1004 2010.02.20 -
VBA32 3.12.12.2 2010.02.19 -
ViRobot 2010.2.19.2194 2010.02.19 -
VirusBuster 5.0.27.0 2010.02.20 -

Information additionnelle
File size: 152576 bytes
MD5...: 26acbd865f8cff730f1791c4d0854352
SHA1..: 6793775b0c8fcceee9d6ceec09336571526a327f
SHA256: 66fa5845ed397538f92b30cb06202470071b6f45698647e1f86e784942f6c4c4
ssdeep: 3072:JMqqDLy/YRKig3A3V7ny/NL3ny07/OY9WUgm3RiYel:CqqDLuILg3UV8ly0<br>zOY9WK3RiY0<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x134e1<br>timedatestamp.....: 0x40eb5d28 (Wed Jul 07 02:17:12 2004)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x20b3b 0x20c00 6.88 c8966e72fa03c4409bf5a7bfa6a569dc<br>.data 0x22000 0x2588 0x2400 3.79 c76955472af464b50f0ebdf17a0e07fa<br>.rsrc 0x25000 0xc50 0xe00 3.39 6dcad0dd3dd23a97cb6d205b3de7ff7a<br>.reloc 0x26000 0x1072 0x1200 6.10 6255703d8439791e565d0d2c64349ff8<br><br>( 5 imports ) <br>&gt; msvcrt.dll: _strlwr, free, _initterm, malloc, _adjust_fdiv, _resetstkoflw, wcslen, wcscmp, wcscpy, wcscat, _except_handler3<br>&gt; KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, DelayLoadFailureHook, RtlMoveMemory, LocalAlloc, CloseHandle, GetCurrentThread, HeapAlloc, GetProcessHeap, HeapReAlloc, HeapFree, Sleep, MultiByteToWideChar, GetVersionExA, GetSystemDirectoryW, CreateFileW, FindFirstFileExW, WriteFile, GetFileSize, DeleteFileW, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, WideCharToMultiByte, FindNextFileW, LoadLibraryExA, SizeofResource, LoadResource, FindResourceA, ReadFile, _lclose, SetFilePointer, OpenFile, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, InterlockedCompareExchange, lstrcpyW, DisableThreadLibraryCalls, GetModuleFileNameA, DeleteCriticalSection, IsBadWritePtr, lstrcmpiA, lstrcmpA, InitializeCriticalSection, LoadLibraryA, GetProcAddress, lstrcpyA, FreeLibrary, LocalFree, lstrlenW, RaiseException, EnterCriticalSection, LeaveCriticalSection, lstrlenA, FindClose, SetLastError, GetLastError<br>&gt; ADVAPI32.dll: GetFileSecurityW, SetFileSecurityW, GetSecurityDescriptorControl, GetSecurityDescriptorLength, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, MakeSelfRelativeSD, GetAclInformation, GetAce, InitializeAcl, AddAccessAllowedAce, FreeSid, SystemFunction041, SystemFunction040, OpenThreadToken, OpenProcessToken, GetTokenInformation, AllocateAndInitializeSid, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, EqualSid, SetThreadToken, RevertToSelf, GetSidSubAuthority, GetSidSubAuthorityCount, GetSidIdentifierAuthority, IsValidSid, PrivilegeCheck, LookupPrivilegeValueA, RegOpenKeyExW, RegDeleteKeyW, RegEnumKeyA, AdjustTokenPrivileges, ImpersonateSelf, RegCreateKeyExA, RegSetValueExA, GetUserNameA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumKeyExA, MD5Final, MD5Update, MD5Init, A_SHAFinal, A_SHAUpdate, A_SHAInit, RegDeleteValueA, SystemFunction036, RegQueryValueExA, RegCloseKey, RegGetKeySecurity, GetLengthSid<br>&gt; ntdll.dll: NtClose, RtlFreeHeap, NtCreateFile, RtlDosPathNameToNtPathName_U, RtlAllocateHeap, RtlImageNtHeader, RtlNtStatusToDosError<br>&gt; USER32.dll: LoadStringW, wsprintfA, wsprintfW<br><br>( 27 exports ) <br>CPAcquireContext, CPCreateHash, CPDecrypt, CPDeriveKey, CPDestroyHash, CPDestroyKey, CPDuplicateHash, CPDuplicateKey, CPEncrypt, CPExportKey, CPGenKey, CPGenRandom, CPGetHashParam, CPGetKeyParam, CPGetProvParam, CPGetUserKey, CPHashData, CPHashSessionKey, CPImportKey, CPReleaseContext, CPSetHashParam, CPSetKeyParam, CPSetProvParam, CPSignHash, CPVerifySignature, DllRegisterServer, DllUnregisterServer<br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
sigcheck:<br>publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Microsoft Enhanced Cryptographic Provider<br>original name: rsaenh.dll<br>internal name: rsaenh.dll<br>file version.: 5.1.2600.2161 (xpsp.040706-1629)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
trid..: Win64 Executable Generic (80.9%)<br>Win32 Executable Generic (8.0%)<br>Win32 Dynamic Link Library (generic) (7.1%)<br>Generic Win/DOS Executable (1.8%)<br>DOS Executable Generic (1.8%)
letal
Libellulien Junior
Libellulien Junior
 
Messages: 315
Inscription: 02 Sep 2005 13:40

Re: trojan dans un plugin firefox???

Messagepar Falkra » 21 Fév 2010 08:07

Aucun antivirus ne le voit infecté actuellement.
C'est un faux-positif de ClamAV sur ta machine.

D'après la place du fichier en tout cas, il n'est pas actif.
Sothink video downloader a été classé clean aussi, entre temps, il y a eu erreur d'analyse sur le plugin.

On peut toujours jeter un oeil sur le reste de la machine.
:arrow: Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :
Voici un tuto avec les liens nécessaires :
Poster un rapport HijackThis
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: trojan dans un plugin firefox???

Messagepar letal » 22 Fév 2010 13:09

hé voilà !!!
cela me semble correct, ton avis?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:32, on 22.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\EPSON\ESM2\eEBSVC.exe
C:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
E:\1MINIPROG\ASUS\AI Suite\AiNap\AiNap.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
E:\1MINIPROG\ZoneAlarm\zlclient.exe
E:\1MINIPROG\ASUS\EPU-6 Engine\SixEngine.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
E:\1MINIPROG\Logitech\Itouch\iTouch\iTouch.exe
C:\Program Files\Java\jre6\bin\jusched.exe
E:\1MINIPROG\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\1MINIPROG\Logitech\MouseWare\MouseWare\system\em_exec.exe
C:\Program Files\Creative\ShareDLL\CADI\NotiMan.exe
E:\1MINIPROG\hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Ai Nap] "E:\1MINIPROG\ASUS\AI Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [QFan Help] "E:\1MINIPROG\ASUS\AI Suite\QFan3\QFanHelp.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] "E:\1MINIPROG\ASUS\AI Suite\CpuLevelUpHelp.exe"
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\1MINIPROG\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Six Engine] "E:\1MINIPROG\ASUS\EPU-6 Engine\SixEngine.exe" -b
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\1MINIPROG\Logitech\Itouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\1MINIPROG\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\1MINIPROG\OFFICE\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\1MINIPROG\OFFICE\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/v ... .2.5.0.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0383322016
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{731E1DA4-370F-4F84-8E38-FFBE922EB610}: NameServer = 192.168.0.252
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8167 bytes
letal
Libellulien Junior
Libellulien Junior
 
Messages: 315
Inscription: 02 Sep 2005 13:40

Re: trojan dans un plugin firefox???

Messagepar Falkra » 22 Fév 2010 14:08

Ca va, mais il te faudrait un vrai antivirus. ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: trojan dans un plugin firefox???

Messagepar letal » 22 Fév 2010 14:23

je sais :-D

merci et à bientôt
letal
Libellulien Junior
Libellulien Junior
 
Messages: 315
Inscription: 02 Sep 2005 13:40


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités