[Résolu] Infection de mon ordinateur

[Yannoo]

J'ai essayé avec les 3 liens, le download se passe sans soucis, c'est au moment de l'execution que ca plante ...

[pear]

On laisse tomber.

 

Avez vous fixé les lignes demandées dans Hijackthis ?

 

Si oui, réinsatllez Antivir et postez en le rapport.

 

Télécharger Avira AntiVir Personal Edition en Anglais

Télécharger Avira AntiVir Personal Edition en Français

 

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

 

Paramètres conseillés

Clic droit sur le parapluie---------------------->Configure-Configurer

Cliquer Expert mode----------------------------->Scan-Recherche:

Cocher: ----------------------------------------------->All files -Tous les Fichiers

Additionnal Settings-Autres réglages:--->tout cocher

Clic sur Scan+ -Recherche+

Action for concerning files -Action en cas de résultat positif:

Cocher-------------------------------------------------->Copie file to quarantine before action-Copier le fichier dans la quarantaine avant l'action:

Primary action-Action principale............>: Repair :Réparer ( au cas ou ce serait un fichier système corrompu)

Secondary action.-Action secondaire...>.: Delete-Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

 

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

[Yannoo]

Alors alors

 

1/ J'ai fixé les lignes dans Hijackthis, puis j'ai supprimé le Ctfmon comme demandé.

2/ J'ai ensuite réinstallé Antivir en mode normal, fait la MàJ sur le net, lancé une analyse et voilà le mode normal (à noter que j'ai l'antiguard d'antivir activé) :

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : dimanche 15 mars 2009 20:46

 

La recherche porte sur 1297221 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :AL

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:44:32

ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11/03/2009 19:44:35

ANTIVIR3.VDF : 7.1.2.171 61952 Bytes 13/03/2009 19:44:36

Version du moteur: 8.2.0.114

AEVDF.DLL : 8.1.1.0 106868 Bytes 15/03/2009 19:44:48

AESCRIPT.DLL : 8.1.1.63 364923 Bytes 15/03/2009 19:44:47

AESCN.DLL : 8.1.1.8 127346 Bytes 15/03/2009 19:44:46

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38

AEPACK.DLL : 8.1.3.10 397686 Bytes 15/03/2009 19:44:45

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 15/03/2009 19:44:44

AEHEUR.DLL : 8.1.0.104 1634679 Bytes 15/03/2009 19:44:43

AEHELP.DLL : 8.1.2.2 119158 Bytes 15/03/2009 19:44:40

AEGEN.DLL : 8.1.1.28 336244 Bytes 15/03/2009 19:44:39

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56

AECORE.DLL : 8.1.6.6 176501 Bytes 15/03/2009 19:44:37

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Sélection de fichiers intelligente

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : dimanche 15 mars 2009 20:46

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Dot1XCfg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqimzone.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Autolaunch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Vaderetro_mgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iFrmewrk.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ZCfgSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLTRAY.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'quickset.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NicConfigSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppServices.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BAsfIpM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLKEEPER.exe' - '1' module(s) sont contrôlés

Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'52' processus ont été contrôlés avec '52' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '56' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Documents and Settings\LA\Local Settings\Temp\$1B9203CC.t$m

[0] Type d'archive: CAB (Microsoft)

--> dell000a.chm

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

Recherche débutant dans 'D:\'

 

 

Fin de la recherche : dimanche 15 mars 2009 21:12

Temps nécessaire: 26:05 Minute(s)

 

La recherche a été effectuée intégralement

 

5994 Les répertoires ont été contrôlés

126250 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

126249 Fichiers non infectés

2321 Les archives ont été contrôlées

2 Avertissements

0 Consignes

 

----------------------------------------------------------------------------------------------------------------

 

3/ Je suis ensuite passé en mode sans échec, et rebelotte, analyse antivir dont voici le log :

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : dimanche 15 mars 2009 21:24

 

La recherche porte sur 1297221 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 2) [5.1.2600]

Mode Boot : Mode sans échec

Identifiant : LA

Nom de l'ordinateur :AL

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:44:32

ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11/03/2009 19:44:35

ANTIVIR3.VDF : 7.1.2.171 61952 Bytes 13/03/2009 19:44:36

Version du moteur: 8.2.0.114

AEVDF.DLL : 8.1.1.0 106868 Bytes 15/03/2009 19:44:48

AESCRIPT.DLL : 8.1.1.63 364923 Bytes 15/03/2009 19:44:47

AESCN.DLL : 8.1.1.8 127346 Bytes 15/03/2009 19:44:46

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38

AEPACK.DLL : 8.1.3.10 397686 Bytes 15/03/2009 19:44:45

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 15/03/2009 19:44:44

AEHEUR.DLL : 8.1.0.104 1634679 Bytes 15/03/2009 19:44:43

AEHELP.DLL : 8.1.2.2 119158 Bytes 15/03/2009 19:44:40

AEGEN.DLL : 8.1.1.28 336244 Bytes 15/03/2009 19:44:39

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56

AECORE.DLL : 8.1.6.6 176501 Bytes 15/03/2009 19:44:37

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: réparer

Action secondaire................: supprimer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: marche

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : dimanche 15 mars 2009 21:24

 

La recherche d'objets cachés commence.

Impossible d'initialiser le pilote.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'12' processus ont été contrôlés avec '12' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '56' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Documents and Settings\LA\Local Settings\Temp\$1B9203CC.t$m

[0] Type d'archive: CAB (Microsoft)

--> dell000a.chm

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

Recherche débutant dans 'D:\'

 

 

Fin de la recherche : dimanche 15 mars 2009 22:29

Temps nécessaire: 1:05:05 Heure(s)

 

La recherche a été effectuée intégralement

 

5983 Les répertoires ont été contrôlés

126140 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

126139 Fichiers non infectés

2321 Les archives ont été contrôlées

2 Avertissements

0 Consignes

 

!voilà , c'est tout pour ce soir !

[pear]

Bonjour,

 

C'est impeccable.

 

Si vous gardez Antivir, ce que je vous recommande, rappelez vous qu'il est plus efficace en mode sans échec.

 

Encore un souci ?

Modifié le 16 mars 2009 par pear

[Yannoo]

Bonjour,

 

C'est impeccable.

 

Si vous gardez Antivir, ce que je vous recommande, rappelez vous qu'il est plus efficace en mode sans échec.

 

Encore un souci ?

 

Oui, la redirection vers du porno est toujours effective

J'ai le pc au taf avec moi, pour continuer à agir si vous avez d'autres idées à me suggérer. Cependant je ne pourrais pas tester """l'efficacité""" dans la mesure ou grace/à cause du firewall de mon réseau, cette redirection vers du porno n'est pas effective (ca ne le fait que chez moi ou sur le réseau de mes parents).

[pear]

Bonjour,

 

Il y a des anomalies sur cette machine.

Les outils habituels (Toolbr&Sd, Antivir) ne voient rie, mais Smitfraudfix plante et la redirection continue.

Cela fait penser à un rootkit.

On va voir:

 

Créez un sur C:\ un dossier nommé Gamer

Vous allez Renommer gmer

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

clic droit sur http://www.gmer.net/gmer.zip

Choisir "Enregistrer la cible du lien..sous...."

Choisir pour destination le fichier C:\gamer

En bas, à Nom du Fichier:

tapez gamer.exe

Cliquez enfin sur -> Enregistrer sous

Entrez dans C:\gamer

Lancez gmer en double cliquant sur gamer.exe

Déconnectez internet si possible et fermez tous les programmes.

 

Si une alerte de l' antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laissez le s'executer.

Clic sur l'onglet "rootkit"

Clic sur Scan

A la fin du scan->Clic sur copie

Collez le résultat dans un prochain message

[Yannoo]

Bingo, j'ai tout fait comme indiqué et Gmer a indiqué avoir trouvé un rootkit. Voici le log :

 

[EDIT : par contre, mauvaise blague, les lignes qui étaient en rouges dans le programme sont passées en noir là, pas très pratique ;( désolé ]

[EDIT bis : après relecture de tout çà, et si j'ai bien tout suivi c'est

File C:\WINDOWS\system32\drivers\UACcocjwjtk.sys 65536 bytes executable <-- ROOTKIT !!! qui semble pas bon, non ? ]

 

GMER 1.0.15.14939 - http://www.gmer.net

Rootkit scan 2009-03-16 11:24:37

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

Code 822BAE10 ZwEnumerateKey

Code 8232F300 ZwFlushInstructionCache

Code 822BABDE IofCallDriver

Code 822BA546 IofCompleteRequest

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!IofCallDriver 804EDE00 5 Bytes JMP 822BABE3

.text ntkrnlpa.exe!IofCompleteRequest 804EDE90 5 Bytes JMP 822BA54B

PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805AA912 5 Bytes JMP 8232F304

PAGE ntkrnlpa.exe!ZwEnumerateKey 80619412 5 Bytes JMP 822BAE14

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A8000A

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A9000A

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] WININET.dll!HttpAddRequestHeadersA 77AB40E2 5 Bytes JMP 00D0000C

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] WININET.dll!HttpAddRequestHeadersW 77ABEEE4 5 Bytes JMP 00D7000A

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!getaddrinfo 719F2A6F 5 Bytes JMP 00B6FA00

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!connect 719F406A 5 Bytes JMP 00B70750

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!send 719F428A 5 Bytes JMP 00B70630

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!gethostbyname 719F4FD4 5 Bytes JMP 00B6FDB0

.text C:\Program Files\Internet Explorer\Iexplore.exe[220] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00B70910

.text C:\Program Files\Dell\QuickSet\quickset.exe[360] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B6000A

.text C:\Program Files\Dell\QuickSet\quickset.exe[360] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B7000A

.text C:\WINDOWS\System32\WLTRYSVC.EXE[484] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0094000A

.text C:\WINDOWS\System32\WLTRYSVC.EXE[484] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0095000A

.text C:\WINDOWS\System32\bcmwltry.exe[496] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B7000A

.text C:\WINDOWS\System32\bcmwltry.exe[496] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B8000A

.text C:\WINDOWS\system32\spoolsv.exe[560] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0097000A

.text C:\WINDOWS\system32\spoolsv.exe[560] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0098000A

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[608] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0095000A

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[608] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0096000A

.text C:\WINDOWS\Explorer.EXE[788] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00AB000A

.text C:\WINDOWS\Explorer.EXE[788] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AC000A

.text C:\WINDOWS\system32\winlogon.exe[848] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0065000A

.text C:\WINDOWS\system32\winlogon.exe[848] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0066000A

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[908] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 007F000A

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[908] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0082000A

.text C:\WINDOWS\system32\services.exe[952] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0070000A

.text C:\WINDOWS\system32\services.exe[952] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0071000A

.text C:\WINDOWS\system32\lsass.exe[964] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006F000A

.text C:\WINDOWS\system32\lsass.exe[964] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0072000A

.text C:\WINDOWS\system32\rundll32.exe[1104] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A7000A

.text C:\WINDOWS\system32\rundll32.exe[1104] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A8000A

.text C:\WINDOWS\System32\alg.exe[1256] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006F000A

.text C:\WINDOWS\System32\alg.exe[1256] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0070000A

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe[1476] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0096000A

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe[1476] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0097000A

.text C:\WINDOWS\system32\hkcmd.exe[1508] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0096000A

.text C:\WINDOWS\system32\hkcmd.exe[1508] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0097000A

.text C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1512] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006D000A

.text C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1512] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 006E000A

.text C:\WINDOWS\system32\basfipm.exe[1528] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0070000A

.text C:\WINDOWS\system32\basfipm.exe[1528] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0071000A

.text C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe[1592] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00D6000A

.text C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe[1592] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00D7000A

.text C:\PROGRA~1\Iomega\System32\AppServices.exe[1620] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006C000A

.text C:\PROGRA~1\Iomega\System32\AppServices.exe[1620] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 006D000A

.text C:\Program Files\Intel\Wireless\Bin\EvtEng.exe[1672] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00C5000A

.text C:\Program Files\Intel\Wireless\Bin\EvtEng.exe[1672] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C6000A

.text C:\WINDOWS\system32\igfxpers.exe[1684] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0094000A

.text C:\WINDOWS\system32\igfxpers.exe[1684] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0095000A

.text C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe[1740] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009C000A

.text C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe[1740] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 009D000A

.text C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe[1788] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00CD000A

.text C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe[1788] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00CE000A

.text C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe[1832] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00F7000A

.text C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe[1832] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F8000A

.text C:\WINDOWS\system32\WLTRAY.exe[1852] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B5000A

.text C:\WINDOWS\system32\WLTRAY.exe[1852] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B6000A

.text C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe[1960] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0074000A

.text C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe[1960] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0075000A

.text C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe[2056] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00EF000A

.text C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe[2056] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F0000A

.text C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe[2068] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00E1000A

.text C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe[2068] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00E2000A

.text C:\Program Files\Winamp\Winampa.exe[2084] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0096000A

.text C:\Program Files\Winamp\Winampa.exe[2084] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0097000A

.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[2104] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A9000A

.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[2104] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AA000A

.text C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe[2176] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A9000A

.text C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe[2176] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AA000A

.text C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe[2196] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00BD000A

.text C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe[2196] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00BE000A

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe[2204] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B9000A

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe[2204] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00BA000A

.text C:\Program Files\Messenger\msmsgs.exe[2228] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0094000A

.text C:\Program Files\Messenger\msmsgs.exe[2228] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0095000A

.text C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe[2264] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0098000A

.text C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe[2264] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0099000A

.text C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe[2692] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0097000A

.text C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe[2692] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0098000A

.text C:\Program Files\Gamer\gamer.exe[3904] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 009F000A

.text C:\Program Files\Gamer\gamer.exe[3904] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A0000A

.text C:\WINDOWS\system32\wuauclt.exe[3924] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0098000A

.text C:\WINDOWS\system32\wuauclt.exe[3924] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0099000A

.text C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe[4084] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A3000A

.text C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe[4084] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A4000A

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

 

Device \Driver\BTHUSB \Device\00000089 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

Device \Driver\BTHUSB \Device\00000089 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

Device \Driver\BTHUSB \Device\0000008b bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

Device \Driver\BTHUSB \Device\0000008b bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

 

---- Modules - GMER 1.0.15 ----

 

Module \systemroot\system32\drivers\UACcocjwjtk.sys (*** hidden *** ) AAEED000-AAF00000 (77824 bytes)

---- Processes - GMER 1.0.15 ----

 

Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [156] 0x008C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [156] 0x009C0000

Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [208] 0x008C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [208] 0x009C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Internet Explorer\Iexplore.exe [220] 0x00C60000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Dell\QuickSet\quickset.exe [360] 0x00E10000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\WLTRYSVC.EXE [484] 0x00C10000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\bcmwltry.exe [496] 0x00E20000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [560] 0x00C30000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [608] 0x00C20000

Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [788] 0x00BD0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [788] 0x00D40000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [848] 0x00820000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\wbem\wmiprvse.exe [908] 0x00AD0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [952] 0x009C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [964] 0x009D0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\rundll32.exe [1104] 0x00C30000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\alg.exe [1256] 0x009B0000

Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1460] 0x008C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1460] 0x009C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [1476] 0x00C30000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\hkcmd.exe [1508] 0x00C30000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [1512] 0x009A0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\basfipm.exe [1528] 0x009D0000

Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1556] 0x008C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1556] 0x009C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe [1592] 0x01020000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\PROGRA~1\Iomega\System32\AppServices.exe [1620] 0x00990000

Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1636] 0x008C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1636] 0x009C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\EvtEng.exe [1672] 0x00F10000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\igfxpers.exe [1684] 0x00C10000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe [1740] 0x00C80000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe [1788] 0x00F90000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe [1832] 0x01230000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\WLTRAY.exe [1852] 0x00E10000

Library \\?\globalroot\systemroot\system32\UACkobpoqsp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1912] 0x008C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1912] 0x009C0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe [1960] 0x00A00000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe [2056] 0x011B0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe [2068] 0x010D0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Winamp\Winampa.exe [2084] 0x00C20000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2104] 0x00D50000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe [2176] 0x00D50000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe [2196] 0x00EF0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2204] 0x00E50000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Messenger\msmsgs.exe [2228] 0x00BF0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2264] 0x00C50000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe [2692] 0x00C40000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\Gamer\gamer.exe [3904] 0x00CC0000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\WINDOWS\system32\wuauclt.exe [3924] 0x00C40000

Library \\?\globalroot\systemroot\system32\UACixfaoexm.dll (*** hidden *** ) @ C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe [4084] 0x00CF0000

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\system32\drivers\UACcocjwjtk.sys (*** hidden *** ) [sYSTEM] UACd.sys <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016411c4c07

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACcocjwjtk.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACcocjwjtk.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACtchkfwsa.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACwxdqoyhc.dat

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACwcysiypj.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACoqktucji.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACxtsmqmqc.db

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACrntfcpya.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACkobpoqsp.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACmxmawtwi.log

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACkksibokm.log

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACscmulvof.log

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACixfaoexm.dll

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016411c4c07

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start 1

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type 1

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACcocjwjtk.sys

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group file system

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACcocjwjtk.sys

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACtchkfwsa.dll

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACwxdqoyhc.dat

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACwcysiypj.dll

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACoqktucji.dll

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACxtsmqmqc.db

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACrntfcpya.dll

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACkobpoqsp.dll

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACmxmawtwi.log

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACkksibokm.log

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACscmulvof.log

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACixfaoexm.dll

 

---- Files - GMER 1.0.15 ----

 

File C:\Documents and Settings\LA\Local Settings\Temp\UAC5a4e.tmp 343040 bytes executable

File C:\Documents and Settings\LA\Local Settings\Temp\UAC65aa.tmp 98304 bytes executable

File C:\Documents and Settings\LA\Local Settings\Temp\UAC65ba.tmp 343040 bytes executable

File C:\Documents and Settings\LA\Local Settings\Temp\UAC754a.tmp 126976 bytes executable

File C:\WINDOWS\system32\drivers\UACcocjwjtk.sys 65536 bytes executable <-- ROOTKIT !!!

File C:\WINDOWS\system32\UACfvqacfxg.dat 127 bytes

File C:\WINDOWS\system32\uacinit.dll 5051 bytes

File C:\WINDOWS\system32\UACixfaoexm.dll 18944 bytes executable

File C:\WINDOWS\system32\UACkobpoqsp.dll 65536 bytes

File C:\WINDOWS\system32\UAClnxvhxis.db 414144 bytes

File C:\WINDOWS\system32\UACmxmawtwi.log 54273 bytes

File C:\WINDOWS\system32\UACoqktucji.dll 24576 bytes executable

File C:\WINDOWS\system32\UACrntfcpya.dll 34816 bytes executable

File C:\WINDOWS\system32\UACtchkfwsa.dll 31232 bytes executable

File C:\WINDOWS\system32\uactmp.db 1896749 bytes

File C:\WINDOWS\system32\UACwcysiypj.dll 27136 bytes executable

File C:\WINDOWS\system32\UACwxdqoyhc.dat 127 bytes

File C:\WINDOWS\system32\UACxtsmqmqc.db 414144 bytes

File C:\WINDOWS\Temp\UAC590e.tmp 49152 bytes

File C:\WINDOWS\Temp\UAC63c7.tmp 28672 bytes

File C:\WINDOWS\Temp\UAC6f55.tmp 73728 bytes

File C:\WINDOWS\Temp\UAC98c0.tmp 56832 bytes executable

File C:\WINDOWS\Temp\UAC9bdd.tmp 30720 bytes executable

File C:\WINDOWS\Temp\UACa487.tmp 61440 bytes

File C:\WINDOWS\Temp\UACb0ea.tmp 45056 bytes

File C:\WINDOWS\Temp\UACcc73.tmp 45056 bytes

 

---- EOF - GMER 1.0.15 ----

Modifié le 16 mars 2009 par Yannoo

[Yannoo]

*

Modifié le 16 mars 2009 par Yannoo

[pear]

C'est le rootkit Tdss §

 

Menu Démarrer-> executer

et taper : cmd puis clic sur OK.

Taper chacune de ces commandes en appuyant sur la touche entrée à chaque fois pour valider la commande :

gmer.exe -del service UACd.sys

gmer.exe -delReg "HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys"

gmer.exe -delReg "HKLM\SYSTEM\ControlSet002\Services\UACd.sys"

gmer.exe -delFile "C:\WINDOWS\system32\drivers\UACcocjwjtk.sys"

gmer.exe -reboot

 

 

Renommer Mbam

Dans certains cas, il peut être nécessaire de renommer Mbam ,avant le téléchargement pour traiter l' infection.

Désinstallez Mbam, s'il est installé

 

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

tapez karcher.exe

Cliquez enfin sur -> Enregistrer

Lancez Mbam par karcher.exe

En cas de problème, :

méthode illustrée

 

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[Yannoo]

ok c'est tout bien noté, je vais faire tout cela.

 

Par contre si j'ai bien suivi, il faut traiter à la fois le pc infecté mais aussi les stockages externes ayant été en contact avec, non? En effet il me semble que mes parents ont fait une sauvegarde de leur données s(tockées à la base sur D: la deuxième partition du DD interne) sur leur disque dur externe alors que l'infection était déjà en cours. Dois je aller le récuperer aussi, le brancher et ensuite desinfecter en meme temps que le DD interne ? (je fais réference à la partie avec Mbam)

 

 

Encore merci bcp !!!

Modifié le 16 mars 2009 par Yannoo