Click giftload impossible à éradiquer Fermé

Question

Bonjour,  


Avant hier j'ai subi une attaque via MS Removal Tool que j'ai cru avoir éliminé via roguekiller. 
J'ai passé un coup de Spybot et il m'avait trouvé 6 malwares dont click giftload. 
Après ces procédures, le PC semblait fonctionner normalement. 
Le lendemain, ma machine ne se lance plus qu'en mode sans échec ou sinon j'ai le droit à un écran noir .. 

Via mon autre PC, je dl ad remover, et je le lance sur le PC malade, il arrive enfin à se lancer normalement, or je sais qu'il est toujours infecté. 

J'ai passé un scan via ZHDIAG (que j'avais dl sur l'autre pc) et voici le rapport pour celui qui voudra bien m'épauler dans cette galère. 
http://cjoint.com/11mi/AEbsf4BhpbK.htm

Je ne veux pas me lancer dans des procédures complexes qui ne sont pas de mes compétences sans l'expertise d'un pro de la sécurité informatique. 

Merci d'avance pour l'aide que vous pouvez m'apporter, je ne touche plus à ma bécane et surfe à partir de l'autre pc, non infecté.

sherred · Answer

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau 

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe 

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip), 
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

SasoriMatsu · Answer

Merci beaucoup, je fonce faire ce que tu me dis et je te file le rapport

SasoriMatsu · Answer

Bon, ben comme pour la plupart des infectés par cette saleté, il se bloque à 80% et se ferme .. et encore au départ il a même pas voulu se lancer, il s'est bloqué, j'ai du rebooter

Une soluce de rechange pleaseeeeeeeeeeee ?

sherred · Answer

Télécharge combofix.exe   sur ton bureau
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


 double clique combofix.exe. 
 touche 1 (Yes) pour démarrer le scan. 
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 
Le rapport se trouve également ici : C:\Combofix.txt 

 Déconnecte toi d'internet  ferme les fenêtres de tous les programmes en cours.

arrête provisoirement les anti virus et autres protections pendant l'analyse

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. 
La simple désactivation du résident n'est pas suffisante. 
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover 
Choisis la version adéquate (32 ou 64 bits)/!\



durant la durée de l'analyse ne te sert pas de ton pc 


une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares

SasoriMatsu · Answer

J'ai pas avg mais avira, je stoppe toutes les protections durant les manips que tu me demandes de toute façon.
Je vais lancer combofix, et je laisse la bécane, puis quand j'ai le rapport, je reviens le coller ici (je jongle avec les 2 PC, histoire de pas trop toucher à celui qui est infecté).
Merci, c'est bien sympa de m'aider, j'avoue que je flippe grave ..

SasoriMatsu · Answer

Voilà le rapport : 
http://cjoint.com/11mi/AEctwYbNFJ7.htm

sherred · Answer

télécharge Malwarebyte's ici 
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des éléments on été trouvés > click sur supprimer la sélection. 

si il t'es demandé de redémarrer > click sur "yes". 

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp. 

PS : les rapport sont aussi rangé dans l onglet rapport/log

SasoriMatsu · Answer

malwarebytes peut pas s'exécuter : Run-time error 0 and run-time error 440

c'est la mouise là, non ?

sherred · Answer

telecharge et execute ceci
http://sd-1.archive-host.com/membres/up/13923697555885739/sherred/MBAM.bat

SasoriMatsu · Answer

Bonjour Sherred,

Oui j'avais bien installé MB dans C sur le bureau.
Le fichier bat ne change rien à la donne, je peux toujours pas lancer MB

SasoriMatsu · Answer

Merci Sherred, j'ai dl ton exe, j'attends que mon homme ait fini de faire ses transferts de fichiers du pc infecté sur son disque dur externe (que je testerai par la même occaze avec ton programme) et je le fais.

sherred · Answer

donc en premier
Désactiver le TeaTimer de Spybot (Merci à Nico): 

Pour désactiver le TeaTimer : 
=> Ouvrir Spybot S&D 
=> Dans le menu "Mode", séléctionner le mode avancé. 
=> Une fenêtre demande confirmation cliquer sur "oui". 
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils". 
=> Cliquer sur Résident. 
=> La partie Résident comporte deux lignes qui sont normalement cochées : 
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif. 

* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif. 

=> Décocher la ligne TeaTimer. 
=> Redémarrer Spybot (le fermer et le réouvrir) 
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.


ensuite

relance usbfix
et cette fois fait l'option suppression

--> Le pc va redémarer 

-->Après redémarrage poste le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque 
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!

SasoriMatsu · Answer

Bonjour Sherred,  

le Teatimer de spybot je l'ai toujours laissé désactivé (rapport à la mémoire qu'il me bouffe)  
je fais ce que tu me dis quand même pour vérifier s'il est actif, il l'est pas, c'est bon   
j'ai fait suppression, et j'attends qu'il finisse puis je file le rapport (mais il met du temps le bougre !!)

SasoriMatsu · Answer

Amatrice ;-)
pourquoi, spybot est pas bien, c'est ça ?

et là tu penses que le pc est ok ?

SasoriMatsu · Answer

Bonjour ;-)

Ok, je fais ça, mais tu sais que j'ai désactivé la restauration système pendant toute la procédure de désinfection.
Quand j'aurais fini le scan, si y a rien, je pourrais alors la réactiver, c'est ça ?

P.S : pour le scan, je te file le rapport quand c'est fait.

sherred · Answer

j'aurai aimer savoir si malwarebytes  fonctionne  avant de conclure
reessai  pour voir

puis fait deja ca 

Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures .
tu fait le nettoyage
Fichiers temporaires de Windows 
Cookies, cache, historique d'Internet Explorer, Opera et Firefox 
Documents récents de Windows
et ensuite onglet registre recherche et réparation de la base de registre.

SasoriMatsu · Answer

cet outil je l'ai déjà et j'avais passé un coup après avoir executé l'antispyware que tu m'as conseillé
là j'avais pas mal de clés de registre invalides, alors j'ai refait une recherche et réparation base registre, il m'en avait encore trouvé , puis encore et jusqu'à ce qu'il trouve plus de clés invalides
et là j'ai refait ce que tu me dis, et il a trouvé des clés invalides, je repasse encore ccleaner jusqu'à ce qu'il trouve plus rien

tu veux le dernier rapport ou c'est bon ?

SasoriMatsu · Answer

En effet, il ne marche pas, toujours les mêmes erreurs run 000 et 440

sherred · Answer

refait un ZHPDIAG que je vois si il reste quelque chose

SasoriMatsu · Answer

Bonjour Sherred,
Je passe zhpdiag et je te dis

sherred · Answer

tu a sur ton bureau ZHPFix que l'on va utiliser plus bas

 
1)
* Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



O43 - CFD: 30/01/2011 - 16:30:04 - [24340] ----D- C:\Program Files\pics-factory Toolbar

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\TuneUp Utilities 2007.lnk . (...)  -- E:\Program Files\Integrator.exe (.not file.)  

O23 - Service:  (aswUpdSv) - Clé orpheline  

O23 - Service:  (gupdate) - Clé orpheline  

O23 - Service:  (NMIndexingService) - Clé orpheline 

O43 - CFD: 05/05/2011 - 17:08:20 - [1731411] ----D- C:\Program Files\Spybot - Search & Destroy 

O52 - TDSD: \drivers.desc\"DivXc32f.dll"="DivX 3.11 MPEG-4 Video Codec (Fast-Motion)" . (.Pas de propriétaire - Pas de description.) -- (.not file.)

O52 - TDSD: \drivers.desc\"xvidvfw.dll"="Xvid MPEG-4 Video Codec 1.3.0" . (.Pas de propriétaire - Pas de description.) -- (.not file.) 

O64 - Services: CurCS - (.not file.) - 99718521 (99718521)  .(...) - LEGACY_99718521 

O64 - Services: CurCS - (.not file.) - 99718522 Boot Guard Driver (99718522)  .(...) - LEGACY_99718522

O64 - Services: CurCS - (.not file.) - MinProc (MinProc)  .(...) - LEGACY_MINPROC  

O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_03.05.2011_17-36drv (setup_9.0.0.722_03.05.2011_17-36drv)  .(...) - LEGACY_SETUP_9.0.0.722_03.05.2011_17-36DRV 

O64 - Services: CurCS - (.not file.) - AVZ Kernel Driver (uti4mty3)  .(...) - LEGACY_UTI4MTY3   




2)
Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

SasoriMatsu · Answer

je fais tout ça, je ferme firefox et mes protections et je lance le scan
puis je reviens
merci Sherred

SasoriMatsu · Answer

le voilà,

Rapport de ZHPFix 1.12.3279 par Nicolas Coolman, Update du 27/04/2011
Fichier d'export Registre : 
Run by Fred at 06/05/2011 18:34:06
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O23 - Service: (aswUpdSv) - Clé orpheline  => Clé non supprimée
O23 - Service: (gupdate) - Clé orpheline  => Clé non supprimée
O23 - Service: (NMIndexingService) - Clé orpheline  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - 99718521 (99718521) .(...) - LEGACY_99718521  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 99718522 Boot Guard Driver (99718522) .(...) - LEGACY_99718522  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - MinProc (MinProc) .(...) - LEGACY_MINPROC  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_03.05.2011_17-36drv (setup_9.0.0.722_03.05.2011_17-36drv) .(...) - LEGACY_SETUP_9.0.0.722_03.05.2011_17-36DRV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVZ Kernel Driver (uti4mty3) .(...) - LEGACY_UTI4MTY3  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O52 - TDSD: \drivers.desc\"DivXc32f.dll"="DivX 3.11 MPEG-4 Video Codec (Fast-Motion)" . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Valeur supprimée avec succès
O52 - TDSD: \drivers.desc\"xvidvfw.dll"="Xvid MPEG-4 Video Codec 1.3.0" . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\pics-factory Toolbar  => Supprimé et mis en quarantaine
C:\Program Files\Spybot - Search & Destroy  => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\documents and settings\all users\menu démarrer\programmes	uneup utilities 2007.lnk  => Supprimé et mis en quarantaine
e:\program files\integrator.exe  => Fichier absent


========== Récapitulatif ==========
8 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)


End of the scan

sherred · Answer

pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode 

http://www.teamxscript.org/too/Xplode/DelFix.exe 


choisis SUPPRESSION

SasoriMatsu · Answer

Le lien est inactif, Sherred
et est ce que je devrais désactiver mes protections et fermer Firefox quand je le lancerai ?

SasoriMatsu · Answer

là j'ai que recherche et des options facultatives, je fais quoi ?

SasoriMatsu · Answer

ok, j'y cours, merci ;-)

SasoriMatsu · Answer

Je te remercie, juste une question, est ce que je peux réactiver la restauration système ?
pas la peine, c'est bon

SasoriMatsu · Answer

Bonjour Sherred,

Merci d'avoir laissé le topic ouvert parce que là, je crois que y a un gros souci : en voulant supprimer un programme, j'ai trouvé dans mon panneau de config que VLC pesait 932 Mo (délire, alors qu'il est hyper léger !). Je tente de le supprimer et à chaque fois j'ai le même message :
setup.exe a rencontré un problème et doit fermer.

Je pense que c'est une saleté de rootkit qui s'est planqué là, et je n'arrive pas à m'en débarrasser, stp peux tu m'aider ? Plus le PC tourne et plus VLC pèse (là il en est à 949 Mo !).

SasoriMatsu · Answer

T'es pas là Sherred ?? j'ouvre un autre sujet ?

sherred · Answer

humm j'aime pas ca  

malheureusement  , j'ai pas le choix,  

recharge ZHPDIAG et refait moi un rapport  
mais cette fois clique avant sur option "le tournevis" puis sur "tous "
et fait l'analyse 
a moins que REVO eu été efficace ?  
Quand les bornes sont franchies, il n'y a plus de limite  
Ce que j'ai écrit, je l'ai écrit

SasoriMatsu · Answer

Bonjour Sherred, 

Comme j'avais plus de news, j'ai créé un autre topic, je vais aviser la personne qui a eu la courtoisie de prendre en compte ma requête que je vais continuer avec toi, puisque tu suis mon souci depuis un moment (si tu veux bien du boulet que je suis .. ?). 
En tous les cas, voici le rapport zhpdiag : 
http://www.cijoint.fr/cjlink.php?file=cj201105/cijC7xBNtM.txt

P.S : Revo c'est quoi ?

SasoriMatsu · Answer

Bonjour,

ça a marché mais j'ai quand même eu le message d'erreur "setup a rencontré un problème et doit fermer"

seul petit souci, il m'a listé un ensemble d'applications qui n'a rien à voir avec VLC (anydvd, bsplayer, etc) et j'ai pas voulu les désinstaller, j'ai juste coché les registres directement liés à VLC
j'ai eu tort ?

autre question : s'il s'agit d'un virus planqué, ne peut-il pas migrer vers une autre application pour s'y cacher ou le simple fait de désinstaller le programme suspect le supprime automatiquement ?

sherred · Answer

anydvd, bsplayer   
on reste dans le cinéma , et tu cumul inutilement des log , 
surtout que tu n'a que tres peu de place DD et de memoire ram 

de plus, ca sent le piratage cette histoire..... 

pour ce qui est d'un pseudo virus , c'est pas si sûr.... 
il y avait peu etre simplement un beug  
le seul moyen de le savoir , c'est de reinstaller VLC 


Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

SasoriMatsu · Answer

Bonjour,
Le piratage parce que j'accumule des appli pour visionner des films en ajoutant des st (ce que peut faire bsplayer) ?
J'ai une passion pour la culture de certaines régions du monde, deux potes me filent des dvd scandinaves et asiatiques en vo (originaux qui n'ont pas de st français comme tu t'en doutes!) et je dois chercher les st sur le web.

Par contre les st sont dispos sur les sites de st, je fais rien de mal ..

En tous les cas, je vais désinstaller anydvd qui me sert à rien, mais bsplayer, m'est indispensable.

Merci de ton aide

Click giftload impossible à éradiquer

35 réponses

Discussions similaires