Click giftload impossible à éradiquer

Fermé
SasoriMatsu - Modifié par SasoriMatsu le 2/05/2011 à 15:44
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 - 12 mai 2011 à 06:30
Bonjour,


Avant hier j'ai subi une attaque via MS Removal Tool que j'ai cru avoir éliminé via roguekiller.
J'ai passé un coup de Spybot et il m'avait trouvé 6 malwares dont click giftload.
Après ces procédures, le PC semblait fonctionner normalement.
Le lendemain, ma machine ne se lance plus qu'en mode sans échec ou sinon j'ai le droit à un écran noir ..

Via mon autre PC, je dl ad remover, et je le lance sur le PC malade, il arrive enfin à se lancer normalement, or je sais qu'il est toujours infecté.

J'ai passé un scan via ZHDIAG (que j'avais dl sur l'autre pc) et voici le rapport pour celui qui voudra bien m'épauler dans cette galère.
http://cjoint.com/11mi/AEbsf4BhpbK.htm

Je ne veux pas me lancer dans des procédures complexes qui ne sont pas de mes compétences sans l'expertise d'un pro de la sécurité informatique.

Merci d'avance pour l'aide que vous pouvez m'apporter, je ne touche plus à ma bécane et surfe à partir de l'autre pc, non infecté.
A voir également:

35 réponses

sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
2 mai 2011 à 16:01
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
0
Merci beaucoup, je fonce faire ce que tu me dis et je te file le rapport
0
Bon, ben comme pour la plupart des infectés par cette saleté, il se bloque à 80% et se ferme .. et encore au départ il a même pas voulu se lancer, il s'est bloqué, j'ai du rebooter

Une soluce de rechange pleaseeeeeeeeeeee ?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
2 mai 2011 à 18:45
Télécharge combofix.exe sur ton bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe


double clique combofix.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt

Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.

arrête provisoirement les anti virus et autres protections pendant l'analyse

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\



durant la durée de l'analyse ne te sert pas de ton pc


une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
J'ai pas avg mais avira, je stoppe toutes les protections durant les manips que tu me demandes de toute façon.
Je vais lancer combofix, et je laisse la bécane, puis quand j'ai le rapport, je reviens le coller ici (je jongle avec les 2 PC, histoire de pas trop toucher à celui qui est infecté).
Merci, c'est bien sympa de m'aider, j'avoue que je flippe grave ..
0
Voilà le rapport :
http://cjoint.com/11mi/AEctwYbNFJ7.htm
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
2 mai 2011 à 20:51
télécharge Malwarebyte's ici
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des éléments on été trouvés > click sur supprimer la sélection.

si il t'es demandé de redémarrer > click sur "yes".

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log
0
malwarebytes peut pas s'exécuter : Run-time error 0 and run-time error 440

c'est la mouise là, non ?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 3/05/2011 à 06:47
on va essayer quelque chose
je te fait un script

dit moi si tu a bien installer malwarebytes dans le C: program files
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
3 mai 2011 à 07:03
0
Bonjour Sherred,

Oui j'avais bien installé MB dans C sur le bureau.
Le fichier bat ne change rien à la donne, je peux toujours pas lancer MB
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 3/05/2011 à 17:30
Télécharge UsbFix (de Chiquitine29) sur ton bureau
http://www.teamxscript.org/usbfixTelechargement.html

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

--> Double clic sur UsbFix

clic sur le bouton Recherche


et ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan est proposé... appuie sur une touche pour ouvrir ce rapport.
copier/coller ce rapport dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
0
Merci Sherred, j'ai dl ton exe, j'attends que mon homme ait fini de faire ses transferts de fichiers du pc infecté sur son disque dur externe (que je testerai par la même occaze avec ton programme) et je le fais.
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
3 mai 2011 à 21:16
voilà le rapport


############################## | UsbFix 7.044 | [Recherche]

Utilisateur: Fred (Administrateur) # OEM [ ]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 20:45:12 | 03/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 503 Mo
C:\ (%systemdrive%) -> Disque fixe # 15 Go (3 Go libre(s) - 19%) [] # NTFS
D:\ -> Disque fixe # 39 Go (13 Go libre(s) - 32%) [] # NTFS
E:\ -> Disque fixe # 61 Go (31 Go libre(s) - 51%) [] # NTFS
F:\ -> CD-ROM
G:\ -> CD-ROM
I:\ -> Disque fixe # 298 Go (86 Go libre(s) - 29%) [Iomega_HDD] # NTFS
J:\ -> Disque amovible # 7 Go (2 Go libre(s) - 32%) [UDISK 2.0] # FAT32
K:\ -> Disque amovible # 7 Go (4 Go libre(s) - 57%) [] # FAT32

################## | Éléments infectieux |


Présent! J:\AVG Anti-Rootkit Free.lnk
Présent! E:\Photoshop.exe
Présent! K:\log.txt

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

J:\autorun.inf -> Vaccin créé par USB-set (Loup Blanc)
K:\autorun.inf -> Vaccin créé par USB-set (Loup Blanc)

################## | E.O.F |
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
4 mai 2011 à 06:39
donc en premier
Désactiver le TeaTimer de Spybot (Merci à Nico):

Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.


ensuite

relance usbfix
et cette fois fait l'option suppression

--> Le pc va redémarer

-->Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
Modifié par SasoriMatsu le 4/05/2011 à 17:19
Bonjour Sherred,

le Teatimer de spybot je l'ai toujours laissé désactivé (rapport à la mémoire qu'il me bouffe)
je fais ce que tu me dis quand même pour vérifier s'il est actif, il l'est pas, c'est bon
j'ai fait suppression, et j'attends qu'il finisse puis je file le rapport (mais il met du temps le bougre !!)
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
4 mai 2011 à 17:33
le pc a pas redémarré, y a juste une fenêtre qui est apparue en me disant d'envoyer le rapport .zip et une fenêtre IE s'est ouverte (mais comme j'ai déconnecté le pc, ça sert à rien), et voilà.
Et je te file rapport en fichier joint (because il est long et PRIVE !)
https://www.cjoint.com/?AEerGNvunXy
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
4 mai 2011 à 18:03
ok c'est vu
amateur de Rammstein ;)
un conseil
desinstalle spybot

et installe
IObit Security 360
http://www.iobit.com/security360.html
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
4 mai 2011 à 19:17
Amatrice ;-)
pourquoi, spybot est pas bien, c'est ça ?

et là tu penses que le pc est ok ?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
4 mai 2011 à 20:29
NON spybot est depassé
et quand tu aura IObit Security 360
tu fera un scan
tu verra
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
5 mai 2011 à 17:03
Bonjour ;-)

Ok, je fais ça, mais tu sais que j'ai désactivé la restauration système pendant toute la procédure de désinfection.
Quand j'aurais fini le scan, si y a rien, je pourrais alors la réactiver, c'est ça ?

P.S : pour le scan, je te file le rapport quand c'est fait.
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
5 mai 2011 à 17:33
il a rien trouvé donc pas de rapport
ça veut dire que c'est bon ?
si oui, afin de ne plus être embêtée, je crois que vous avez un tuto sur comment maintenir la sécurité de son PC (mises à jour etc ..)
En tous les cas je te remercie de ta patience et de ta disponibilité Sherred, tu pourras toujours compter sur moi en de besoin dans mes domaines de compétences ( langues étrangères RH et droit social, au cas où ..)
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
5 mai 2011 à 18:13
j'aurai aimer savoir si malwarebytes fonctionne avant de conclure
reessai pour voir

puis fait deja ca

Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures .
tu fait le nettoyage
Fichiers temporaires de Windows
Cookies, cache, historique d'Internet Explorer, Opera et Firefox
Documents récents de Windows
et ensuite onglet registre recherche et réparation de la base de registre.
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
5 mai 2011 à 19:59
cet outil je l'ai déjà et j'avais passé un coup après avoir executé l'antispyware que tu m'as conseillé
là j'avais pas mal de clés de registre invalides, alors j'ai refait une recherche et réparation base registre, il m'en avait encore trouvé , puis encore et jusqu'à ce qu'il trouve plus de clés invalides
et là j'ai refait ce que tu me dis, et il a trouvé des clés invalides, je repasse encore ccleaner jusqu'à ce qu'il trouve plus rien

tu veux le dernier rapport ou c'est bon ?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
5 mai 2011 à 20:49
j'aurai aimer savoir si malwarebytes fonctionne avant de conclure
reessai pour voir
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
5 mai 2011 à 22:34
En effet, il ne marche pas, toujours les mêmes erreurs run 000 et 440
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
6 mai 2011 à 07:11
refait un ZHPDIAG que je vois si il reste quelque chose
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
6 mai 2011 à 18:05
Bonjour Sherred,
Je passe zhpdiag et je te dis
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
6 mai 2011 à 18:08
en attente
0
SasoriMatsu Messages postés 25 Date d'inscription mardi 3 mai 2011 Statut Membre Dernière intervention 11 mai 2011
6 mai 2011 à 18:12
il est long, je te mets le lien
https://www.cjoint.com/?AEgsmdgeOg4
0