[RESOLU] [W7] Trojan depuis Firefox

Kendiau · le 19 juillet 2011

Bonjour tout le monde !

Je viens à vous car j'ai une petite question à propos des trojans.

Hier j'étais sur le net via Firefox, je cherchai un fichier (un film), je suis allé sur un site un peu bizarre, j'ai cliqué sur un lien et là mon écran est devenu noir. Mon bureau est revenu mais sans mon Anti-Virus :fou: . Quelques secondes après, on me proposait un scan de mon pc complet etc...

Bref dans le gestionnaire de taches, c'était iwu.exe qui foutait sa merde.

Je voulais savoir, comment un programme peut s'installer comme ça sur mon pc sans que je n’exécute quoi que ce soit, que mon anti-virus ne réagisse ??

Enfin ce que je comprends pas c'est qu'en général quand on voit video.exe on comprend qu'il faut pas l'installer mais là le prog s'est installer comme une fleur sur mon pc, comment ?

Sinon j'ai boot sous linux et connecté mon DD externe pour recup mes fichiers, il n'y a pas de risque qu'il y est quelque chose sur mon DD ?

Merci d'avance :incline:

Tom

Krapace · le 19 juillet 2011

Ca peut venir d'une faille 0-day dans le lecteur flash

le 19 juillet 2011

+1 Effectivement j'incriminerais bien flash, surtout après un écran noir comme ça c'est typique.

Par contre ce qui serait intéressant de savoir également c'est :

- la version de Firefox

- la version de Flash

snooky · le 19 juillet 2011

Salut,

quel antivirus installé ?

Une analyse du disque système avec MBAM et poste le rapport.

Dans le registre, regarde si cette clé est présente:

HKEY_LOCAL_MACHINE\Software\Patched_c.IWU

Toini · le 19 juillet 2011

Sinon il y a combofix qui dégomme bien ces petites bestioles la ! Car souvent elles laissent entrer leur copine ne même temps :francais:

Kendiau · le 19 juillet 2011

Salut tout le monde !

Par précaution j'ai retiré ma carte wifi.

J'aimerais bien vous donner tout ces renseignements mais depuis que j'ai désactivé et suppr iwu.exe, je ne peux plus lancer un .exe ! :cartonrouge:

Du coup un regedit me dit "C:\windows\regedit.exe Application introuvable " et ceux pour tout les exe :keskidit:

Pour Firefox je suis presque sur d’être en 5.0. J'ai toujours eu un pc propre (assez maniaque :transpi: ), j'étais en SP1 à jour.

Pour la version Flash, aucune idée :craint: ..

Sinon pour le DD externe ca ne risque rien ?

Merci à tous!

EDIT : En réponse à Snooky, j'avais Microsoft Security Essential, je sais c'est pas top mais je pensais être à l’abri du moment où je faisais attention :fou:

snooky · le 19 juillet 2011

Lance une restauration système ( sélectionne un point de restauration d'avant la visite sur ce fameux site )

Si la restauration ne fonctionne plus > ComboFix > http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Kendiau · le 19 juillet 2011

Merci pour ta réponse Snooky !

La restauration système ne marche plus et je ne peut pas installer ComboFix comme les .exe ne fonctionnement plus :zarb:

Je vais formater de toute façon, je voulais savoir si ca ne risquait rien pour le DD externe ?

Toini · le 19 juillet 2011

Il est toujours présent d'où le fait que tu ne puisses pas lancer d'exe ! Un boot en sans echec et un coup de combofix devrait faire l'affaire (en toute logique tes exe devrait se lance en sans echec) !

Kendiau · le 19 juillet 2011

J'ai trouvé, en fait en Mode Sans Echec il me disait la même chose, du coup j'ai fait "executer en tant qu'admin" et ca fonctionne :incline:

Je vous tiens au courant !

EDIT : Firefox était bien en 5.0 et le Flash en 10.3.181.26

snooky · le 19 juillet 2011

Après Combofix en MSE, redémarre en mode normal et lance une analyse du disque C avec MBAM ( Poste ce rapport ).

Kendiau · le 19 juillet 2011

Voila le rapport de ComboFix :

ComboFix 11-07-19.01 - Tom 19/07/2011 13:45:34.1.2 - x64 MINIMAL

Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4095.3283 [GMT 2:00]

Lancé depuis: c:\users\Tom\Desktop\ComboFix.exe

AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}

SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-06-19 au 2011-07-19 ))))))))))))))))))))))))))))))))))))

.

2011-07-19 11:49 . 2011-07-19 11:49 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-07-19 01:58 . 2011-07-19 01:58 -------- d---a-w- C:\.Trash-999

2011-07-17 15:47 . 2011-06-07 17:10 8873296 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{6AB2669F-9BD9-403A-9FE4-A69557DB89B5}\mpengine.dll

2011-07-13 22:18 . 2011-06-11 03:07 3137536 ----a-w- c:\windows\system32\win32k.sys

2011-07-11 20:14 . 2011-07-11 20:14 -------- d-----w- c:\users\Tom\AppData\Roaming\vlc

2011-06-24 12:59 . 2011-06-24 12:59 -------- d-----w- c:\windows\Sun

2011-06-22 20:03 . 2011-06-22 20:03 2106216 ----a-w- c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll

2011-06-22 20:03 . 2011-06-22 20:03 1998168 ----a-w- c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-06-22 12:15 . 2011-05-21 21:15 404640 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2011-06-13 11:32 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll

2011-06-13 11:32 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll

2011-06-07 17:10 . 2010-02-27 18:40 8873296 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2011-06-03 05:57 . 2011-07-13 22:18 44032 ----a-w- c:\windows\apppatch\acwow64.dll

2011-05-07 09:05 . 2011-05-07 09:05 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll

2011-05-07 09:05 . 2011-05-07 09:05 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe

2011-05-07 09:05 . 2011-05-07 09:05 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe

2011-05-07 09:05 . 2011-05-07 09:05 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll

2011-05-07 09:05 . 2011-05-07 09:05 161792 ----a-w- c:\windows\SysWow64\msls31.dll

2011-05-07 09:05 . 2011-05-07 09:05 1126912 ----a-w- c:\windows\SysWow64\wininet.dll

2011-05-07 09:05 . 2011-05-07 09:05 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll

2011-05-07 09:05 . 2011-05-07 09:05 74752 ----a-w- c:\windows\SysWow64\iesetup.dll

2011-05-07 09:05 . 2011-05-07 09:05 63488 ----a-w- c:\windows\SysWow64\tdc.ocx

2011-05-07 09:05 . 2011-05-07 09:05 420864 ----a-w- c:\windows\SysWow64\vbscript.dll

2011-05-07 09:05 . 2011-05-07 09:05 367104 ----a-w- c:\windows\SysWow64\html.iec

2011-05-07 09:05 . 2011-05-07 09:05 35840 ----a-w- c:\windows\SysWow64\imgutil.dll

2011-05-07 09:05 . 2011-05-07 09:05 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll

2011-05-07 09:05 . 2011-05-07 09:05 152064 ----a-w- c:\windows\SysWow64\wextract.exe

2011-05-07 09:05 . 2011-05-07 09:05 150528 ----a-w- c:\windows\SysWow64\iexpress.exe

2011-05-07 09:05 . 2011-05-07 09:05 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe

2011-05-07 09:05 . 2011-05-07 09:05 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl

2011-05-07 09:05 . 2011-05-07 09:05 11776 ----a-w- c:\windows\SysWow64\mshta.exe

2011-05-07 09:05 . 2011-05-07 09:05 101888 ----a-w- c:\windows\SysWow64\admparse.dll

2011-05-07 09:05 . 2011-05-07 09:05 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe

2011-05-07 09:05 . 2011-05-07 09:05 49664 ----a-w- c:\windows\system32\imgutil.dll

2011-05-07 09:05 . 2011-05-07 09:05 222208 ----a-w- c:\windows\system32\msls31.dll

2011-05-07 09:05 . 2011-05-07 09:05 173056 ----a-w- c:\windows\system32\ieUnatt.exe

2011-05-07 09:05 . 2011-05-07 09:05 1389056 ----a-w- c:\windows\system32\wininet.dll

2011-05-07 09:05 . 2011-05-07 09:05 135168 ----a-w- c:\windows\system32\IEAdvpack.dll

2011-05-07 09:05 . 2011-05-07 09:05 12288 ----a-w- c:\windows\system32\mshta.exe

2011-05-07 09:05 . 2011-05-07 09:05 114176 ----a-w- c:\windows\system32\admparse.dll

2011-05-07 09:05 . 2011-05-07 09:05 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe

2011-05-07 09:05 . 2011-05-07 09:05 85504 ----a-w- c:\windows\system32\iesetup.dll

2011-05-07 09:05 . 2011-05-07 09:05 76800 ----a-w- c:\windows\system32\tdc.ocx

2011-05-07 09:05 . 2011-05-07 09:05 48640 ----a-w- c:\windows\system32\mshtmler.dll

2011-05-07 09:05 . 2011-05-07 09:05 448512 ----a-w- c:\windows\system32\html.iec

2011-05-07 09:05 . 2011-05-07 09:05 30720 ----a-w- c:\windows\system32\licmgr10.dll

2011-05-07 09:05 . 2011-05-07 09:05 165888 ----a-w- c:\windows\system32\iexpress.exe

2011-05-07 09:05 . 2011-05-07 09:05 160256 ----a-w- c:\windows\system32\wextract.exe

2011-05-07 09:05 . 2011-05-07 09:05 1492992 ----a-w- c:\windows\system32\inetcpl.cpl

2011-05-07 09:05 . 2011-05-07 09:05 111616 ----a-w- c:\windows\system32\iesysprep.dll

2011-05-07 09:05 . 2011-05-07 09:05 603648 ----a-w- c:\windows\system32\vbscript.dll

2011-05-03 05:29 . 2011-06-18 11:55 976896 ----a-w- c:\windows\system32\inetcomm.dll

2011-05-03 04:30 . 2011-06-18 11:55 741376 ----a-w- c:\windows\SysWow64\inetcomm.dll

2011-04-29 03:06 . 2011-06-18 11:56 467456 ----a-w- c:\windows\system32\drivers\srv.sys

2011-04-29 03:05 . 2011-06-18 11:56 410112 ----a-w- c:\windows\system32\drivers\srv2.sys

2011-04-29 03:05 . 2011-06-18 11:56 168448 ----a-w- c:\windows\system32\drivers\srvnet.sys

2011-04-27 02:40 . 2011-06-18 11:56 158208 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2011-04-27 02:39 . 2011-06-18 11:56 289280 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys

2011-04-27 02:39 . 2011-06-18 11:56 128000 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys

2011-04-25 05:33 . 2011-06-18 11:56 1923968 ----a-w- c:\windows\system32\drivers\tcpip.sys

2011-04-25 02:34 . 2011-06-18 11:56 499200 ----a-w- c:\windows\system32\drivers\afd.sys

2011-04-23 01:29 . 2011-06-18 12:34 2303488 ----a-w- c:\windows\system32\jscript9.dll

2011-04-23 01:19 . 2011-06-18 12:34 2382848 ----a-w- c:\windows\system32\mshtml.tlb

2011-04-22 23:35 . 2011-06-18 12:34 1797632 ----a-w- c:\windows\SysWow64\jscript9.dll

2011-04-22 23:25 . 2011-06-18 12:34 2382848 ----a-w- c:\windows\SysWow64\mshtml.tlb

2011-04-22 22:15 . 2011-05-27 19:05 27520 ----a-w- c:\windows\system32\drivers\Diskdump.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

.

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]

R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]

R3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]

R3 CamDrL64;Logitech QuickCam Pro 3000(PID_08B0);c:\windows\system32\DRIVERS\CamDrL64.sys [x]

R3 LVUSBS64;Logitech USB Monitor Filter;c:\windows\system32\drivers\LVUSBS64.sys [x]

R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]

R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]

R3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2010-11-11 282616]

R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys [2010-02-25 11856]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]

R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [x]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]

R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam64.sys [x]

R4 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

R4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe [2010-08-27 1403200]

R4 WDDMService;WDDMService;c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [2011-03-09 288768]

R4 WDFME;WD File Management Engine;c:\program files (x86)\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe [2011-03-09 1066896]

R4 WDSC;WD File Management Shadow Engine;c:\program files (x86)\Western Digital\WD SmartWare\Front Parlor\WDSC.exe [2011-03-09 491920]

.

--------- x86-64 -----------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

------- Examen supplémentaire -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://www.google.fr/

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~3\Office12\EXCEL.EXE/3000

IE: ????3?? - c:\users\Tom\AppData\Roaming\FlashGetBHO\GetUrl.htm

IE: ????3?????? - c:\users\Tom\AppData\Roaming\FlashGetBHO\GetAllUrl.htm

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Tom\AppData\Roaming\Mozilla\Firefox\Profiles\s8yaps7j.default\

FF - prefs.js: browser.startup.homepage - www.google.fr

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

- - - - ORPHELINS SUPPRIMES - - - -

.

SafeBoot-MsMpSvc

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-3229755694-190940990-2305509903-1000\Software\Microsoft\Internet Explorer\MenuExt\O(uë_f3*N}]

@Allowed: (Read) (RestrictedCode)

@="c:\\Users\\Tom\\AppData\\Roaming\\FlashGetBHO\\GetUrl.htm"

"contexts"=dword:00000022

.

[HKEY_USERS\S-1-5-21-3229755694-190940990-2305509903-1000\Software\Microsoft\Internet Explorer\MenuExt\O(uë_f3*N}hQèþ”¥c]

@Allowed: (Read) (RestrictedCode)

@="c:\\Users\\Tom\\AppData\\Roaming\\FlashGetBHO\\GetAllUrl.htm"

"contexts"=dword:000000f3

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Heure de fin: 2011-07-19 13:53:11 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-07-19 11:53

.

Avant-CF: 7 506 714 624 octets libres

Après-CF: 7 344 107 520 octets libres

.

- - End Of File - - 1A8D3FAF6A6B25FDCD35A99BC5BEDBBC

Et celui de MBAM :

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

Version de la base de données: 6705

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

19/07/2011 14:06:31

mbam-log-2011-07-19 (14-06-27).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 159147

Temps écoulé: 1 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):