[RESOLU] TR/PSW.Magania.avc et autres ...

moutmout · le 15 avril 2009

Bonjour,

Suite à un problème logiciel, je n'ai pu mettre à jour Antivir pendant plusieurs jours. J'ai finalement procédé à une mise a jour manuelle et, depuis, c'est alerte infection sur alerte infection ... Je n'arrive d'ailleurs pas a faire un scan complet de mes disques tellement il y en a!

Les sales bêtes qui ressortent régulièrement sont :

Dans le fichier 'C:\WINDOWS\system32\nmdfgds0.dll'

un virus ou un programme indésirable 'TR/PSW.Magania.avc' [trojan] a été détecté.

+

Dans le fichier 'C:\Documents and Settings\sebastien\Local Settings\Temp\help.exe'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

+ encore un qui s'appelle PSW.Onlineq.acah dont je n'arrive plus a trouver l'alerte dans antivir ...

Voici mon log Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:15:30, on 15/04/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\WLTRAY.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre6\bin\jusched.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

d:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Program Files\Mozilla Firefox\firefox.exe

d:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\System32\WLTRAY

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - d:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--

End of file - 4809 bytes

Quelqu'un peut-il m'aider ????

Ce serait formidable ....

Merci d'avance

MOUT

Modifié le 15 avril 2009 par moutmout

moutmout · le 15 avril 2009

PS : j'ai oublié de préciser : pour des raisons d'écran défaillant, il m'est impossible de redémarrer en mode sans échec ....

angelique · le 15 avril 2009

• relance hijackThis " do a system scan only" , coche uniquement les lignes ci dessous et clic fixchecked:

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

• (¯`·._.·[ ..... ]·._.·´¯)

» Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!!

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

http://imagesup.org/images/1238940640-cfdl.jpg

http://imagesup.org/images/1238940687-cfren.jpg

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

* Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

(¯`·._.·[ ..... ]·._.·´¯)

moutmout · le 15 avril 2009

Voilà, c'est fait!

Voici le Rapport Combofix:

ComboFix 09-04-15.08 - sebastien 15/04/2009 16:00.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1492 [GMT 2:00]

Lancé depuis: c:\documents and settings\sebastien\Bureau\COlaF.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

FW: ZoneAlarm Firewall *enabled*

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\windows\system32\nmdfgds1.dll

D:\2fiy.bat

D:\a1agmur.cmd

D:\Autorun.inf

D:\cv22.cmd

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-15 au 2009-04-15 ))))))))))))))))))))))))))))))))))))

.

2009-03-28 13:50 . 2009-03-28 14:57 -------- d-----w c:\documents and settings\sebastien\Application Data\Crayon Physics Deluxe

2009-03-27 14:02 . 2009-03-27 14:02 393 ----a-w c:\windows\TrueTerm.INI

2009-03-25 10:43 . 2009-03-25 10:43 54156 ---ha-w c:\windows\QTFont.qfn

2009-03-25 10:43 . 2009-03-25 10:43 1409 ----a-w c:\windows\QTFont.for

2009-03-21 17:41 . 2009-03-21 17:41 268 ---ha-w C:\sqmdata02.sqm

2009-03-21 17:41 . 2009-03-21 17:41 244 ---ha-w C:\sqmnoopt02.sqm

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-15 13:34 . 2008-03-26 16:23 -------- d-----w c:\program files\Mozilla Thunderbird

2009-04-14 15:27 . 2009-04-14 15:28 1678336 ----a-w c:\windows\Internet Logs\xDBA.tmp

2009-04-14 15:27 . 2007-06-26 17:01 134927 ----a-w c:\windows\system32\nvModes.dat

2009-03-30 20:52 . 2009-03-30 20:52 -------- d-----w c:\program files\Fichiers communs\Windows Live

2009-03-29 10:12 . 2007-06-29 23:55 77200 -c--a-w c:\documents and settings\sebastien\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-03-28 14:53 . 2008-10-31 13:45 -------- d-----w c:\documents and settings\sebastien\Application Data\uTorrent

2009-03-22 07:31 . 2008-12-12 09:14 3421513 ----a-w c:\windows\Internet Logs\tvDebug.zip

2009-03-18 14:28 . 2007-08-11 07:46 -------- d-----w c:\documents and settings\sebastien\Application Data\Autodesk

2009-03-18 14:28 . 2007-08-11 07:46 -------- d-----w c:\documents and settings\All Users\Application Data\Autodesk

2009-03-18 14:03 . 2007-08-11 07:46 -------- d-----w c:\program files\Fichiers communs\Autodesk Shared

2009-03-18 14:03 . 2009-03-18 14:02 -------- d-----w c:\program files\Revit Architecture 2008

2009-03-15 17:08 . 2009-03-15 17:08 98304 ----a-w c:\windows\system32\CmdLineExt.dll

2009-03-14 17:18 . 2009-03-15 14:31 1616896 ----a-w c:\windows\Internet Logs\xDB9.tmp

2009-03-14 17:18 . 2009-03-15 14:31 2951168 ----a-w c:\windows\Internet Logs\xDB8.tmp

2009-03-14 13:00 . 2009-03-14 11:09 -------- d-----w c:\documents and settings\sebastien\Application Data\Winamp

2009-03-10 19:12 . 2009-03-10 19:12 201728 ----a-w c:\windows\system32\anooki-v5-0-1.scr

2009-03-09 12:30 . 2009-03-09 12:30 -------- d-----w c:\program files\Avira

2009-03-09 12:30 . 2009-03-09 12:30 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-02-27 15:12 . 2009-02-27 15:12 -------- d-----w c:\program files\Virtual Earth 3D

2009-02-21 20:50 . 2001-08-28 12:00 76134 ----a-w c:\windows\system32\perfc00C.dat

2009-02-21 20:50 . 2001-08-28 12:00 468276 ----a-w c:\windows\system32\perfh00C.dat

2009-02-20 19:55 . 2008-10-31 15:54 7630368 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-02-20 19:55 . 2008-10-31 15:54 107444 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-06-11 22:29 . 2008-06-11 22:29 1801 -c--a-w c:\documents and settings\All Users\Application Data\xml29.tmp

2008-06-11 22:28 . 2008-06-11 22:28 13349 -c--a-w c:\documents and settings\All Users\Application Data\xml27.tmp

2008-06-11 22:28 . 2008-06-11 22:28 0 -c--a-w c:\documents and settings\All Users\Application Data\xml28.tmp

2008-06-11 22:28 . 2008-06-11 22:28 16786 -c--a-w c:\documents and settings\All Users\Application Data\xml26.tmp

2007-11-06 11:37 . 2007-11-06 11:37 132 -c--a-w c:\documents and settings\sebastien\Local Settings\Application Data\fusioncache.dat

.

------- Sigcheck -------

[-] 2004-08-19 14:09 578048 946D4F7C86938B4C04850AA02EA6C871 c:\windows\ServicePackFiles\i386\user32.dll

[-] 2004-08-19 14:09 578048 946D4F7C86938B4C04850AA02EA6C871 c:\windows\system32\user32.dll

[-] 2004-08-19 14:09 660480 DE217662B475B7BCB242E1C8588022EC c:\windows\ServicePackFiles\i386\Wininet.dll

[-] 2004-08-19 14:09 660480 DE217662B475B7BCB242E1C8588022EC c:\windows\system32\wininet.dll

[-] 2004-08-19 14:10 506368 0A1A19FFFC1467DE5085D1B66C929E38 c:\windows\ServicePackFiles\i386\winlogon.exe

[-] 2004-08-19 14:10 506368 0A1A19FFFC1467DE5085D1B66C929E38 c:\windows\system32\winlogon.exe

[-] 2004-08-19 14:09 1036288 18E0FD214DD9980A5F3575CA574D9B15 c:\windows\explorer.exe

[-] 2004-08-19 14:09 1036288 18E0FD214DD9980A5F3575CA574D9B15 c:\windows\ServicePackFiles\i386\explorer.exe

[-] 2004-08-19 14:10 112640 CCDEC0BCE27622770D9AF89FCFBEDB1A c:\windows\ServicePackFiles\i386\wuauclt.exe

[-] 2004-08-19 14:10 112640 CCDEC0BCE27622770D9AF89FCFBEDB1A c:\windows\system32\Wuauclt.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CursorXP"="c:\program files\CursorXP\CursorXP.exe" [2005-01-19 128000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Dell Wireless Manager UI"="c:\windows\System32\WLTRAY" [X]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-11-30 4636672]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-01 136600]

"ZoneAlarm Client"="d:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-19 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\Program Files\\Autodesk\\3dsMax8\\3dsmax.exe"=

"d:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"d:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

R3 DMSKSSRh;DMSKSSRh; [x]

R3 GTIPCI21;GTIPCI21; [x]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{003d30f7-188f-11de-b92a-0010c67d9893}]

\Shell\AutoRun\command - G:\em8tqm.cmd

\Shell\open\Command - G:\em8tqm.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05c14e4c-9371-11dd-92f3-0010c67d9893}]

\Shell\AutoRun\command - H:\xsia.bat

\Shell\open\Command - H:\xsia.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12b27fea-43e0-11dd-92a3-0010c67d9893}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.exe /openpath /donotdeletefile

\Shell\Ouvrir\command - autorun.exe /openpath /donotdeletefile

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f88ec48-2407-11dc-906b-000b7d1e8e43}]

\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4596f938-c5e4-11dd-b013-0010c67d9893}]

\Shell\AutoRun\command - G:\em8tqm.cmd

\Shell\open\Command - G:\em8tqm.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48f6b869-9de2-11dd-930e-0010c67d9893}]

\Shell\AutoRun\command - a1agmur.cmd

\Shell\open\Command - a1agmur.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4951fc24-0cfd-11de-b912-0010c67d9893}]

\Shell\AutoRun\command - u.com

\Shell\open\Command - u.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51acc9f0-1ec2-11dd-923a-0010c67d9893}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.exe /openpath /donotdeletefile

\Shell\Ouvrir\command - H:\autorun.exe /openpath /donotdeletefile

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5277f702-4522-11dd-92a4-0010c67d9893}]

\Shell\AutoRun\command - G:\

\Shell\open\Command - rundll32.exe .\\msotcuiu.dll,InstallM

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7451218e-f2ee-11dd-81e1-0010c67d9893}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7451218f-f2ee-11dd-81e1-0010c67d9893}]

\Shell\AutoRun\command - 8.bat

\Shell\open\Command - 8.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{805ebb99-2b09-11dd-9268-0010c67d9893}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.exe /openpath /donotdeletefile

\Shell\Ouvrir\command - autorun.exe /openpath /donotdeletefile

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c58e7a1a-e7b2-11dd-bb52-000b7d1e8e43}]

\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2a56e53-afe7-11dd-9478-0010c67d9893}]

\Shell\AutoRun\command - G:\2u.com

\Shell\explore\Command - G:\2u.com

\Shell\open\Command - G:\2u.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2a56e5b-afe7-11dd-9478-0010c67d9893}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d92b412a-186c-11de-b929-0010c67d9893}]

\Shell\AutoRun\command - H:\em8tqm.cmd

\Shell\open\Command - H:\em8tqm.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0572112-f1e2-11dd-81de-0010c67d9893}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

.

Contenu du dossier 'Tâches planifiées'

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

FF - ProfilePath - c:\documents and settings\sebastien\Application Data\Mozilla\Firefox\Profiles\n74216aw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/

FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll

FF - plugin: d:\program files\Mozilla Firefox\plugins\npmozax.dll

.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-15 16:03

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(976)

c:\windows\System32\BCMLogon.dll

.

Heure de fin: 2009-04-15 16:04

ComboFix-quarantined-files.txt 2009-04-15 14:04

Avant-CF: 2.423.754.752 octets libres

Après-CF: 2.705.883.136 octets libres

188

J'ai refais un scan Hijackthis au cas ou :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:06:36, on 15/04/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\WLTRAY.exe

C:\Program Files\Java\jre6\bin\jusched.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

d:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\usnsvc.exe

D:\Program Files\AutoCAD 2007\acad.exe

C:\Program Files\Fichiers communs\Autodesk Shared\WSCommCntr1.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\explorer.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe