UACD.sys

filou98 · le 13 juillet 2009

Depuis 2 jours, je tente d'éradiquer ce virus. J'ai Avg comme antivirus, mais il l'a laissé passer. C'est une icone (je pense que c'est le centre de sécurité Windows?) qui clignotait et m'a avertie que j'étais infectée. J'ai tenté diverses manipulations, sans succès.

Entre autres, avec Malwarebytes, il dit qu'il le supprimera au redémarrage, mais il revient toujours lorsque je rescanne...

J'ai aussi télécharger spyware doctor, qui m'avise très régulièrement de tentative d'attaque.

J'ai fait la procédure de prénettoyage sur votre site, sauf la partie redémarre en mode sans échec: impossible, il ne veut plus redémarrer en mode sans échec...

Voici mon log de Hijack this:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:41:05, on 2009-07-13

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Program Files\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: (no name) - *{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Facebo...toUploader5.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1209001319771

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Service Google Update (gupdate1c9e7c7479df654) (gupdate1c9e7c7479df654) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--

End of file - 7593 bytes

pear · le 13 juillet 2009

Bonjour,

Créez sur C:`\ un dossier nommé Gamer

Télécharger gmer

vers C:\gamer

Clic droit sur fichier téléchargé->Extraire ici

Déconnecter internet si possible et fermer tous les programmes.

Double-cliquez sur le fichier

Clic sur l'onglet "rootkit"

Ne scanner que la partition système pour gagner du temps.

Faites un clic droit dans la fenêtre vide et dans options cliquez"Only non Ms Files"

Clic sur Scan

A la fin du scan->

Les informations sur le scan s'affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

Copier/coller les lignes rouges dans un prochain message

filou98 · le 13 juillet 2009

Merci de votre réponse rapide. J'ai fait les étapes, mais je bloque pour copier les lignes rouges. Il n'y a des lignes rouges que dans la partie ressource, et lorsque je clique sur un item en rouge, les seules options que j'ai sont : kill all, kill, refresh et propriété. Quel bout me manque?

angelique · le 13 juillet 2009

comme ça :

============

• relance HJT " do a system scan only" , coche les lignes ci dessous et clic l'onglet Fixchecked:

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: (no name) - *{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

J'ai aussi télécharger spyware doctor, qui m'avise très régulièrement de tentative d'attaque.

» SpyHunter et Spyware Doctor sont proposés via de faux blogs de sécurité... Ces faux blogs sont créés par des sociétés affiliées qui multiplient les sites WEB et tentent d'être dans les premiers résultats de Google concernant une des infections présentes sur ton PC.

Ces faux blogs proposent des versions payantes pour soit disant désinfecter son PC, ces sociétés affiliés touchent un % sur la ventes

Ce sont des pratiques douteuses et très limites, et non des méthodes dignes d'antispywares sérieux.

Je te conseille donc de désinstaller SpyHunter et/ou Spyware Doctor s'il est présent sur ton PC.

Pour plus d'informations, voir :http://forum.malekal.com/viewtopic.php?f=56&t=12847

» Télécharge Gmer sur ce lien

http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.

Décompresse le fichier zip et double-clic sur gmer.exe

IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clic sur l'onglet "rootkit"

A droite, coche toutes les cases

Clic sur Scan

Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse pour pear

filou98 · le 13 juillet 2009

Merci pour l'aide. J'espère que je l'ai bien fait.

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-07-13 16:32:53

Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

INT 0x62 ? 8A554BF8

INT 0x82 ? 8A554BF8

INT 0x83 ? 8A554BF8

INT 0x83 ? 8A29ABF8

INT 0x83 ? 8A554BF8

INT 0x94 ? 8A29ABF8

INT 0xA4 ? 8A29ABF8

Code 89A31B06 ZwEnumerateKey

Code 8A3A30A6 ZwFlushInstructionCache

Code 89AE575D IofCallDriver

Code 89F83FD5 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E13A7 5 Bytes JMP 89AE5762

.text ntoskrnl.exe!IofCompleteRequest 804E17BD 5 Bytes JMP 89F83FDA

PAGE ntoskrnl.exe!ZwEnumerateKey 80578E14 5 Bytes JMP 89A31B0A

PAGE ntoskrnl.exe!ZwFlushInstructionCache 80587BFB 5 Bytes JMP 8A3A30AA

? spjh.sys Le fichier spécifié est introuvable. !

.text USBPORT.SYS!DllUnload B97948AC 5 Bytes JMP 8A29A1D8

? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\PROGRA~1\AVG\AVG8\avgrsx.exe[212] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003C000A

.text C:\PROGRA~1\AVG\AVG8\avgrsx.exe[212] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 06370001

.text C:\PROGRA~1\AVG\AVG8\avgnsx.exe[216] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01970001

.text C:\WINDOWS\system32\csrss.exe[636] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 013B0001

.text C:\WINDOWS\system32\winlogon.exe[664] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0067000A

.text C:\WINDOWS\system32\winlogon.exe[664] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01430001

.text C:\Gamer\gmer.exe[692] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003B000A

.text C:\Gamer\gmer.exe[692] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\WINDOWS\system32\services.exe[712] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003B000A

.text C:\WINDOWS\system32\services.exe[712] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 014C0001

.text C:\WINDOWS\system32\lsass.exe[724] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01530001

.text C:\WINDOWS\system32\svchost.exe[896] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00FE0001

.text C:\WINDOWS\system32\svchost.exe[924] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0068000A

.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00F90001

.text C:\WINDOWS\system32\svchost.exe[1004] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01560001

.text C:\PROGRA~1\AVG\AVG8\avgemc.exe[1072] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 02DF0001

.text C:\WINDOWS\System32\svchost.exe[1080] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 02FC0001

.text C:\Program Files\Ahead\InCD\InCDsrv.exe[1104] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 005C000A

.text C:\Program Files\Ahead\InCD\InCDsrv.exe[1104] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 009F0001

.text C:\WINDOWS\system32\svchost.exe[1252] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0068000A

.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C00001

.text C:\Program Files\AVG\AVG8\avgcsrvx.exe[1360] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003C000A

.text C:\Program Files\AVG\AVG8\avgcsrvx.exe[1360] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 05820001

.text C:\WINDOWS\system32\svchost.exe[1408] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D00001

.text C:\WINDOWS\system32\svchost.exe[1460] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C70001

.text C:\WINDOWS\system32\spoolsv.exe[1560] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00FE0001

.text C:\WINDOWS\system32\svchost.exe[1632] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0068000A

.text C:\WINDOWS\system32\svchost.exe[1632] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C00001

.text C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe[1664] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003C000A

.text C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe[1664] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00DF0001

.text C:\WINDOWS\System32\alg.exe[2232] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00AD0001

.text C:\WINDOWS\System32\alg.exe[2232] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\WINDOWS\Explorer.EXE[2412] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00B6000A

.text C:\WINDOWS\Explorer.EXE[2412] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00DB0001

.text C:\WINDOWS\Explorer.EXE[2412] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\WINDOWS\system32\wuauclt.exe[2700] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 08A5000A

.text C:\WINDOWS\system32\wuauclt.exe[2700] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 08CE0001

.text C:\WINDOWS\system32\wuauclt.exe[2700] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\WINDOWS\system32\hkcmd.exe[2760] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003F000A

.text C:\WINDOWS\system32\hkcmd.exe[2760] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 08E20001

.text C:\WINDOWS\system32\hkcmd.exe[2760] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\WINDOWS\system32\igfxpers.exe[2768] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003D000A

.text C:\WINDOWS\system32\igfxpers.exe[2768] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 08E00001

.text C:\WINDOWS\system32\igfxpers.exe[2768] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\WINDOWS\RTHDCPL.EXE[2776] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003F000A

.text C:\WINDOWS\RTHDCPL.EXE[2776] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 0A030001

.text C:\WINDOWS\RTHDCPL.EXE[2776] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\Program Files\Microsoft IntelliType Pro\type32.exe[2808] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00A0000A

.text C:\Program Files\Microsoft IntelliType Pro\type32.exe[2808] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C30001

.text C:\Program Files\Microsoft IntelliType Pro\type32.exe[2808] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\Program Files\Microsoft IntelliPoint\point32.exe[2832] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 08C4000A

.text C:\Program Files\Microsoft IntelliPoint\point32.exe[2832] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 08D90001

.text C:\Program Files\Microsoft IntelliPoint\point32.exe[2832] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\Program Files\HP\HP Software Update\HPWuSchd2.exe[2896] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003F000A

.text C:\Program Files\HP\HP Software Update\HPWuSchd2.exe[2896] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B20001

.text C:\Program Files\HP\HP Software Update\HPWuSchd2.exe[2896] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\WINDOWS\system32\ctfmon.exe[2948] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 08A6000A

.text C:\WINDOWS\system32\ctfmon.exe[2948] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 08D00001

.text C:\WINDOWS\system32\ctfmon.exe[2948] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

.text C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[2984] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0037000A

.text C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[2984] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 003F0001

.text C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[2984] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A5575E0

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7508C4C] spjh.sys

IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7508CA0] spjh.sys

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D8040] spjh.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D813C] spjh.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D80BE] spjh.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D87FC] spjh.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D86D2] spjh.sys

IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A29A2D8

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A5531F8

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device \Driver\PCI_PNP9112 \Device\00000042 spjh.sys

Device \Driver\usbuhci \Device\USBPDO-0 8A2991F8

Device \Driver\usbuhci \Device\USBPDO-1 8A2991F8

Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A5C61F8

Device \Driver\dmio \Device\DmControl\DmConfig 8A5C61F8

Device \Driver\dmio \Device\DmControl\DmPnP 8A5C61F8

Device \Driver\dmio \Device\DmControl\DmInfo 8A5C61F8

Device \Driver\usbuhci \Device\USBPDO-2 8A2991F8

Device \Driver\usbuhci \Device\USBPDO-3 8A2991F8

Device \Driver\usbehci \Device\USBPDO-4 8A295500

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device pci.sys (Énumérateur Plug-and-Play PCI pour NT/Microsoft Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5551F8

Device \Driver\NetBT \Device\NetBt_Wins_Export 8996D1F8

Device \Driver\NetBT \Device\NetBT_Tcpip_{908CB631-FE7D-4E46-A0B3-6936707C586F} 8996D1F8

Device \Driver\NetBT \Device\NetbiosSmb 8996D1F8

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device \Driver\usbuhci \Device\USBFDO-0 8A2991F8

Device \Driver\usbuhci \Device\USBFDO-1 8A2991F8

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 899351F8

Device \Driver\usbuhci \Device\USBFDO-2 8A2991F8

Device \FileSystem\MRxSmb \Device\LanmanRedirector 899351F8

Device \Driver\usbuhci \Device\USBFDO-3 8A2991F8

Device \Driver\usbehci \Device\USBFDO-4 8A295500

Device \Driver\Ftdisk \Device\FtControl 8A5551F8

Device \Driver\sptd \Device\3436276612 spjh.sys

Device \Driver\at2i49of \Device\Scsi\at2i49of1 8A1FA1F8

Device \Driver\at2i49of \Device\Scsi\at2i49of1Port4Path0Target1Lun0 8A1FA1F8

Device \Driver\at2i49of \Device\Scsi\at2i49of1Port4Path0Target0Lun0 8A1FA1F8

Device \FileSystem\Cdfs \Cdfs 89F67500

---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\UACiqxygtuqwrwcoaqbe.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [924] 0x00910000

Library \\?\globalroot\systemroot\system32\UACiqxygtuqwrwcoaqbe.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1004] 0x00910000

Library \\?\globalroot\systemroot\system32\UACiqxygtuqwrwcoaqbe.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1080] 0x00910000

Library \\?\globalroot\systemroot\system32\UACiqxygtuqwrwcoaqbe.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1252] 0x00910000

Library \\?\globalroot\systemroot\system32\UACiqxygtuqwrwcoaqbe.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1408] 0x00910000

Library \\?\globalroot\systemroot\system32\UACiqxygtuqwrwcoaqbe.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1460] 0x00910000

Library \\?\globalroot\systemroot\system32\UACiqxygtuqwrwcoaqbe.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1632] 0x00910000

---- EOF - GMER 1.0.15 ----

pear · le 14 juillet 2009

Bonjour,

lorsque je clique sur un item en rouge, les seules options que j'ai sont : kill all, kill, refresh et propriété. Quel bout me manque?

Clic droit sur les lignes rouges et Kill

ou si vous préférez

Démarrer->Exécuter

copiez/collez

gmer.exe -delfile "C:\WINDOWS\system32\UACiqxygtuqwrwcoaqbe.dll"

ensuite:

Téléchargez MBAM

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Modifié le 14 juillet 2009 par pear

angelique · le 14 juillet 2009

y'a un espace pear !! , je me permet ...

gmer.exe -del file "C:\WINDOWS\system32\UACiqxygtuqwrwcoaqbe.dll"

» ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 gmer.exe -killall
gmer.exe -del file "C:\WINDOWS\system32\UACiqxygtuqwrwcoaqbe.dll"
shutdown -r -t 00

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:GmerDel.bat \ type de fichier \"tous les fichiers"

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier",

[*]Quitte le Bloc Notes.

==> double clic sur l'icone GmerDel.bat en forme de roue , le pc va redemarrer, Lance MBAM s'il fonctionne

filou98 · le 14 juillet 2009

Bonjour, je n'avais plus d'éléments en rouge, je n'ai donc rien fait...

Quant à la manip suivante:

Démarrer->Exécuter

copiez/collez

gmer.exe -delfile "C:\WINDOWS\system32\UACiqxygtuqwrwcoaqbe.dll", ça me dit que windows ne trouve pas gmer.

À part cela, j'ai fait tout ce qui est écrit. Et voici mon rapport MBAM:

Malwarebytes' Anti-Malware 1.38

Version de la base de données: 2412

Windows 5.1.2600 Service Pack 3

2009-07-14 15:26:52

mbam-log-2009-07-14 (15-26-52).txt

Type de recherche: Examen complet (C:\|)

Eléments examinés: 205495

Temps écoulé: 25 minute(s), 21 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

Processus mémoire infecté(s):