Yannoo

Bonjour, J'ai récupéré un PC portable récemment, windows XP, antivir installé et à jour. Tout fonctionne correctement, je fais quand meme une petite analyse avec Malwarebytes' Anti Malware pour etre bien sur, le pc semble bien clean. Par contre pas de mise à jour windows faite depuis bien longtemps ! Je fais donc la mise à jour vers IE 7 et l'intégrale des maj proposées par windows update, je reboote et là, plus de firewall windows ni de connections internet (ie meme pas d'icones). Quand je clique sur l'icone du firewall, le message suivant apparait : "Windows Firewall settings cannot be displayed because the associated service is not running. Do you want to start the Windows Firewall/Internet Connection Sharing (ICS) service?" avec un Yes/No Quand je clique sur Yes, ca donne ceci : "Windows cannot start the Windows Firewall/Internet Connection Sharing (ICS) service". Quand je vais vérifier dans ControlPanel>AdministrativeTools>Services, le service ICS est indiqué comme non démarré (status) et automatic (startup type). Quand j'essaye de le démarrer, j'obtiens un message avec l'erreur 1068 " the dependency service or group failed to start". Après pas mal de recherche sur le net, j'ai tenté quelques trucs, sans succès. Entre autre 1/ les commandes "netsh firewall reset" et "netsh winsock reset" dans l'invite de commande. 2/ tout ce qu'il y a d'indiqué ici : http://windowsxp.mvps.org/sharedaccess.htm Et au final, toujours pas de résultats ;( Si quelqu'un a une idée à me suggerer, je suis preneur ! Merci d'avance

Donc j'ai fait l'analyse Mbam, voici le log : Malwarebytes' Anti-Malware 1.34 Version de la base de données: 1857 Windows 5.1.2600 Service Pack 2 17/03/2009 13:13:35 mbam-log-2009-03-17 (13-13-35).txt Type de recherche: Examen complet (C:\|D:\|E:\|) Eléments examinés: 236853 Temps écoulé: 1 hour(s), 24 minute(s), 43 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 1 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 9 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\System Volume Information\_restore{A70AC732-B07A-4F46-9660-0ABFBE58A158}\RP231\A0039331.sys (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UACixfaoexm.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UACkobpoqsp.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UACtchkfwsa.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UACwcysiypj.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UACfvqacfxg.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UACmxmawtwi.log (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UACwxdqoyhc.dat (Trojan.Agent) -> Quarantined and deleted successfully. J'ai supprimé tout ce qui était en quarantaine ensuite, fait la maj IE7, fait toutes les maj windows manquantes (et en fait il en manquait bcp, sans doute bloquées par toutes les infections listées ci dessus), verifié la maj d'antivir, refait un scan antivir en mode sans échec. Plus de symptomes, vitesse ok, ca semble plutot bon !! Merci bcp à vous. :P :P (y a t il autre chose à faire, ou puis je désormais retirer tous les programmes ajoutés pour gerer cette infection?)

Merci je suis flatté. L'analyse Malware a déjà trouvé pas mal de choses, c'est encore en cours. Je posterais les logs quand ca sera terminé.

Arf nouveau souci, quand je rentre la 4eme ligne de gmer.exe -del service UACd.sys gmer.exe -delReg "HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys" gmer.exe -delReg "HKLM\SYSTEM\ControlSet002\Services\UACd.sys" gmer.exe -delFile "C:\WINDOWS\system32\drivers\UACcocjwjtk.sys" gmer.exe -reboot ie celle en rouge, ca me donne un pop up de GMER disant DeleteKey : paramètre incorrect avec juste un ok... [EDIT : c'est bon, faute de typo, c'est corrigé je suis nul, c'était un delFile et non un delReg, par contre ca m'a balancé un gros écran bleu de plantage pendant une demi seconde puis reboot automatique du PC, c'est normal ca? ] [EDIT bis : au reboot, antivir s'excite comme un fou et me trouve dix fois le fichier sus-nommé, j'ai mis supprimer à chaque fois .... Je suis retourné dans l'invit de cmd, refais la commande -delFile, ca m'indique que le fichier n'existe plus, et j'ai pu faire un gamer.exe -reboot]

Bonjour Je reviens vers vous car je suis en train d'essayer de traiter le PC qui est infécté, en appliquant la méthode indiquée au post 19. Seulement voilà souci, quand je suis dans le cmd.exe et que je tappe gmer.exe -del service UACd.sys (ie la première commande du log), ca m'affiche le message d'erreur suivant : 'gmer.exe' n'est pas un programme reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes. J'ai essayé en changeant par gamer.exe -del blabla, puisque le fichier s'appelle gamer.exe dans le C:\gamer, sans succès. J'ai aussi gardé la meme commande mais en changeant le nom de gamer.exe en gmer.exe dans le C:\gamer, sans effet. J'ai aussi essayé tout cela en me ramenant dans l'invite de commande à juste c:\>gmer ...., pareil sans effet. J'ai désinstallé gmer, reinstaller proprement à la racine de C:\ dans un ficher gamer, etc ..., tout recommencé, pareil, meme message d'erreur Je bloque :P help plz [EDIT : je pense avoir trouvé, puisque ca me donne plus de message d'erreur, mais est ce bon ? : Dans l'invit de commande, je me rammène à la racine de la ou est gmer, ie C:\Gamer> puis je tappe les commande avec le nom réel du programme, à savoir donc gamer.exe -del service UACd.sys Plus de message d'erreur, on peut supposer que çà marche donc ? ]

Ok alors pour résumer et dans l'ordre, je fais 1/ Créez un sur C:\ un dossier nommé Gamer Vous allez Renommer gmer Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE Pour le renommer: clic droit sur http://www.gmer.net/gmer.zip Choisir "Enregistrer la cible du lien..sous...." Choisir pour destination le fichier C:\gamer En bas, à Nom du Fichier: tapez gamer.exe Cliquez enfin sur -> Enregistrer sous Entrez dans C:\gamer Lancez gmer en double cliquant sur gamer.exe Déconnectez internet si possible et fermez tous les programmes. Si une alerte de l' antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laissez le s'executer. Clic sur l'onglet "rootkit" Clic sur Scan A la fin du scan->Clic sur copie Collez le résultat dans un prochain message 2/ puis SI infection détéctée comme ci dessus Menu Démarrer-> executer et taper : cmd puis clic sur OK. Taper chacune de ces commandes en appuyant sur la touche entrée à chaque fois pour valider la commande : gmer.exe -del service UACd.sys gmer.exe -delReg "HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys" gmer.exe -delReg "HKLM\SYSTEM\ControlSet002\Services\UACd.sys" gmer.exe -delFile "C:\WINDOWS\system32\drivers\UACcocjwjtk.sys" gmer.exe -reboot 3/ Et ensuite (qu'il y ait infection détecté au 2/ ou pas), un coup de Mbam : Renommer Mbam Dans certains cas, il peut être nécessaire de renommer Mbam ,avant le téléchargement pour traiter l' infection. Désinstallez Mbam, s'il est installé Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE Pour le renommer: Clic droit sur http://www.malwarebytes.org/mbam/program/mbam-setup.exe Choisir "Enregistrer la cible du lien..sous...." Choisir le bureau En bas, à Nom du Fichier: tapez karcher.exe Cliquez enfin sur -> Enregistrer Lancez Mbam par karcher.exe En cas de problème, : méthode illustrée [branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc) * Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation. Enregistrez le sur le bureau . Fermer toutes les fenêtres et programmes Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet) N'apportez aucune modification aux réglages par défaut et, en fin d'installation, Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. cliquer sur OK pour fermer la boîte de dialogue.. * Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour: Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez. * Une fois la mise à jour terminée, allez dans l'onglet Recherche. * Sélectionnez "Exécuter un examen complet" * Cliquez sur "Rechercher" * .L' analyse prendra un certain temps, soyez patient ! * A la fin , un message affichera : L'examen s'est terminé normalement. *Si MBAM n'a rien trouvé, il le dira aussi. Cliquez sur "Ok" pour poursuivre. *Fermez les navigateurs. Cliquez sur Afficher les résultats . *Sélectionnez tout et cliquez sur Supprimer la sélection , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs. * Copiez-collez ce rapport dans la prochaine réponse. Je suis désolé de vous infliger tout çà, mais je préfère être sur de mon coup :P

Ok, bien noté. Par contre, très mauvaise blague en cours, puisque après les avoir demandé d'isoler leur DD externe et la clé usb qui avaient été en contact avec le portable infecté, ils m'ont dit les avoir branché sur un autre de leur portable (pour pouvoir continuer à bosser ). Bref pour faire court -> le second portable risque t il d'être infecté ? (il ne présente actuellement aucun des symptomes, à savoir lenteur et redirection porno) -> comment faire pour m'assurer qu'il ne présente pas l'infection ? (analyse Gmer selon le meme process que précedemment, ca suffit?) A savoir que le second portable doit etre lui aussi sous AVGfree (et non Antivir ;( ), avec maj windows ok sauf IE 7 ... Bref meme config que le premier.

ok c'est tout bien noté, je vais faire tout cela. Par contre si j'ai bien suivi, il faut traiter à la fois le pc infecté mais aussi les stockages externes ayant été en contact avec, non? En effet il me semble que mes parents ont fait une sauvegarde de leur données s(tockées à la base sur D: la deuxième partition du DD interne) sur leur disque dur externe alors que l'infection était déjà en cours. Dois je aller le récuperer aussi, le brancher et ensuite desinfecter en meme temps que le DD interne ? (je fais réference à la partie avec Mbam) Encore merci bcp !!!

*

Bingo, j'ai tout fait comme indiqué et Gmer a indiqué avoir trouvé un rootkit. Voici le log : [EDIT : par contre, mauvaise blague, les lignes qui étaient en rouges dans le programme sont passées en noir là, pas très pratique ;( désolé ] [EDIT bis : après relecture de tout çà, et si j'ai bien tout suivi c'est File C:\WINDOWS\system32\drivers\UACcocjwjtk.sys 65536 bytes executable <-- ROOTKIT !!! qui semble pas bon, non ? ] GMER 1.0.15.14939 - http://www.gmer.net Rootkit scan 2009-03-16 11:24:37 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- Code 822BAE10 ZwEnumerateKey Code 8232F300 ZwFlushInstructionCache Code 822BABDE IofCallDriver Code 822BA546 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EDE00 5 Bytes JMP 822BABE3 .text ntkrnlpa.exe!IofCompleteRequest 804EDE90 5 Bytes JMP 822BA54B PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805AA912 5 Bytes JMP 8232F304 PAGE ntkrnlpa.exe!ZwEnumerateKey 80619412 5 Bytes JMP 822BAE14 ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Internet Explorer\Iexplore.exe[220] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A8000A .text C:\Program Files\Internet Explorer\Iexplore.exe[220] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A9000A .text C:\Program Files\Internet Explorer\Iexplore.exe[220] WININET.dll!HttpAddRequestHeadersA 77AB40E2 5 Bytes JMP 00D0000C .text C:\Program Files\Internet Explorer\Iexplore.exe[220] WININET.dll!HttpAddRequestHeadersW 77ABEEE4 5 Bytes JMP 00D7000A .text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!getaddrinfo 719F2A6F 5 Bytes JMP 00B6FA00 .text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!connect 719F406A 5 Bytes JMP 00B70750 .text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!send 719F428A 5 Bytes JMP 00B70630 .text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!gethostbyname 719F4FD4 5 Bytes JMP 00B6FDB0 .text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00B70910 .text C:\Program Files\Dell\QuickSet\quickset.exe[360] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B6000A .text C:\Program Files\Dell\QuickSet\quickset.exe[360] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B7000A .text C:\WINDOWS\System32\WLTRYSVC.EXE[484] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0094000A .text C:\WINDOWS\System32\WLTRYSVC.EXE[484] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0095000A .text C:\WINDOWS\System32\bcmwltry.exe[496] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B7000A .text C:\WINDOWS\System32\bcmwltry.exe[496] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B8000A .text C:\WINDOWS\system32\spoolsv.exe[560] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0097000A .text C:\WINDOWS\system32\spoolsv.exe[560] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0098000A .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[608] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0095000A .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[608] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0096000A .text C:\WINDOWS\Explorer.EXE[788] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00AB000A .text C:\WINDOWS\Explorer.EXE[788] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AC000A .text C:\WINDOWS\system32\winlogon.exe[848] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0065000A .text C:\WINDOWS\system32\winlogon.exe[848] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0066000A .text C:\WINDOWS\system32\wbem\wmiprvse.exe[908] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 007F000A .text C:\WINDOWS\system32\wbem\wmiprvse.exe[908] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0082000A .text C:\WINDOWS\system32\services.exe[952] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0070000A .text C:\WINDOWS\system32\services.exe[952] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0071000A .text C:\WINDOWS\system32\lsass.exe[964] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006F000A .text C:\WINDOWS\system32\lsass.exe[964] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0072000A .text C:\WINDOWS\system32\rundll32.exe[1104] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A7000A .text C:\WINDOWS\system32\rundll32.exe[1104] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A8000A .text C:\WINDOWS\System32\alg.exe[1256] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006F000A .text C:\WINDOWS\System32\alg.exe[1256] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0070000A .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe[1476] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0096000A .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe[1476] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0097000A .text C:\WINDOWS\system32\hkcmd.exe[1508] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0096000A .text C:\WINDOWS\system32\hkcmd.exe[1508] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0097000A .text C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1512] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006D000A .text C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1512] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 006E000A .text C:\WINDOWS\system32\basfipm.exe[1528] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0070000A .text C:\WINDOWS\system32\basfipm.exe[1528] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0071000A .text C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe[1592] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00D6000A .text C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe[1592] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00D7000A .text C:\PROGRA~1\Iomega\System32\AppServices.exe[1620] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006C000A .text C:\PROGRA~1\Iomega\System32\AppServices.exe[1620] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 006D000A .text C:\Program Files\Intel\Wireless\Bin\EvtEng.exe[1672] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00C5000A .text C:\Program Files\Intel\Wireless\Bin\EvtEng.exe[1672] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C6000A .text C:\WINDOWS\system32\igfxpers.exe[1684] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0094000A .text C:\WINDOWS\system32\igfxpers.exe[1684] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0095000A .text C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe[1740] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009C000A .text C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe[1740] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009D000A .text C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe[1788] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00CD000A .text C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe[1788] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00CE000A .text C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe[1832] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00F7000A .text C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe[1832] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F8000A .text C:\WINDOWS\system32\WLTRAY.exe[1852] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B5000A .text C:\WINDOWS\system32\WLTRAY.exe[1852] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B6000A .text C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe[1960] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0074000A .text C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe[1960] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0075000A .text C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe[2056] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00EF000A .text C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe[2056] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F0000A .text C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe[2068] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00E1000A .text C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe[2068] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00E2000A .text C:\Program Files\Winamp\Winampa.exe[2084] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0096000A .text C:\Program Files\Winamp\Winampa.exe[2084] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0097000A .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[2104] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A9000A .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[2104] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AA000A .text C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe[2176] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A9000A .text C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe[2176] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AA000A .text C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe[2196] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00BD000A .text C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe[2196] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00BE000A .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe[2204] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B9000A .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe[2204] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00BA000A .text C:\Program Files\Messenger\msmsgs.exe[2228] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0094000A .text C:\Program Files\Messenger\msmsgs.exe[2228] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0095000A .text C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe[2264] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0098000A .text C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe[2264] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0099000A .text C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe[2692] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0097000A .text C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe[2692] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0098000A .text C:\Program Files\Gamer\gamer.exe[3904] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009F000A .text C:\Program Files\Gamer\gamer.exe[3904] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A0000A .text C:\WINDOWS\system32\wuauclt.exe[3924] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0098000A .text C:\WINDOWS\system32\wuauclt.exe[3924] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0099000A .text C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe[4084] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A3000A .text C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe[4084] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A4000A ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\BTHUSB \Device\00000089 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation) Device \Driver\BTHUSB \Device\00000089 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation) Device \Driver\BTHUSB \Device\0000008b bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation) Device \Driver\BTHUSB \Device\0000008b bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\UACcocjwjtk.sys (*** hidden *** ) AAEED000-AAF00000 (77824 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [156] 0x008C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [156] 0x009C0000 Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [208] 0x008C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [208] 0x009C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Internet Explorer\Iexplore.exe [220] 0x00C60000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Dell\QuickSet\quickset.exe [360] 0x00E10000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\WLTRYSVC.EXE [484] 0x00C10000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\bcmwltry.exe [496] 0x00E20000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [560] 0x00C30000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [608] 0x00C20000 Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [788] 0x00BD0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [788] 0x00D40000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [848] 0x00820000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\wbem\wmiprvse.exe [908] 0x00AD0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [952] 0x009C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [964] 0x009D0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\rundll32.exe [1104] 0x00C30000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\alg.exe [1256] 0x009B0000 Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1460] 0x008C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1460] 0x009C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [1476] 0x00C30000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\hkcmd.exe [1508] 0x00C30000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [1512] 0x009A0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\basfipm.exe [1528] 0x009D0000 Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1556] 0x008C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1556] 0x009C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe [1592] 0x01020000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\PROGRA~1\Iomega\System32\AppServices.exe [1620] 0x00990000 Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1636] 0x008C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1636] 0x009C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\EvtEng.exe [1672] 0x00F10000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\igfxpers.exe [1684] 0x00C10000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe [1740] 0x00C80000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe [1788] 0x00F90000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe [1832] 0x01230000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\WLTRAY.exe [1852] 0x00E10000 Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1912] 0x008C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1912] 0x009C0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe [1960] 0x00A00000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe [2056] 0x011B0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe [2068] 0x010D0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Winamp\Winampa.exe [2084] 0x00C20000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2104] 0x00D50000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe [2176] 0x00D50000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe [2196] 0x00EF0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2204] 0x00E50000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Messenger\msmsgs.exe [2228] 0x00BF0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2264] 0x00C50000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe [2692] 0x00C40000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Gamer\gamer.exe [3904] 0x00CC0000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\wuauclt.exe [3924] 0x00C40000 Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe [4084] 0x00CF0000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\UACcocjwjtk.sys (*** hidden *** ) [sYSTEM] UACd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016411c4c07 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACcocjwjtk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACcocjwjtk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACtchkfwsa.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACwxdqoyhc.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACwcysiypj.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACoqktucji.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACxtsmqmqc.db Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACrntfcpya.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACkobpoqsp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACmxmawtwi.log Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACkksibokm.log Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACscmulvof.log Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACixfaoexm.dll Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016411c4c07 Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACcocjwjtk.sys Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACcocjwjtk.sys Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACtchkfwsa.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACwxdqoyhc.dat Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACwcysiypj.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACoqktucji.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACxtsmqmqc.db Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACrntfcpya.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACkobpoqsp.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACmxmawtwi.log Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACkksibokm.log Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACscmulvof.log Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACixfaoexm.dll ---- Files - GMER 1.0.15 ---- File C:\Documents and Settings\LA\Local Settings\Temp\UAC5a4e.tmp 343040 bytes executable File C:\Documents and Settings\LA\Local Settings\Temp\UAC65aa.tmp 98304 bytes executable File C:\Documents and Settings\LA\Local Settings\Temp\UAC65ba.tmp 343040 bytes executable File C:\Documents and Settings\LA\Local Settings\Temp\UAC754a.tmp 126976 bytes executable File C:\WINDOWS\system32\drivers\UACcocjwjtk.sys 65536 bytes executable <-- ROOTKIT !!! File C:\WINDOWS\system32\UACfvqacfxg.dat 127 bytes File C:\WINDOWS\system32\uacinit.dll 5051 bytes File C:\WINDOWS\system32\UACixfaoexm.dll 18944 bytes executable File C:\WINDOWS\system32\UACkobpoqsp.dll 65536 bytes File C:\WINDOWS\system32\UAClnxvhxis.db 414144 bytes File C:\WINDOWS\system32\UACmxmawtwi.log 54273 bytes File C:\WINDOWS\system32\UACoqktucji.dll 24576 bytes executable File C:\WINDOWS\system32\UACrntfcpya.dll 34816 bytes executable File C:\WINDOWS\system32\UACtchkfwsa.dll 31232 bytes executable File C:\WINDOWS\system32\uactmp.db 1896749 bytes File C:\WINDOWS\system32\UACwcysiypj.dll 27136 bytes executable File C:\WINDOWS\system32\UACwxdqoyhc.dat 127 bytes File C:\WINDOWS\system32\UACxtsmqmqc.db 414144 bytes File C:\WINDOWS\Temp\UAC590e.tmp 49152 bytes File C:\WINDOWS\Temp\UAC63c7.tmp 28672 bytes File C:\WINDOWS\Temp\UAC6f55.tmp 73728 bytes File C:\WINDOWS\Temp\UAC98c0.tmp 56832 bytes executable File C:\WINDOWS\Temp\UAC9bdd.tmp 30720 bytes executable File C:\WINDOWS\Temp\UACa487.tmp 61440 bytes File C:\WINDOWS\Temp\UACb0ea.tmp 45056 bytes File C:\WINDOWS\Temp\UACcc73.tmp 45056 bytes ---- EOF - GMER 1.0.15 ----

Oui, la redirection vers du porno est toujours effective J'ai le pc au taf avec moi, pour continuer à agir si vous avez d'autres idées à me suggérer. Cependant je ne pourrais pas tester """l'efficacité""" dans la mesure ou grace/à cause du firewall de mon réseau, cette redirection vers du porno n'est pas effective (ca ne le fait que chez moi ou sur le réseau de mes parents).

Alors alors 1/ J'ai fixé les lignes dans Hijackthis, puis j'ai supprimé le Ctfmon comme demandé. 2/ J'ai ensuite réinstallé Antivir en mode normal, fait la MàJ sur le net, lancé une analyse et voilà le mode normal (à noter que j'ai l'antiguard d'antivir activé) : Avira AntiVir Personal Date de création du fichier de rapport : dimanche 15 mars 2009 20:46 La recherche porte sur 1297221 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 2) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur :AL Informations de version : BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:44:32 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11/03/2009 19:44:35 ANTIVIR3.VDF : 7.1.2.171 61952 Bytes 13/03/2009 19:44:36 Version du moteur: 8.2.0.114 AEVDF.DLL : 8.1.1.0 106868 Bytes 15/03/2009 19:44:48 AESCRIPT.DLL : 8.1.1.63 364923 Bytes 15/03/2009 19:44:47 AESCN.DLL : 8.1.1.8 127346 Bytes 15/03/2009 19:44:46 AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38 AEPACK.DLL : 8.1.3.10 397686 Bytes 15/03/2009 19:44:45 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 15/03/2009 19:44:44 AEHEUR.DLL : 8.1.0.104 1634679 Bytes 15/03/2009 19:44:43 AEHELP.DLL : 8.1.2.2 119158 Bytes 15/03/2009 19:44:40 AEGEN.DLL : 8.1.1.28 336244 Bytes 15/03/2009 19:44:39 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56 AECORE.DLL : 8.1.6.6 176501 Bytes 15/03/2009 19:44:37 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Sélection de fichiers intelligente Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : dimanche 15 mars 2009 20:46 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés Processus de recherche 'Dot1XCfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqimzone.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés Processus de recherche 'Autolaunch.exe' - '1' module(s) sont contrôlés Processus de recherche 'Vaderetro_mgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés Processus de recherche 'iFrmewrk.exe' - '1' module(s) sont contrôlés Processus de recherche 'ZCfgSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'WLTRAY.EXE' - '1' module(s) sont contrôlés Processus de recherche 'quickset.exe' - '1' module(s) sont contrôlés Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'NicConfigSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppServices.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'BAsfIpM.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'WLKEEPER.exe' - '1' module(s) sont contrôlés Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '52' processus ont été contrôlés avec '52' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '56' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\Documents and Settings\LA\Local Settings\Temp\$1B9203CC.t$m [0] Type d'archive: CAB (Microsoft) --> dell000a.chm [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. Recherche débutant dans 'D:\' Fin de la recherche : dimanche 15 mars 2009 21:12 Temps nécessaire: 26:05 Minute(s) La recherche a été effectuée intégralement 5994 Les répertoires ont été contrôlés 126250 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 126249 Fichiers non infectés 2321 Les archives ont été contrôlées 2 Avertissements 0 Consignes ---------------------------------------------------------------------------------------------------------------- 3/ Je suis ensuite passé en mode sans échec, et rebelotte, analyse antivir dont voici le log : Avira AntiVir Personal Date de création du fichier de rapport : dimanche 15 mars 2009 21:24 La recherche porte sur 1297221 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 2) [5.1.2600] Mode Boot : Mode sans échec Identifiant : LA Nom de l'ordinateur :AL Informations de version : BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:44:32 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11/03/2009 19:44:35 ANTIVIR3.VDF : 7.1.2.171 61952 Bytes 13/03/2009 19:44:36 Version du moteur: 8.2.0.114 AEVDF.DLL : 8.1.1.0 106868 Bytes 15/03/2009 19:44:48 AESCRIPT.DLL : 8.1.1.63 364923 Bytes 15/03/2009 19:44:47 AESCN.DLL : 8.1.1.8 127346 Bytes 15/03/2009 19:44:46 AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38 AEPACK.DLL : 8.1.3.10 397686 Bytes 15/03/2009 19:44:45 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 15/03/2009 19:44:44 AEHEUR.DLL : 8.1.0.104 1634679 Bytes 15/03/2009 19:44:43 AEHELP.DLL : 8.1.2.2 119158 Bytes 15/03/2009 19:44:40 AEGEN.DLL : 8.1.1.28 336244 Bytes 15/03/2009 19:44:39 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56 AECORE.DLL : 8.1.6.6 176501 Bytes 15/03/2009 19:44:37 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: réparer Action secondaire................: supprimer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: marche Fichier mode de recherche........: Tous les fichiers Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : dimanche 15 mars 2009 21:24 La recherche d'objets cachés commence. Impossible d'initialiser le pilote. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '12' processus ont été contrôlés avec '12' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '56' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\Documents and Settings\LA\Local Settings\Temp\$1B9203CC.t$m [0] Type d'archive: CAB (Microsoft) --> dell000a.chm [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. Recherche débutant dans 'D:\' Fin de la recherche : dimanche 15 mars 2009 22:29 Temps nécessaire: 1:05:05 Heure(s) La recherche a été effectuée intégralement 5983 Les répertoires ont été contrôlés 126140 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 126139 Fichiers non infectés 2321 Les archives ont été contrôlées 2 Avertissements 0 Consignes !voilà , c'est tout pour ce soir !

J'ai essayé avec les 3 liens, le download se passe sans soucis, c'est au moment de l'execution que ca plante ...

Alors alors : - J'ai downloadé smitfraudFix.exe, mais impossible de l'executer, j'obtiens automatiquement un message d'erreur (... a rencontré un problème et doit fermer). J'ai tenté en mode normal uniquement. Autre remarque par rapport à votre post, je n'ai actuellement plus antivir sur le PC (puisque j'ai suvi les conseils donnés dans le post Prénettoyage de PC infecté), donc je n'ai pas eu besoin de desactiver la protection en temps réel d'antivir. Je suis sous xp, pas vista, et je n'ai pas spybot. Concernant IE c'est noté, je ferais çà dès que j'aurais résolu l'infection de base

Bon c'est noté je m'occuper de faire tout cela, et je vous tiens au courant. Juste, concernant IE6, j'ai essayé d'installer la version 7 il y a bien longtemps déjà, sans succès. Je téléchargeais la V7, mais impossible de l'installer, ca plantait avant la fin. J'ai essayé l'intégralité des conseils donnés sur le site de microsoft pour y remédier, mais sans succès aussi. J'ai fini par laisser tomber. De toute façon j'ai contraint mes parents à ne se servir QUE de firefox. (j'ai la meme chose sur mon propre PC, license officielle de winxp, j'ai essayé d'installer IE7 juste après un formatage/réinstallation de windows, jamais réussi )